• Deutsch
  • Aktuelles
  • Das Ende von Dark Patterns in "Cookie-Walls": Deutsches Gericht verbietet täuschende Designs

Das Ende von Dark Patterns in "Cookie-Walls": Deutsches Gericht verbietet täuschende Designs

Cookie-Banner müssen so gestaltet sein, dass bereits auf dem first layer Ablehnung und Zustimmung als gleichwertige Auswahlmöglichkeiten nebeneinander stehen.

Zusammenfassung

Ohne informierte Einwilligung der NutzerInnen dürfen Webseitenbetreiber keine Cookies und ähnliche Trackingtechnologien für Analyse- und Marketingzwecke einsetzen, die personenbezogene Daten an Dritte übermitteln und dadurch die Nachverfolgung des Surf- und Nutzungsverhaltens ermöglichen. Cookie-Banner müssen so gestaltet sein, dass bereits auf dem first layer Ablehnung und Zustimmung als gleichwertige Auswahlmöglichkeiten nebeneinander stehen. Der Einsatz von 3rd-party Plugins auf Websites wie Google Analytics und Facebook Pixel führt in der Regel zu einem Joint Controllership nach Art. 26 DSGVO, weshalb die Informationen über „das Wesentliche der Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen nach Art. 26 Abs. 2 S. 2 DSGVO den Nutzern zur Verfügung zu stellen ist. 

Das hat das Landgericht Rostock mit Urteil vom 15.09.2020, Az. 3 O 762/19 (nicht rechtskräftig) entschieden. Geklagt hatte die Verbraucherschutzorganisation Verbraucherzentrale Bundesverband (vzbv) gegen den Anwaltssuchdienst „advocado“. 

Mit der Klage gingen die Verbraucherschützer gegen irreführende Gestaltungen in „Cookie-Bannern“ von Consent Management Plattformen vor, sogenannte „Dark Patterns“. 

Cookie-Banner werden von Websitebetreibern genutzt, um von NutzerInnen Einwilligungen für bestimmte – zumeist werbliche – Datenverarbeitungen zu gewinnen.

Seit der Entscheidung des EuGH in Sachen Planet49 (C-673/17) im Oktober 2019 ist klar, dass der Einsatz von Cookies und ähnlichen Technologien, die zum Tracking von Nutzern verwendet werden und die auf Endgeräteinformationen wie IP-Adresse, MAC-Adressen, Mobile Identifier, Cookie IDs, Advertiser IDs oder Informationen zur Hardware des Endgeräts basieren, einer ausdrücklichen und informierten Einwilligung bedürfen. Dies gilt unabhängig davon, ob die Informationen einen Personenbezug aufweisen, denn die hier anwendbare ePrivacy-Richtlinie schützt die Integrität des Endgeräts des Nutzers und damit dessen Privacy unabhängig davon, ob die verarbeiteten Daten personenbezogen sind oder nicht.

Der Cookie-Banner, der beim Aufruf der Seite advocado.de zunächst erschien, sah wie folgt aus:

Präferenzen, Statistik, Marketing voreingestellt

Die sich im unteren Teil befindlichen vier Ankreuzkästchen waren vorausgewählt. Durch die Betätigung des „OK“-Button sollten Nutzer der Verwendung der Cookies zustimmen.

Im Laufe des Verfahrens änderte die Beklagte den Cookie-Banner, der sodann wie folgt aussah:

"Nur notwendige Cookies akzeptieren" (graue Schaltfläche), "Cookies akzeptieren" (grüne Schaltfläche), Details (Pulldown-Menü)

Neben der Möglichkeit, sich die Details anzeigen zu lassen, zog insbesondere ein grün unterlegter und optisch hervorgehobener „Cookies zulassen“-Button die Aufmerksamkeit der Besucher auf sich. Daneben befand sich ein grau hinterlegter Button mit der Beschriftung „nur notwendige Cookies akzeptieren“.

