In seinem Urteil vom 29. November 2022 hat das Landgericht München I (Az.: 33 O 14776/19) festgestellt, dass das Cookie-Banner der Internetseite von focus.de nicht den rechtlichen Anforderungen entspricht und die weitere Nutzung untersagt. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv). Was das Urteil für Betreiber von Internetseiten konkret bedeutet, lesen Sie im nachfolgenden Beitrag.
Zum Sachverhalt
Zur Verwaltung der Nutzerpräferenzen hinsichtlich datenschutzrechtlicher Einwilligungen, setzt der Betreiber der Internetseite focus.de ein sogenanntes Consent-Management-System (Cookie-Banner) nach Branchenstandard („Transparency & Consent Framework (TCF) 2.0“ des Interactive Advertising Bureau (IBA)) ein. Über dieses haben die Nutzenden der Internetseite die Möglichkeit, ihre Einwilligung hinsichtlich verschiedenster Drittanbieter, beispielsweise Publishern, Werbungstreibenden, Vermarktern, Agenturen und den jeweiligen Technologiepartnern, zu verwalten. Auf der ersten Ebene war es den Nutzenden jedoch ausschließlich möglich, die optionalen Datenverarbeitungen vollumfänglich zu akzeptieren oder diese im Rahmen der weiteren Einstellungsmöglichkeiten einzeln ab- bzw. zuzuwählen.
Die Vornahme der Einstellungsmöglichkeiten verteilte sich vorliegend auf insgesamt 500 Einzelansichten, wobei für mehr als ein Dutzend Anbieter die jeweilige Einwilligung bereits vorausgewählt gewesen sei, so der vzbv. Zwar war es den Nutzenden auf der zweiten Ebene möglich alle optionalen Datenverarbeitungen abzulehnen, jedoch trat diese Schaltfläche aufgrund der grafischen Gestaltung gegenüber den weiteren Schaltflächen deutlich in den Hintergrund. Bemängelt wurde weiterhin die fehlende Transparenz der Datenverarbeitung entsprechend der Regelungen des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) sowie der Datenschutz-Grundverordnung (DS-GVO).
Zweifel an der Freiwilligkeit
Das Gericht setzte sich im Rahmen der Entscheidung mit verschiedenen Aspekten hinsichtlich des Cookie-Banners auseinander. Dabei kam es unter anderem zu dem Ergebnis, dass das vorliegende Cookie-Banner keine wirksame Einwilligung der Nutzenden gewährleisten könne.
Die Einwilligung könne insbesondere bereits nicht als freiwillig angesehen werden, da den Nutzenden erst auf der zweiten Ebene die Möglichkeit zur Verfügung steht, sämtliche optionalen Datenverarbeitungen abzulehnen. Insofern würde den Nutzenden im Gegensatz zur allumfassenden Einwilligung hiermit ein Mehraufwand entstehen, welcher insbesondere aufgrund der im Internet üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzenden als nicht unerheblich anzusehen sei. Weiterhin wäre es den Nutzenden erst durch genaue Betrachtung des Fließtextes ersichtlich, dass überhaupt ein umfassendes Ablehnen sämtlicher optionaler Datenverarbeitungen möglich ist.
Die aufgeführte Darstellung des Gerichts ist aus Fairnessgründen zu begrüßen, wobei die hervorgebrachte Begründung juristisch jedoch zu überraschen vermag: Eine Einwilligung nach TTDSG ist an den Anforderungen der DS-GVO auszurichten. Vorliegend ergeben sich die Bedingungen an eine wirksame Einwilligung aus Art. 7 DS-GVO sowie den hierzu einschlägigen Erwägungsgründen. Hieraus lassen sich sich zunächst keine konkreten Vorgaben dahingehend ableiten, dass die Verweigerung einer Einwilligung mit dem gleichen Aufwand wie die Erteilung einer Einwilligung verbunden sein muss – auch wenn dies seitens der hiesigen Aufsichtsbehörden gern in dieser Form vertreten wird. Auch erscheint es fraglich, wie das Gericht vorliegend die kognitiven Fähigkeiten von Nutzenden des Internets darstellt.
Verantwortliche sind unter den genannten Gesichtspunkten auf der sicheren Seite, wenn das Consent-Management-System bereits auf der ersten Seite eine echte Wahl zwischen Zustimmung und Ablehnung bereithält und die Schaltflächen hinsichtlich Form und Farbe gleichberechtigt dargestellt werden.
Ausführungen zur technischen Erforderlichkeit
Ferner stellt das Gericht deckungsgleich zu den Auffassungen der Aufsichtsbehörden dar, dass das Vorliegen einer technischen Erforderlichkeit, an der von den Nutzenden ausdrücklich gewünschten Funktionen eines Telemediendienstes auszurichten ist. Dementsprechend liege nach Auffassung des Gerichts einer solcher Wunsche hinsichtlich Cookies zu Analyse- und Marketingzwecken bei dem Besuch eines Nachrichtenportals nicht vor. Auch wenn der Betreiber der Internetseite hiermit eine Finanzierung des Angebots verfolgt, handele es sich damit ausschließlich um subjektive Interessen, auf die er sich vorliegend nicht stützen könne.
Fazit
Zunächst ist darauf hinzuweisen, dass die Entscheidung noch nicht rechtskräftig ist und der Betreiber der Internetseite gegen die Entscheidung des Gerichts Rechtsmittel eingelegt hat. Mit Spannung kann demnach einerseits die Entscheidung, aber insbesondere auch die Begründung der nächsten Instanz erwartet werden. Für Betreiber von Internetseiten zeigt sich aber bereits jetzt: Eine detaillierte Auseinandersetzung mit den unterschiedlichen rechtlichen Anforderungen aus dem TTDSG und der DS-GVO ist in jedem Fall erforderlich. Ein Verweis auf geltende Branchenstandards stellt nicht in jedem Fall eine rechtssichere Umsetzung dar.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.