Abmahnfalle Cookie-Banner: Das müssen Sie jetzt wissen

Inhaltsverzeichnis:

1. Wie ist die Rechtslage?
2. Alles neu durch das TTDSG?
3. Was bedeuten die Neuregelungen für Sie?
4. Achtung Abmahnwelle
5. DSGVO-Beschwerdewelle und "dark patterns"
6. Was sagen die Datenschutzbehörden?
7. Unser Tipp

Diesen Artikel jetzt als Podcast anhören

Der Einsatz von Cookies ist aus dem Internet-Alltag nicht mehr wegzudenken. Seitenfüllende Cookie-Banner werden nahezu auf jeder Webseite eingesetzt, um über die Verwendung von Cookies zu informieren und erforderliche Einwilligungen einzuholen. Die graphischen und inhaltlichen Darstellungen könnten dabei kaum unterschiedlicher sein.

Allerdings erfüllen eine Vielzahl der verwendeten Cookie-Banner die gesetzlichen Anforderungen nicht. Nun gab es eine erste Abmahnwelle und auch Datenschutzorganisationen nehmen Cookie-Banner ins Visier.

In diesem Rechtstipp der Woche haben wir für Sie die wichtigsten Gesetzesänderungen des TTDSG zusammengefasst und informieren Sie über juristische Fallstricke, die Gegenstand aktueller Abmahnungen und DSGVO-Beschwerden sind.

Wie ist die Rechtslage?

Für den rechtssicheren Einsatz von Cookies sind sowohl europäische als auch nationale Vorschriften einzuhalten. Insbesondere das Nebeneinander der verschiedenen Gesetze führt immer wieder zu Rechtsunsicherheit. Vor diesem Hintergrund wurde das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet, welches die bestehenden Vorschriften zusammenführt und am 01.12.2021 in Kraft tritt.

Bisherige Rechtslage beim Einsatz von Cookies

Der BGH hatte sich bereits vor einigen Jahren mit der Frage zu beschäftigen, ob für den Einsatz technisch nicht notwendiger Cookies eine vorherige ausdrückliche Einwilligung der Nutzer erforderlich ist. In dem zu entscheidenden Fall ging es um ein Ankreuzfeld für die Einwilligung in das Einsetzen von Cookies, bei dem ein voreingestelltes Häkchen gesetzt war.

Grund für den Rechtsstreit war Art. 5 Abs. 3 der e-Privacy-Richtlinie 2002/58/EG (auch Cookie-Richtlinie genannt). Die europäische Richtlinie, die durch den deutschen Gesetzgeber hätte umgesetzt werden müssen, sah vor, dass eine Einwilligung ein aktives Verhalten der Nutzer zur Speicherung und zum Abruf von Informationen auf einem Endgerät voraussetzt. Diese Opt-In Pflicht wurde in Deutschland allerdings nicht umgesetzt. Stattdessen ging die deutsche Umsetzung in § 15 Abs. 3 TMG davon aus, dass Cookies ohne Einwilligung gesetzt werden dürfen und nur ein Opt-Out ermöglicht werden müsse.

EuGH und BGH entscheiden

Der BGH setzte das Verfahren im Jahre 2017 aus und legte dem EuGH verschiedene Fragen vor, die die Auslegung von Unionsrecht im Hinblick auf die Wirksamkeit von voreingestellten Zustimmungskästchen für den Einsatz von Cookies betrafen. Der EuGH entschied daraufhin in der Rechtssache C-673/17, dass eine aktive Zustimmung für eine wirksame Einwilligung in die Nutzung von Cookies notwendig sei. Eine voreingestellte Opt-out-Funktion sei nicht ausreichend.

Eine Ausnahme sah der EuGH für Cookies, die für die Bereitstellung der gewünschten Dienste unbedingt erforderlich seien. Solche Cookies könnten z. B. User-Input-Cookies (für den Warenkorb), Authentifizierungscookies, nutzerorientierte Sicherheitscookies oder Cookies zur Anpassung der Benutzeroberfläche sein.

Im Anschluss daran entschied der BGH, dass § 15 Abs. 3 TMG richtlinienkonform auszulegen sei und für den Einsatz von Cookies eine ausdrückliche Einwilligung erforderlich sei. Der deutsche Gesetzgeber habe die Vorgaben der e-Privacy-Richtlinie nicht ordnungsgemäß umgesetzt.

Weitere Informationen zum Verfahren finden Sie in diesem Rechtstipp der Woche.

Alles neu durch das TTDSG?

Den Widerspruch zwischen der europäischen Cookie-Einwilligungspflicht und der bisherigen nationalen Umsetzung nahm der deutsche Gesetzgeber zum Anlass, das ausdrückliche Einwilligungserfordernis für den Einsatz technisch nicht notwendiger Cookies im neuen TTDSG gesetzlich zu verankern.

Nach § 25 TTDSG gilt:

1. Dritte dürfen Informationen auf Endeinrichtungen des Endnutzers nur speichern oder auf gespeicherte Informationen zugreifen, wenn der Endnutzer darüber informiert wurde und eingewilligt hat.
2. Die Information und die Einwilligung müssen nach den Vorschriften der DSGVO zu erfolgen.
3. Eine Ausnahme von der Einwilligungspflicht besteht für technisch zwingend notwendige Cookies und für Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Bei Verstößen gegen die Cookie- Einwilligungspflicht drohen gemäß § 28 Abs. 1 Nr. 13 und Abs. 2 TTDSG Bußgelder von bis zu 300.000 €!

Was bedeuten die Neuregelungen für Sie?

