Das Ende von Dark Patterns in "Cookie-Walls": Deutsches Gericht verbietet täuschende Designs
Zusammenfassung
Ohne informierte Einwilligung der NutzerInnen dürfen Webseitenbetreiber keine Cookies und ähnliche Trackingtechnologien für Analyse- und Marketingzwecke einsetzen, die personenbezogene Daten an Dritte übermitteln und dadurch die Nachverfolgung des Surf- und Nutzungsverhaltens ermöglichen. Cookie-Banner müssen so gestaltet sein, dass bereits auf dem first layer Ablehnung und Zustimmung als gleichwertige Auswahlmöglichkeiten nebeneinander stehen. Der Einsatz von 3rd-party Plugins auf Websites wie Google Analytics und Facebook Pixel führt in der Regel zu einem Joint Controllership nach Art. 26 DSGVO, weshalb die Informationen über „das Wesentliche der Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen nach Art. 26 Abs. 2 S. 2 DSGVO den Nutzern zur Verfügung zu stellen ist.
Das hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az. 3 O 762/19 (nicht rechtskräftig) entschieden. Geklagt hatte die Verbraucherschutzorganisation Verbraucherzentrale Bundesverband (vzbv) gegen den Anwaltssuchdienst „advocado“.
Mit der Klage gingen die Verbraucherschützer gegen irreführende Gestaltungen in „Cookie-Bannern“ von Consent Management Plattformen vor, sogenannte „Dark Patterns“.
Cookie-Banner werden von Websitebetreibern genutzt, um von NutzerInnen Einwilligungen für bestimmte – zumeist werbliche – Datenverarbeitungen zu gewinnen.
Seit der Entscheidung des EuGH in Sachen Planet49 (C-673/17) im Oktober 2019 ist klar, dass der Einsatz von Cookies und ähnlichen Technologien, die zum Tracking von Nutzern verwendet werden und die auf Endgeräteinformationen wie IP-Adresse, MAC-Adressen, Mobile Identifier, Cookie IDs, Advertiser IDs oder Informationen zur Hardware des Endgeräts basieren, einer ausdrücklichen und informierten Einwilligung bedürfen. Dies gilt unabhängig davon, ob die Informationen einen Personenbezug aufweisen, denn die hier anwendbare ePrivacy-Richtlinie schützt die Integrität des Endgeräts des Nutzers und damit dessen Privacy unabhängig davon, ob die verarbeiteten Daten personenbezogen sind oder nicht.
Der Cookie-Banner, der beim Aufruf der Seite advocado.de zunächst erschien, sah wie folgt aus:
Die sich im unteren Teil befindlichen vier Ankreuzkästchen waren vorausgewählt. Durch die Betätigung des „OK“-Button sollten Nutzer der Verwendung der Cookies zustimmen.
Im Laufe des Verfahrens änderte die Beklagte den Cookie-Banner, der sodann wie folgt aussah:
Neben der Möglichkeit, sich die Details anzeigen zu lassen, zog insbesondere ein grün unterlegter und optisch hervorgehobener „Cookies zulassen“-Button die Aufmerksamkeit der Besucher auf sich. Daneben befand sich ein grau hinterlegter Button mit der Beschriftung „nur notwendige Cookies akzeptieren“.
Die Kernthesen der Entscheidung im Überblick:
1. Einsatz von Trackingtechnologien zu Analyse- und Marketingzwecken erfordert Einwilligung
Der Einsatz von Technologien in Telemedien für das Tracking von Nutzern, die personenbezogene Daten von Nutzern an Dritte zu Analyse- und Marketingzwecken übermitteln, erfordert eine informierte und freiwillige Einwilligung des Nutzers.
Die Gestaltung der Cookie-Banner erfüllt nach Auffassung des Gerichts nicht die designtechnischen Voraussetzungen, die notwendig sind für die Erteilung einer verständlichen, freiwilligen, informierten und erst dadurch wirksamen Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO.
