Cookie Banner: keine wirksame Einwilligung, wenn… LG München, 29.11.22

Das LG München hat sich am 29.11.2022 zur Wirksamkeit der Erteilung einer Einwilligung durch Cookie-Banner geäußert.

Das Ergebnis stelle ich gerne vorab zur Verfügung:

Wenn der Besucher der Internetseite auf der ersten Seite des Cookie Banners nur die Möglichkeit hat, entweder alle Cookies zu akzeptieren, oder auf „Einstellungen“ zu klicken, um dann auf einer weiteren Seite eine Vielzahl Einstellungen vornehmen kann oder muss, ist dies keine freiwillige Einwilligung des Seitenbesuchers.

Außerdem fehlt es an einer Einwilligung, wenn der Seitenbetreiber bereits vor der Einwilligung des Besuchers Cookies setzt und damit personenbezogene Daten des Besuchers ohne Erforderlichkeit verarbeitet.

Die Entscheidung ist sehr umfassend. Wichtige Passagen aus dem Urteil habe ich hier eingefügt. Allerdings ist die Lektüre des Urteils für Technik-Affine Webseitenbetreiber oder Dienstleister eine Empfehlung.

Ab Randnummer 118 des Urteils geht es um Google Analyse-Tools und das bestrittene domainübergreifende Tracking. Das Gericht Das Gericht hat die Klage hierzu abgewiesen, weil es an substantiiertem Klägervortrag fehlt.

Sachverhalt

Ein Nachrichtenportal, die Beklagte in diesem Verfahren, stellt den Nutzern die auf ihrer Internetseite vorgehaltenen Inhalte kostenfrei zur Verfügung. Sie finanziert ihr Online-Angebot allein durch Werbung. Die Beklagte nutzt dabei eine Software zur Verwaltung der Nutzerpräferenzen, eine sogenannte Consent Management Platform, kurz CMP. Diese entspricht den Vorgaben eines Branchenstandards mit der Bezeichnung „IAB Transparency and Consent Framework (TCF) 2.0“. Das TCF bietet die technische Infrastruktur für Abfrage und Übermittlung der Nutzereinwilligung zwischen Publishern, Werbungstreibenden, Vermarktern, Agenturen und den jeweiligen Technologiepartnern.

Der Cookie Banner bei Aufruf der Seite bietet folgende Auswahlmöglichkeiten: „Einstellungen“ und „Akzeptieren“. In dem Banner gibt es Hinweise, wofür die Daten des Besuchers genutzt werden.

Die von der Beklagten verwendete CMP ist dabei in mehreren Schichten aufgebaut, in denen verschiedene Dienste in Gruppen zusammengefasst werden. Insgesamt hat der Cookie Banner mehr als 100 einzelne Bildschirmansichten, die dem Besucher die Möglichkeit geben sollen, Auswahlen zu treffen. Einige der Schaltflächen sind bereits schon vorausgewählt, obwohl der Besucher keine Handlung vorgenommen hat.

Entscheidung des LG München

1. Es werden personenbezogene Daten verarbeitet, bereits vor der Besucher überhaupt eine Einwilligung erteilen kann.

So schreibt das Gericht:

„Die Beklagte verstößt vorliegend gegen § 25 TTDSG, indem sie veranlasst, dass Cookies, insbesondere in Form des TC Strings, auf dem Endgerät des Nutzers gespeichert und zum „Tracking“ des Nutzers genutzt werden (c), ohne eine wirksame Einwilligung der betroffenen Nutzer einzuholen (d und e). […]

Unstreitig werden im Speicher der Endgeräte der jeweiligen Nutzer der Webseite www.focus.de sogenannte Cookies abgespeichert, wobei eine Speicherung teils auch bereits vor Interaktion mit dem Consent-Management-Tool der Beklagten erfolgt. Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen. […]

Nach Vortrag der Beklagten soll der TC String die relevanten Informationen im Hinblick auf die Nutzereinwilligung, nicht dagegen Informationen darüber, welche Apps oder Websites ein Nutzer besucht habe, enthalten und auch keinen Überblick über das Intemetnutzungsverhalten der betroffenen Nutzer ermöglichen.

Dem kann nicht gefolgt werden. Nach Überzeugung der Kammer handelt es sich zumindest bei dem von der Beklagten auf den Endgeräten der Nutzer als Cookie gespeicherten TC String um eine personenbezogene Information, die der domainübergreifenden Nachverfolgung der Nutzer dient, wobei dies auch zu Analyse- und Marketingzwecken erfolgt.

