News

Datenschutz-Falle: Cookie Banner müssen eine echte Wahl lassen

26.02.2024

Das OLG Köln stellte mit einem Urteil von Januar 2024 (6 U 80/23) klar, dass Cookie-Banner fair gestaltet sein müssen und Verbraucher:innen eine echte Wahl lassen müssen, ob sie Cookies akzeptieren wollen oder nicht. Geklagt hatte eine Verbraucherschutzorganisation. Sie beanstandete mit Erfolg, dass die erste Seite eines Cookie-Banners die Möglichkeit vorsehen muss, Cookies abzulehnen oder zu akzeptieren. Ebenso erfolgreich rügte sie eine Gestaltung, bei der neben dem Schriftzug „Akzeptieren und Schließen“ ein „X“ stand.

Hintergrund

Beklagte in dem Verfahren war eine Website-Betreiberin, die technisch nicht erforderliche Cookies auf ihrer Website setzte und zur Einholung einer Einwilligung einen Cookie-Banner nutze. Dieses sah auf der ersten Seite so aus:

Wir verwenden Cookies

Das OLG Köln bestätigte die Auffassung der Klägerin, dass die Gestaltung des Cookie-Banners der Beklagten nicht den datenschutzrechtlichen Anforderungen genügte. Das Gericht erläuterte, dass Cookie-Banner geeignet sein können, datenschutzrechtliche Einwilligungen für Cookies einzuholen. Solche können dann erforderlich sein, wenn ein Cookie (oder vergleichbare Technologien) nicht unbedingt erforderlich für das Angebot eines Telemediums, wie etwa Apps oder Webseiten, sind.

Rechtliche Einordung

Das Cookie-Banner der Beklagten erfüllte nach den Feststellungen des Gerichts nicht die gesetzlichen Anforderungen, in diesem Fall also nach Datenschutz-Grundverordnung und Telekommunikation-Telemedien-Datenschutz-Gesetz. Die Beklagte habe bei den Cookie-Bannern intransparente Designs verwendet.

Die bloße Auswahl zwischen „Akzeptieren“ und „Einstellungen“ sei jedoch keine echte Wahl im Sinne der datenschutzrechtlichen Anforderungen an eine informierte Einwilligung.

Betroffenen Personen würde durch die konkrete Gestaltung gerade keine gleichwertige Ablehnungsoption angeboten, weshalb sie zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies angehalten werden, sodass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt angesehen werden könne.

Betroffene Personen könnten nämlich auf der ersten Ebene des Cookie-Banners zwar sofort zustimmen, möchten sie aber ablehnen, werden sie auf die zweite Ebene geleitet. Zudem sei das Feld „Akzeptieren“ in einem auffälligen Blau dargestellt, während die Einstellungen zum Ablehnen der Einwilligungserteilung in einem Grau dargestellt werden. Ferner werde auch auf der zweiten Ebene im selben Design die Zustimmung der Einwilligung farblich hervorgehoben, während die Ablehnung manuell ausgeschaltet werden müsse (Cookie-Opt-out). Hinzutrete, dass im Layout auf der oberen rechten Seite ein X mit „Akzeptieren und speichern“ angebracht sei, das den Eindruck erwecke, man könne die Einwilligung ablehnen.

Daher verstoße auch die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung.

Fazit und Folgen für die Praxis

Die Entscheidung betont, dass Website-Betreiber:innen die Einwilligungserklärung nicht mithilfe von Designgestaltungen so gestalten dürfen, dass Nutzende zu einer für sie nachteiligen Entscheidung beeinflusst werden sollen (sog. dark patterns).

Die von Unternehmen in der Praxis häufig verwendeten Cookie-Banner erschweren den Betroffenen in den meisten Fällen die Ablehnung in das Online-Tracking. Auch wenn die Unternehmen in der Gestaltung der Cookies grundsätzlich frei sind, müssen die jeweiligen Optionen gleichwertig ausgewählt werden können.

Das Bayerische Landesamt für Datenschutz hat Ende Dezember 2023 eine Prüf-Kampagne eingeleitet, die bis Mai 2024 dauern soll und die Einhaltung von datenschutzrechtlichen Anforderungen auf Webseiten und in Apps überprüft. Die Gestaltung von Einwilligungsprozessen steht dabei im Mittelpunkt. Dies zeigt, dass Unternehmen ihre Cookie-Banner oder Cookie-Dashboards entsprechend den gesetzlichen Vorgaben, dem Fragebogen der bayerischen Behörde, sowie ergänzend der Orientierungshilfe für Anbieter:innen von Telemedien überprüfen sollten.

Ansonsten besteht für Unternehmen das Risiko einer Unterlassungsklage von Verbraucherschutzverbänden – und selbstverständlich noch das Risiko von Schadenersatzforderungen und Bußgeldern.

Kontakt

Pascal Schumacher
Pascal Schumacher+49 30 20942030
Julian Monschke
Julian Monschke+49 69 971477179

Data Protection Litigation
Datenschutz
Digital Business

Share

Alle anzeigen

Insights

glowing light spiral
News

Lieferketten-Compliance: CSDDD und EU-Zwangs­arbeits­ver­ordnung kommen

26.04.2024
two liquids
News

EU-Verpackungs­verordnung: Einheitlicher Rechts­rahmen für Verpackungen – neue Herausforderungen für Marktteilnehmer

25.04.2024
Fels am Meer
News

Update Foreign Subsidies Regulation („FSR“): Erste Durchsuchung der Europäischen Kommission bei einem chinesischen Hersteller von Sicherheitstechnik

25.04.2024
mirror cube structure with pulse
News

Plattformarbeit: Richtlinie zur Verbesserung der Arbeitsbedingungen heute verabschiedet

24.04.2024
Sports car in curve wP300
News

„In-Car-Entertainment­systeme“ als regulierte Benutzer­oberflächen? - Automobil­hersteller im Fokus der Landes­medienanstalten

22.04.2024
Cubes structure
News

EU Listing Act ante portas

22.04.2024
River bridge
News

Europäische Richtlinie zur Entgelt­transparenz zwischen Männern und Frauen

22.04.2024
zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024