Datenschutz-Falle: Cookie Banner müssen eine echte Wahl lassen
Das OLG Köln stellte mit einem Urteil von Januar 2024 (6 U 80/23) klar, dass Cookie-Banner fair gestaltet sein müssen und Verbraucher:innen eine echte Wahl lassen müssen, ob sie Cookies akzeptieren wollen oder nicht. Geklagt hatte eine Verbraucherschutzorganisation. Sie beanstandete mit Erfolg, dass die erste Seite eines Cookie-Banners die Möglichkeit vorsehen muss, Cookies abzulehnen oder zu akzeptieren. Ebenso erfolgreich rügte sie eine Gestaltung, bei der neben dem Schriftzug „Akzeptieren und Schließen“ ein „X“ stand.
Hintergrund
Beklagte in dem Verfahren war eine Website-Betreiberin, die technisch nicht erforderliche Cookies auf ihrer Website setzte und zur Einholung einer Einwilligung einen Cookie-Banner nutze. Dieses sah auf der ersten Seite so aus:
Das OLG Köln bestätigte die Auffassung der Klägerin, dass die Gestaltung des Cookie-Banners der Beklagten nicht den datenschutzrechtlichen Anforderungen genügte. Das Gericht erläuterte, dass Cookie-Banner geeignet sein können, datenschutzrechtliche Einwilligungen für Cookies einzuholen. Solche können dann erforderlich sein, wenn ein Cookie (oder vergleichbare Technologien) nicht unbedingt erforderlich für das Angebot eines Telemediums, wie etwa Apps oder Webseiten, sind.
Rechtliche Einordung
Das Cookie-Banner der Beklagten erfüllte nach den Feststellungen des Gerichts nicht die gesetzlichen Anforderungen, in diesem Fall also nach Datenschutz-Grundverordnung und Telekommunikation-Telemedien-Datenschutz-Gesetz. Die Beklagte habe bei den Cookie-Bannern intransparente Designs verwendet.
Die bloße Auswahl zwischen „Akzeptieren“ und „Einstellungen“ sei jedoch keine echte Wahl im Sinne der datenschutzrechtlichen Anforderungen an eine informierte Einwilligung.
Betroffenen Personen würde durch die konkrete Gestaltung gerade keine gleichwertige Ablehnungsoption angeboten, weshalb sie zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies angehalten werden, sodass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt angesehen werden könne.
Betroffene Personen könnten nämlich auf der ersten Ebene des Cookie-Banners zwar sofort zustimmen, möchten sie aber ablehnen, werden sie auf die zweite Ebene geleitet. Zudem sei das Feld „Akzeptieren“ in einem auffälligen Blau dargestellt, während die Einstellungen zum Ablehnen der Einwilligungserteilung in einem Grau dargestellt werden. Ferner werde auch auf der zweiten Ebene im selben Design die Zustimmung der Einwilligung farblich hervorgehoben, während die Ablehnung manuell ausgeschaltet werden müsse (Cookie-Opt-out). Hinzutrete, dass im Layout auf der oberen rechten Seite ein X mit „Akzeptieren und speichern“ angebracht sei, das den Eindruck erwecke, man könne die Einwilligung ablehnen.
Daher verstoße auch die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung.
Fazit und Folgen für die Praxis
Die Entscheidung betont, dass Website-Betreiber:innen die Einwilligungserklärung nicht mithilfe von Designgestaltungen so gestalten dürfen, dass Nutzende zu einer für sie nachteiligen Entscheidung beeinflusst werden sollen (sog. dark patterns).
Die von Unternehmen in der Praxis häufig verwendeten Cookie-Banner erschweren den Betroffenen in den meisten Fällen die Ablehnung in das Online-Tracking. Auch wenn die Unternehmen in der Gestaltung der Cookies grundsätzlich frei sind, müssen die jeweiligen Optionen gleichwertig ausgewählt werden können.
Das Bayerische Landesamt für Datenschutz hat Ende Dezember 2023 eine Prüf-Kampagne eingeleitet, die bis Mai 2024 dauern soll und die Einhaltung von datenschutzrechtlichen Anforderungen auf Webseiten und in Apps überprüft. Die Gestaltung von Einwilligungsprozessen steht dabei im Mittelpunkt. Dies zeigt, dass Unternehmen ihre Cookie-Banner oder Cookie-Dashboards entsprechend den gesetzlichen Vorgaben, dem Fragebogen der bayerischen Behörde, sowie ergänzend der Orientierungshilfe für Anbieter:innen von Telemedien überprüfen sollten.
Ansonsten besteht für Unternehmen das Risiko einer Unterlassungsklage von Verbraucherschutzverbänden – und selbstverständlich noch das Risiko von Schadenersatzforderungen und Bußgeldern.