Wann ist eine Einwilligung zur Verarbeitung personenbezogener Daten auf einer Website via Cookie-Consent-Banner DSGVO-konform? Das Landgericht Rostock (LG Rostock) hatte darüber zu urteilen, wann Informiertheit und Freiwilligkeit eines Websitebesuchers tatsächlich gewährleistet sind. Der Richterspruch bestätigt nicht nur die Auffassung anderer Gerichte, sondern geht auch erstmals vorsichtig auf die gestalterischen Anforderungen des Cookie-Consent-Banners (Nudging und Dark Patterns) ein.
Zum Sachverhalt
Mit Urteil vom 15. September 2020 (Az.: 3 O 762/19) entschied das Landgericht Rostock (LG Rostock) über mehrere Ansprüche auf Unterlassen, die sämtlich auf datenschutzrechtliche Schutzansprüche gegen den Websitebetreiber advocado GmbH gerichtet waren. Als qualifizierte Einrichtung gemäß § 4 Unterlassungsklagengesetz (UklG) hatte die Verbraucherzentrale Bundesverband e.V. (VZBV) diese Klage angestrengt.
Tatbestandlich ging die VZBV gegen den Anbieter und Betreiber des Internetauftritts advocado.de vor, der über eine Plattform Nutzer an beratende Rechtsanwälte vermittelt. Bei Aufruf der Domain des Beklagten wurde ein Cookie-Banner eingesetzt, worüber die Einwilligung der Nutzer zu sämtlichen Zwecken, darunter auch Analyse- und Werbezwecke, eingeholt wurde. Die der Einwilligung dienenden Checkboxen waren allesamt vorangekreuzt. Der Nutzer willigte, falls die Checkboxen nicht aktiv abwählt wurden, unter anderem auch in die Datenübermittlung an das in den USA ansässige Unternehmen Google ein.
Nach Ansicht der Verbraucherschützer sei bei Aufruf der Website über das Cookie-Banner keine rechtswirksame Einwilligung der betroffenen Nutzer eingeholt worden, da es an deren eindeutigen Willensbekundung fehle. Auch würde den Nutzern kein adäquates Mittel zur Verfügung gestellt, die Drittanbieter-Cookies ablehnen zu können. Ferner sei durch fehlerhafte Informationen in der verlinkten Datenschutzerklärung gegen die Grundsätze der Transparenz sowie Treu und Glauben verstoßen worden (Art. 12 ff. DSGVO). Den Nutzern würde zusätzlich der wesentliche Inhalt einer Vereinbarung zwischen gemeinsamen Verantwortlichen nach Art. 26 Abs. 2 S. 2 DSGVO vorenthalten. Diese Verpflichtung treffe die Beklagte deshalb, da sie mit Drittanbietern unter anderem im Rahmen des Trackings mittels Google Analytics, als solche anzusehen sei.
Der Urteilsspruch
Das Gericht urteilte in den entscheidenden Punkten zugunsten der Klagepartei. Demnach hat die Beklagte ohne wirksame Einwilligung der Nutzer nach § 15 Abs. 3 S. 1 Telemediengesetz (TMG) personenbezogene Daten durch Übermittlung an Dritte rechtswidrig verarbeitet. Die über ein auf der Website eingebundenes Cookie-Banner eingeholte Einwilligung sei auch nach Anpassung durch die Beklagte weiterhin kein taugliches Instrument hierfür. Das Banner sei über die vorangekreuzte Auswahl hinaus so irreführend gestaltet, dass damit keine freiwillige Einwilligung möglich sei. Die Folge ist ein begründeter Anspruch auf Unterlassung des Betriebs der Website in der beanstandeten Form.
Das Gericht führte aus, dass der Betreiber der Internetpräsenz die Darlegungs- und Beweislast dafür trägt, dass die Gestaltung der Website datenschutzkonform ist. Dies ergibt sich unmittelbar aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO.
Zwar erfolgte durch das Gericht nach Abmahnung der Klagepartei zunächst ein Hinweis an die Beklagte, den rechtswidrigen Betrieb abzustellen. Eine hinreichende Korrektur wurde aber nicht vorgenommen.
Ferner hatte die Beklagte einen falschen Rechtfertigungsgrund nach Art. 45 ff. DSGVO für die Übermittlung personenbezogener Daten in ein Drittland in der Datenschutzerklärung angegeben. Ein Angemessenheitsbeschluss wurde dargelegt, sei aber kein tauglicher Grund für eine Übermittlungsgarantie im vorliegenden Fall, wie Art. 13 Abs. 1 lit. f) DSGVO es fordert.
