Das OLG Frankfurt hat entschieden, dass jeder der am Setzen von Cookies mitwirkt, Anbieter im Sinne von § 25 TDDDG ist und ggf. auf Unterlassung und Schadensersatz haftet, wenn die erforderliche Einwilligung fehlt
Aus den Entscheidungsgründen: e) Entgegen der Auffassung der Beklagten ist sie auch Verpflichtete des § 25 TDDDG.
Die Verpflichtung nach § 25 TDDDG ist nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen (VG Köln, Urteil vom 17.07.2025, 13 K 1419/23, GRUR-RS 2025, 17335, Rnr. 80 ff.; Gierschmann/Baumgartner/Hanloser, 2023, TDDDG § 25 Rn. 42; HK-TDDDG/Schneider, 2022, TDDDG § 25 Rn. 17; BeckOK IT-Recht/Sesing-Wagenpfeil, 20. Ed. 1.10.2025, TTDSG § 25 Rn. 41-51).
Adressat des § 25 I 1 TDDDG ist daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das sind regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind (VG Köln Urt. v. 17.7.2025 - 13 K 1419/23, GRUR-RS 2025, 17335 Rn. 82).
Im Übrigen wäre die Beklagte auch als „Anbieterin“ iSv § 2 II Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt - wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll (HK-TDDDG/Assion, 1. Aufl. 2022, TDDDG § 2 Rn. 16-18) - oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 II Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt (Gierschmann/Baumgartner/Baumgartner, 1. Aufl. 2023, TDDDG § 2 Rn. 13), so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.
Der Ansicht des Senats steht - entgegen der Auffassung der Beklagten - nicht entgegen, dass Verfahren auf Grundlage von § 25 TDDDG (bzw. § 25 TTDSG) bisher nur gegen Webseitenbetreiber geführt worden sein sollen. Dass für ein Verstoß gegen § 25 TDDDG auch der Webseitenbetreiber verantwortlich sein kann, wird vom Senat nicht in Frage gestellt. Dies schließt allerdings nicht aus, dass auch eine Verantwortlichkeit der Beklagten besteht. Auch die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ stehen - unabhängig von der rechtlichen Unverbindlichkeit für den Senat - dem nicht entgegen, weist doch die Beklagte selber darauf hin, dass sich diese Hinweise „vor allem“ an Telemedienanbieter richten soll und eben nicht nur an diese.
Dies steht auch nicht in Widerspruch zu Art. 5 III der Cookie-Richtlinie, die durch § 25 TDDDG umgesetzt wird. Ebenso wie das TDDDG unterscheidet auch die Cookie-Richtlinie zwischen Pflichten, die gegenüber jedermann gelten und Pflichten, die nur Diensteanbieter betreffen sollen. Soweit im „Planet49“-Urteil des EuGH (MMR 2019, 732) im dritten Leitsatz der Begriff des „Diensteanbieters“ auftaucht, kann dies die Auslegung von Art. 5 III der Cookie-Richtlinie nicht beeinflussen. Leitsätzen kommt schon kein rechtlicher Charakter zu, der für die Auslegung einer Norm relevant wäre. Im Übrigen hat sich der EuGH in der Entscheidung an keiner Stelle mit der Frage der Anwendbarkeit von Art. 5 III der Cookie-Richtlinie auf Diensteanbieter befasst. Dass der Leitsatz gleichwohl auf einen Diensteanbieter Bezug nimmt, lässt sich zwangslos durch die Tatsache erklären, dass im Ausgangsverfahren eben ein Diensteanbieter beteiligt war.
f) Die Speicherung von Cookies ohne Einwilligung des Klägers auf dessen Endgerät stellt einen Verstoß gegen § 25 I TDDDG dar.
