Update Datenschutz Nr. 93
Aktuelle Handlungsempfehlungen zur Ausgestaltung von Cookie-Bannern
Der datenschutzkonforme Einsatz von einwilligungsbedürftigen Cookies stellt Webseiten-Betreiber seit geraumer Zeit vor große Herausforderungen. Anknüpfend an das Urteil des EuGH in der Sache „Planet 49“ haben viele Betreiber die von ihnen verwendeten Cookie-Banner angepasst. Sie stehen hierbei aber vor der Schwierigkeit, die Cookie-Banner so auszugestalten, dass sie eine hohe Zustimmungsrate der Nutzer begünstigen, gleichzeitig aber weiterhin rechtskonform sind. Eine aktuelle Handreichung der Landesbeauftragten für Datenschutz in Niedersachen sowie ein Urteil des LG Rostock enthalten nunmehr Hinweise zur Ausgestaltung von Cookie-Bannern.
Hintergrund
Mit seinem Urteil vom 1. Oktober 2019 (Az. C-673/17, „Planet 49“) hat der EuGH klargestellt, dass Voraussetzung für eine wirksame Einwilligung in den Einsatz von einwilligungsbedürftigen Cookies eine eindeutige bestätigende – d. h. aktive – Handlung (Opt-In) ist. Die Verwendung eines Opt-Outs in Form von bereits voreingestellten Checkboxen ist daher unzulässig. Das gleiche gilt für „Einwilligungserklärungen“, wonach sich der Nutzer durch bloßes Aufrufen einer Webseite mit dem Einsatz von Cookies einverstanden erklärt. Der BGH bestätigte die Entscheidung des EuGH mit seinem Urteil vom 28. Mai 2020 (Az. I ZR 7/16) auch für Deutschland und stellte insoweit auf eine europarechtskonforme Auslegung des § 15 Abs. 3 TMG ab (siehe dazu auch Update Datenschutz Nr. 76, abrufbar hier).
In der Folge haben viele Webseiten-Betreiber reagiert und die von ihnen verwendeten Cookie-Banner bzw. Consent-Layer (nachfolgend insgesamt als „Cookie-Banner“ bezeichnet) zur Einholung der erforderlichen Einwilligungen angepasst oder ersetzt. Insgesamt sind dabei eine Vielzahl an unterschiedlichen Ausgestaltungsvarianten entstanden, die sich im Hinblick auf die Farbwahl, die Schriftgröße, Struktur und Detailgrad teilweise erheblich unterscheiden. Oftmals sind die Cookie-Banner so ausgestaltet, dass die Nutzer zur Erteilung ihrer Einwilligung verleitet werden sollen (sog. Nudging). Beispielhaft sind hier etwa Cookie-Banner zu nennen, bei denen der Nutzer auf der ersten Ebene sämtliche einwilligungsbedürftigen Cookies über einen zentralen „Zustimmungs-Button“ direkt aktivieren kann (z. B. in Form eines Buttons mit der Bezeichnung „Alle Cookies aktivieren“), er im Gegenzug allerdings seine Einwilligung nur nach Durchlauf eines mehrstufigen Prozesses verweigern kann. Daneben finden sich regelmäßig Cookie-Banner, die auf der ersten Ebene neben einem zentralen „Zustimmungs-Button“ zwar auch einen zentralen „Verweigerungs-Button“ enthalten (z. B. in Form eines Buttons mit der Bezeichnung „Alle Cookies ablehnen“ oder „nur technisch notwendige Cookies verwenden“), dieser „Verweigerungs-Button“ aber aufgrund unterschiedlicher Farbwahl und Schriftgröße nicht deutlich erkennbar ist oder zumindest hinter dem „Zustimmungs-Button“ zurücksteht.
Konkrete Vorgaben des LG Rostock und der LfDN an die Ausgestaltung von Cookie-Bannern
Das Urteil des LG Rostock vom 15. September 2020 (Az. 3 O 762/19) sowie die aktuelle Handreichung der Landesbeauftragten für Datenschutz in Niedersachsen („LfDN“) mit dem Titel „Datenschutzkonforme Einwilligung auf Webseiten – Anforderungen an Consent-Layer“ aus November 2020 setzen sich beide nunmehr mit der konkreten Ausgestaltung von Cookie-Bannern und den rechtlichen Grenzen des Nudging auseinander.
Gegenstand des Verfahrens vor dem LG Rostock war ein Cookie-Banner mit weißen Hintergrund und grauem Informationstext, in dem über den Einsatz von Cookies aufgeklärt wurde. Am unteren Ende des Cookie-Banners enthalten war ein grün unterlegter „Zustimmungs-Button“ mit der Bezeichnung „Cookies zulassen“. Der „Zustimmungs-Button“ war daher gegenüber dem Informationstext prägnant in grüner Farbe hervorgehoben. Die einwilligungsbedürftigen Cookies waren zudem bereits vorausgewählt. Der Nutzer konnte über einen Button „Details anzeigen“ weitere Informationen zu den Cookies aufrufen und dort die einzelnen Cookies abwählen. Weiterhin war unmittelbar neben dem „Zustimmungs-Button“ ein „Verweigerungs-Button“ mit der Bezeichnung „Nur notwendige Cookies zulassen“ enthalten, mit dem der Nutzer den Einsatz auf nicht-einwilligungsbedürftige technisch notwendige Cookies beschränken konnte. Dieser letztgenannte Button war anders als der „Zustimmungs-Button“ allerdings hellgrau hinterlegt und der dort enthaltene Text in weißer Standardfarbe gehalten. Neben dem Umstand, dass die Vorauswahl der einwilligungsbedürftigen Cookies unzulässig war, kam das LG Rostock in seinem Urteil zu dem Ergebnis, dass die Ausgestaltung des Cookie-Banners nicht rechtskonform sei, da der „Verweigerungs-Button“ gar nicht als anklickbare Schaltfläche erkennbar gewesen sei und aufgrund der Art seiner Gestaltung gegenüber dem „Zustimmungs-Button“ in den Hintergrund trete. Es sei daher nach dem LG Rostock davon auszugehen, dass der „Verweigerungs-Button“ von den Nutzern regelmäßig nicht wahrgenommen werde. Schließlich betonte das Gericht noch, dass der in dem Cookie-Banner enthaltene Informationstext an dieser Bewertung nichts ändere, da dieser nicht darüber aufgeklärt habe, welche Cookies durch welchen der beiden enthaltenen Buttons letztlich „aktiviert“ würden.
