Urteil zum Cookie-Banner von „focus.de“

Im Bereich des Datenschutzes sind seitens des Verantwortlichen viele Themen zu bearbeiten und zu klären. Einige hiervon haben höhere Priorität als andere. Letztlich ist der Zweck von DSGVO & Co. hauptsächlich einer: der Schutz von personenbezogenen Daten. Unabhängig davon, ob es sich hierbei um die Daten von Kunden oder Mitarbeitern handelt – getreu dem Motto: „So wie Du möchtest, dass mit Deiner Privatsphäre [oder Deinen privaten Daten] umgegangen wird, gehe auch mit den Dir anvertrauten Daten/Informationen um!“

Seit Beginn meiner Tätigkeit bei der dacuro GmbH beschäftige ich mich schwerpunktmäßig mit der Thematik Datenschutzkonformität von Webseiten. Für mich steht hierbei folgende Überlegung im Vordergrund: an welchem Punkt kann jemand meinem Kunden unter Umständen schaden, wenn es um den Datenschutz geht? Ansatzpunkte im Bereich des Datenschutzes gibt es hierfür einige, wie z. B. Betroffenenanfragen oder ein Angriff auf die IT-Infrastruktur. Doch eines der Schwerpunktthemen bleibt hierbei die Webseite eines Unternehmens. Diese ist das Aushängeschild und Kommunikationsmittel und sie steht in vielen Fällen mit ihrem Design und der Corporate Identity für die Außenwirkung des Unternehmens. Hier wird viel Geld investiert, um den Betrieb nicht nur für potenzielle Kunden, sondern auch neue Fachkräfte attraktiv darzustellen. Gleichzeitig bietet die Unternehmenswebseite eine große Angriffsfläche für Abmahnanwälte, Aufsichtsbehörden oder Konkurrenzunternehmen, da eine Prüfung auf offensichtliche Datenschutzfehler relativ schnell und einfach durchgeführt werden kann. Zwischenzeitlich mehren sich auch Urteile der deutschen Rechtsprechung, die teilweise bereits in Schadensersatzansprüchen enden. Dies hat auch die Abmahnwelle im Rahmen der Google Web Fonts 2022 gezeigt. In diesem Fall folgte auf ein Schadensersatzurteil vom Januar 2022 ab dem Sommer eine sehr unseriöse Abmahnwelle – wir hatten darüber berichtet.

Webseiten

Stellt man eine Webseite online, sind generell einige Punkte zu beachten. Hierzu zählen in Deutschland schwerpunktmäßig nachfolgende Gesetze, die berücksichtigt werden müssen:

• das Telemediengesetz (TMG)
• das Gesetz gegen den unlauteren Wettbewerb (UWG)
• das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), welches zum 1. Dezember 2021 die datenschutzrechtlichen Vorgaben des Telemediengesetzt (TMG-alt) und des Telekommunikationsgesetzes (TKG-alt) abgelöst hat
• die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG-neu)
• sowie u. U. das Barrierefreiheitsstärkungsgesetz (BFSG), usw.

Zudem gibt es für Unternehmen eine Impressumspflicht und selbstverständlich ist auf der Webseite eine Datenschutzerklärung bereitzustellen.  

Eine „einfache“ Webseite ist relativ unproblematisch – auch aus Sicht des Datenschutzes. Kniffliger wird es, sobald in dieser z. B. nachfolgende Elemente eingebunden werden:

• Kontaktformular
• Anmeldung zum Newsletter
• Einbindung von Videos (YouTube, Vimeo, o. ä.)
• Einbindung von externen Karten (Google Maps, OpenStreetMap, o. ä.)
• Chatbots (Chatfuel, ManyChat, o. ä.)
• Externe Bewerbungstools (Personio, o. ä.)
• Soziale Medien (Facebook, LinkedIn, Instagram, o. ä.)
• Analyse Tools oder Affiliate-Marketing (Google Analytics, Matomo, o. ä.)
• Externe Kalender oder Buchungstools (eTermin, Google Calendar, o. ä.)
• eCommerce & Zahlungsanbieter im Rahmen von Online-Shops

