• Deutsch
  • Aktuelles
  • Das Ende von Dark Patterns in "Cookie-Walls": Deutsches Gericht verbietet täuschende Designs

Das Ende von Dark Patterns in "Cookie-Walls": Deutsches Gericht verbietet täuschende Designs

Cookie-Banner müssen so gestaltet sein, dass bereits auf dem first layer Ablehnung und Zustimmung als gleichwertige Auswahlmöglichkeiten nebeneinander stehen.

Zusammenfassung

Ohne informierte Einwilligung der NutzerInnen dürfen Webseitenbetreiber keine Cookies und ähnliche Trackingtechnologien für Analyse- und Marketingzwecke einsetzen, die personenbezogene Daten an Dritte übermitteln und dadurch die Nachverfolgung des Surf- und Nutzungsverhaltens ermöglichen. Cookie-Banner müssen so gestaltet sein, dass bereits auf dem first layer Ablehnung und Zustimmung als gleichwertige Auswahlmöglichkeiten nebeneinander stehen. Der Einsatz von 3rd-party Plugins auf Websites wie Google Analytics und Facebook Pixel führt in der Regel zu einem Joint Controllership nach Art. 26 DSGVO, weshalb die Informationen über „das Wesentliche der Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen nach Art. 26 Abs. 2 S. 2 DSGVO den Nutzern zur Verfügung zu stellen ist. 

Das hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az. 3 O 762/19 (nicht rechtskräftig) entschieden. Geklagt hatte die Verbraucherschutzorganisation Verbraucherzentrale Bundesverband (vzbv) gegen den Anwaltssuchdienst „advocado“. 

Mit der Klage gingen die Verbraucherschützer gegen irreführende Gestaltungen in „Cookie-Bannern“ von Consent Management Plattformen vor, sogenannte „Dark Patterns“. 

Cookie-Banner werden von Websitebetreibern genutzt, um von NutzerInnen Einwilligungen für bestimmte – zumeist werbliche – Datenverarbeitungen zu gewinnen.

Seit der Entscheidung des EuGH in Sachen Planet49 (C-673/17) im Oktober 2019 ist klar, dass der Einsatz von Cookies und ähnlichen Technologien, die zum Tracking von Nutzern verwendet werden und die auf Endgeräteinformationen wie IP-Adresse, MAC-Adressen, Mobile Identifier, Cookie IDs, Advertiser IDs oder Informationen zur Hardware des Endgeräts basieren, einer ausdrücklichen und informierten Einwilligung bedürfen. Dies gilt unabhängig davon, ob die Informationen einen Personenbezug aufweisen, denn die hier anwendbare ePrivacy-Richtlinie schützt die Integrität des Endgeräts des Nutzers und damit dessen Privacy unabhängig davon, ob die verarbeiteten Daten personenbezogen sind oder nicht.

Der Cookie-Banner, der beim Aufruf der Seite advocado.de zunächst erschien, sah wie folgt aus:

Präferenzen, Statistik, Marketing voreingestellt

Die sich im unteren Teil befindlichen vier Ankreuzkästchen waren vorausgewählt. Durch die Betätigung des „OK“-Button sollten Nutzer der Verwendung der Cookies zustimmen.

Im Laufe des Verfahrens änderte die Beklagte den Cookie-Banner, der sodann wie folgt aussah:

"Nur notwendige Cookies akzeptieren" (graue Schaltfläche), "Cookies akzeptieren" (grüne Schaltfläche), Details (Pulldown-Menü)

Neben der Möglichkeit, sich die Details anzeigen zu lassen, zog insbesondere ein grün unterlegter und optisch hervorgehobener „Cookies zulassen“-Button die Aufmerksamkeit der Besucher auf sich. Daneben befand sich ein grau hinterlegter Button mit der Beschriftung „nur notwendige Cookies akzeptieren“.

