Das VG Hannover hat entschieden, dass ein Cookie-Banner / Cookie-Consent-Tool für technisch nicht notwendige Cookies eine "Alles ablehnen"-Schaltfläche enthalten muss.
Die dazugehörige Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen: Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss
Auf nahezu jeder Webseite im Internet werden Nutzerinnen und Nutzer beim Öffnen mit einem Einwilligungsbanner konfrontiert. Viele weisen eine Schaltfläche mit der Bezeichnung „Alle akzeptieren“ auf, die Nutzerinnen und Nutzer häufig anklicken werden, damit der Einwilligungsbanner verschwindet und der Inhalt der Webseite gelesen werden kann. Mit diesem Klick wird allerdings die Erlaubnis erteilt, dass unter Umständen sehr viele Cookies und andere Trackingtechnologien eingesetzt werden, um detaillierte Nutzerprofile zu generieren und in Echtzeit personalisierte Werbung auf der Webseite auszuspielen.
Der Landesbeauftragte für den Datenschutz in Niedersachsen setzt sich seit vielen Jahren gegen manipulativ gestaltete Einwilligungsbanner und für wirksame – insbesondere informierte und freiwillige – Einwilligungen ein. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt und die Rechte von Internetnutzerinnen und -nutzern in Sachen Datenschutz gestärkt: Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt. Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, so das Verwaltungsgericht Hannover in seiner Urteilsbegründung. Andernfalls seien die derart eingeholten Einwilligungen unwirksam, was einen Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie die Datenschutz-Grundverordnung darstellt.
Hintergrund des Verfahrens war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem niedersächsischen Medienhaus. Dieses hatte Cookie-Einwilligungen mittels eines Banners eingeholt – ohne Nutzerinnen und Nutzern eine echte Wahlmöglichkeit zu bieten.
Gericht erkennt mehrere Verstöße
Das Verwaltungsgericht kritisierte die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht:
das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
die Überschrift „optimales Nutzungserlebnis“ und die Beschriftung „akzeptieren und schließen“ auf dem Schließen-Button waren irreführend,
der Begriff der „Einwilligung“ fehlte vollständig,
die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.
Das Gericht erkannte, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.
Dazu der Landesbeauftragte für den Datenschutz in Niedersachsen, Denis Lehmkemper: „Die allermeisten Menschen sind vermutlich von Cookie-Bannern genervt. Diese erfüllen jedoch eine wichtige Funktion für die Aufrechterhaltung der Privatsphäre im Internet. Genau deshalb setzen sich die Datenschutz-Aufsichtsbehörden für eine echte Wahlmöglichkeit bei der Gestaltung der Banner ein. Diese Wahlmöglichkeit wird von vielen Webseitenbetreibern bisher jedoch nicht umgesetzt. Ich hoffe, das Urteil sendet ein Signal an möglichst viele Anbieter und trägt so dazu bei, datenschutzkonforme Einwilligungslösungen umzusetzen.“
Das OLG Frankfurt hat entschieden, dass Microsoft für das Setzen von Cookies ohne Einwilligung über Websites Dritter haftet.
Die Pressemitteilung des Gericht: Cookie-Speicherung: Microsoft haftet für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter
Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseiten-Betreibern ein, die Cookies verwenden, haftet die hier beklagte Microsoft-Tochter für die mit ihrer Unternehmenssoftware begangene Rechtsverletzung. Es entlastet sie nicht, dass nach ihren Allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung Microsoft verpflichtet, es zu unterlassen, ohne Einwilligung Cookies auf Endeinrichtungen der Klägerin einzusetzen.
Die Klägerin wendet sich gegen die Speicherung und das Auslesen sog. Cookies zu werblichen Zwecken auf ihren Endgeräten ohne ihre Einwilligung. Die Beklagte gehört zur Microsoft Corporation (i.F: „Microsoft“). Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Über Microsoft Advertising können u.a. Informationen über die Besucher einer Webseite gesammelt und für die Besucher zielgerichtete Anzeigen geschaltet werden. Für die Erfassung der Onlineaktivitäten und Interessen der Nutzer verwendet die Beklagte sog. Cookies. Webseiten-Betreibern wird von der Beklagten ein Code zur Verfügung gestellt, den diese in ihre eigene Webseite bzw. dortige Anwendungen integrieren. Sobald die Seite aufgerufen wird, wird der Cookie gesetzt bzw. ein schon vorhandener ausgelesen. Das Setzen von Cookies wird ausschließlich von den Betreibern der Webseiten durch eine entsprechende Programmierung der Seite veranlasst. Microsoft verpflichtet die Betreiber der Webseiten vertraglich, für die erforderlichen Einwilligungen zu sorgen.