Das Gericht führte weiter aus, dass es sich bei dem Einsatz von Google Analytics um eine in gemeinsamer Verantwortung stattfindende Datenverarbeitung i.S.d. Art. 26 DSGVO handelt. Daher ist der Betreiber und datenschutzrechtlich Verantwortliche auch verpflichtet, den wesentlichen Inhalt einer zugrundeliegenden Vereinbarung nach Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung zu stellen.
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Datenschutzrechtliche Beurteilung
Das Urteil bestätigte einmal mehr die Leitentscheidung des BGH im Planet-49-Urteil und bezog darüber hinaus zu weiteren interessanten Punkten Stellung. Hierunter sind folgende Aspekte von herausragender datenschutzrechtlicher Relevanz:
1. Anwendbarkeit DSGVO
Dogmatisch unterstreicht das Gericht auch die Auffassung des BGHs zur richtlinienkonformen Auslegung der Vorschrift § 15 Abs. 3 S. 1 TMG. Die Regelungen der DSGVO sind zwar über Art. 95 und durch die Sperrwirkung von Art. 5 Abs. 3 ePrivacy-Richtlinie nur indirekt anwendbar. Über die Rechtsfolgenverweisung in Art. 94 Abs. 2 DSGVO bleibt die Verordnung indes anwendbar. Die Definitionen und Voraussetzungen sind daher ebenso heranzuziehen wie etwaige spezialgesetzliche Vorgaben aus dem TMG.
Der Auslegung des § 15 TMG zwecks Europarechtskonformität bis zur Grenze des Wortsinns (nicht widersprechen gleichbedeutend mit Voraussetzung aktiver Einwilligung) hätte man in der jüngsten TMG-Novelle regeln können. Dies wurde versäumt. Maßstab sollte demnach weiterhin die DSGVO sein, wenn nicht ausnahmsweise strenge Vorgaben durch das nationale Recht vorgehsehen sind.
2. Gemeinsame Verantwortlichkeit mit Google im Rahmen des Einsatzes von Analytics
Interessant sind auch weitere datenschutzrechtliche Fragestellungen zur gemeinsamen Verantwortlichkeit mit Google im Rahmen der Einbindung dessen Trackingtools Analytics. Das LG Rostock sieht eine vergleichbare Situation mit der Einbindung des Facebook Like Buttons, worüber wir in der Urteilsbesprechung „Fashion-ID“ berichteten. Zum gleichen Ergebnis kommt der Europäische Gerichtshof auch im Falle des Betriebes einer Facebook-Fanpage, wonach ebenfalls eine gemeinsame Verantwortlichkeit der Parteien besteht.
Hier zeichnet sich eine klare Auslegung der Gerichte ab, die eine gemeinsame Verantwortlichkeit unabhängig von einer gleichrangigen Einflussnahme auf die Entscheidung über Zweck und Mittel der Verarbeitung begründet sehen. Ausschlaggebend ist vielmehr der tatsächliche Einfluss und wie dieser im Rahmen der Konstellation gewollt und praktiziert wird. Im vorliegenden Fall entscheidet der Betreiber der Website nicht alleine über den Umfang des Zwecks und der Nutzung der an Google übermittelten Daten. Rein tatsächlich behält sich Google das Recht vor, die übermittelten Daten auch zu eigen Zwecken zu verarbeiten oder tut dies rein faktisch. Daher scheidet auch eine streng weisungsgebundene Verarbeitung im Auftrag aus.
3. Erreichbarkeit der Information
Auf einem Nebenkriegsschauplatz geht das Gericht – nach eigener Auffassung – interessanterweise auch darauf ein, wie ein Websitebetreiber und Verantwortlicher erforderliche Informationen zur Verfügung stellen muss. Dabei stellt das Gericht auch Praktikabilitätsgründe und den Erwartungshorizont des Websitebesuchers in die Auslegung mit ein. So soll der Hinweis auf ein Widerrufsrecht im Zuge des Einholens einer notwendigen Einwilligung laut LG Rostock in der Datenschutzerklärung ausreichen.
Das ist soweit durchaus nachvollziehbar. Erheblich ist die jeweilige konkrete Umsetzung. Die vorausgesetzte Transparenz (im weiteren Sinne) bezieht sich nicht nur auf die leichte Zugänglichkeit der Informationen. Hierbei gilt, dass die Datenschutzerklärung mit einem Klick aufrufbar sein muss. Sondern auch die inhaltliche Transparenz (im engeren Sinne). Will heißen, dass der Betroffene die Informationen nachvollziehen kann und sich zudem nicht durch einen Dschungel an Informationen innerhalb der Datenschutzerklärung kämpfen muss, um an die für ihn relevante Information zu kommen.
