Wie müssen Cookie-Banner gestaltet sein? – Entscheidung des OLG Köln, Urteil vom 19.01.2024, Az. 6 U 80/23
Bild von donterase auf Pixabay
„Cookie-Banner“ oder sogenannte Cookie-Consent-Tools dienen in erster Linie dazu, die erforderlichen Einwilligungen von Nutzern eines Dienstes einzuholen, bevor Cookies auf ihren Geräten gespeichert werden. Diese kleinen Datenpakete können in vielerlei Hinsicht nützlich für Website-Betreiber sein, beispielsweise um das Nutzerverhalten zu analysieren, personalisierte Erfahrungen zu bieten und letztendlich die Benutzerfreundlichkeit ihrer Websites zu verbessern. Die Notwendigkeit für Cookie-Banner ergibt sich aus dem Telekommuniktion-Telemedien-Datenschutz-Gesetz (TTDSG), sowie der Datenschutz-Grundverordnung (DSGVO).
Die DSGVO verlangt von Website-Betreibern Transparenz dahingehend, wie sie personenbezogene Daten sammeln und anderweitig verarbeiten. Ebenso – falls die Datenverarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann – das Einholen einer Einwilligung. Speziell bei einem Zugriff auf Informationen, die auf dem Endgerät der Nutzer vorhanden sind, oder für den Fall einer Speicherung von Informationen auf dem Endgerät der Nutzer, die nicht „unbedingt erforderlich“ für den Betrieb der Website ist, wäre die vorherige Einwilligung der Nutzer erforderlich. Die Nutzer müssen laut DSGVO die Möglichkeit haben, ihre Zustimmung auf Grundlage ausreichender Informationen abzugeben, ohne Konsequenzen zu verweigern, oder zu widerrufen.
Durch das Vorschalten eines Cookie-Banners gewährleisten Website-Betreiber, dass sie die Privatsphäre ihrer Nutzer respektieren und rechtliche Vorgaben einhalten. Dies schafft nicht nur Vertrauen bei den Besuchern, sondern vermeidet auch potenzielle rechtliche Konsequenzen für die Betreiber. Doch nicht alle Cookie-Banner entsprechen automatisch den rechtlichen Vorgaben. Die Gestaltung dieser Banner spielt ebenfalls eine entscheidende Rolle. Wann ein Cookie-Banner rechtswidrig gestaltet ist, darüber entschied zuletzt das OLG Köln in seiner Entscheidung vom 19.01.2024.
Allgemeine Vorschriften für Cookie-Banner
Cookie-Banner müssen bestimmte rechtliche Vorschriften und Anforderungen erfüllen, um den Datenschutz und die Privatsphäre der Nutzer im Internet zu gewährleisten. Diese Anforderungen werden auch im Anwendungsbereich von § 25 TTDSG aus der den Regelungen der DSGVO zur wirksamen Einholung einer Einwilligung abgeleitet.
So müssen Cookie-Banner klar und verständlich darüber informieren, welche Cookies gesetzt werden und zu welchem Zweck. Dies beinhaltet Informationen darüber, ob Cookies zwingend für die Zurverfügungstellung der Website und ihrer Funktionalitäten benötigt werden, oder zu anderen Zwecken, etwa zur Analyse des Nutzerverhaltens, zur Personalisierung von Inhalten oder für Werbezwecke verwendet werden. Nutzer müssen zudem ihre Einwilligung zur Verwendung von Cookies aktiv und freiwillig geben. Dies bedeutet, dass bevor der Nutzer zugestimmt hat, keine Cookies, außer den unbedingt notwendigen, geladen werden dürfen.
Cookie-Banner müssen daher eine klare Unterscheidung zwischen unbedingt notwendigen Cookies und optionalen Cookies bieten. Notwendige Cookies sind jene, die für die grundlegende Funktionalität der Website erforderlich sind. Optionale Cookies hingegen, sind z.B. Tracking- und Analyse-Cookies. Dem Nutzer muss es möglich sein, seine Präferenzen bezüglich der verschiedenen Cookie-Kategorien individuell anzupassen. Eine pauschale Zustimmung oder Ablehnung aller Cookies entspricht dem nicht.
Urteil des OLG Köln vom 19.01.2024, Az. 6 U 80/23
Website-Betreiber haben in der Regel ein Interesse daran, dass der Nutzer auch in die Verwendung optionaler Cookies einwilligt. Dies führt in der Praxis oft zu Banner-Designs, die Wahrnehmung und Verhalten des Nutzers durch Gewöhnung oder komplizierte Entscheidungswege beeinflussen wollen („Dark Pattern“). Ein Beispiel hierfür ist die Gestaltung von Einwilligungs-Buttons in knalligen Farben, während die Schaltfläche „Ablehnen“ unauffällig grau unterleg ist (sogenanntes „Nuding). Inwieweit solche Designentscheidungen zulässig sind, oder die freie Wahl des Nutzers einschränken, kann man nicht pauschal beantworten. Grundsätzlich sind Website-Betreiber in der Gestaltung ihrer Cookie-Banner frei, solange sie den Anforderungen an eine wirksame Einwilligung nicht entgegen stehen.
