IT/Datenschutz
Nutzertracking ohne Einwilligung bei Focus Online – Landgericht München I fällt richtungsweisendes Urteil
Mit Blick auf die Verwendung von Cookie-Bannern hat das Landgericht München I in seinem kürzlich veröffentlichten Urteil (Az. 33 O 14776/19) vom 29.11.2022 weitere Klarheit in Bezug auf die Voraussetzungen für einen datenschutzkonformen Einsatz von Cookie-Bannern gesorgt.
Die Klage des Verbraucherzentrale Bundesverbandes e.V. (vzbv) gegen die BurdaForward GmbH als Betreiberin der Webseite, hatte den Cookie-Banner des Nachrichtenmagazins Focus.de zum Gegenstand. Dieser verstoße nach der Auffassung des vzbv gegen die Datenschutz Grundverordnung (DS-GVO) und das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG).
Einsatz von „Dark Pattern“ und Informationsüberflutung
Aus datenschutzrechtlicher Sicht problematisch sei, die grafische Ausgestaltung des Cookie-Banners, die nicht dazu geeignet sei, informierte und freiwillige Einwilligungen der Nutzer einzuholen, so der vzbv. Dies deshalb, da die Zustimmung zum Nutzertracking direkt auf der ersten Ebene möglich war, die Ablehnung der Cookies jedoch unauffällig auf der zweiten Ebene platziert wurde.
Damit kritisiert der Bundesverband vor allem den Einsatz sogenannter „Dark Patterns“ im Cookie Banner von Focus.de. Dabei handelt es sich um ein User-Interface, welches dem Zweck dient, den Webseitenbesucher zu Handlungen zu verleiten, die dessen Interessen entgegenlaufen. Als Beispiele werden farbige Hervorhebung der Einwilligung in großer Schrift und eine Graufärbung der Ablehnung in kleiner Schrift oder die erschwerte Ablehnungsmöglichkeit von Cookies auf der zweiten Ebene des Banners genannt werden.
Nach der Verhängung von enormen Bußgeldern durch Datenschutzbehörden, hatten Google und Facebook ihre Cookie-Banner bereits Anpassungen unterzogen. Die Beklagte verteidigte ihr Vorgehen mit dem Argument, das TTDSG, sehe nicht ausdrücklich vor, dass Besucher bereits auf der ersten Ebene eines Cookie-Banners alle Datenverarbeitungen mit einem Klick ablehnen können (Alles-Ablehnen Button) und sich stattdessen an die „Zweistufigkeit“ von Bannern gewöhnt hätten.
Das Landgericht München I urteilte folgte der Argumentation des vzbv, da der Cookie-Banner von Focus.de, den Webseitenbesucher zu viel Zeit kosten würde, die Einwilligung in die Datenverarbeitung zur Datenverarbeitung bzw. zum Tracken seines Nutzerverhaltens zu verweigern.
Gegen eine informierte und freiwillige Einwilligung spreche auch die Informationsüberflutung des Webseitenbesuchers durch den Cookie-Banner. Unter dem Punkt „Privatsphäre-Einstellungen“ wurde Nutzer mit mehr als 140 Bildschirmseiten sowie mehr als 100 Drittanbieter konfrontiert. Eine solche Fülle an Informationen sei von einem durchschnittlichen Nutzer nicht mehr sinnvoll zu erfassen.
Bedeutung des Urteils für den Rechtsanwender
Das Urteil ist in der Tat richtungsweisend, denn bisher hatten ausschließlich Datenschutzorganisationen, Verbraucherverbände und Datenschutzaufsichtsbehörden (die belgische Datenschutzaufsichtsbehörde verhängte im Februar 2022 ein Bußgeld gegen IAB Europe, siehe dazu auch den HEUSSEN-Blogbeitrag vom 04.02.2022) zu den Voraussetzungen eines datenschutzkonformen Einsatzes von Cookie-Bannern Stellung bezogen. Durch das Urteil des Landgericht München I, folgt nun aber eine praxisrelevante Klarstellung in Form eines höchstrichterlichen Urteils.
Wesentliches Kriterium für die Ausgestaltung eines datenschutzkonformen Cookie-Banners bleibt demnach die Einhaltung der Anforderungen an die Einwilligung nach DS-GVO und TTDSG. Insbesondere muss der Webseitenbesuche transparent über die Datenverarbeitung informieren und bei Einwilligungen auf sog. dark patterns verzichten. Werden diese Anforderungen durch Webseitenbetreiber nicht erfüllt, kann insbesondere im Bereich des Nutzertrackings oder der personalisierten Werbung nicht auf die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DS-GVO) zurückgegriffen werden.