(1) Bei den streitgegenständlichen „Cookies“ handelt es sich um Informationen im Sinne von § 25 I TDDDG. Soweit die Beklagte darauf hinweist, es würden nur die IP-Adresse (anonymisiert), die Device-/Cookie-ID (Pseudonymisiert), der Besuchszeitpunkt sowie der verwendete Browser gespeichert, steht dies der Anwendung von § 25 TDDDG nicht entgegen. Der Begriff der Information wird im TDDDG nicht näher konturiert. Die Literatur verweist darauf, dass der Begriff umfassend zu verstehen sei (Schwartmann/Jaspers/Eckhardt/Burkhardt/Reif/Schwartmann Rn. 21; Plath/Piltz Rn. 38; Sebisch DSRITB 2022, 243, 250), sodass jegliche Information von der Vorschrift erfasst werde (Schürmann/Guttmann K&R 2023, 246, 247; Säcker/Körber/Werkmeister Rn. 15). Insbesondere auf einen Personenbezug der Information kommt es nicht an (Baumgartner/Hansch ZD 2020, 435, 437; Golland NJW 2021, 2238, 2239; Haberer MMR 2020, 810, 812; Hanloser ZD 2021, 121; Nebel CR 2021, 666, 670; HK-TDDDG/Schneider Rn. 23; Schürmann/Guttmann K&R 2023, 246, 247; Sebisch BeckOK IT-Recht/Sesing-Wagenpfeil, 16. Ed. 1.10.2024, TDDDG § 25 Rn. 22).
(2) Der Senat hat davon auszugehen, dass beim Besuch mehrerer Internetseiten Cookies der Beklagten ohne Einwilligung des Klägers auf dessen Endgerät gespeichert worden sind. Den entsprechenden Vortrag des Klägers hat die Beklagte nicht substantiiert bestritten.
aa) Der Kläger hat unter Vorlage ihres Privatgutachtens im Einzelnen dargetan, welche Internetseiten er besucht hat und dass im Anschluss die Cookies der Beklagten auf seinem Rechner gespeichert waren, ohne dass er dazu seine Einwilligung erteilt hatte. Darüber hinaus hat er mithilfe des Privatgutachtens dargestellt, wie dies festzustellen ist und insbesondere wie der Vorgang überprüfbar nachvollzogen werden kann, was der Privatgutachter getan hat und was die Beklagte ohne weiteres selbst überprüfen kann. Damit handelt es sich bei dem Vortrag des Klägers um Tatsachen, die Gegenstand der Wahrnehmung der Beklagten sein können, so dass sich die Beklagte vollständig und wahrheitsgemäß über die Darlegung des Klägers erklären müsste, wenn sie den gegnerischen Vortrag bestreiten wollte (§ 138 ZPO), ohne dass sie dafür die HAR-Datei der Beklagten benötigen würde.
Zudem hat der Kläger auf den Beschluss des Senats nach § 144 ZPO die HAR-Datei vorgelegt. Dieses neue Angriffsmittel war auch nicht nach § 531 I ZPO verspätet; es war vielmehr nach § 531 II Nr. 2 ZPO zuzulassen, da es infolge eines Verfahrensmangels im ersten Rechtszug nicht geltend gemacht wurde. Die Bestimmung des § 531 II Nr. 2 ZPO erfasst die Fälle, in denen eine Partei aufgrund eines objektiven Verfahrensfehlers des Erstgerichts Angriffs- und Verteidigungsmittel nicht vorgebracht hat. Darunter fällt insbesondere der Fall, dass nach § 139 gebotene Hinweise unterbleiben (BGH NJW 2004, 2152; BGH NJW 2018, 2202), sei es in Gestalt eines erforderlichen Hinweises nach § 139 I 2 ZPO zur Ergänzung und Vervollständigung des Vorbringens (BGH NJW 2005, 2624) oder eines Hinweises nach § 139 II ZPO, wenn das Erstgericht seine Entscheidung auf einen von der Partei erkennbar übersehenen Gesichtspunkt stützt (BGH NJW-RR 2005, 213; BeckOK ZPO/Wulf/Gaier, 58. Ed. 1.9.2025, ZPO § 531 Rn. 18). Hier hätte das Landgericht nach § 139 ZPO darauf hinweisen müssen, dass der Kläger zu Substantiierung seines Vortrags die HAR-Datei hätte vorlegen müssen. Auch eine Verspätung nach § 296 II ZPO liegt aus den gleichen Gründen nicht vor; eine grobe Nachlässigkeit ist nicht erkennbar.
bb) Dem ist die Beklagte nicht substantiiert entgegengetreten.