In der vorbezeichneten Entscheidung urteilte das OLG Köln nun zu der Gestaltung eines rechtswidrigen Cookie-Banners. Die folgende Entscheidung kann daher Orientierung in der oben angesprochenen Problematik bieten.
Sachverhalt
Die beklagte Website-Betreiberin setzte auf ihrer Website optionale Cookies und holte sich die entsprechende Einwilligung über ein Cookie-Banner ein. Auf der ersten Seite des Banners gab es zwei Buttons: Einen blau hinterlegten „Akzeptieren“-Button und einen ausgegrauten „Einstellungen“-Butten. Zudem befand sich in der rechten oberen Ecke ein Kreuz, mit dem man das Banner schließen konnte. Neben diesem Kreuz stand der Schriftzug: „Akzeptieren und Schließen“.
Bild von ddd0510 auf Pixabay
Entscheidung bzgl. Cookie-Banner
Nach Ansicht des OLG Köln, entsprach der Cookie-Banner auf der Website der Beklagten entsprach nicht den rechtlichen Vorgaben des Gesetzgebers. Das Gericht kritisierte vor allem, dass das Cookie-Banner nicht transparent genug sei. Insbesondere wurde die Wahlmöglichkeit zwischen „Akzeptieren“ und „Einstellungen“ als unzureichend für eine echte Zustimmung im Sinne der Datenschutzbestimmungen angesehen. Nutzern werde so keine der Abgabe der Einwilligung gleichwertige Option zum Ablehnen angeboten. Dies beeinflusse die Freiwilligkeit der Zustimmung unrechtmäßig. Die Gestaltung des Banners führe dazu, dass Nutzer, die Cookies ablehnen wollten, umständlich in ein weiteres Menü geführt wurden. Im vorliegenden Fall fiel die „Akzeptieren“-Option durch eine auffällige blaue Farbgebung direkt ins Auge, während Optionen zum Ablehnen in einem unscheinbaren Grau gehalten waren. Auch im weiterführenden Menü wurden Zustimmungsoptionen farblich hervorgehoben, während das Ausschalten von unerwünschten Cookies manuell vorzunehmen war. Zusätzlich suggerierte das mit „Akzeptieren und speichern“ beschriftetes X in der oberen rechten Ecke fälschlicherweise die Möglichkeit zur Ablehnung.
Das OLG Köln urteilte daher, dass die vorliegende Designwahl, insbesondere der Button „Akzeptieren & Schließen“ in der oberen rechten Ecke, gegen die Grundsätze von Transparenz und Freiwilligkeit bei der Einwilligung verstieß, womit im Ergebnis keine wirksame Einwilligung der Nutzer eingeholt werden konnte.
Bild von Daniel Reche auf Pixabay
Ausblick und Fazit: Cookie-Banner
Dieser Fall verdeutlicht, dass die Art und Weise der Präsentation von Einwilligungsoptionen einen signifikanten Einfluss auf die Entscheidungsfindung der Nutzer haben kann. Websites, die ihre Cookie-Banner nicht den gesetzlichen Anforderungen entsprechend gestalten, riskieren nicht nur rechtliche Konsequenzen, sondern können auch das Vertrauen ihrer Nutzer verlieren.
Für Website-Betreiber ist es wesentlich, Datenschutzbestimmungen ernst zu nehmen und benutzerfreundliche Cookie-Banner mit echten Wahlmöglichkeiten zu nutzen um sich vor Abmahnungen oder aufsichtsbehördlichen Maßnahmen abzusichern. Angesichts sich ständig weiterentwickelnder Rechtsprechung und Technologien ist es entscheidend, aktuelle Trends und Urteile im Bereich des Datenschutzes im Auge zu behalten. Die Balance zwischen Nutzerfreundlichkeit und rechtlichen Anforderungen zu finden, wird dabei eine fortwährende Herausforderung bleiben. Für eine Beratung im Einzelfall kontaktieren Sie gerne unsere Rechtsanwälte von LLP Law|Patent in München.
Richard Metz | Rechtsanwalt und externer Datenschutzbeauftragter (TÜV zertifiziert)
Herr Rechtsanwalt Richard Metz ist Ihr Ansprechpartner für datenschutzrechtliche Themen. Er unterstützt Sie insbesondere bei der datenschutzgerechten Einführung neuer Produkte, der Erstellung und Prüfung datenschutzrelevanter Verträge und Dokumente oder der rechtlichen Prüfung und Bewertung von Datenverarbeitungsvorgängen oder Datenschutzsachverhalten mit grenzüberschreitendem Bezug. Ein weiterer Schwerpunkt seiner Tätigkeit besteht in den Bereichen Urheberrecht und Wettbewerbsrecht.
Herr Rechtsanwalt Metz ist ferner als externer Datenschutzbeauftragter (TÜV zertifiziert) für deutschlandweit bzw. international operierende mittelständische IT-Unternehmen und Start-ups tätig.
