Zunehmend ergeben sich durch die Rechtsprechung neue Erkenntnisse rund um das Thema „Cookie-Banner“ und Einwilligungen für Webseiten-Funktionalitäten. Das Landgericht München hatte 2022 im Fall focus.de über die Zulässigkeit bestimmter Gestaltungsmerkmale von Cookie-Bannern entschieden. Auch das Landgericht Köln hat im März 2023 gegen die Telekom sehr deutlich Stellung zum Thema Nudging und Datentransfer ins nicht-EU-Ausland bezogen.
Cookie-Banner von focus.de ist datenschutzwidrig
Das Landgericht München hat am 29.11.2022 entschieden, dass der Cookie-Banner von FOCUS-Online (focus.de) datenschutzwidrig ist (Az. 33 O 14776/19, Volltext der Entscheidung). Das Gericht befindet, dass der Cookie-Banner aufgrund vieler technisch nicht erforderlicher Cookies zu unübersichtlich und der Aufwand zum Ablehnen der Cookies zu aufwändig ist. FOKUS-Online hat ein Cookie-Banner nach dem TFC-Standard eingesetzt und hier kein „Alle-Ablehnen“-Button angeboten. Stattdessen wären alle einwilligungspflichtigen Funktionen einzeln abzulehnen. Im Volltext der Gerichtsentscheidung nehmen die Bildschirmfotos aller Bereiche des eingesetzten Cookie-Banners die ersten rund 140 Seiten in Anspruch.
Das „GDPR Transparency and Consent Frameworks (TCF)“, das im März 2018 vom Branchenverband International Advertising Bureau (IAB) Europe in Version 1.1 gelauncht wurde, beschreibt einen Standard für die Einholung Nutzereinwilligung.
Ausdrückliche Einwilligung bei Auslands-Übermittlungen
Das Landgericht Köln hat in seiner Entscheidung gegen die Telekom deutlich Stellung gegen Nudging bezogen.
“Denn während im Falle des Buttons „Alle akzeptieren“ eine Ein-Klick-Lösung in Größe, Farbe und Layout als Blickfang deutlich gestaltet war, war das Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden.”
LG Köln 30 O 376/22 im März 2023
Manipulierte Einwilligungen ohne echte Wahlmöglichkeit sind nicht freiwillig und somit unwirksam.
Bei einer Übermittlung von Daten in das nicht-EU-Ausland auf Grundlage einer Einwilligung ist eine „ausdrückliche“ Einwilligung der betroffenen Person erforderlich (Art. 49 Abs. 1 lit. a DS-GVO).
“Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
Der Einwilligende muss u. a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden.”
LG Köln 30 O 376/22 im März 2023
Somit kann eine Einwilligung über einen “Alles aktzeptieren”-Button auf der ersten Ebene nicht wirksam sein, wenn über die Umstände einer Übermittlung in ein unsicheres Drittland erst auf der zweiten Ebene informiert wird.
Detailliertere Vorgaben der deutschen Aufsichtsbehörden
Die deutschen Aufsichtsbehörden für den Datenschutz haben Ihre „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ Version 1.1 herausgegeben. Neu sind hier unter anderem die deutlich konkreteren Vorgaben zur Gestaltung von Cookie-Bannern und Einwilligungserklärungen auf Webseiten.
Orientierungshilfen der Aufsichtsbehörden stellen keine rechtlichen Vorgaben für Unternehmen dar. Dennoch sind diese sehr relevant, um einschätzen zu können, wie die Aufsichtsbehörden z. B. bei den Untersuchungen von Beschwerden betroffener Personen die jeweiligen Themen rechtlich einordnen könnten.
Die wichtigsten Vorgaben zu Cookie-Bannern und Einwilligungserklärungen
- Nicht jede Nutzung von Cookies erfordert eine Einwilligung. Einwilligungsbanner sollen nur eingesetzt werden, wenn tatsächlich eine Einwilligung erforderlich ist.
- Das Einwilligungsbanner soll als eigenständiges HTML-Element angezeigt werden, wenn eine Webseite erstmalig geöffnet wird, unabhängig davon, ob es sich hier um eine Startseite oder Unterseite handelt.
- Während der Anzeige des Cookie-Banners dürfen die jeweiligen Cookies, Funktionen oder Drittdienste noch nicht eingesetzt (geladen) werden. Dies ist erst zulässig, wenn die Einwilligung erteilt wurde.
