IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

LG München I: Cookie-Banner mit Ablehnungsmöglichkeit erst auf zweiter Ebene unzureichend!

23.02.2023, 13:47 Uhr | Lesezeit: 10 min
LG München I: Cookie-Banner mit Ablehnungsmöglichkeit erst auf zweiter Ebene unzureichend!

Sie begegnen uns ständig und überall im Internet: Werbe- und Marketing- Cookies. Doch damit diese überhaupt gesetzt werden dürfen, muss der Nutzer einwilligen. Dies entschied sowohl der EuGH als auch der BGH. Das LG München I hat nun konkretisierend entschieden, dass Cookie-Banner mit einer Ablehnungsmöglichkeit auf erst zweiter Ebene unzulässig sind. Lesen Sie mehr zur Entscheidung des LG München I in diesem Beitrag.

I. Sachverhalt

Der Kläger, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. ging gegen die Anbieterin und Betreiberin der Webseite www.focus.de vor.

Dieses ist nach unbestrittenem Vortrag der Beklagten Deutschlands größtes Nachrichtenportal. Die dort zur Verfügung gestellten Inhalte sind kostenlos. Das Online-Angebot wird allein durch Werbung finanziert, wofür die Beklagte eine Software zur Verwaltung der Nutzungspräferenzen (Consent Management Platform, kurz CMP) nutzt.

Bei Aufruf der Webseite erscheint die erste Seite der CMP, durch die eine Einwilligung der Nutzer zur Anwendung bestimmter Dienstleistungen abgefragt wird. Dabei ist die CMP in mehreren Schichten aufgebaut. Sowohl bei Aufruf der Webseite als auch vor Interaktion mit der dort vorgehaltenen CMP wird eine gewisse Anzahl von Cookies auf den Rechner des Nutzers gesetzt. Dabei ist die Anzahl, der Zeitpunkt der Setzung sowie deren Funktion zwischen den Parteien im Einzelnen umstritten.

Der Kläger trug vor, dass bei erstmaligem Aufruf der Webseite ein Cookie-Banner, welcher eine Einwilligung abfragen solle, eingeblendet werde. Auf der ersten Schicht bzw. Ebene befinde sich jedoch keine Möglichkeit, die Zustimmung abzulehnen. Es stünde lediglich zur Option „Akzeptieren“ oder „Einstellungen“ sowie eine Verlinkung auf die Datenschutzerklärung und das Impressum. Erst auf zweiter Ebene sei die Möglichkeit „Ablehnen“ gegeben. Diese werde jedoch deutlich erschwert.

Denn bei Letzterem öffne sich ein Fenster „Privatsphäre- Einstellungen“, das auf mehr als 140 Bildschirmseiten nach Datennutzung differenzierte Einstellungen für mehr als 100 Drittanbieter enthalte. Dabei sei der Button „Alle akzeptieren“ stark blau hervorgehoben. Der Button „Alle ablehnen“ hingegen sei in dezenter, unauffälliger hellgrauer Schrift in der rechten oberen Ecke platziert worden.

Laut dem Kläger unterlägen sämtliche von der Beklagten genutzten Tracking Technologien einem Einwilligungsvorbehalt, weshalb eine Nutzung ohne informierte und freiwillige Entscheidung des Nutzers rechtswidrig sei.

Dies sei nach Entscheidung des EuGH („Planet 49“) mittlerweile auch von dem BGH mit Urteil vom 28.05.2020 (Az: IZR 7/16- „Cookie-Einwilligung II“) bestätigt worden. Daraus folge, dass der Einwilligungsmechanismus der Klägerin unwirksam sei. Es handle sich hier weder um eine freiwillige Entscheidung, noch läge eine unmissverständlich abgegebene Willenserklärung vor. Die von der Beklagten gewählte Gestaltung sei eine faktische Voreinstellung des Einverständnisses.

Dem hielt die Beklagte entgegen, dass sie mit der CMP eine nach dem Branchenstandard TCF 2.0 zertifizierte Plattform zur Verwaltung der Präferenzen zur Verfügung stelle und die hiergegen gerichteten Angriffe des Klägers unberechtigt seien, da der übermittelte „Consent String“ somit den gesetzlichen Vorgaben genüge. Außerdem befinde sich bereits auf der ersten Ebene die explizite Angabe „Unter Einstellungen können Sie Ihre Einstellungen ändern oder die Datenverarbeitung ablehnen“.

