23.12.2022Fachbeitrag

Update Datenschutz Nr. 128

Aktuelle Rechtslage zum Einsatz von Trackingtools auf Websites

Die heutzutage üblich verwendeten Cookie-Banner auf Websites stehen auf der Kippe. Cookie-Banner werden auf Websites genutzt, um die erforderlichen Einwilligungen nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) oder der Datenschutz-Grundverordnung (DSGVO) einzuholen. Nun entschied jedoch das Landgericht München I, dass der Cookie-Banner auf Focus-Online, der aus Sicht des Betreibers marktüblich ist, gegen das TTDSG verstößt und somit unzulässig ist (Az.: 33 O14776/19). Im Lichte dieser möglicherweise wegweisenden Entscheidung ist unklar, ob die mittlerweile geläufige Praxis eine Nutzung der (Verlags-)Website von der Zustimmung zu den Cookies abhängig zu machen und im Falle der Verweigerung den Abschluss eines Abonnements für die Nutzung zu verlangen, rechtskonform ist. Wie Unternehmen nun handeln sollten, findet sich am Ende dieses Datenschutz Updates.

A. Hintergründe

Die meisten Websites tracken die Nutzer durch z. B. Cookies. Cookies sind kleine Textdateien, die im Browser mittels einer charakteristischen Zeichenfolge gespeichert werden und der das Cookie setzenden Stelle nutzerbezogene Informationen zufließen lässt. Diese können einerseits website-eigene als auch Drittanbieter-Cookies (z. B. Google Analytics) sein. Einerseits können diese erforderlich sein, um die technischen Funktionen der Website zu gewährleisten. Für technisch unbedingt notwendige Cookies besteht kein Einwilligungserfordernis (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 Nr. 2 TTDSG). Andererseits werden auch nicht technisch erforderliche Cookies eingesetzt, um die Nutzerfreundlichkeit zu verbessern, zu werben oder die Interaktivität der Website zu verbessern. Diese bedürfen grundsätzlich einer Einwilligung (§ 25 Abs. 1 S. 1 TTDSG). Für die Einholung der Einwilligung des jeweiligen Nutzers werden regelmäßig Cookie-Banner genutzt. Doch dies genügt häufig nicht den Anforderungen an die Rechtskonformität.

Mit besonderem Nachdruck weisen die Datenschutzaufsichtsbehörden auf das Erfordernis einer ausdrücklichen Einwilligung des betroffenen Nutzers hin:

  • Der Berliner Beauftragte für Datenschutz und Informationssicherheit bemängelt, dass eine Einwilligung mittels Cookie-Banner regelmäßig nicht den Anforderungen an die freiwillige und informierte Zustimmung des Nutzers entspricht; insbesondere dann, wenn Einwilligungsabfragen in unvollständige oder missverständliche Angaben und Beschriftungen eingebettet sind. Denn es müsse für Nutzer ebenso einfach sein, Tracking abzulehnen, wie darin einzuwilligen (LfDI Berlin, Pressemitteilung v. 9. August 2021).
  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geht noch einen Schritt weiter und erachtet Cookie-Banner als ungenügend für eine datenschutzkonforme Einwilligungserklärung (BfDI, Pressemitteilung v. 14. November 2019).
  • Auch die belgische Datenschutzbehörde stuft den heute führenden Standard für Cookie-Banner als unzulässig ein (Belgische Datenschutzbehörde, 2. Februar 2022).
  • Ähnlich urteilte auch das Landgericht Rostock, welches die voreingestellte Einwilligung (sog. Opt-Out) als unzureichend für eine wirksame Einwilligung erachtet (Landgericht Rostock, 11. August 2020).

B. Die Entscheidung des LG München

Auch bei Websites von Zeitungs-Verlagen ist die Nutzung von Cookie-Bannern zur Einwilligungsabfrage üblich. Bereits 2020 kündigte eine Vielzahl von Aufsichtsbehörden eine länderübergreifende Prüfung von Tracking-Technologien auf Websites von Zeitungs-Verlagen an (LfDI Baden-Württemberg, 19. August 2020). Parallel strengte die Verbraucherzentrale Bundesverband (VZBV) eine Reihe von gerichtlichen Verfahren über die Frage der Zulässigkeit von Cookie-Bannern auf Websites an.