Die Kernthesen der Entscheidung im Überblick:

1. Einsatz von Trackingtechnologien zu Analyse- und Marketingzwecken erfordert Einwilligung

Der Einsatz von Technologien in Telemedien für das Tracking von Nutzern, die personenbezogene Daten von Nutzern an Dritte zu Analyse- und Marketingzwecken übermitteln, erfordert eine informierte und freiwillige Einwilligung des Nutzers. 

Die Gestaltung der Cookie-Banner erfüllt nach Auffassung des Gerichts nicht die designtechnischen Voraussetzungen, die notwendig sind für die Erteilung einer verständlichen, freiwilligen, informierten und erst dadurch wirksamen Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO. 

Für das erste abgebildete Cookie-Banner fehlt es bereits an einer unmissverständlichen Willensbekundung, denn eine voreingestellte Auswahl von Datenverarbeitungen („opt-out“) ist keine wirksame Einwilligung („opt-in“), was der EuGH sowohl in Planet 49 (C-673/17) als auch Orange Romania (C-61/19) unmissverständlich klar gemacht hat. 

Aber auch die zweite abgebildete Gestaltung eines Cookie-Banners sei unzureichend, denn

„Eine wirksame Einwilligung ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen“-Buttons „aktiviert“.“

[…]

„zwar hat der Verbraucher die Möglichkeit, sich Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. 

Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. 

Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“ 

Den obigen Aussagen des Gerichts kommt für die Gestaltung von Cookie-Bannern eine entscheidende Bedeutung zu. Cookie-Banner, die gerade nicht über eine im Vergleich zur Zustimmung gleichwertige Möglichkeit der Abwahl verfügen, sind grundsätzlich technisch ungeeignet, irgendeine Rechtswirkung zu entfalten, geschweige denn, als Grundlage für eine informierte Einwilligung zu dienen.

 

2. Websitebetreiber trifft Darlegungs- und Beweislast für die datenschutzkonforme Gestaltung der Website und 3rd party plugins

Die Beklagte hatte bestritten, dass insbesondere „Google Analytics“ die personenbezogene IP-Adresse an den Drittanbieter weiterleitet. In Bezug auf alle anderen Tools, darunter das eingesetzte Facebook Pixel, hat sie jedoch lediglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.

Prozessual stellt sich die Frage, wer die Beweislast in solchen Fällen trägt. Das Gericht hält eine klare Antwort parat:

„Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt.“ 

„Nachdem die vom Kläger konkret benannten Tracking-Technologien […] nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.“

„Zudem hat die Beklagte in ihrer Datenschutzerklärung […] in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.“

Diese Aussage lässt an Klarheit nichts zu wünschen übrig. Ein Websitebetreiber kann sich nicht hinter der Intransparenz der von ihm verwendeten Technologien verstecken und pauschal deren datenschutzrechtliche Relevanz bestreiten.

3. Joint Control bei third-party Cookies: Informationen zu Joint-Control-Agreements sind zwingend zur Verfügung zu stellen

Gemäß Art. 26 Abs. 2 S. 2 DSGVO müssen NutzerInnen Informationen über das Wesentliche der Vereinbarung zwischen gemeinsam für die Verarbeitung Verantwortlichen bei Einbindung von Tracking-Technologien von third parties zur Verfügung gestellt werden. 

Das Gericht stellt fest:

„Entgegen der Ansicht der Beklagten handelt es sich insoweit um eine gemeinsame Verantwortung für eine Datenverarbeitung i.S.d. Art. 26 DSGVO und nicht um eine Auftragsverarbeitung gemäß Art. 28 DSGVO.“

„[…] Denn Google verarbeitet die Daten nicht allein zum Zwecke der Nutzung durch den Betreiber der Website. Vielmehr behält sich Google, ebenso wie andere Drittanbieter, ausdrücklich die Verarbeitung auch zu eigenen Zwecken vor.“

Indem die Beklagte durch die Einbindung von Drittanbieter-Cookies personenbezogenen Daten an Drittanbieter übermittelt und die Drittanbieter diese Daten (auch) für eigene Zwecke verarbeiten, wie bspw. bei Einbindung des "Google-Analytics-Cookies", habe die Beklagte gegen die Informationspflicht verstoßen, das Wesentliche der Vereinbarung über die gemeinsame Verantwortlichkeit bereitzustellen. 