Die Klägerin besuchte Webseiten Dritter. Sie behauptet, dass ohne ihre Einwilligung Cookies auf ihrem Gerät gesetzt worden seien und begehrt von der Beklagten, es zu unterlasen, auf ihren Endgeräten ohne ihre Einwilligung Cookies einzusetzen.
Das Landgericht hat mit dem angefochtenen Urteil den Erlass der beantragten einstweiligen Verfügung abgelehnt. Hiergegen richtet sich die Berufung der Klägerin, die vor dem OLG Erfolg hatte. Der Klägerin stehe ein Unterlassungsanspruch zu. Durch das Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Die Klägerin habe substantiiert vorgetragen, dass auf ihren Geräten Cookies beim Besuch mehrerer Internetseiten ohne ihre Einwilligung gespeichert worden seien. Das Gesetz verpflichte auch die Beklagte. Es verbiete „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Beklagte hafte auch als Täterin für diese Rechtsverletzung. Sie speichere die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Zudem greife sie auf die hinterlegten Informationen zu, in dem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen haben. Sie habe damit die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht.
Soweit die Beklagte sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch - als auch rechtlich - möglich sei.
Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.
Oberlandesgericht Frankfurt am Main, Urteil vom 27.6.2024, Az. 6 U 192/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 3.11.2023, Az. 2-02 O 217/22)
Erläuterungen:
§ 2 TTDSG Begriffsbestimmungen
(1) Die Begriffsbestimmungen des Telekommunikationsgesetzes, des Digitale-Dienste-Gesetzes
und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gelten auch für dieses Gesetz, soweit in Absatz 2 keine abweichende Begriffsbestimmung getroffen wird.
(2) Im Sinne dieses Gesetzes ist oder sind
1.„Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt,
...
§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Der Regierungsentwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) nach § 26 Abs. 2 TTDSG (Einwilligung zum Speichern von Informationen nach § 25 Abs.1 TTDSG) liegt nunmehr mit Stand vom 07.03.2024 vor.
Aus dem Entwurf: A. Problem und Ziel
§ 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982; 2022 I S. 1045) (TTDSG) bestimmt, dass eine unabhängige Stelle Dienste anerkennen kann, die unter anderem nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten. Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer (§ 2 Absatz 2 Nummer 6 TTDSG) zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies oder ähnlich funktionierenden Trackingtechnologien. Anhand der im Cookie oder durch ähnliche Trackingtechnologien gespeicherten Informationen kann der Webserver unter anderem den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2, L 74 vom 4.3.2021, S. 35) eingewilligt hat. Eine Ausnahme vom Erfordernis einer Einwilligung in den Einsatz von Cookies oder ähnlichen Trackingtechnologien besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder wenn der Einsatz unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Endnutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, dass personenbezogene Daten verarbeitet werden. Die in Artikel 6 Absatz 1 Buchstabe b bis f der Verordnung (EU) 2016/679 vorgesehenen Möglichkeiten, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach einer Einwilligung in den Einsatz der unterschiedlichen Arten von Cookies oder ähnlicher Trackingtechnologien fragen. In der Praxis erfolgt dies mittels sogenannter Einwilligungsbanner. Einwilligungsbanner dienen den Anbietern von Telemedien auch dazu, Einwilligungen in die weitere Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 einzuholen, sodass Endnutzer häufig mit einer Vielzahl von Einwilligungsbannern im Internet Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffene Entscheidung darüber, ob er eine Einwilligung gegenüber einem Anbieter von Telemedien erteilt oder nicht erteilt, und sie übermitteln diese Entscheidung dem Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einwilligung oder die Nichterteilung der Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Nachfrage beim Endnutzer nach § 25 Absatz 1 Satz 1 TTDSG angewiesen. Die Endnutzer werden durch die Reduzierung von Einwilligungsanfragen entlastet.
§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch eine Rechtsverordnung mit Zustimmung des Bundestages und des Bundesrates Folgendes zu regeln:
- die Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren, die ein Dienst zur Einwilligungsverwaltung anbieten muss, um anerkannt zu werden,
- das Verfahren der Anerkennung und
- die technischen und organisatorischen Maßnahmen, damit Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbieter von Telemedien die über einen eingebundenen anerkannten Dienst zur Einwilligungsverwaltung verwalteten Einstellungen der Endnutzer hinsichtlich der Einwilligung nach § 25 Absatz 1 TTDSG berücksichtigen können.