Erstmals entschied Ende November das Landgericht München I als erstinstanzliches Gericht in einem solchen Verfahren (Az.: 33 O14776/19), was erst am 19. Dezember 2022 veröffentlicht wurde: Der auf FocusOnline verwendete Cookie-Banner verstößt gegen das TTDSG. Sofern eine deutliche und andere Gestaltung der Zustimmung im Cookie-Banner fehle, sind domainübergreifende Aufzeichnungen des Nutzerverhaltens zu Analyse- und Marketingzwecke unzulässig.

Insbesondere bemängelte der VZBV gegenüber Burda das „zweistufige“ Vorgehen: Es öffnet sich zunächst ein Pop-Up-Fenster, das entweder eine Zustimmung zur Cookie-Sammlung ermöglicht oder aber detailliertere Einstellungen zulässt. Zudem warf der VZBV Burda vor, trotz Verweigerung der Einwilligung durch die Nutzer auf der ersten Ebene, personenbezogene Daten zu sammeln.

I. Freiwilligkeit der Einwilligung

Im Einzelnen führte das Landgericht München I aus, dass der verfahrensgegenständliche 141 Seiten umfassende Cookie-Banner nicht geeignet ist, eine informierte und freiwillige Einwilligung der Nutzer einzuholen. Zum einen sei der gegenständliche Cookie-Banner viel zu umfangreich. Ein durchschnittlicher Verbraucher würdigt entsprechend lange Dokumente nicht in dem Maße, als dass von einer freiwilligen Einwilligung ausgegangen werden können. Das Gericht führt aus, dass eine freiwillige Einwilligung nur dann vorliege, wenn der Nutzer tatsächlich eine Wahlmöglichkeit hat. Eine Wahlmöglichkeit besteht jedoch nur dann, wenn ohne Nachteile auf die Erteilung der Einwilligung verzichtet werden kann. Angesichts der Schnelligkeit im Internet und des gegenständlichen 141 Seiten umfassenden Cookie-Banners erfahre der Nutzer erhebliche Nachteile, sollte er die Einwilligung verweigern wollen. Dies verstärke sich nach Ansicht des Gerichts durch den Einsatz sog. Dark Patterns, bei dem die Schaltfläche „Akzeptieren“ farblich in den Vordergrund gerückt wird. Für den Nutzer ist dies die offensichtlich schnellste Möglichkeit, die Website zu nutzen. Die Argumentation von Burda, dass solche Cookie-Banner marktüblich seien und Verbraucher wüssten, worauf sie sich einließen ohne alle Seiten des Cookie-Banners tatsächlich zur Kenntnis nehmen zu müssen, wies das Gericht zurück.

Zum anderen greift nach Sicht des Gerichts die Erwiderung von Burda, der verwendete Cookie-Banner orientiere sich an dem den gesetzlichen Vorgaben genügenden Transparency and Consent Framework TCF der Werbeorganisation IAB Europe, nicht durch. Bereits im Februar erklärte die belgische Datenschutzbehörde den TCF für unzulässig (Belgische Datenschutzbehörde, 2. Februar 2022). Ähnlich entschied auch nun das Landgericht München I: Mit TCF, durch welchen die Zustimmung von Nutzern per einzelnem Klick an mehrere hundert Drittparteien weitergegeben wird, werden personenbezogene Informationen erhoben, da mittels Übertragung der IP-Adresse eine Identifizierung möglich sei.

Die erforderliche ausdrückliche Einwilligung kann nach Sicht des Gerichts nicht durch den von Burda verwendeten Cookie-Banner eingeholt werden.

II. Kein berechtigtes Interesse als Ausnahme vom Einwilligungserfordernis

Auch besteht nach Ansicht des Gerichts keine Ausnahme vom Einwilligungserfordernis. Auch wenn Verlage beklagen, ohne Datenverarbeitung sei die Refinanzierung journalistischer Inhalte kaum möglich, handele es sich um rein subjektive Interessen. Dies ist jedoch nicht von den Ausnahmen des § 25 Abs. 2 TTDSG erfasst: Cookies, die der domainübergreifenden Nachverfolgung zu Analyse- und Marketingzwecken dienen, sind nicht für den Betrieb eines Nachrichtenportals technisch unbedingt erforderlich.