Wesentliche Änderungen sind mit dem neuen TTDSG nicht verbunden. Die Cookie-Einwilligungspflicht wird seit dem EuGH- bzw. BGH-Urteil bereits umgesetzt und findet nun eine ausdrückliche gesetzliche Verankerung. Einzig neu ist der Bußgeldtatbestand, nach dem Verstöße gegen Cookie-Einwilligungen mit bis zu 300.000 € geahndet werden können.

Achtung Abmahnwelle!

Bei einer deutschlandweiten Aktion ging auch die Verbraucherzentrale Bundesverband gegen rechtswidrige Cookie-Banner vor und untersuchte bisher knapp 1.000 Webseiten aus unterschiedlichen Branchen wie Reise, Lebensmittel-Lieferdienste oder Versicherungen. Dabei wurden viele eindeutig rechtswidrige Banner gefunden, z. B. solche, die Einstellungen schon vorangekreuzt hatten oder Nutzer zu einer Einwilligung bewegten, indem sie festlegten, dass durch Weitersurfen alle Cookies akzeptiert werden. Teilweise war gar kein Banner vorhanden, obwohl Informationen gespeichert wurden. Daneben gab es viele Banner, die sich in einer rechtlichen Grauzone bewegten, d.h. sie wirkten auf den ersten Blick zulässig, versuchten aber durch ihre Gestaltung, die Entscheidung der Nutzenden zu beeinflussen.

Die Verbraucherzentrale verschickte daraufhin 98 Abmahnungen wegen Verstöße gegen TMG und DSGVO.

Übrigens: Sollten Sie auch eine Abmahnung aufgrund Ihres Cookie-Banners erhalten haben, helfen wir Ihnen gerne weiter. Hier können Sie eine kostenlose Beratung vereinbaren.

Was ist Ihre Erfahrung mit Abmahnungen? Wir freuen uns auf Ihre Teilnahme an der Trusted Shops Abmahnumfrage.

DSGVO-Beschwerdewelle und "dark patterns"

Parallel startete die Datenschutzorganisation noyb die größte Beschwerdewelle seit Inkrafttreten der DSGVO. noyb verschickte insgesamt 560 Beschwerden an Unternehmen, die rechtswidrige Cookie-Banner verwendeten. Zunächst übermittelten sie Beschwerden an die betroffenen Unternehmen und forderten sie zum Nachbessern auf. Gegen die Unternehmen, die dieser Aufforderung nicht nachkamen legten sie bei der zuständigen Datenschutzbehörde Beschwerde ein.

Beanstandet wurden vor allem sog. „dark patterns“. Darunter versteht man graphische Gestaltungen, die Nutzer zu einer Handlung bringen sollen, die eigentlich nicht ihren Absichten entspricht. Im Fall von Cookie-Bannern werden beispielsweise Buttons, Aufbau und Beschriftung gezielt so gewählt, dass am ehesten eine datenschutzfeindliche Auswahl getroffen wird und gegen eigenen Interessen agiert wird.

Auch das LG Rostock (Urt. v. 15.09.2020 - 3 O 762/19) entschied, dass eine grün hinterlegte Schaltfläche „Cookies zulassen“ und eine hell grau hinterlegte Schaltfläche „Nur notwendige Cookies zulassen“ den gesetzlichen Anforderungen nicht genüge. Der grau hinterlegte Button trete aufgrund der farblichen Ausgestaltung in den Hintergrund und werde von Verbrauchern nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen.

Was sagen Datenschutzbehörden?

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Consent Guidelines aus dem Mai 2020 festgelegt, dass keine Einwilligung in die Verwendung technisch nicht notwendiger Cookies durch nur einfache Handlungen (z.B. durch Weiterscrollen) vorliege.

Auch die Landesdatenschutzbeauftragte des Landes Niedersachsen hat sich im November 2020 dieser Auffassung in einer Handreichung zu datenschutzkonformen Einwilligungen auf Webseiten angeschlossen. Ihrer Einschätzung nach sei zudem sog. „Nudging“ unzulässig. Nudging könne je nach Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen.  „Nudging“ und „dark patterns“ sind vergleichbar und bezeichnen beides Techniken, durch die das Verhalten der und Nutzer beeinflusst werden soll.

Beispiele für Nudging sei die auffälligere Gestaltung der „Zustimmen"-Option im Vergleich zur „Ablehnen"-Option– durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Oder wenn der Prozess des Ablehnens durch die jeweilige Ausgestaltung verkompliziert werde. Zum Nudging gehöre auch, nach der Ablehnung von Cookies wiederholt nach einer Einwilligung zu fragen.

Unser Tipp 

Mit Inkrafttreten des TTDSG wird das ausdrückliche Einwilligungserfordernis in die Verwendung technisch nicht notwendiger Cookies erstmalig gesetzlich verankert, um die europäische Richtlinie ordnungsgemäß in nationales Recht umzusetzen. Wesentliche Änderungen zur bisherigen Rechtslage ergeben sich in der Praxis daraus allerdings nicht.

Dennoch ist es umso wichtiger, dass Sie jetzt sichergehen, dass Ihr Cookie-Banner den rechtlichen Anforderungen genügt, da sowohl Datenschutzorganisationen als auch Verbraucherverbände das Thema auf ihrer Agenda haben. Die Abmahn- und Beschwerdewellen zeigen, dass das Thema Cookies nicht an Brisanz verliert und kostspielige Folgen beim Einsatz rechtswidriger Cookie-Banner drohen.

Der Trusted Shops Consent-Manager bietet eine rechtssichere Lösung, wirksame Einwilligungen in das Setzen von Cookies einzuholen. Aktuelle Entwicklungen werden von unserem Datenschutz-Team kontinuierlich eingearbeitet, sodass Sie auch dauerhaft auf der sicheren Seite sind.