LG München: Cookie-Banner mit Ablehnen-Button erst auf zweiter Ebene ist unzulässig

Für das Setzen von Werbe- und Marketing-Cookies ist die Einwilligung des Nutzers erforderlich. Das haben sowohl der EuGH als auch der BGH bereits entschieden. Das LG München I (Urt. v. 29.11.2022 – 33 O 14776/19) entschied nun, dass ein Cookie-Banner, der das Ablehnen der Einwilligung erst auf der zweiten Ebene ermöglicht und damit mehr Aufwand als eine Einwilligung auf der ersten Ebene erfordert, unzulässig ist.

Die Beklagte ist Anbieterin und Betreiberin der Webseite focus.de. Sie stellt Nutzern die auf der Seite vorgehaltenen Inhalte kostenfrei zur Verfügung und finanziert ihr Online-Angebot allein durch Werbung. Auf der Seite focus.de wurde ein Cookie-Banner angezeigt, das Nutzern auf der ersten Ebene nur die Auswahl ermöglichte, durch Klick auf „Akzeptieren“ in die Verarbeitung ihrer Daten und ihres Surfverhaltens durch zahlreiche Drittunternehmen in vollem Umfang einzuwilligen oder durch Anklicken der Schaltfläche „Einstellungen“ eine gesonderte Auswahl zu treffen. Zudem waren die Datenschutzerklärung und das Impressum der Beklagten verlinkt. In letzterem Fall öffnete sich ein Fenster „Privatsphäre-Einstellungen“, das auf mehr als 140 Bildschirmseiten nach Datennutzung differenzierte Einstellungen für mehr als 100 Drittanbieter enthielt. Die Schaltflächen „Alle akzeptieren“ und „Auswahl speichern“ waren deutlich hervorgehoben. Die Möglichkeit „Alle ablehnen“ war hingegen lediglich in blasser Schrift in der rechten oberen Ecke des Fensters platziert. Bereits bei Aufruf der Webseite und auch vor Interaktion mit dem CMP wird eine gewisse Zahl von Cookies auf dem Rechner des Nutzers gesetzt, wobei deren Anzahl, der Zeitpunkt des Setzens und deren Funktion zwischen den Parteien im Einzelnen umstritten ist. Der Kläger, der Bundesverband der Verbraucherzentralen (vzbv), ist der Ansicht, der von der Beklagten vorgehaltene Einwilligungsmechanismus sei unwirksam und verlangte Unterlassung. Die Beklagte verteidigte sich damit, dass ihr Cookie-Banner dem Branchen-Standard Transparency and Consent Framework TCF der Werbeorganisation IAB Europe entspreche und der übermittelte „Consent String“ den gesetzlichen Vorgaben genüge.

Dieser Ansicht folgte das LG München jedoch nicht. Die Beklagte verstoße gegen § 25 TTDSG, indem sie veranlasse, dass Cookies auf dem Endgerät des Nutzers gespeichert und zum Tracking des Nutzers genutzt werden, ohne eine wirksame Einwilligung der betroffenen Nutzer eingeholt zu haben. Der vzbv hat die Entscheidung veröffentlicht.

Keine wirksame Einwilligung

Zunächst stellte das Gericht fest, dass keine wirksame Einwilligung in das Setzen der Cookies erfolge.

Nach § 25 TTDSG ist jede Speicherung von Informationen in Endreinrichtungen des Endnutzers oder der Zugriff auf bereits darin gespeicherte Informationen nur mit einer Einwilligung zulässig, die auf Grundlage einer klaren und umfassenden Information erfolgt sein muss. […] Unstreitig werden im Speicher der Endgeräte der jeweiligen Nutzer der Webseite www.focus.de sogenannte Cookies abgespeichert, wobei eine Speicherung teils auch bereits vor Interaktion mit dem Consent-Management-Tool der Beklagten erfolgt. Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen […].

Die Speicherung des streitgegenständlichen Cookies im Rahmen des TFC 2.0 Netzwerks erfolgt auch nicht mit wirksamer Einwilligung der Endnutzer. Insbesondere ist die Information des Endnutzers und die Einwilligung nicht gemäß der Verordnung (EU) 2016/679 erfolgt, § 25 Abs. 1 S. 2 TTDSG.