Wenn dieser Artikel für Sie von Interesse war,
verpassen Sie nicht die nächsten Beiträge
von Spirit Legal und folgen Sie uns hier:
JD SupraTwitterLinkedInXing or Telegram
oder tragen Sie sich in unseren Newsletter ein. 

Für rechtliche Beratung rufen Sie uns direkt an oder schreiben uns eine E-Mail.

Einen Kommentar schreiben

Tags

Zustellbevollmächtigter Stellenausschreibung Vertragsrecht EU-Kommission NetzDG entgeltgleichheit Einstellungsverbot Freelancer Geschäftsgeheimnis Unlauterer Wettbewerb Löschung #emd15 technology Expedia.com Datenschutzrecht FTC Kündigung Impressumspflicht britain Distribution Online Marketing Hotelsterne right of publicity Impressum technik Check-in Unterlassung Suchfunktion Niederlassungsfreiheit Gesundheit Bußgeld Heilkunde Dokumentationspflicht CNIL neu TeamSpirit Bots Geschäftsanschrift Trademark drohnen Reisen UWG Marketing Gesetz selbstanlageverfahren Travel Industry Buchungsportal Kreditkarten Behinderungswettbewerb fristen Hotelvermittler Filesharing Datensicherheit Hotel Data Protection Datenschutz Rechtsanwaltsfachangestellte besondere Darstellung Erbe Gegendarstellung ePrivacy Hack Annual Return hate speech Bildrechte A1-Bescheinigung Datenportabilität Datengeheimnis Markeneintragung kinderfotos Bundesmeldegesetz patent Pressekodex Cyber Security bgh AGB Erdogan Alexa Lohnfortzahlung Exklusivitätsklausel Technologie Data Breach Nutzungsrecht Kartellrecht jahresabschluss Erschöpfungsgrundsatz urheberrechtsschutz Hinweispflichten informationstechnologie Selbstverständlichkeiten arbeitnehmer Schleichwerbung Wettbewerbsrecht Sponsoring Meinung Linkhaftung ransom Großbritannien Informationspflicht Voice Assistant §75f HGB Urteile Leipzig Extremisten Umtausch brexit Preisangabenverordnung Störerhaftung wallart Osteopathie Corporate Housekeeping Schöpfungshöhe Suchalgorithmus copter § 4 UWG gender pay gap Touristik Personenbezogene Daten USPTO nutzungsrechte E-Commerce zahlungsdienst Haftung Internetrecht Datenpanne Double-Opt-In Facial Recognition schule Social Media Sitzverlegung Wettbewerbsverbot Email 3 UWG wetteronline.de Europawahl Kinder Urteil Kundenbewertungen handelsrecht § 15 MarkenG gezielte Behinderung Auftragsverarbeitung Digitalwirtschaft Gesamtpreis Medienrecht Panorama Adwords Unterlassungsansprüche Persönlichkeitsrecht Newsletter Polen Conversion Pseudonomisierung c/o Berlin gesellschaftsrecht Customer Service Panoramafreiheit Notice & Take Down Bewertung custom audience Abmahnung Analytics Instagram verlinkung Human Resource Management Wettbewerb Leaks Einwilligung Spielzeug OTMR Online Shopping fotos EuGH Einwilligungsgestaltung videoüberwachung Einzelhandel Team Spirit Content-Klau fake news Mindestlohn Hacking Ruby on Rails Videokonferenz Hotels Onlineplattform Barcamp Unionsmarke Weihnachten unternehmensrecht gdpr Kapitalmarkt Werbung Hotellerie Medienprivileg Dark Pattern Kennzeichnungskraft Irreführung FashionID AfD

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2023, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: