Nach der Entscheidung in Sachen Google Fonts hat das LG München I für einen weiteren datenschutzrechtlichen Paukenschlag gesorgt. In dem Urteil vom 29.11.2022 beschäftigte das Gericht sich mit Cookie-Bannern (das Urteil finden Sie auf der Seite des klagenden Verbraucherverbands hier). Das geprüfte Cookie-Banner von Focus Online bewerteten die Richter als nicht geeignet, um rechtskonforme Einwilligungen der Nutzer nach § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) einzuholen. Legt man die in dem Urteil gesetzten Maßstäbe zu Grunde, ist ein großer Teil der auf deutschen Websites eingesetzten Cookies rechtswidrig, und es drohen weitere Abmahnwellen.
Der Fall
Der Verbraucherzentrale Bundesverband e.V. verklagte die Betreiberin von Focus Online auf Unterlassung des Setzens von Cookies unter Verwendung des damaligen Cookie-Banners. Das Cookie-Banner gab den Nutzern die Möglichkeit, entweder auf einen blau hervorgehobenen „Akzeptieren“-Button zu klicken oder aber einen weiß gehaltenen „Einstellungen“-Button.
Nach dem Klick auf Einstellungen gelangten die Nutzer auf eine weitere Seite, welche ihnen die Wahl zwischen einem blau hervorgehobenen „Alle akzeptieren“-Button und einem schlichten „Auswahl speichern“-Button gab. Zudem erhielten die Nutzer in den Privatsphäre-Einstellungen äußerst umfangreiche Informationen über alle eingesetzten Services (allein 140 Seiten des Urteils beinhalten verschiedene Screenshots der Unterseiten).
Das Urteil
Zunächst stellte das Gericht fest, dass der Verband klagebefugt war, weil es um einen Verstoß gegen § 25 TTDSG ging. § 25 TTDSG sei ein Verbraucherschutzgesetz, so dass auch Verbraucherschutzverbände Verstöße gegen § 25 TTDSG einklagen könnten.
Keine Freiwilligkeit durch Dark Patterns und Zwei-Stufen-Ablehnung
Das Gericht kritisierte in erster Linie an Focus Online, dass die Nutzer durch die Gestaltung des Cookie-Banners zur Abgabe der Einwilligung genötigt würden. Die Nutzer könnten die Website nicht ohne eine Interaktion mit dem Banner nutzen. Die volle Einwilligung benötige lediglich einen Klick, während Nutzer beim Klick auf „Einstellungen“ noch einen weiteren Klick tätigen müssten, um das Banner loszuwerden, ohne eine Einwilligung abzugeben.
Da zusätzlich der „Akzeptieren“-Button farblich deutlich hervorgehoben werde (ein sog. Dark Pattern, das den Nutzer zu einer bestimmten Handlung verleiten soll) und für die Nutzer gleichzeitig nicht absehbar sei, wie groß der Aufwand nach dem Klick auf den „Einstellungen“-Button werden würde, könne nicht mehr von freiwilligen Einwilligungen ausgegangen werden.
Fehlende Informiertheit durch zu viele Informationen
Das Gericht ließ zwar offen, ob auch die Einwilligung wegen eines Verstoßes gegen die Informationspflichten unwirksam war. Jedoch äußerte es in einem Nebensatz, dass für eine solche Unwirksamkeit „angesichts des bloßen Umfangs der dargelegten Verarbeitungsvorgänge und des im CMP [Consent Management Platform] verwendeten Aufbaus mittels Menüs und Untermenüs erhebliche Gründe sprechen.“ Hier zeigt sich ein Grundproblem der DSGVO (Datenschutz-Grundverordnung). Einerseits müssen Unternehmen sehr transparent und daher umfassend informieren, andererseits sollen die Informationen einfach und leicht verständlich dargestellt werden. Es ist für Unternehmen nicht immer einfach, hier den richtigen Weg zu einer rechtssicheren Einwilligung zu finden und keine Flanke für Abmahnungen zu öffnen.
Fazit und Ausblick
Das Urteil ist noch nicht rechtskräftig und die Beklagte hat bereits angekündigt, Rechtsmittel einlegen zu wollen. Unternehmen sollten das Urteil zum Anlass nehmen, den Wortlaut ihres Cookie-Banners genau zu prüfen, um einen praktikablen Mittelweg zu finden. Zumindest sollte künftig auf eine Zwei-Stufen-Ablehnung sowie eine zu unübersichtliche Darstellung verzichtet werden.
Bei weiteren Fragen oder Unterstützungsbedarf können Sie sich sehr gerne an unsere Rechtsexperten aus dem Fachbereich Geistiges Eigentum, Medien und Informationstechnologie wenden!