Denn in diesen Fällen ist auf die Einbindung der jeweiligen Tools zu achten. Hier gibt es seitens der Datenschutzbehörden seit mehreren Jahren Vorgaben, wie diese zu erfolgen haben und die dacuro GmbH prüft Kundenwebseiten nicht erst seitdem sogenannten Fashion ID Fall vom 29. Juli 2019, bei dem es um die Einbindung des Facebook „Like“-Buttons ging, sehr streng. Diese Vorgehensweise hat sich im Laufe der Jahre in nachfolgenden Behördenvorgaben und Rechtsurteilen als richtig erwiesen. So auch wenn man das jüngste Urteil des Landgericht München I vom 29.11.2022 (33 O 14776/19) zur Cookie-Banner Darstellung auf der Online-Webseite des Magazins „Focus“ betrachtet. Hier hatte die Verbraucherzentrale gegen die BurdaForward GmbH geklagt. Aktuell ist die Entscheidung noch nicht rechtskräftig. Die Beklagte hat ein Rechtsmittel gegen das Urteil eingelegt.

Cookie-Banner der Focus-Webseite

Im Urteil des LG I München ging es schwerpunktmäßig um den auf der ersten Ebene fehlenden „Ablehnen“-Button im Cookie-Banner (CMP) sowie um „Dark Patterns“, also die farblich hervorgehobene Schaltfläche des „Akzeptieren“-Buttons. Neben der farblichen Beeinflussung des Nutzers, war es diesem nicht möglich, Cookies bereits im ersten Schritt abzulehnen wohingegen eine Zustimmung zum Setzen der Cookies direkt möglich war, wie diesem Beispiel einer ähnlichen Webseite entnommen werden kann:

Bild 1: Exemplarisches Beispiel zum fehlendem „Ablehnen“-Button auf der ersten Ebene und „Dark Patterns“ in einem Cookie-Banner

Hinsichtlich der Ablehnung auf erster Ebene führte das Gericht aus:

„Als freiwillig kann die Einwilligung nur dann betrachtet werden, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, d. h. auch ohne Nachteile auf die Erteilung der Einwilligung verzichten kann.“

sowie

„Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall. So kann auf der ersten Seite der CMP (…), welche die Nutzung der Webseite bis zur Einwilligungserteilung oder -verweigerung durch teilweises Verdecken der Webseite verhindert, lediglich die Einwilligung in vollem Umfang erteilt oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden.“

Diese Aussage ergänzte das Gericht:

„Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung.“

Weder in der DSGVO noch dem TTDSG existiert eine rechtliche Anforderung, dass die Ablehnung einer Einwilligung auf die gleiche Weise wie die Einwilligung erfolgen muss. Wir vertreten hier jedoch ebenfalls die Meinung der Behörden und leiten dieses Erfordernis zudem anhand der Widerrufsmöglichkeit von Einwilligungen ab, das in Art. 7 Abs. 3 DSGVO geregelt ist:

„Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“

Aus welchem Grund sollte die Erteilung einer Einwilligung nicht ebenfalls gleich „einfach“ gestaltet sein, wenn es im Zuge des Widerrufs klare Vorgaben gibt?

Hinsichtlich der farblichen Gestaltung („Dark Patterns“) führte das Landgericht I aus:

„Dabei ist die Schaltfläche „Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen.“

Hinsichtlich der farblichen Gestaltung („Dark Patterns“) führte das Landgericht I aus:

„Dabei ist die Schaltfläche „Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen.“

Auch hier vertreten wir die Ansicht, dass die deutliche, farbliche Hervorhebung von Buttons wie „Alles Akzeptieren“ und der damit einhergehenden untergeordneten Darstellung von Buttons wie „Alle ablehnen“ oder „Nur technisch notwendige Cookies akzeptieren“ dazu führt, dass Nutzer die Angaben nicht oder nicht richtig lesen. Hierdurch resultiert, dass der Nutzer oftmals den optisch hervorgehobenen Button anklickt, wodurch keine wirksame Einwilligung vorliegt. Zu einem ähnlichen Ergebnis kam auch das Landgericht Rostock mit dem Urteil vom 15.09.2020 (Az.: 3 O 762/19), in dem es schwerpunktmäßig jedoch um die voreingestellten Haken im Zusammenhang mit Tracking-Cookies ging.