Anforderungen an die Einwilligung

Sodann stellte das Gericht noch einmal klar, welche Anforderungen an die Einwilligung zu stellen sind. § 25 Abs. 1 S. 2 TTDSG verweise sowohl bezüglich der Informationspflichten als auch der formalen und inhaltlichen Anforderungen an eine Einwilligung auf die DSGVO.

Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die vorliegend von der Beklagten eingeholte Einwilligung beruht bereits nicht auf einer freiwilligen Entscheidung der Nutzer (so auch BayLDA, Stellungnahme vom 09.09.2022, S. 9 ff., Bl. 654 ff. d.A.):

Als freiwillig kann die Einwilligung nur dann betrachtet werden, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, d.h. auch ohne Nachteile auf die Erteilung der Einwilligung verzichten kann […]. Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall.

So kann auf der ersten Seite der CMP (vgl. Anlage K 58), welche die Nutzung der Webseite bis zur Einwilligungserteilung oder -verweigerung durch teilweises Verdecken der Webseite verhindert, lediglich die Einwilligung in vollem Umfang erteilt oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden. Dabei ist die Schaltfläche „Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen. Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung.

Dark Patterns – manipulative Gestaltung des Cookie-Banners

Das Gericht äußerte sich ebenfalls dazu, dass das Verweigern der Einwilligung mit mehr Aufwand verbunden ist als das Akzeptieren der Datenverarbeitung. Für die unterschiedliche Behandlung der Wahlmöglichkeiten „Einwilligung erteilen“ und „Einwilligung verweigern“ gebe es keine sachliche Rechtfertigung.

Zudem ist auf der ersten Ebene der CMP allein aus dem Fließtext ersichtlich, dass die Einwilligung auch abgelehnt werden kann. Ob eine Ablehnung mit Nachteilen oder Mehraufwand verbunden ist, kann der Nutzer dagegen nicht erkennen. Jedenfalls ist eine Verweigerung der Einwilligung erst nach Betätigung der Schaltfläche „Einstellungen“ auf einer zweiten Ebene der CMP möglich und damit mit mehr Aufwand als das bloße „Akzeptieren“ der Datenverarbeitung verbunden.

Zwar erscheint der damit beschriebene Aufwand als verhältnismäßig gering. Gleichwohl ist ein solcher zusätzlicher Aufwand angesichts der im Internet gerade üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzer nicht unerheblich. Dabei ist ferner zu berücksichtigen, dass auf der zweiten Ebene der CMP die Vielzahl von Einstellungsmöglichkeiten zu einer weiteren Erschwerung der Einwilligungsverweigerung führt. Denn auch hier wird wiederum die Schaltfläche „Alle Akzeptieren“ sowohl aufgrund der farblichen Gestaltung als auch durch ihre Positionierung und Größe nochmals hervorgehoben, während die Schaltfläche „alle ablehnen“ in Größe und Gestaltung dagegen unauffällig gehalten ist. Eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten „Einwilligung erteilen“ und „Einwilligung verweigern“ ist weder vorgetragen noch ersichtlich. Angesichts der unterschiedlichen Gestaltung erscheint es daher naheliegend, dass hierdurch das Wahlrecht der Webseitenbesucher beeinflusst werden soll (vgl. BGH NJW 2020, 2540 Rn. 37 – Planet 49). Keine Rolle spielt es in diesem Zusammenhang, dass die Beklagte die CMP als Teil des TFC 2.0 einsetzt und behauptet, diesbezüglich keine Gestaltungsmöglichkeit zu haben. Denn die Beklagte ist dafür selbst verantwortlich, eine freiwillige und damit wirksame Einwilligung einzuholen.

Keine Entbehrlichkeit der Einwilligung

Das LG München stellte zudem fest, dass die Einwilligung nicht ausnahmsweise entbehrlich war. Nach § 25 Abs. 2 Nr. 2 TTDSG ist eine Einwilligung u.a. entbehrlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Allein der Umstand, dass die Datenspeicherung der Finanzierung des Angebots der Beklagten diene oder im Rahmen des TFC 2.0 vorgegeben ist, könne hierfür jedoch nicht genügen.

Die Einwilligung war schließlich auch nicht gem. § 25 Abs. 2 TTDSG entbehrlich, insbesondere war die Speicherung oder er Zugriff auf Informationen nicht unbedingt erforderlich, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann, § 25 Abs. 2 Nr. 2 TTDSG. Unbedingt erforderlich ist in diesem Sinne nur, was technisch notwendig ist (vgl. BT-Drs. 19/27441, 38). Es kommt mithin auf den Verwendungszweck bzw. den Dienst an, der gegenüber dem Nutzer erbracht werden soll (MAH GewRS, § 27 Rn. 131). Die streitgegenständlichen Cookies, die der domainübergreifenden Nachverfolgung zu Analyse- und Marketingzwecken dienen, sind für den Betrieb eines Nachrichtenportals nicht technisch unbedingt erforderlich […]. Dies entspricht auch der Rechtslage zu § 15 Abs. 3 S. 1 TMG, zu dem der BGH in richtlinienkonformer Auslegung bereits festgestellt hat, dass eine Zustimmung jedenfalls bei Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung erforderlich ist […]. Allein der Umstand, dass die Datenspeicherung der Finanzierung des Angebots der Beklagten dient oder im Rahmen des TFC 2.0 vorgegeben ist, kann hierfür nicht genügen. Es handelt sich dabei lediglich um subjektive Interessen der Beklagten. Im Übrigen ist die Vorschrift als Ausnahme vom Grundsatz der Einwilligungsbedürftigkeit nach allgemeinen Grundsätzen eng auszulegen.

Weitergehende Klageanträge abgelehnt

Der vzbv beanstandete zudem u.a. den Einsatz von Google Analytics. Hier gehe das Gericht zwar auch von einem Verstoß gegen § 25 TTDSG aus, konnte jedoch auf Grundlage des Parteivortrags und der Beweisangebote nicht feststellen, dass die beanstandeten Cookies tatsächlich im Sinne des Klageantrags der domainübergreifenden Aufzeichnung und Auswertung des Nutzerverhaltens zu Analyse- und Marketingzwecken dienen.

Der Kläger beanstandet unter anderem ausdrücklich den Einsatz von „Google Analytics“-Cookies mit der Bezeichnung „gat_UA-89731071-12“, „_ga“ und „gid“, „_ga“ und „gid“, was welche von der Beklagten zu domainübergreifenden Nachverfolgung (u.a. durch Einsatz eines JavaScripts „linkid.js“) eingesetzt werden würde. Die Beklagte hat dies jedoch substantiiert bestritten, indem sie darlegt, dass sie „GoogleAnalytics“ nur in einer reduzierten Form verwendet und auch der Einsatz des Plugins „linkid.js“ nur der optimierten Linkzuordnung innerhalb der Domain diene, mithin kein domainübergreifendes Tracking ermögliche. Die Beklagte ist damit ihrer sekundären Darlegungslast nachgekommen. Demgegenüber hat der Kläger für seine Behauptung nicht Beweis angeboten.

Die Kammer geht zwar auch beim Einsatz der oben beschriebenen Cookies von einem Verstoß gegen § 25 TTDSG aus, da hierfür eine Speicherung auf dem Endgerät des Nutzers ohne wirksame Einwilligung genügt. Die Kammer kann allerdings auf Grundlage des Parteivortrags und der Beweisangebote nicht feststellen, dass die oben beschriebenen Cookies tatsächlich im Sinne des Klageantrags der domainübergreifenden Aufzeichnung und Auswertung des Nutzerverhaltens zu Analyse- und Marketingzwecken dienen.

Entsprechendes gelte für den vom Kläger behaupteten Einsatz eines Tracking-Programmcodes „Google AMP Client ID“ mit dem Zweck eines domainübergreifenden Trackings. Auch hier habe die Beklagte den Einsatz zum domainübergreifenden Tracking substantiiert bestritten.

Anträge des vzbv, die Beklagte auch wegen unzureichender Informationen über die beabsichtige Datennutzung und seine Vereinbarungen mit Drittanbietern zu verurteilen, lehnte das Gericht ebenfalls ab. Solche Informationspflichten ergeben sich allein aus der DSGVO, so das Gericht, der vzbv habe seine Anträge jedoch ausschließlich auf das TTDSG gestützt.

Die Entscheidung ist noch nicht rechtskräftig.

Unser Tipp: Eine Lösung, um die Einwilligung in das Setzen von Cookies wirksam einzuholen, bietet der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten.

sergign/Shutterstock.com

03.01.23