Soweit sie ausgeführt hat, die HAR-Datei weise keinerlei Bezug zum Kläger auf und zeige insbesondere nicht die IP-Adresse des Klägers, sondern lediglich isolierte Netzwerkanfragen an Server ohne die ausgehende IP-Adresse ist der Senat nach der informatorischen Anhörung des Klägers davon überzeugt, dass es sich um die Aufzeichnung des Netzwerkverkehrs des Klägers handelt. Der Kläger hat in seiner informatorischen Anhörung vor dem Senat erklärt, die im Verfahren vorgelegte HAR-Datei sei von ihm persönlich auf seinem Rechner angefertigt worden. Sein Rechtsanwalt, Herr J, sei dabei virtuell anwesend. Dabei habe dieser ihm erklärt, wie es funktioniere, eine solche HAR-Datei anzufertigen. Diese habe er anschließend an Herrn J übermittelt, wobei ihm nicht erinnerlich sei, ob dies per E-Mail geschehen oder wegen der Größe der Datei über einen Dienst. Es sei dann darüber informiert worden, dass wegen der HAR-Datei ein Gutachten eingeholt worden sei. Vor diesem Vorgang habe er seine Browser-Daten angeschaut und den Browser-Verlauf gelöscht; anschließend habe er die Seiten wieder angesteuert, die er in seinem Browser-Verlauf gehabt habe.
Aufgrund des Ergebnisses der Anhörung, des persönlichen Eindrucks des Senats von dem Kläger sowie dem Inhalt des Sachverständigengutachtens hat der Senat keine Zweifel daran, dass die streitgegenständliche HAR-Datei bei dem Kläger aufgezeichnet worden ist.
Dass die HAR-Datei als solche das Setzen von Cookies dokumentiert, stellt auch die Beklagte nicht in Frage. Sie hat ausgeführt, dass die HAR-Datei (lediglich) zeige, dass Cookies gesetzt wurden (EA Bl. 371). Dass die Websiteaufrufe von einer dem Kläger zuzuordnenden IP-Adresse erfolgt sind und dass die Cookies auf dem streitgegenständlichen Endgerät des Klägers gesetzt wurden, sieht der Senat - wie oben ausgeführt - als bewiesen an.
(3) Es fehlt auch an der notwendigen Einwilligung des Klägers in die Cookie-Setzung. Die Beklagte rügt, das Landgericht habe verkannt, dass der Kläger nicht bewiesen habe, dass er nicht in die Cookie-Setzung eingewilligt habe. Dabei verkennt sie allerdings die Darlegungs- und Beweislast. Für die Einwilligung als für sie günstige Tatsache ist die Beklagte darlegungs- und beweisbelastet. Seiner sekundären Darlegungslast ist der Kläger insoweit durch die Darlegung der Abläufe und Vorlage des Gutachtens sowie der HAR-Datei nachgekommen, so dass nunmehr die Beklagte eine Einwilligung hätte beweisen müssen.
Eine faktische Einwilligung dadurch, dass der Kläger die Cookies provoziert und damit jedenfalls als Zwischenschritt gewollt habe, liegt ersichtlich nicht vor. Das reine Besuchen der Internetseite ohne ausdrückliche Einwilligung kann nicht als Einwilligung auf der Grundlage von klaren und umfassenden Informationen im Sinne von § 25 I 1 TDDDG angesehen werden.
(4) Entgegen der Auffassung der Beklagten ist die Speicherung auch nicht durch andere Gründe gerechtfertigt. Die beiden gesetzlichen Zugriffsermächtigungen aus § 25 II TDDDG regeln das einwilligungsfreie Speichern und Zugreifen abschließend. Ein Rückgriff auf die datenschutzrechtlichen Erlaubnistatbestände des Art. 6 I lit. b-f DSGVO zur Rechtfertigung eines Gerätezugriffs iSd § 25 I ist ausgeschlossen. Ein berechtigtes Interesse am Gerätezugriff analog Art. 6 I f DSGVO ist § 25 II ist unbekannt (Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 25 Rn. 91).
g) Die Beklagte haftet insoweit auch für den Verstoß gegen § 25 I TDDDG als Täterin.
(1) Die Frage, ob sich jemand als Täter, Mittäter, Anstifter oder Gehilfe in einer die zivilrechtliche Haftung begründenden Weise an einer deliktischen Handlung eines Dritten beteiligt hat, beurteilt sich nach den im Strafrecht entwickelten Rechtsgrundsätzen (vgl. BGH NJW 1975, 49; NJW 1984, 1226; GRUR 2011, 152, Rn. 30 - Kinderhochstühle im Internet I; GRUR 2011, 1018, Rn. 24 - Automobil-Onlinebörse; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung). Täter ist derjenige, der die Zuwiderhandlung selbst begeht (§§ 25 I StGB, 830 Abs. 1 BGB; BGH GRUR 2004, 860 - Internet-Versteigerung I; GRUR 2007, 708 - Internet-Versteigerung II; GRUR 2009, 597, Rn. 14 - Halzband; GRUR 2011, 152, 154, Rn. 30 - Kinderhochstühle im Internet; BGH GRUR 214, 883, Rn.13 - Geschäftsführerhaftung), indem er den objektiven Tatbestand einer Zuwiderhandlung selbst und adäquat kausal verwirklicht (BGH, GRUR 2016, 961, Rn. 32 - Herstellerpreisempfehlung bei Amazon).