Um weitere Tracking-Themen ging es in der weiteren Begründung des Urteils des LG I München. Unter anderem war Google Analytics Bestandteil dessen.

Derzeitiger Stand des Focus-Cookie-Banners

Das Ablehnen der Cookies ist weiterhin erst in der 2. Ebene des Cookie-Banners zu finden und auch an der farblichen Gestaltung der Buttons sind keine Änderungen vorgenommen worden:

Bild 2: Erste Ebene des Cookie-Banners der Webseite „Focus“ am 21.02.2023

Wagt man sich als Nutzer zudem in die zweite Ebene des Cookie-Banners vor, könnten sich durchaus weitere Fragen im Rahmen der Einholung der Einwilligung stellen:

Bild 3: Zweite Ebene des Cookie-Banners der Webseite „Focus“ am 21.02.2023

Sofern man die Hinweise sieht, ist für den Nutzer nachfolgendes unverständlich oder irreführend:

• Was ist der Unterschied zwischen dem Button „Auswahl speichern“ und dem Button „alle ablehnen“? Ist das nicht das Gleiche?
  Vermutlich lassen sich hierüber die individuellen Einstellungen, die der Nutzer für einzelne Tools tätigen kann, speichern.
  
  
• Was bedeutet die Aussage „Ihre Datenschutz-Einstellungen sind ab dem nächsten Seitenaufruf aktiv.“?
  Muss ich, damit meine Entscheidung wirksam wird, die Webseite wieder komplett schließen und neu öffnen?

Die im Rahmen der Klage aufgeführten direkten Analysen durch Google Analytics, die anscheinend durchgeführt wurden, noch bevor die Zustimmung des Nutzers vorlag, wurden seitens des Webseitenbetreibers zwischenzeitlich deaktiviert. Auch mit Ablehnung der Cookies erfolgt keine Nutzeranalyse durch Google Analytics, wie eine kurze Webseitenanalyse zeigt.

Die Einbindung von GIF-Dateien über die externe Domain adservice.google.com ist jedoch weiterhin aktiv, wodurch weder eine Weitergabe von personenbezogenen Daten der Webseitenbesucher in die USA noch eine Nutzeranalyse ausgeschlossen werden kann. Gleiches gilt für die restlichen Drittanfragen, wie z. B. auf die Domain ad.doubelclick.net und viele weitere, die bereits greifen, bevor der Nutzer eine Einwilligung erteilt hat.

Fazit

Es bleibt abzuwarten, wie die Entscheidung in diesem Fall letztlich ausfällt. Unsere Erfahrung hat gezeigt, dass wir über die Jahre mit unserer sehr strengen Auslegung der DSGVO und der Prüfung von Webseiten im Rahmen der Vorgaben durch die Aufsichtsbehörden noch keine Beschwerden hatten, sofern die von uns empfohlenen Maßnahmen seitens des Verantwortlichen umgesetzt wurden. So hatten wir bereits Jahre vor der Abmahnwelle zu den Google Web Fonts empfohlen, diese lokal auf den Servern einzubinden, sodass ein Tracking durch Google nicht möglich ist. Und in unseren Blog-Beiträgen lassen sich ebenfalls seit langer Zeit nützliche Informationen zur korrekten Einbindung von Cookies & Co. finden.

Sollten Sie sich nicht sicher sein, ob Ihre Webseite datenschutzkonform, Ihr Cookie-Banner korrekt eingebunden ist oder Sie beabsichtigen, ein neues Tool einbinden zu lassen, sprechen Sie uns an. Unabhängig von unserer Tätigkeit als externe Datenschutzbeauftragte prüfen wir Webseiten von Unternehmen auch als Einzelleistung. In diesem Zusammenhang erhalten Sie klare Handlungsempfehlungen, welche Punkte durch Ihren Webdienstleister umgesetzt werden sollten, damit Sie nicht von außen angreifbar sind.