Mit dieser Rechtsverordnung soll diese Ermächtigung umgesetzt werden.
B. Lösung
Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung soll den Endnutzern ein transparentes Werkzeug zur Verfügung stehen, mittels dessen sie ihre Einwilligungen erteilen oder nicht erteilen und ihre Entscheidungen jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine unabhängige Stelle soll für die Endnutzer und die Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen, und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen der Endnutzer nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne den Endnutzer bei der Inanspruchnahme ihres Dienstes durch die Einblendung ihres Einwilligungsbanners stören zu müssen. Neben der Verwaltung von erteilten und nicht erteilten Einwilligungen nach § 25 Absatz 1 TTDSG, die sich auf das Speichern und das Auslesen von Informationen auf Endeinrichtungen des Endnutzers beziehen, können die anerkannten Dienste zur Einwilligungsverwaltung auch, soweit es mit den Vorgaben von § 26 TTDSG und dieser Rechtsverordnung vereinbar ist, weitere Dienste für die Endnutzer übernehmen. Hierzu zählen beispielsweise die Geltendmachung von Datenschutz-Betroffenenrechten oder die Verwaltung von Einwilligungen in die Verarbeitung personenbezogener Daten. Letzteres kann insbesondere dann für Endnutzer und Anbieter von Telemedien vorteilhaft sein, wenn der Einsatz eines Cookies oder einer ähnlichen Trackingtechnologie die einwilligungsbedürftige Verarbeitung personenbezogener Daten zur Folge hat.
Das OLG Köln hat entschieden, dass ein Cookie-Banner so gestaltet sein muss, dass das Ablehnen genauso bequem wie das Akzeptieren ist. Zudem hat das Gericht entschieden, dass das Schließen des Cookie-Banners mit "X" keine wirksame Einwilligung darstellt.
Aus den Entscheidungsgründen: Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine gleichwertige, mithin auf klaren und umfassenden Informationen beruhende, Ablehnungsoption angeboten, weshalb er – wie vom Landgericht zutreffend ausgeführt – zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies abgehalten wird, so dass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO angesehen werden kann. Die erste Ebene enthält überhaupt keine Ablehnungsoption für den Verbraucher. Vielmehr kann dieser durch den Button „Einstellungen“ lediglich auf die zweite Ebene gelangen. Hier hat der Verbraucher dann die Auswahl zwischen dem Button „Alles Akzeptieren“ und dem Button „Speichern“. Wie vom Landgericht zutreffend ausgeführt, erschließt sich dem Durchschnittsnutzer aber bereits nicht, welche Funktion sich konkret hinter dem jeweiligen Button verbirgt bzw. mit welchem Button er nunmehr tatsächlich die Ablehnung der Cookies erreichen kann. Die Beklagte hat in erster Instanz selbst wiederholt ausgeführt, dass für den Verbraucher eine echte Wahlmöglichkeit gegeben sein müsse. Dies ist indes bei der hier aufgezeigten Gestaltung der Cookie-Banner gerade nicht der Fall.
Die Zurückweisung des Antrages zu b) – den der Kläger in der Berufungsinstanz in unveränderter Form gestellt hat – ist durch das Landgericht zu Unrecht erfolgt. Auch wenn der Kläger sich in der mündlichen Verhandlung zunächst dahingehend positioniert hat, dass es ihm gerade auf den Einschub zu a) ankomme und daher allenfalls dieser von dem beantragten Verbot isoliert erfasst sein solle, hat er letztlich den Antrag wie angekündigt gestellt und demgemäß hieran gerade nicht festgehalten. Durch die Verknüpfung und/oder bestand zwischen den Anträgen zu a) und b) ein echtes Alternativverhältnis, weshalb das Landgericht auch isoliert über den Antrag zu b) hätte entscheiden müssen. Eine andere Auslegung lässt entgegen der Auffassung der Beklagten auch das den Antrag zu b) einleitende Wort „dabei“ nicht zu, da dies ohne weiteres auch Sinn ergibt, wenn dieser Antrag nur isoliert geltend gemacht wird.