II. Die Entscheidung: Ablehnungsmöglichkeit erst auf zweiter Ebene ist nicht ausreichend!

In seinem Urteil vom 29.11.2022 hat das LG München I (Az.: 33 O 14776/19) der Klage stattgegeben. Indem die Beklagte veranlasse, dass Cookies auf dem Endgerät des Nutzers gespeichert und zum Tracking des Nutzers verwendet werden, ohne dass eine wirksame Einwilligung des Betroffenen eingeholt werde, verstoße sie gegen § 25 TTDSG.

Kostenfreies Bewertungssystem SHOPVOTE

1. Unwirksame Einwilligung

Nach § 25 TTDSG ist jede Speicherung von Informationen in Endeinrichtungen des Nutzers oder der Zugriff auf bereits gespeicherte Informationen nur mit einer Einwilligung zulässig. Diese wiederum muss auf Grundlage einer klaren und umfassenden Information erfolgt sein.

Der Begriff der Endeinrichtung iSd. §25 TTDSG knüpft an die Verarbeitungssituation an. Es muss sich folglich um Informationen aus dem Herrschaftsbereich des Endnutzers (natürliche Person) handeln. Im vorliegenden Fall werden im Speicher der Endgeräte Cookies abgespeichert, teilweise sogar vor Interaktion mit dem Consent- Management- Tool des Beklagten.

Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Seite wieder abrufen kann, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten abzurufen.

Umstritten bleibt, in welcher Anzahl, zu welchem Zweck und Zeitpunkt derartige Informationen gespeichert werden. Unumstritten steht jedoch fest, dass der TC String, eine codierte Zeichenkette, nach Abfragen der Einwilligung durch die CMP auf dem Rechner des Nutzers als Cookie gespeichert wird. Dabei handle es sich um eine personenbezogene Information, die der domainübergreifenden Nachverfolgung der Nutzer dient, u.a. auch zu Analyse- und Marketingzwecken.

Die Speicherung solcher Cookies im Rahmen des TFC 2.0 Netzwerks erfolge mit keiner wirksamen Einwilligung der Endnutzer. Insbesondere sei die Information des Endnutzers und die Einwilligung nicht gemäß der Verordnung (EU) 2016/679 erfolgt, § 25 Abs. 1 S. 2 TTDSG.

2. Voraussetzungen für eine wirksame Einwilligung

Im Rahmen der Anforderungen an eine wirksame Einwilligung verweise § 25 Abs. 1 S. 2 TTDSG sowohl bezüglich der Informationspflichten als auch der formalen und inhaltlichen Anforderungen an eine Einwilligung auf die DSGVO.

Demnach sei eine Einwilligung iSd. Art. 4 Nr. 11 DSGVO

"jede freiwillig, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."

Die vorliegend von der Beklagten eingeholte Einwilligung beruhe jedoch gerade nicht auf einer freiwilligen Entscheidung.

"Als freiwillig kann die Einwilligung nur dann betrachtet werden, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, d.h. auch ohne Nachteile auf die Erteilung der Einwilligung verzichten kann […]. Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall.“ (BayLDA; Stellungnahme vom 09.09.2022, S.9ff., Bl.654ff.d.A.)."

Auf der ersten Seite der CMP, die die Nutzung der Webseite bis zur Einwilligungserteilung durch teilweises Verdecken der Inhalte verhindert, kann lediglich eine Einwilligung in vollem Umfang erteilt werden oder durch das Betätigen der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden.

Dabei ist die Schaltfläche „Akzeptieren“ durch eine blaue Markierung besonders hervorgehoben. Für den Nutzer ist es also offensichtlich, dass dessen Betätigung die schnellste Möglichkeit darstelle, die Webseite zu nutzen.

Bereits der Umstand, dass die Besucher die Webseite nicht ohne weitere Interaktion mit der CMP nutzen können, spreche gegen eine freiwillige Entscheidung.