4. Freiwilligkeit der Einwilligung (Zulässigkeit von Dark Patterns oder Nudging)
Wenig überraschend ist laut LG Rostock die Übermittlung von personenbezogenen Nutzerdaten im Zuge des Einsatzes von Trackingtools zu Analyse- und Marketingzwecken an Dritte ohne informierte und freiwillige Einwilligung unzulässig. Ein aktives Ankreuzen ist notwendig. Die Einwilligung darf nicht vorangekreuzt sein. So weit, so bekannt.
Interessanter ist, dass das Gericht belastbare Informationen zur Gestaltung des Cookie-Banners selbst trifft. Damit werden erstmalig – zumindest partiell – auch Antworten zu den Stichworten Dark Patterns und Nudging gegeben. Zusammenfassend ist damit gemeint, wie die Gestaltung eines solchen, die Interaktion des Nutzers voraussetzenden, Banners aussehen muss, um auf die Aktion des Nutzers zugunsten des Websitebetreibers einwirken zu können. Namentlich die farbliche Gestaltung, Größe sowie Platzierung der Buttons. Aber auch die Verschleierung der Tragweite der Entscheidung und die Erschwerung der Abwahlmöglichkeit durch zusätzliches Anklicken erweiterter Einstellungen, sind relevant.
Das Gericht führt dazu aus:
„Eine wirksame Einwilligung ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten ‚Cookie zulassen‘-Buttons ‚aktiviert‘. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall.
Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich ‚Nur notwendige Cookies verwenden‘ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist.
Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden ‚Cookie zulassen‘-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies ‚aktiviert‘ werden.“
Damit sind dem Websitebetreiber klare Vorgaben – zumindest was die Auffassung des LG Rostock betrifft – in Sachen Gestaltung und Umsetzung an eine technische Realisierung an die Hand gegeben. Die künftige Frage nach einer datenschutzkonformen Einwilligung wird sich nicht mehr in der Frage des „Ob“ der Einbindung eines Consent-Banners erschöpfen, sondern ebenfalls das „Wie“ der Gestaltung beinhalten müssen. Klar ist jedenfalls, dass die Freiwilligkeit Ausdruck der Überzeugung und nicht der Passivität des Nutzers sein soll. Vorausgesetzt werden sollte eine echte Wahlfreiheit. Nichts anderes ist Schutzzweck der informationellen Selbstbestimmung. Damit geht es um das hehre Ziel des Datenschutzes, nämlich um die Entscheidungshoheit jedes Einzelnen darüber, wie mit seinen personenbezogenen Daten umgegangen wird.
Fazit: Eile und Vorsicht ist geboten!
Anbieter und Betreiber von Websites sollten rasch alle Verarbeitungen personenbezogener Daten über die eigenen Internetauftritte hinsichtlich Rechtmäßigkeit überprüfen. Nicht immer einfach, aber umso wichtiger ist die konkrete technische Umsetzung von abstrakten, rechtlichen Vorgaben. Diese Voraussetzungen obliegen nicht – wie in der Praxis vielfach angenommen – der Gestaltungshoheit der Websitebetreiber und Diensterbringer. Auslegungs- und Deutungshoheit verbleiben einzig bei der nationalen und europäischen Rechtsprechung.
Das Urteil zeigt einmal mehr, dass der Teufel im Detail steckt. Freiwillige Transparenzkodizes à la IAB TCF sind zwar gut gemeint, erfüllen aber nicht zwingend die gerichtlich geforderten Anforderungen und sind daher in der Praxis oft unzureichend. Vielmehr vermitteln sie einen trügerischen Eindruck vermeintlicher Rechtskonformität.
Begrüßenswert ist das Urteil des LG Rostocks insbesondere in Hinblick auf den Versuch konkreter Gestaltungshinweise für Cookie-Consent-Banner und damit dem Maßstab, der an eine technisch umgesetzte Einwilligung zu setzen ist. Die Freiwilligkeit und Informiertheit müssen in den Mittelpunkt der Entwickler technischer Lösungen rücken. Der Ansatz sollte nicht sein, den Nutzer bestmöglich in die Irre zu führen, sondern ihm eine echte Wahlfreiheit an die Hand zu geben. Andernfalls bleibt die Einwilligung als Instrument weiterhin das was sie derzeit ist: eine rechtlich konstruierte Fiktion.