Die Kernthesen der Entscheidung im Überblick:

1. Einsatz von Trackingtechnologien zu Analyse- und Marketingzwecken erfordert Einwilligung

Der Einsatz von Technologien in Telemedien für das Tracking von Nutzern, die personenbezogene Daten von Nutzern an Dritte zu Analyse- und Marketingzwecken übermitteln, erfordert eine informierte und freiwillige Einwilligung des Nutzers. 

Die Gestaltung der Cookie-Banner erfüllt nach Auffassung des Gerichts nicht die designtechnischen Voraussetzungen, die notwendig sind für die Erteilung einer verständlichen, freiwilligen, informierten und erst dadurch wirksamen Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO. 

Für das erste abgebildete Cookie-Banner fehlt es bereits an einer unmissverständlichen Willensbekundung, denn eine voreingestellte Auswahl von Datenverarbeitungen („opt-out“) ist keine wirksame Einwilligung („opt-in“), was der EuGH sowohl in Planet 49 (C-673/17) als auch Orange Romania (C-61/19) unmissverständlich klar gemacht hat. 

Aber auch die zweite abgebildete Gestaltung eines Cookie-Banners sei unzureichend, denn

„Eine wirksame Einwilligung ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen“-Buttons „aktiviert“.“

[…]

„zwar hat der Verbraucher die Möglichkeit, sich Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. 

Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. 

Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“ 

Den obigen Aussagen des Gerichts kommt für die Gestaltung von Cookie-Bannern eine entscheidende Bedeutung zu. Cookie-Banner, die gerade nicht über eine im Vergleich zur Zustimmung gleichwertige Möglichkeit der Abwahl verfügen, sind grundsätzlich technisch ungeeignet, irgendeine Rechtswirkung zu entfalten, geschweige denn, als Grundlage für eine informierte Einwilligung zu dienen.

 

2. Websitebetreiber trifft Darlegungs- und Beweislast für die datenschutzkonforme Gestaltung der Website und 3rd party plugins

Die Beklagte hatte bestritten, dass insbesondere „Google Analytics“ die personenbezogene IP-Adresse an den Drittanbieter weiterleitet. In Bezug auf alle anderen Tools, darunter das eingesetzte Facebook Pixel, hat sie jedoch lediglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.

Prozessual stellt sich die Frage, wer die Beweislast in solchen Fällen trägt. Das Gericht hält eine klare Antwort parat:

„Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt.“ 

„Nachdem die vom Kläger konkret benannten Tracking-Technologien […] nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.“

„Zudem hat die Beklagte in ihrer Datenschutzerklärung […] in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.“

Diese Aussage lässt an Klarheit nichts zu wünschen übrig. Ein Websitebetreiber kann sich nicht hinter der Intransparenz der von ihm verwendeten Technologien verstecken und pauschal deren datenschutzrechtliche Relevanz bestreiten.

3. Joint Control bei third-party Cookies: Informationen zu Joint-Control-Agreements sind zwingend zur Verfügung zu stellen

Gemäß Art. 26 Abs. 2 S. 2 DSGVO müssen NutzerInnen Informationen über das Wesentliche der Vereinbarung zwischen gemeinsam für die Verarbeitung Verantwortlichen bei Einbindung von Tracking-Technologien von third parties zur Verfügung gestellt werden. 

Das Gericht stellt fest:

„Entgegen der Ansicht der Beklagten handelt es sich insoweit um eine gemeinsame Verantwortung für eine Datenverarbeitung i.S.d. Art. 26 DSGVO und nicht um eine Auftragsverarbeitung gemäß Art. 28 DSGVO.“

„[…] Denn Google verarbeitet die Daten nicht allein zum Zwecke der Nutzung durch den Betreiber der Website. Vielmehr behält sich Google, ebenso wie andere Drittanbieter, ausdrücklich die Verarbeitung auch zu eigenen Zwecken vor.“

Indem die Beklagte durch die Einbindung von Drittanbieter-Cookies personenbezogenen Daten an Drittanbieter übermittelt und die Drittanbieter diese Daten (auch) für eigene Zwecke verarbeiten, wie bspw. bei Einbindung des "Google-Analytics-Cookies", habe die Beklagte gegen die Informationspflicht verstoßen, das Wesentliche der Vereinbarung über die gemeinsame Verantwortlichkeit bereitzustellen. 