Zudem sei auf der ersten Ebene nur aus einem Fließtext erkennbar, dass die Einwilligung auch abgelehnt werden könne. Ob dies mit Nachteilen oder Mehraufwand verbunden ist könne der Nutzer nicht erkennen. Da die Verweigerung jedoch erst auf einer zweiten Ebene möglich ist, sei ein Mehraufwand in jedem Fall gegeben. Dieser sei zwar verhältnismäßig gering, aber angesichts der im Internet üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzer nicht unerheblich.

3. Erschweren der Einwilligungsverweigerung durch Irreführen des Nutzers

Des Weiteren führte das Gericht aus, dass auf der zweiten Ebene der CMP die Vielzahl der Einstellungsmöglichkeiten zu einer weiteren Erschwerung der Einwilligungsverweigerung beitrügen.

Die Schaltfläche „Alles akzeptieren“ würde hierbei wieder aufgrund der farblichen Gestaltung sowie ihrer Positionierung hervorgehoben, während die Schaltfläche „Alles ablehnen“ in Größe und Gestaltung sehr unauffällig gehalten sei.

Eine sachliche Rechtfertigung für die unterschiedliche Behandlung der zwei Auswahlmöglichkeiten liege nicht vor. Es sei deshalb davon auszugehen, dass durch diese Anordnung das Wahlrecht der Webseitenbesucher beeinflusst werden solle.

Hierfür sei auch unerheblich, dass die Beklagte die CMP als Teil des TFC 2.0 einsetze und behaupte diesbezüglich keine Gestaltungsmöglichkeit zu haben. Nach Auffassung des Gerichts sei sie selbst dafür verantwortlich, eine freiwillige und damit wirksame Einwilligung einzuholen.

4. Einwilligung nicht entbehrlich

Die Einwilligung ist auch nicht nach § 25 Abs. 2 TTDSG entbehrlich.

„Unbedingt erforderlich“ iSd. § 25 Abs. 2 TTDSG sei nur, was technisch notwendig ist (vgl. BT-Drs. 19/27441,38). Maßgeblich sei der Verwendungszweck oder Dienst, der gegenüber dem Nutzer erbracht werden solle (MAH GewRS, § 27 Rn.131).

Insbesondere sei gerade die Speicherung oder der Zugriff auf Informationen nicht unbedingt erforderlich, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen könne, § 25 Abs. 2 Nr.2 TTDSG.

Die hier verwendeten Cookies, die der domainübergreifenden Nachverfolgung zu Analyse- und Marketingzwecken dienen, seien für den Betrieb eines Nachrichtenportals nicht technisch unbedingt erforderlich.

Dies entspreche auch der Rechtslage zu § 15 Abs. 3 1 TMG, zu dem der BGH bereits in richtlinienkonformer Auslegung festgestellt habe, dass eine Zustimmung jedenfalls bei Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung erforderlich sei.

Der Umstand, dass die Datenspeicherung der Finanzierung des Angebots diene und iRd. TCF 2.0 vorgegeben sei, könne hierfür nicht genügen. Es handle sich hierbei um lediglich subjektive Interessen der Beklagten.

Zudem sei die Vorschrift als Ausnahme vom Grundsatz zur Einwilligungsbedürftigkeit nach allgemeinen Grundsätzen eng auszulegen.

Mandantenvergünstigungen für Cookie-Consent-Tools im Überblick:

Mandanten der IT-Recht Kanzlei können diverse Cookie-Consent-Tools in plattformunabhängigen Varianten oder für bestimmte Hosting-Umgebungen entweder gänzlich kostenlos oder stark vergünstigt beziehen. Dieser Beitrag stellt eine Übersicht über die einzelnen Tools, deren Eigenschaften und über die jeweiligen Sonderkonditionen bereit.

Und noch ein Lesetipp: Cookie-Consent-Tools für Shopsysteme im Test - welche Tools genügen den rechtlichen Anforderungen?

III. Entscheidung bezüglich weitergehender Klageanträge

Weitergehende Klageanträge des Klägers lehnte das Gericht ab. Weitere Verstöße gegen § 25 TTDSG durch die unterschiedlichen von der Beklagten verwendeten Technologien lägen nicht vor. Dafür fehle es an einem substantiierten Vortrag zu entsprechenden Verletzungshandlungen bzw. unterfielen die behaupteten Verstöße nicht dem Klageantrag.