(2) Täter ist darüber hinaus in Anlehnung an die strafrechtlichen Kategorien (§ 25 I Alt. 2 StGB) der mittelbare Täter, der sich für den Rechtsverstoß als Hintermann gezielt eines unmittelbar handelnden Tatmittlers als Werkzeug bedient und so den Rechtsverstoß durch einen anderen begeht.
Die mittelbare Täterschaft erfordert zum einen, dass der Hintermann die durch den Tatmittler vorgenommene Zuwiderhandlung im eigenen Interesse veranlasst hat, und zum anderen, dass der Hintermann die Kontrolle über das Handeln des Tatmittlers hat. Im Hinblick auf die zweite Voraussetzung, nämlich die Kontrolle im Sinne der Tatherrschaft, scheidet eine mittelbare Täterschaft jedenfalls dann aus, wenn der Tatmittler den betreffenden Verstoß seinerseits täterschaftlich - also mit eigener Kontrolle und Tatherrschaft über den Geschehensablauf - begangen hat und somit als Täter haftet. Einen „Täter hinter dem Täter“ gibt es grundsätzlich nicht.
Der mittelbaren Täterschaft kommt allerdings nur ein potentiell sehr kleiner Anwendungsbereich zu. Denn für die Begründung einer eigenen Täterschaft reicht in den allermeisten Fällen der objektive Verstoß gegen eine Norm aus; Verschulden oder gar Vorsatz sind nicht erforderlich. Auch ein vorsatzlos handelnder Vordermann ist deshalb in aller Regel nicht nur Tatmittler, sondern selbst Täter, so dass der Hintermann nicht seinerseits als mittelbare Täter verantwortlich gemacht werden kann (Harte-Bavendamm/Henning-Bodewig/Goldmann, 5. Aufl. 2021, UWG § 8, Rnr. 462).
(3) Danach ist die Beklagte hier als Täterin anzusehen: Nach dem unbestritten gebliebenen Vortrag des Klägers ist es die Beklagte, die die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer auch ohne deren Einwilligung speichert, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst wird. Darüber hinaus greift sie - was ebenfalls erstinstanzlich unstreitig geblieben ist - auf die hinterlegten Informationen zu, indem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lässt, nachdem diese die Informationen über die weiteren Webseitenbesuche des Nutzers auf den Endgeräten ausgelesen haben.
Da die § 25 TDDG kein vorsätzliches Handeln erfordert, ist es für die Verwirklichung des Tatbestands unerheblich, ob und inwieweit die Beklagte von der fehlenden Einwilligung des Klägers Kenntnis hatte.
(4) Die Beklagte kann nicht damit gehört werden, dass ihr der Umstand nicht ursächlich zugerechnet werden könne, dass Webseitenbetreiber entgegen der Allgemeinen Geschäftsbedingungen der Beklagten das Setzen von Cookies ohne Zustimmung des Endnutzers haben veranlassen lassen.