Dieser hinreichend bestimmte Antrag hat in der Sache ebenfalls Erfolg. Die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung und führt zu deren Unwirksamkeit. Insoweit kann wiederum auf die zutreffenden Ausführungen des Landgerichts verwiesen werden. Das „X“-Symbol ist Nutzern bekannt als Möglichkeit, um ein Fenster zu schließen, nicht aber, um in die Verwendung von Cookies und anderen Technologien durch den Websitebetreiber einzuwilligen. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer nicht bewusst sein. Zwar steht unmittelbar neben dem „X“- Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und denselben Button handelt. Vor diesem Hintergrund kann die Einwilligung mithilfe des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend, noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DSGVO bewertet werden
Das LG Berlin hat entschieden, dass das Setzen von Werbecookies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers zulässig ist. Insbesondere dürfen die Cookies nicht automatisch mit Aufruf der Website gesetzt werden. Die hier streitgegenständliche Verwendung von Cookies auf welt.de war - so das Gericht - wettbewerbswidrig.
Aus dem Entwurf: A. Problem und Ziel § 26 Absatz 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) bestimmt, dass eine zuständige unabhängige Stelle Dienste anerkennen kann, die nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Absatz 1 TTDSG erforderliche Einwilligung von Endnutzern zu verwalten.
Viele Anbieter von Telemedien greifen auf die Endeinrichtungen der Endnutzer zu, um hier Informationen zu speichern oder bereits gespeicherte Informationen abzurufen. Dies geschieht häufig durch den Einsatz von Cookies. Anhand der im Cookie gespeicherten Informationen kann der Webserver u. a. den Endnutzer wiedererkennen, benutzerspezifische Einstellungen wiederherstellen, Reichweitenmessungen vornehmen, Aktivitäten nachverfolgen (sog. Tracking) oder individuelle Werbung einblenden. Nach § 25 Absatz 1 TTDSG dürfen Anbieter von Telemedien nur dann Informationen in der Endeinrichtung des Endnutzers speichern oder auf dort bereits gespeicherte Informationen zugreifen, wenn der Endnutzer nach Maßgabe der Verordnung (EU) 216/679 eingewilligt hat. Eine Ausnahme vom Einwilligungserfordernis in Cookies besteht nach § 25 Absatz 2 TTDSG nur, wenn der alleinige Zweck hierfür die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder ein Cookie unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Für das Erfordernis einer Einwilligung nach § 25 Absatz 1 TTDSG kommt es nicht darauf an, ob personenbezogene Daten verarbeitet werden. Die Möglichkeiten der Verordnung (EU) 216/679, Daten ohne Einwilligung zu verarbeiten, finden hier keine Anwendung. Deshalb müssen Anbieter von Telemedien die Endnutzer bei jeder Inanspruchnahme ihres Dienstes nach den Einwilligungen der Endnutzer in die unterschiedlichen Arten von Cookies fragen. In der Praxis erfolgt dies häufig mittels sogenannter Cookie-Einwilligungs-Banner.
Anerkannte Dienste zur Einwilligungsverwaltung sollen eine anwenderfreundliche Alternative zu der Vielzahl zu treffender Einzelentscheidungen für Endnutzer schaffen. Sie verwalten die vom Endnutzer getroffenen Entscheidungen, ob sie eine Einwilligung nach § 25 Absatz 1 TTDSG gegenüber einem Anbieter von Telemedien erteilen oder nicht, und übermitteln die Entscheidung an den Anbieter von Telemedien, wenn dieser sie nachfragt. Bekommen die Anbieter von Telemedien die Einstellungen des Endnutzers zur Einwilligung auf diese Weise übermittelt, sind sie nicht mehr auf eine eigene Abfrage der Einwilligung nach § 25 Absatz 1 TTDSG angewiesen.
§ 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung zu regeln:
- die Anforderungen an die Nutzerfreundlichkeit und Wettbewerbskonformität, die ein Dienst zu Einwilligungsverwaltung erfüllen muss, um anerkannt werden zu können,
- das Anerkennungsverfahren und
- die technischen und organisatorischen Maßnahmen, die Software zum Abrufen und Darstellen von Informationen aus dem Internet und Anbietern von Telemedien ergreifen können, damit diese die Einstellungen, die ein Endnutzer über einen anerkannten Dienst zur Einwilligungsverwaltung vornimmt, befolgen und sie die Einbindung des anerkannten Dienstes bei der Abfrage der Einwilligung nach § 25 TTDSG berücksichtigen.
Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.
B. Lösung
Die EinwV regelt die erforderlichen Anforderungen für nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der von den Endnutzern erteilten Einwilligungen nach § 25 Absatz 1 TTDSG. Durch die Einbindung eines anerkannten Dienstes zur Einwilligungsverwaltung wird den Endnutzern ein transparentes Werkzeug zur Verfügung gestellt, durch das sie Einstellungen zur Einwilligung vornehmen, jederzeit nachvollziehen und überprüfen können. Die Anerkennung durch eine zuständige Stelle soll für die Endnutzer und Anbieter von Telemedien einen Anreiz bieten, solche Dienste zur Einwilligungsverwaltung zu nutzen und das Vertrauen in ein rechtssicheres Verfahren stärken. Für Anbieter von Telemedien bietet dieses Verfahren eine Möglichkeit, die Einwilligungen nach § 25 Absatz 1 TTDSG nutzerfreundlich zu erfragen, ohne die Inanspruchnahme ihres Dienstes durch die Einblendung eines Cookie-Einwilligungs-Banner stören zu müssen.