IV. „Google Analytics“- Cookies und „Google AMP Client ID“

Der Kläger beanstandete unter anderem ausdrücklich den Einsatz von „Google Analytics“-Cookies. Dies bestritt die Klägerin jedoch substantiiert und trug vor, sie verwende diese nur in reduzierter Form. Auch der Einsatz des Plug-Ins „linkid.js“ diene nur zur optimierten Linkzuordnung innerhalb der Domain und ermögliche somit kein domainübergreifendes Tracking.

Die Kammer geht zwar auch bei dem Einsatz der oben beschriebenen Cookies von einem Verstoß gegen § 25 TTDSG aus, da auch hierfür eine Speicherung auf dem Endgerät des Nutzers ohne Einwilligung genüge. Allerdings könne sie auf Grundlage des Parteivortrags und der Beweisangebote nicht sicher feststellen, dass die Cookies tatsächlich iSd. Klageantrags der domainübergreifenden Aufzeichnung und Auswertung des Nutzerverhaltens zu Analyse- und Marketingzwecken dienten.

Entsprechendes gelte auch für den vom Kläger behaupteten Einsatz des Tracking- Programmcodes „Google AMP Client ID“ mit dem Zweck eines domainübergreifenden Trackings.

V. Unzureichende Information über Datennutzung und Vereinbarung mit Drittanbietern

Weitere Anträge, die Beklagte aufgrund nicht hinreichender Informationen (präzise, transparent, verständlich und leicht zugänglich) über die beabsichtige Datennutzung und ihre Vereinbarungen mit Drittanbietern zu verurteilen, lehnte das Gericht ab. Entsprechende Informationspflichten ergäben sich einzig aus Art. 12 DSGVO. Der Kläger stütze seine Anträge jedoch ausschließlich auf das TTDSG, sodass die Klage mangels Anspruchsgrundlage nach diesem insoweit abzuweisen war.

VI. Fazit

Cookie-Banner, die eine Einwilligungsverweigerung erst auf zweiter Ebene ermöglichen sind unzulässig. Dem Nutzer muss die Möglichkeit gegeben werden, seine Einwilligung ohne Nachteile oder Mehraufwand verweigern zu können. Nur wenn eine tatsächliche Wahlmöglichkeit besteht, kann die erteilte Einwilligung als freiwillig und somit als wirksam angesehen werden.

Zudem sollten Sie als Website-Betreiber stets darauf achten, dass die farbliche Gestaltung und Positionierung der Optionen „Akzeptieren“ und „Ablehnen“ nicht zu weit auseinanderfällt und Sie die Einwilligungsverweigerung aufgrund von vielen Auswahlmöglichkeiten nicht (unabsichtlich) erschweren. Dies könnte Ihnen sonst negativ ausgelegt werden.

Möchten Sie mehr zum Thema Cookie-Banner erfahren? Wir haben eine Reihe interessanter Online-Beiträge veröffentlicht, lesen Sie dort gerne mehr zum Thema Cookies und Cookie-Banner:

Unser Tipp: Eine Lösung, um die Einwilligung in das Setzen von Cookies wirksam einzuholen, bieten Ihnen unsere Kooperationspartner für professionelle Cookie-Consent-Tools! Die Lösungen für Cookie-Consent-Tools sind in allen Schutzpaketen der IT-Recht Kanzlei bereits enthalten!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht?
(19.03.2024, 15:55 Uhr)
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht?
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
(24.05.2023, 22:35 Uhr)
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
Für Mandanten weiterhin kostenlos: Neue Cookie-Consent-Lösung von PRIVE
(10.01.2023, 20:18 Uhr)
Für Mandanten weiterhin kostenlos: Neue Cookie-Consent-Lösung von PRIVE
Cookie-Banner adé? Kommt eine zentrale Einwilligungsverwaltung für Cookies?
(12.12.2022, 09:13 Uhr)
Cookie-Banner adé? Kommt eine zentrale Einwilligungsverwaltung für Cookies?
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei