So gut wie jede Internetseite erfordert bei ihrem Aufruf zunächst ein – mehr oder weniger umständliches – Prozedere, um die Einwilligung in (Werbe-)Cookie zu erteilen oder zu verweigern.
Obwohl spätestens seit dem Planet49-Urteil des EuGH[1] klar ist, dass Werbecookie-Einwilligungen als ausdrückliches Opt-In ausgestaltet werden müssen, wurde diese Anforderung von zahlreichen Website-Betreibern noch nicht angemessen umgesetzt. Auf vielen Seiten wird nach wie vor lediglich mitgeteilt, dass die weitere Nutzung eine Einwilligung impliziere; meist fehlt sogar ein Hinweis auf ein mögliches Opt-Out. Der EuGH hatte im Oktober 2019 klargestellt, dass der Begriff der Einwilligung i.S.d. DSGVO ein aktives Verhalten fordere, was bei einem vorausgewählten Häkchen (trotz des anschließend zu betätigenden Bestätigungs-Buttons) verneint wurde.[2]
Die bloße weitere Nutzung der Seite kann demnach erst recht keine ausreichende Einwilligung im Sinne der Verordnung darstellen.
Schrems-Team geht gegen Opt-Out-Banner vor
Die Datenschutzaktivisten von noyb – Europäisches Zentrum für digitale Rechte hat kürzlich mit mehr als 500 Beschwerden wegen rechtswidriger Cookie-Banner die „größte Beschwerdewelle seit dem Inkrafttreten der DSGVO vor drei Jahren“ gestartet.[3] Die Gruppe um Max Schrems, der kontinuierlich gegen den (mindestens) zweifelhaften Umgang mit Nutzerdaten seitens Facebook kämpft, kritisiert die „Klick-Labyrinthe“, die Nutzerinnen und Nutzern eine – weder als informiert noch als tatsächlich freiwillig anzusehende – Einwilligungen abnötigen. Um dagegen vorzugehen, habe noyb ein System entwickelt, das automatisch verschiedene Arten von Verstößen aufdecken und eine entsprechende DSGVO-Beschwerde generieren könne, die dem jeweiligen Unternehmen zusammen mit einer Anleitung zur Behebung des Verstoßes zugesandt werden kann. Bleibt der Adressat untätig, leitet noyb die Beschwerde an die zuständige Behörde weiter, die ein hohes Bußgeld verhängen kann.
Neben „Dark Patterns“ und umständlich strukturierten Datenschutzoptionen betrifft dies auch solche Banner, die überhaupt keine Aktion der Nutzerin oder des Nutzers erfordern und dennoch eine Einwilligung durch die weitere Nutzung der Seite behaupten.
LG Köln gibt Datenschützern Recht
Mitte April hatte zuletzt das LG Köln über die Zulässigkeit eines solchen Banners zu entscheiden.[4] Bei Aufruf der Webseite der Antragsgegnerin erschien ein Hinweis mit der Formulierung „Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu“. Das Gericht befand, dass dieser Banner den Anforderungen des § 15 Abs. 3 TMG nicht genüge, da die Erstellung von Nutzerprofilen zum Zweck der zielgerichteten Werbung eine ausdrückliche Einwilligung erfordere, die hier gerade nicht – insbesondere nicht konkludent durch die weitere Nutzung der Seite – gegeben sei.[5]
Dem Gericht dürfte nach der eigentlich klaren Gesetzeslage und der einschlägigen Rechtsprechung (unter anderem) des EuGH keine andere Möglichkeit geblieben sein, als die Rechtswidrigkeit derartiger Formulierungen festzustellen.
Fazit
Der Cookie-Banner-Dschungel ist für Nutzerinnen und Nutzer nicht nur ein lästiges Übel. Tatsächlich genügt ein großer Teil der Banner nicht den Anforderungen, die die DSGVO, konkretisiert durch verschiedene Entscheidungen des EuGH, an sie stellt. Ob nun verschachtelte, komplizierte Darstellungen, die „Hintertür“ über das „Berechtigte Interesse“ oder das völlige Fehlen einer Auswahlmöglichkeit: Nur, weil diese Arten von Cookie-Bannern auf unzähligen Seiten anzutreffen sind, erlaubt sich aus diesem Umstand keinesfalls die Annahme, sie seien akzeptabel oder gar rechtssicher. Die Anpassung über verschiedene Plugins ist auch für Webseiten-Betreiber ohne gesonderte technische oder rechtliche Expertise gut umsetzbar und eine DSGVO-konforme Ausgestaltung – Alle Cookies akzeptieren, nur technisch notwendige Cookies akzeptieren oder eine individuelle Auswahl treffen – ist kein Hexenwerk.
Die Frage ist somit weniger, ob eine rechtmäßige Gestaltung möglich ist. Den – zu Recht – genervten Nutzerinnen und Nutzern zu suggerieren, der komplizierte und intransparente Prozess sei gesetzlich vorgeschrieben, ist sowohl unzutreffend als auch unehrlich: Ein simpler ordnungsgemäßer Cookie-Hinweis ist sehr wohl möglich. Vielmehr fragt sich, ob die Anbieter einen solchen überhaupt wollen: Schließlich führt die Verwirrung und Frustration zu deutlich höheren Einwilligungsraten als tatsächlich mit einer (wirklich) informierten und freiwilligen Zustimmung zu erreichen wären.[6] Das jedoch kann keinesfalls eine ausreichende Rechtfertigung für DSGVO-widrige Banner sein.
[1] EuGH. Urt. v. 01.10.2019 – C-673/17.
[2] Vgl. ausführlich Büttel, Planet49-Urteil des Eugh: Das Aus für Tracking-Cookies?, BayWiDI Blog, 20.10.2019.
[3] Vgl. noyb, noyb setzt dem Cookie-Banner-Wahnsinn ein Ende, noyb.eu, 31.05.2021, dort auch zum Folgenden.
[4] LG Köln, Beschl. v. 13.04.2021 – 31 O 36/21, n.v.
[5] Vgl. LG Köln: Cookie-Banner „Durch die weitere Nutzung der Webseite stimmen Sie… zu“ ist rechtswidrig, Kanzlei Dr. Bahr.
[6] Vgl. noyb, noyb setzt dem Cookie-Banner-Wahnsinn ein Ende, noyb.eu, 31.05.2021.
Sämtliche Links wurden zuletzt am 06.06.2021 abgerufen.