Die Ausführungen des LG Rostock decken sich wiederum mit denen der LfDN in der oben genannten Handreichung. Die LfDN betont darin, dass verhaltensmanipulierende Ausgestaltungen zur Unwirksamkeit der Einwilligung führen können, wenngleich die Verwendung von Nudging-Techniken nicht per se unzulässig sein soll. Maßgeblich für die Bewertung ist nach Ansicht der LfDN, ob die „Zustimmen“-Option im Vergleich zur „Ablehnen“-Option durch Farbe, Schrift und sonstige Hervorhebungen auffälliger gestaltet ist. Ein weiterer Faktor sei, ob der Prozess des Ablehnens unnötig kompliziert sei. Beispielhaft wird hier etwa ein Cookie-Banner genannt, bei dem auf der ersten Ebene ein „Verweigerungs-Button“ fehlt und der Nutzer daher zur Ablehnung der einwilligungsbedürftigen Cookies eine zweite Ebene aufrufen, dort ggfs. vorausgewählte Cookies deaktivieren und sodann seine Einstellungen speichern muss. Ebenfalls unzulässig sei nach Ansicht der LfDN, wenn die Cookie-Einstellungen eines Nutzers nicht gespeichert werden und der Nutzer bei jedem Aufruf der Webseite durch wiederholtes Vorschalten des Cookies-Banners zur Abgabe seiner Einwilligung gebracht werden soll. Dies soll jedenfalls dann gelten, wenn auf der erste Ebene kein „Alles ablehnen“- Button enthalten sei.
Fazit und Handlungsempfehlung
Das Urteil des LG Rostock und die Handreichung der LfDN lassen eine erste Tendenz im Hinblick auf die Ausgestaltung von Cookie-Banner erkennen. Gleichzeitig ist festzustellen, dass Betreiber von Webseiten auch weiterhin einen Spielraum bei der Ausgestaltung ihrer Cookie-Banner haben.
Dabei sollten Webseiten-Betreiber darauf achten, dass die Nutzer eine unkomplizierte und erkennbare Möglichkeit haben, eine Einwilligung zu verweigern. Zu diesem Zweck empfiehlt es sich, wenn neben einem „Zustimmungs-Button“, mit dem der Nutzer sämtliche einwilligungsbedürftigen Cookies aktivieren kann, auch ein „Verweigerungs-Button“ enthalten ist, mit der der Nutzer den Einsatz von einwilligungsbedürftigen Cookies ablehnen kann bzw. mit der er den Einsatz der von ihm spezifisch ausgewählten einwilligungsbedürftigen Cookies bestätigen kann. Zugleich sollte der „Verweigerungs-Button“ in Schriftgröße und Farbwahl klar erkennbar und nicht auf einer nachgelagerten Ebene „versteckt“ sein. Aus unserer Sicht ist es in dem Fall auch vertretbar, wenn „Verweigerungs-Button“ und „Zustimmungs-Button“ mit unterschiedlichen Farben hinterlegt werden, solange der „Verweigerungs-Button“ weiterhin klar erkennbar ist.
Ebenfalls sollten Nutzer eine leicht auffindbare Möglichkeit haben, eine erteilte Einwilligung zu widerrufen. Hier bietet sich etwa ein Link mit der Bezeichnung „Cookie-Einstellungen“ im Header oder Footer der Webseite an, über den der Nutzer den Cookie-Banner erneut aufrufen kann und dort seine Einwilligungs-Einstellungen ändern kann. Alternativ kann dieser Link auch in die Datenschutzerklärung integriert werden.
Insgesamt sollten Webseiten-Betreiber somit sorgfältig prüfen, ob ihr aktueller Umgang mit Cookies diesen Vorgaben entspricht. Dies gilt auch für Webseiten-Betreiber, die externe Tools zur Einholung und Verwaltung der von ihnen eingesetzten Cookies verwenden. Anderenfalls besteht das Risiko, dass die Einwilligung unwirksam und damit die gesamte Datenverarbeitung unrechtmäßig ist. Das kann wiederum Maßnahmen der Aufsichtsbehörden, Ansprüche der Betroffenen oder – wie im Falle vor dem LG Rostock – Klagen durch Verbraucherschutzverbände nach sich ziehen. Ebenfalls sollte Webseiten-Betreiber die weiteren Entwicklungen beobachten. So wird etwa aktuell auf Bundesebene diskutiert, ob man den vorgesehenen Entwurf für das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) noch um explizite Vorschriften zur Ausgestaltung von Cookie-Bannern erweitert.