Bei der fehlenden Einwilligung des Endnutzers, die erst den Verstoß gegen § 25 I TDDDG begründet, handelt es sich um ein negatives Tatbestandsmerkmal, das sich nicht durch ein positives Tun der Beklagten verwirklicht, sondern allein dadurch, dass sie selbst die Einholung der Einwilligung unterlässt und sich darauf verlässt, dass die jeweiligen Webseiten-Betreiber diese Einwilligung ordnungsgemäß eingeholt haben. Besteht das dem Verletzer vorgeworfene Verhalten in einem solchen Unterlassen, ist im Rahmen der normativ-kausalen Zurechnung zu fragen, ob eine pflichtgemäße Handlung den Eintritt der Rechtsgutsverletzung verhindert hätte (vgl. BGH, Urt.v.06.05.2021, I ZR 61/20, Rn. 27 - Die Filsbacher). Das ist hier der Fall. Denn nach der aus der Formulierung des § 25 I TDDDG herzuleitenden und in Art. 7 Abs. 1 DSGVO ausdrücklich geregelten Darlegungs- und Beweislastverteilung muss die Beklagte nachweisen, dass der Endnutzer vor der Speicherung der Cookies auf seinem Endgerät eingewilligt hat. Wie die Beklagte diesen Nachweis führen möchte, ist zunächst ihre Sache. Jedenfalls aber hat die Regelung über die Verteilung der Darlegungs- und Beweislast zur Folge, dass sie sicherstellen muss, dass ihr die Einwilligung des Endnutzers vom Webseitenbetreiber übermittelt wird, bevor sie ihre Cookies auf dem Gerät des Endnutzers speichert. Dadurch, dass sie dieses pflichtgemäße Handeln unterlässt, verwirklicht sie den Verstoß gegen § 25 I TDDDG adäquat-kausal.
(5) Es fehlt auch nicht an der Adäquanz. Das Kriterium der Adäquanz dient im Rahmen der Feststellung des Zurechnungszusammenhangs dem Zweck, diejenigen Kausalverläufe auszugrenzen, die dem Verletzer billigerweise nicht mehr zugerechnet werden können. Im Deliktsrecht besteht ein adäquater Zusammenhang zwischen Tatbeitrag und Taterfolg, wenn eine Tatsache im Allgemeinen und nicht nur unter besonders eigenartigen, ganz unwahrscheinlichen und nach regelmäßigem Verlauf der Dinge außer Betracht zu lassenden Umständen zur Herbeiführung eines Erfolges geeignet ist. Hieran kann es fehlen, wenn der Verletzte oder ein Dritter in völlig ungewöhnlicher und unsachgemäßer Weise in den schadensträchtigen Geschehensablauf eingreift und eine weitere Ursache setzt, die den Schaden erst endgültig herbeiführt. Bei der Ermittlung der Adäquanz ist auf eine nachträgliche Prognose abzustellen, bei der neben den dem Verletzer bekannten Umständen alle einem optimalen Betrachter zur Zeit des Eintritts des Schadensereignisses erkennbaren Gegebenheiten zu berücksichtigen sind (BGH, GRUR 2016, 961, Rn. 34 - Herstellerpreisempfehlung bei Amazon m.w.N.).
Dass es sich bei dem Setzen von Cookies ohne Einwilligung des Endnutzers auf den Webseiten Dritter keineswegs um einen besonders eigenartigen, ganz unwahrscheinlichen und nach dem regelmäßigen Verlauf der Dinge außer Betracht zu lassenden Umstand handelt, liegt auf der Hand. Im Gegenteil stellt es sogar ein naheliegendes und typisches Risiko dar, wenn die Beklagte Webseitenbetreibern ihren Quellcode zur Verfügung stellt, die damit datenschutzrelevante Prozesse unter Einbeziehung der Beklagten auslösen können, ohne dass die Beklagte in irgendeiner Weise kontrollieren kann, ob tatsächlich eine Einwilligung vorliegt oder sich dies jedenfalls von dem Beklagten durch Übermittlung der Einwilligung bestätigen lässt.
(6) Ob der Beklagten ein solches pflichtgemäßes Verhalten durch entsprechende technische Vorkehrungen möglich ist, ist für die rechtliche Beurteilung des vorliegenden Falls irrelevant. Die Frage des technisch Möglichen kann allenfalls im Rahmen der Störerhaftung eine Rolle spielen, auf die es hier nicht ankommt. Im Übrigen ist schon nicht nachvollziehbar, wieso es der Beklagten nicht möglich sein soll, ihre Cookies erst dann auf den Endgeräten von Nutzern abzuspeichern, wenn ihr dessen Einwilligung übersandt worden ist. Hinzu kommt, dass der Gesetzgeber in § 26 TDDDG davon ausgeht, dass Dienste zur Einwilligungsverwaltung technisch und rechtlich möglich sind. Insofern beruft sich die Beklagte auch nur darauf, dass derzeit entsprechende Dienste noch nicht am Markt durchgesetzt sind. Das lässt die Anforderungen des § 25 I TDDDG jedoch unberührt.
h) Soweit die Beklagte im Hinblick auf die Tenorierung „für die Auswertung zum Zwecke zielgerichteter Werbung“ rügt, die Beklagte betreibe keine Werbeplattform und verwende die eingesetzten Technologien nicht zu Werbezwecken, sondern nur zur Reichweitenmessung, ist dieses Argument nicht valide.
