Consent Management: Abmahnfalle „Cookie-Banner“?

Geschrieben am

In der Folge der Entscheidung des Europäischen Gerichtshofs in Sachen „Planet49“ ist klar: Wer auf seiner Website Cookies setzt, muss dazu von seinen Website-Besuchern eine Einwilligung einholen. Davon ausgehend scheint sich jetzt eine „Abmahnfalle“ aufzutun.

Was ist passiert?

Wir sind kürzlich auf Abmahnungen in Bezug auf die Nutzung von Consent Management Plattformen (CMPs) gestoßen. Darin wurde die Ausgestaltung der Zustimmung und der entsprechenden Schaltflächen angegriffen.

Das abgemahnte Unternehmen bot beim Aufrufen der Website mit einer Schaltfläche „Akzeptieren“ die Zustimmung zur Verwendung von Cookies und ähnlichen Technologien an. Unter „Mehr Informationen“ konnten die Nutzer die Zustimmung ablehnen und Einstellungen verwalten.

Laut der Abmahnung verstieße dies schon gegen das Verbot des EuGH, vorangekreuzte Kästchen zu verwenden, da das Kästchen mit „Akzeptieren“ bereits „voreingestellt“ sei.

Was ist daraus zu folgern?

Ob solche Abmahnungen tatsächlich berechtigt sind, ist bislang nicht eindeutig geklärt.

Die Argumentation der Abmahner beruht auf der Kritik an der Praxis des so genannten Nudgings und dessen Auswirkung auf die Freiwilligkeit von Einwilligungen angelehnt sein. Mit Nudging wird eine unzulässige Einflussnahme auf die Entscheidung des Nutzers beschrieben. Dieser wird etwa durch die Gestaltung der Auswahlmöglichkeiten dahin geleitet, seine Zustimmung zu erteilen und die ablehnenden Alternativen nicht gleichwertig wahrzunehmen.

Die Landesbeauftragte für den Datenschutz in Niedersachsen (LfD NI) hat bekanntlich im November 2020 eine Handreichung zu „datenschutzkonformen Einwilligungen auf Webseiten“ veröffentlicht, wonach Nudging je nach konkreter Ausgestaltung zur Unwirksamkeit der eingeholten Einwilligungen führen kann:

  • Demnach müssen Website-Besucher bei der Abgabe ihrer Einwilligung über eine CMP eine echte Wahl haben und dürfen nicht in unzulässiger Weise beeinflusst werden. Eine unzulässige Einflussnahme kann beispielsweise darin liegen, dass die „Zustimmen“-Option im Vergleich zur „Ablehnen“-Option durch Farbe, Schriftschnitt und sonstige Hervorhebungen auffälliger gestaltet wird oder für das Ablehnen mehr Klicks erforderlich sind als für das Zustimmen.

Nachdem EuGH und BGH entschieden haben, dass vorangekreuzte Kästchen, die der Nutzung zur Verweigerung einer Einwilligung abwählen muss grundsätzlich keine Einwilligung darstellen, entschied das LG Rostock Ende letzten Jahres (Az. 3 O 762/19), dass auch eine entsprechende Gestaltung des Cookie-Banners wie vorangekreuzte Kästchen als unzulässig zu bewerten sein kann:

  • Sofern sämtliche Cookies vorausgewählt und etwa mit einer grün unterlegten Schaltfläche „Cookies zulassen“ aktiviert werden, sei dies wie die vom BGH entschiedene Konstellation der vorangekreuzten Kästchen zu bewerten. Der Nutzer würde regelmäßig den Aufwand des Abwählens scheuen und deshalb die Cookies bestätigen. Dies gelte jedenfalls, wenn der Nutzer keine echte Wahlmöglichkeit zum Ablehnen hat, etwa weil diese nicht als gleichwertige Schaltfläche zu erkennen sei.

Inwieweit das so genannte Nudging damit noch zulässig ist, lässt sich aktuell vor dem Hintergrund der gegenwärtigen Lage nicht abschließend bewerten. Eine höchstrichterliche Klärung bezogen auf die Darstellung eines Banners und der Schaltflächen sowie der damit verbundene Beurteilung des Nudgings steht noch aus. Zwar scheint es nicht zwingend, dass jede vergleichbare Konstellation mit bereits vorangekreuzten Kästchen gleichzusetzen ist. Aufgrund der Äußerungen von Behörden und nun zumindest auch erster Gerichte, die die Gestaltungsmöglichkeiten einschränken, dürften bestimmte Gestaltungen jedenfalls mit einem Risiko behaftet sein.

Auch aufgrund dieser Unklarheit wird von vielen Anbietern versucht, den bestehenden Rahmen weitestmöglich auszunutzen, um keine zu großen Nachteile bezüglich der Zustimmungsraten hinnehmen zu müssen.

Im Rahmen des geplanten neuem Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG, BT-Drs 19/27441) werden sogar Vorgaben wie eine „einfache Gestaltung beispielsweise mithilfe von nur zwei Buttons („Einwilligen“, „Ablehnen“)“ diskutiert, die somit in Zukunft(!) verpflichtend werden könnten.

Zu aktuell verwendeten Gestaltungen:

In aktuell häufig eingesetzten Gestaltungen könnte so z.B. kritisiert werden, dass der Nutzer keine freie Auswahl über die zuzulassenden Cookies trifft, sondern mit einem Klick auf „OK“ oder „einverstanden“ alle Cookies ohne deren Kenntnis zulässt bzw. sich erwartungsgemäß regelmäßig keine Kenntnis darüber verschafft. Dafür würde sprechen, dass er in der ersten Schicht der CMP auch keine direkte Abwahlmöglichkeit angeboten bekommt. Die Schaltfläche für die Einwilligung ist häufig deutlich gegenüber der Ablehnungsmöglichkeit hervorgehoben und besser als solche zu erkennen.

Zur weiteren Verringerung des damit verbundenen Risikos wäre zu empfehlen, dass

  1. neben den Schaltflächen „Zustimmung“ und „Einstellungen“ eine dritte Möglichkeit angeboten wird, mit einem Button, der z. B. „nur notwendige Cookies“ zulässt und eine Ablehnung der sonstigen Cookies mit einem Klick ermöglicht. (Der Nutzer sollte somit auf der ersten Ebene eine echte Wahl haben zwischen Zustimmen und Ablehnen),
  2. die Buttons in Farbe, Schriftschnitt gleichberechtigt nebeneinander stehen und leicht als Buttons/Auswahlmöglichkeiten zu erkennen sind und dass
  3. schon aus dem Informationstext stets eindeutig hervorgeht, wozu im Falle des Zustimmens die Einwilligung erteilt wird.

Dass noch darüber hinaus gehende Gestaltungen nötig sind, bei denen die Einwilligung für jeden Anbieter bzw. jedes Cookie einzeln angeklickt werden muss, erscheint zumindest praktisch kaum vorstellbar (wobei auch dies nach der Entscheidung des LG Rostock zumindest möglich wäre).

Insgesamt ist zu bedenken, dass aktuell die rechtliche Bewertung der Gestaltung von Cookie-Einwilligungen u.ä. noch im Fluss ist und vielmals sehr unterschiedlich ausfällt und dass es aktuell wegen unterschiedlicher Interpretationen der geltenden Gesetze und Rechtsprechung, noch keine vollständig sichere Lösung gibt. Darüber hinaus gelten natürlich die weiteren Hinweise zur Nutzung von Cookies und ähnlichen Technologien, auf die wir hier nicht gesondert eingehen.

Für Rückfragen oder konkrete Einschätzungen im Einzelfall stehen wir natürlich gern zur Verfügung.