Der TC String dient – wie die Beklagte selbst ausführt – im Rahmen des TCF-Netzwerks als Kommunikationsmittel für Abfrage und Übermittlung der Nutzereinwilligung zwischen Publishern, Werbetreibenden, Vermarktern, Agenturen und ihren jeweiligen Technologiepartnern. Bereits aus dieser Zwecksetzung wird ersichtlich, dass die Einverständnis-/Ablehnungsauswahl des jeweiligen Nutzers einem Individuum zugeordnet werden soll. Denklogische Voraussetzung hierfür ist, dass der jeweilige Nutzer identifiziert werden kann. […weiter ab Rn. 104]

[in den nächsten Randnummern erfolgen weitere Ausführungen zu der
technischen Umsetzung des TCF, welche hier aus Platzgründen nicht
dargestellt werden]

2. Der Aufbau des Cookie-Banners ist intransparent und der Besucher kann vor diesem Hintergrund überhaupt keine freiwillige Einwilligung erteilen

„Als freiwillig kann die Einwilligung nur dann betrachtet werden, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, d.h. auch ohne Nachteile auf die Erteilung der Einwilligung verzichten kann (Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DSGVO Art. 4 Rn. 49).

Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall. So kann auf der ersten Seite der CMP (vgl. Anlage K 58), welche die Nutzung der Webseite bis zur Einwilligungserteilung oder -verweigerung durch teilweises Verdecken der Webseite verhindert, lediglich die Einwilligung in vollem Umfang erteilt oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden. Dabei ist die Schaltfläche „Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen.

Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung. Zudem ist auf der ersten Ebene der CMP allein aus dem Fließtext ersichtlich, dass die Einwilligung auch abgelehnt werden kann. Ob eine Ablehnung mit Nachteilen oder Mehraufwand verbunden ist, kann der Nutzer dagegen nicht erkennen. Jedenfalls ist eine Verweigerung der Einwilligung erst nach Betätigung der Schaltfläche „Einstellungen“ auf einer zweiten Ebene der CMP möglich und damit mit mehr Aufwand als das bloße „Akzeptieren“ der Datenverarbeitung verbunden.

Zwar erscheint der damit beschriebene Aufwand als verhältnismäßig gering. Gleichwohl ist ein solcher zusätzlicher Aufwand angesichts der im Internet gerade üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzer nicht unerheblich. Dabei ist ferner zu berücksichtigen, dass auf der zweiten Ebene der CMP die Vielzahl von Einstellungsmöglichkeiten zu einer weiteren Erschwerung der Einwilligungsverweigerung führt. Denn auch hier wird wiederum die Schaltfläche „Alle Akzeptieren“ sowohl aufgrund der farblichen Gestaltung als auch durch ihre Positionierung und Größe nochmals hervorgehoben, während die Schaltfläche „alle ablehnen“ in Größe und Gestaltung dagegen unauffällig gehalten ist.

Eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten „Einwilligung erteilen“ und „Einwilligung verweigern“ ist weder vorgetragen noch ersichtlich. Angesichts der unterschiedlichen Gestaltung erscheint es daher naheliegend, dass hierdurch das Wahlrecht der Webseitenbesucher beeinflusst werden soll (vgl. BGH NJW 2020, 2540 Rn. 37 – Planet 49). Keine Rolle spielt es in diesem Zusammenhang, dass die Beklagte die CMP als Teil des TFC 2.0 einsetzt und behauptet, diesbezüglich keine Gestaltungsmöglichkeiten zu haben. Denn die Beklagte ist dafür selbst verantwortlich, eine freiwillige und damit wirksame Einwilligung einzuholen.

Weitere Beiträge

Open Source Compliance Teil V

3.5 Lizenztexte und Urhebervermerke 3.5.1 Lizenztexte Praktisch immer verlangen die OSS- Lizenzen, dass der Text der Lizenz mit der Software gemeinsam übergeben werden muss. Sofern man es als Lieferant richtig machen will, muss man dem Kunden eine BOM (Bill of

Mehr lesen »

Open Source Compliance Teil IV

3.4.2 Einschränkungen  3.4.2.1 Kompatibilität Gerade im Bereich der Kompatibilität der Lizenzen muss man aufpassen. Jede der Lizenzen erlaubt eine Nutzung der Software nur unter Beachtung der eigenen Regelungen. Deshalb entsteht dann, wenn die Komponenten nicht sauber technisch und vertrieblich getrennt

Mehr lesen »

Open Source Compliance Teil III

3. Inhalt des Systems, Inhaltsverzeichnis von Dateien und Komponenten Man prüfe im Schritt 1, welche Komponenten in einem System verwendet werden und zwar inklusive aller Subroutinen.Der Aufwand, der hier zur treiben ist, hat zu einer Trennung von mir und einer

Mehr lesen »
Nach oben scrollen