- Der Zugriff auf Impressum und Datenschutzerklärung darf während der Anzeige des Einwilligungsbanners nicht behindert werden.
- Die „beteiligten Akteure“ und deren Funktion müssen ausreichend erklärt werden und über ein Auswahlmenü aktivierbar sein. Bei dieser Auswahlmöglichkeit (z. B. durch Checkboxen oder Schieberegler), dürfen diese nicht „aktiv“ voreingestellt sein. Die Aktivierung bzw. Einwilligung muss durch ein aktives Handeln der betroffenen Person erfolgen (z. B. durch Aktivieren einer Auswahlmöglichkeit oder Klick auf eine Schaltfläche).
- Es ist darüber zu informieren, dass mit dem Einwilligungsbanner eine Einwilligung zur Speicherung und/oder dem Auslesen von Daten auf dem Endgerät der betroffenen Person und für nachfolgende Verarbeitungen eingeholt werden soll.
- Die Informationen können gestaffelt (erst allgemeine Informationen, mit weiterem Klick mehr Details) dargestellt werden. Hierbei kann der Mehrebenen-Ansatz des EDSA genutzt werden. Dieser ist in der “guideline in transparency” näher beschrieben. Auf der ersten Ebene sind folgende Informationen erforderlich:
- konkrete Zwecke der Verarbeitung,
- wenn individuelle Profile angelegt und mit Daten von anderen Webseiten zu umfassenden Nutzungsprofilen angereichert werden,
- wenn Daten auch außerhalb des EWR verarbeitet werden und
- an wie viele Verantwortliche die Daten offengelegt werden.
- Bei der Verwendung von Drittdiensten (Drittdienstleister), sind diese einzeln zu benennen und zu beschreiben. Vor allem sind hier die Zwecke darzulegen.
Ablehnung und Widerruf
- Eine Ablehnfunktion muss (nur) dann vorhanden sein, wenn die betroffene Person mit dem Einwilligungsbanner interagieren muss, um die Nutzung der Webseite ohne Einwilligung fortsetzen zu können.
- Eine Ablehnfunktion darf nicht auf einer tieferen Ebene „versteckt“ sein, wenn die Einwilligung auf einer oberen Ebene erteilt werden kann.
- Die vorhandene Ablehnfunktion muss klar erkennbar und funktionsfähig sein – das gilt auch für die Darstellung auf mobilen Endgeräten mit kleinen Bildschirmen. Die Ablehnfunktion muss gleichwertig zur Einwilligungsfunktion gestaltet sein.
- Die Beschriftung einer Ablehnenschaltfläche muss unmissverständlich sein. Eine Schaltfläche „Einstellungen oder Ablehnen“ ist nicht ausreichend.
- Es ist eine Möglichkeit zum einfachen Widerruf der erteilten Einwilligungen anzubieten. Der Widerruf muss so einfach und zugänglich gestaltet sein, wie die Erteilung der Einwilligung.
Nudging und Dark Pattern
Die Aufsichtsbehörden schließen die Nutzung von Nudging bei Einwilligungsbannern nicht grundsätzlich aus. Allerdings darf die Freiwilligkeit der Einwilligung nicht durch zu stark lenkende Gestaltung beeinträchtigt werden. Einwilligungsbanner, die so designt sind, dass die betroffene Person den Eindruck hat, man müsse die Einwilligung erteilen, allein nur, um die Website zu besuchen, werden als unzulässig angesehen. Konkrete Vorgaben für die farbliche Gestaltung von Einwilligungsbannern sehen die Aufsichtsbehörden nicht als erforderlich an. Allerdings muss eine angemessene Lesbarkeit gegeben sein. Eine Bewertung muss im Einzelfall erfolgen, wobei für eine solche Bewertung die “Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them” des EDSA genannt werden.
Brauchen Sie jetzt Orientierung?
Die Prüfung von Webseiten in Bezug auf den Datenschutz und vor allem mit dem Blick unter die technische Motorhaube gehört zu unserer Standardberatung. Wir unterstützen Sie gerne bei der Prüfung und Gestaltung Ihrer Einwilligungslösung für Webseiten oder Apps.
Interesse an mehr Information? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.