Wenn dieser Artikel für Sie von Interesse war,
verpassen Sie nicht die nächsten Beiträge
von Spirit Legal und folgen Sie uns hier:
JD SupraTwitterLinkedInXing or Telegram
oder tragen Sie sich in unseren Newsletter ein. 

Für rechtliche Beratung rufen Sie uns direkt an oder schreiben uns eine E-Mail.

Einen Kommentar schreiben

Tags

nutzungsrechte Sampling Wettbewerbsrecht Behinderungswettbewerb neu Berlin Irreführung Distribution Twitter Kundendaten Haftung data privacy Privacy Bundeskartellamt Custom Audiences Sponsoring Vertrauen Online Marketing Algorithmus Transparenz Hinweispflichten Analytics Hotelkonzept OTMR Kennzeichnungskraft technology Corporate Housekeeping Mitarbeiterfotografie Urteile Domainrecht Namensrecht Google AdWords Ferienwohnung Vertragsgestaltung online werbung Data Breach BDSG Informationsfreiheit Flugzeug LG Hamburg Unternehmensgründung Spielzeug IT-Sicherheit Datenpanne ITB Wettbewerb Gäste entgeltgleichheit Google Restaurant privacy shield Vertragsrecht Datenportabilität CNIL Hacking Rechtsprechung Content-Klau ADV Social Engineering Spitzenstellungsbehauptung Freelancer Facial Recognition GmbH Microsoft Machine Learning Rückgaberecht Facebook Weihnachten Kunsturhebergesetz EC-Karten Human Resource Management Europawahl TeamSpirit Crowdfunding Medienrecht AfD Neujahr Pseudonomisierung Dynamic Keyword Insertion Gesundheit Tipppfehlerdomain email marketing Online Abmahnung Bewertung Double-Opt-In 2014 gezielte Behinderung Marketing Education Herkunftsfunktion Touristik Data Protection Duldungsvollmacht Bildung Panoramafreiheit § 24 MarkenG Alexa Videokonferenz Marke datenverlust Arbeitsrecht ransom Ruby on Rails Jahresrückblick Preisauszeichnung Wettbewerbsverbot Prozessrecht Polen Resort Online Shopping Bestandsschutz Einwilligungsgestaltung Doxing Zustellbevollmächtigter Recht kinderfotos Urheberrechtsreform Textilien Europarecht zahlungsdienst Preisangabenverordnung information technology Hotellerie Kinderrechte PPC Travel Industry Onlineshop AIDA Consent Management Foto Creative Commons Scam Spirit Legal Verlängerung Sperrwirkung Voice Assistant Einzelhandel Löschung Event Onlineplattform Urheberrecht Big Data Geschmacksmuster Impressum Hotelsterne Mindestlohn verlinken jahresabschluss Dokumentationspflicht Class Action Personenbezogene Daten ransomware Hausrecht EU-Kosmetik-Verordnung Informationspflicht handel Datenschutzgesetz Telefon Jugendschutzfilter Lebensmittel Presse Kennzeichnung Unterlassung Bots Vergütung ReFa Recap anwaltsserie USA Datensicherheit Rechtsanwaltsfachangestellte Blog fake news ecommerce right of publicity Erbe Asien SEA Onlinevertrieb Löschungsanspruch LinkedIn Urlaub Gegendarstellung Heilkunde Infosec britain Arbeitsunfall Verfügbarkeit Kritik Plattformregulierung Erdogan Sponsoren Einwilligung Abhören Hotel Markeneintragung events Umtausch Anmeldung Arbeitsvertrag

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2021, alle Rechte vorbehalten