C. Empfohlene Handlungsmaßnahmen

Noch ist die Entscheidung es Landgericht München I nicht rechtskräftig. Burda hat angekündigt, Rechtsmittel gegen das Urteil einzulegen. Trotz der Chance in der zweiten Instanz die Entscheidung des Landgericht München I erfolgreich anzugreifen, besteht ein dringendes Bedürfnis nach einer zweifellos rechtskonformen Gestaltung von Cookie-Bannern für Unternehmen. Bei Verstößen drohen Bußgeldverfahren.

Folgende Maßnahmen empfehlen wir, um die Einwilligungsabfrage auf Websites durch Unternehmen rechtskonform auszugestalten:

(1) Vorab: Die Verwendung von Standards aus der Praxis, wie das TCF, können nicht bedenkenlos verwendet werden und sollten darum auch nicht verwendet werden;

(2) Prüfung, ob die Nutzung der verwendeten Cookies einer Einwilligung bedarf. Ausnahmen existieren nach § 25 Abs. 2 TTDSG:

  • Ist eine Einwilligung nicht erforderlich, bedarf es lediglich einer Beschreibung der konkreten Verarbeitung durch die verwendeten Tools in den Datenschutzhinweisen.
  • Beim Einsatz technisch nicht erforderlicher Cookies ist dagegen grundsätzlich eine Einwilligung erforderlich.
(3) Sofern eine Einwilligung erforderlich ist, sind insbesondere folgende Erfordernisse zu beachten:
  • Keine Datenweitergabe vor Einwilligung: Technisch sicherstellen, dass während der Cookie-Banner angezeigt wird, kein weiterführendes Tracking ausgeführt wird und keine nicht notwendige Cookies im Browser des Nutzers abgelegt werden;
  • Keine Einschränkung des Zugriffs auf Impressum und Datenschutzerklärung durch Cookie-Banner;
  • Kein Opt-Out der Einwilligungsabfrage; es muss ein Opt-In-Verfahren verwendet werden, die Einwilligung muss also aktiv erklärt (auf der Website das entsprechende Kästchen angeklickt) werden;
  • Keine farbliche Hervorhebung (sog. Dark Patterns) der Schaltfläche „Akzeptieren“;
  • Ablehnung muss genauso einfach zugänglich und mit so wenig Aufwand möglich sein wie das Akzeptieren des Cookie-Banners sein;
  • Normales Nutzerverhalten, wie das Weiterscrollen, darf nicht als Einwilligung interpretiert werden;
  • In der Datenschutzerklärung ist umfassende Transparenz hinsichtlich der Zwecke der Verarbeitung zu wahren, es muss also ein eigenes Kapitel zu jedem eingesetzten Tool enthalten sein;
  • Deutliche, klar abgrenzbare und verständliche Formulierung. So können auch lange Cookie-Dokumente rechtskonform sein; angesichts des Urteils des Landgericht München I ist jedoch eine Reduktion der Informationen im Cookie-Banner auf das notwendige Mindestmaß an Transparenz und Information vorzunehmen. 
  • Hinweis auf Widerrufsmöglichkeit. Die Erklärung muss ebenso einfach sein wie die Einwilligungserklärung selbst;
  • Prüfung, ob die technische Ausgestaltung des Cookie-Banners mit den Informationen in der Datenschutzerklärung übereinstimmt.

D. Fazit

Die konkrete Ausgestaltung der Einwilligungsabfrage auf Websites hängt im Wesentlichen von den Einzelumständen ab, insbesondere der Auswahl an eingesetzten Trackingtools. Für eine angemessene und einzelfallspezifische Beratung haben wir ein Konzept zur Website-Compliance entwickelt, welche zum einen eine einzelfallspezifische Prüfung der Website, eine Ermittlung der eingesetzten (Tracking) Tools und insbesondere die Prüfung der Rechtskonformität des Einsatzes ebendieser Tools (z. B. Google Analytics) beinhaltet. Sprechen Sie uns hierauf gern an. Offen bleibt nach obigem Urteil die Frage, ob die derzeitige Vorgehensweise der großen Verlage zulässig ist, den Nutzer zwingend entscheiden zu lassen zwischen einer generellen Einwilligung zum Einsatz von Trackingtools und dem Abschluss eines gesonderten Abonnements. Zumindest jedoch im Hinblick auf die Ausgestaltung des diesbezüglichen Cookie-Banners liegt nun eine erstinstanzliche Gerichtsentscheidung vor, so dass Betreiber derartiger Plattformen mit Abo-Service reagieren müssen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.