Für das erste abgebildete Cookie-Banner fehlt es bereits an einer unmissverständlichen Willensbekundung, denn eine voreingestellte Auswahl von Datenverarbeitungen („opt-out“) ist keine wirksame Einwilligung („opt-in“), was der EuGH sowohl in Planet 49 (C-673/17) als auch Orange Romania (C-61/19) unmissverständlich klar gemacht hat.
Aber auch die zweite abgebildete Gestaltung eines Cookie-Banners sei unzureichend, denn
„Eine wirksame Einwilligung ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen“-Buttons „aktiviert“.“
[…]
„zwar hat der Verbraucher die Möglichkeit, sich Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist.
Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“
Den obigen Aussagen des Gerichts kommt für die Gestaltung von Cookie-Bannern eine entscheidende Bedeutung zu. Cookie-Banner, die gerade nicht über eine im Vergleich zur Zustimmung gleichwertige Möglichkeit der Abwahl verfügen, sind grundsätzlich technisch ungeeignet, irgendeine Rechtswirkung zu entfalten, geschweige denn, als Grundlage für eine informierte Einwilligung zu dienen.
2. Websitebetreiber trifft Darlegungs- und Beweislast für die datenschutzkonforme Gestaltung der Website und 3rd party plugins
Die Beklagte hatte bestritten, dass insbesondere „Google Analytics“ die personenbezogene IP-Adresse an den Drittanbieter weiterleitet. In Bezug auf alle anderen Tools, darunter das eingesetzte Facebook Pixel, hat sie jedoch lediglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.
Prozessual stellt sich die Frage, wer die Beweislast in solchen Fällen trägt. Das Gericht hält eine klare Antwort parat:
„Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt.“
„Nachdem die vom Kläger konkret benannten Tracking-Technologien […] nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.“
„Zudem hat die Beklagte in ihrer Datenschutzerklärung […] in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.“
Diese Aussage lässt an Klarheit nichts zu wünschen übrig. Ein Websitebetreiber kann sich nicht hinter der Intransparenz der von ihm verwendeten Technologien verstecken und pauschal deren datenschutzrechtliche Relevanz bestreiten.
3. Joint Control bei third-party Cookies: Informationen zu Joint-Control-Agreements sind zwingend zur Verfügung zu stellen
Gemäß Art. 26 Abs. 2 S. 2 DSGVO müssen NutzerInnen Informationen über das Wesentliche der Vereinbarung zwischen gemeinsam für die Verarbeitung Verantwortlichen bei Einbindung von Tracking-Technologien von third parties zur Verfügung gestellt werden.
Das Gericht stellt fest:
„Entgegen der Ansicht der Beklagten handelt es sich insoweit um eine gemeinsame Verantwortung für eine Datenverarbeitung i.S.d. Art. 26 DSGVO und nicht um eine Auftragsverarbeitung gemäß Art. 28 DSGVO.“
„[…] Denn Google verarbeitet die Daten nicht allein zum Zwecke der Nutzung durch den Betreiber der Website. Vielmehr behält sich Google, ebenso wie andere Drittanbieter, ausdrücklich die Verarbeitung auch zu eigenen Zwecken vor.“
Indem die Beklagte durch die Einbindung von Drittanbieter-Cookies personenbezogenen Daten an Drittanbieter übermittelt und die Drittanbieter diese Daten (auch) für eigene Zwecke verarbeiten, wie bspw. bei Einbindung des "Google-Analytics-Cookies", habe die Beklagte gegen die Informationspflicht verstoßen, das Wesentliche der Vereinbarung über die gemeinsame Verantwortlichkeit bereitzustellen.
Wenn dieser Artikel für Sie von Interesse war,
verpassen Sie nicht die nächsten Beiträge
von Spirit Legal und folgen Sie uns hier:
JD Supra, Twitter, LinkedIn, Xing or Telegram
oder tragen Sie sich in unseren Newsletter ein.
Für rechtliche Beratung rufen Sie uns direkt an oder schreiben uns eine E-Mail.