Das LG Köln hat entschieden, dass ein Unterlassungsanspruch gegen die Deutsche Telekom wegen der Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung besteht.
Aus den Entscheidungsgründen: Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.
Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.
a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.
Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).
So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „142.250.185.228“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.
b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).
Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.
Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand InternetNutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).
Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).
Ob an die Dienste Heap und Xandr ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.
c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.
d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.
Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.
In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:
„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“ (Schrems II, Rn. 126).
Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).
Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.
Dies entspricht auch der Wertung des EuGH:
„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ (Schrems II, Rn. 133).
Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.
Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.
e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.
Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.
Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).
Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.
Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. 5 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.
Das LG München hat entschieden, dass der Cookie-Banner nach TCF-Standard von FOCUS-Online datenschutzwidrig ist. Insbesondere rügt das Gericht, dass der Cookie-Banner angesichts der Vielzahl technisch nicht notwendiger Cookies unübersichtlich ist und der Aufwand zum Ablehnen aller Cookies zu aufwändig ist, da kein "Alle-Ablehnen"-Button vorgehalten wird.
Aus dem Entwurf: A. Problem und Ziel
In § 26 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) wurde ein Rechtsrahmen für die Anerkennung von Diensten geschaffen, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Absatz 1 TTDSG erforderlichen Einwilligung in das Speichern von Informationen auf Endeinrichtungen der Endnutzer oder in den Abruf von Informationen, die bereits auf Endeinrichtungen gespeichert sind, ermöglichen. Unabhängige Dienste zur Einwilligungsverwaltung sollen es den Endnutzern unter Mitwirkung von Software zum Abrufen und Darstellen von Informationen aus dem Internet (in der Regel Browser) und der verantwortlichen Telemedienanbieter ermöglichen, über die erforderliche Einwilligung in den Zugriff auf ihre Endeinrichtungen durch Dritte in informierter Weise zu entscheiden. Vor allem geht es dabei um die Einwilligung in Cookies oder ähnliche Technologien, die von Telemedienanbietern zum Zwecke der Ausspielung von Werbung eingesetzt werden. Ziel ist die Überwindung der derzeitigen Praxis der Telemedienanbieter, die einzelnen Einwilligungen bei jedem Besuch der Webseite mittels sog. Einwilligungs-Cookie-Banner einzuholen. Diese Praxis überfordert die meisten Endnutzer. Durch die Einbindung anerkannter Dienste zur Einwilligungsverwaltung soll für die Endnutzer eine anwenderfreundliche Alternative zur bisherigen Praxis geschaffen und die Endnutzer von vielen Einzelentscheidungen entlastet werden. § 26 Absatz 2 TTDSG ermächtigt die Bundesregierung, durch Rechtsverordnung Anforderungen an das nutzerfreundliche und wettbewerbskonforme Verfahren der Einwilligungsverwaltung und technische Anwendungen, an das Verfahren der Anerkennung von Diensten der Einwilligungsverwaltung und die technischen und organisatorischen Anforderungen an Browser-Software und Telemedienanbieter zur Befolgung von Endnutzer-Einstellungen und Berücksichtigung von anerkannten Diensten zu regeln. Mit dieser Verordnung soll diese Ermächtigung umgesetzt werden.
B. Lösung
Die Einw-VO enthält die Anforderungen, bei deren Einhaltung die Erteilung einer wirksamen Einwilligung in das Speichern von Informationen auf Endeinrichtungen sowie in den Abruf von Informationen, die auf Endeinrichtungen gespeichert sind, in nutzerfreundlicher und wettbewerbskonformer Weise möglich ist. Damit können wiederholende Aufforderungen zur Erteilung von Einwilligungen insbesondere beim Besuch von Webseiten und die damit verbundene Belastung der Endnutzer vermieden werden. Zugleich wird sichergestellt, dass Telemedienanbieter, die im Rahmen ihrer Geschäftsmodelle Einwilligungen benötigen,diese durch Dienste zur Einwilligungsverwaltung auch wirksam und nachweisbar erhalten können und nicht diskriminiert werden.