Der Unterlassungsanspruch des Klägers besteht einschränkungslos, da § 25 TDDDG insoweit auch keine Einschränkung vorsieht. Die Speicherung ist nicht nur zu Werbezwecken, sondern grundsätzlich untersagt. Schränkt der Kläger mit dem Zusatz „zu Werbezwecken“ nun seinen Unterlassungsanspruch ein, mag er weniger verlangen, als ihm tatsächlich zustehen würde. Dies ist jedoch unschädlich.
5. Das notwendige Feststellungsinteresse für den Schadensersatzfeststellungs-anspruch liegt nicht vor. Es ist nicht vorgetragen und erkennbar, wie dem Kläger in Zukunft durch die (pseudonymisierte) Cookie-Setzung noch ein materieller Schaden entstehen sollte.
Das VG Hannover hat entschieden, dass ein Cookie-Banner / Cookie-Consent-Tool für technisch nicht notwendige Cookies eine "Alles ablehnen"-Schaltfläche enthalten muss.
Die dazugehörige Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen: Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss
Auf nahezu jeder Webseite im Internet werden Nutzerinnen und Nutzer beim Öffnen mit einem Einwilligungsbanner konfrontiert. Viele weisen eine Schaltfläche mit der Bezeichnung „Alle akzeptieren“ auf, die Nutzerinnen und Nutzer häufig anklicken werden, damit der Einwilligungsbanner verschwindet und der Inhalt der Webseite gelesen werden kann. Mit diesem Klick wird allerdings die Erlaubnis erteilt, dass unter Umständen sehr viele Cookies und andere Trackingtechnologien eingesetzt werden, um detaillierte Nutzerprofile zu generieren und in Echtzeit personalisierte Werbung auf der Webseite auszuspielen.
Der Landesbeauftragte für den Datenschutz in Niedersachsen setzt sich seit vielen Jahren gegen manipulativ gestaltete Einwilligungsbanner und für wirksame – insbesondere informierte und freiwillige – Einwilligungen ein. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt und die Rechte von Internetnutzerinnen und -nutzern in Sachen Datenschutz gestärkt: Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt. Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, so das Verwaltungsgericht Hannover in seiner Urteilsbegründung. Andernfalls seien die derart eingeholten Einwilligungen unwirksam, was einen Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie die Datenschutz-Grundverordnung darstellt.
Hintergrund des Verfahrens war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem niedersächsischen Medienhaus. Dieses hatte Cookie-Einwilligungen mittels eines Banners eingeholt – ohne Nutzerinnen und Nutzern eine echte Wahlmöglichkeit zu bieten.
Gericht erkennt mehrere Verstöße
Das Verwaltungsgericht kritisierte die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht:
das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
die Überschrift „optimales Nutzungserlebnis“ und die Beschriftung „akzeptieren und schließen“ auf dem Schließen-Button waren irreführend,
der Begriff der „Einwilligung“ fehlte vollständig,
die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.
Das Gericht erkannte, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.
Dazu der Landesbeauftragte für den Datenschutz in Niedersachsen, Denis Lehmkemper: „Die allermeisten Menschen sind vermutlich von Cookie-Bannern genervt. Diese erfüllen jedoch eine wichtige Funktion für die Aufrechterhaltung der Privatsphäre im Internet. Genau deshalb setzen sich die Datenschutz-Aufsichtsbehörden für eine echte Wahlmöglichkeit bei der Gestaltung der Banner ein. Diese Wahlmöglichkeit wird von vielen Webseitenbetreibern bisher jedoch nicht umgesetzt. Ich hoffe, das Urteil sendet ein Signal an möglichst viele Anbieter und trägt so dazu bei, datenschutzkonforme Einwilligungslösungen umzusetzen.“
Die EU-Kommission hat gegen Apple eine Geldbuße in Höhe von 500 Mio. Euro und gegen Meta in Höhe 200 Mio. Euro wegen Verstößen gegen den Digital Markets Act (DMA) verhängt.
Die Pressemitteilung der EU-Kommission: Kommission stellt fest, dass Apple und Meta gegen das Gesetz über digitale Märkte verstoßen
Die Europäische Kommission hat heute festgestellt, dass Apple gegen seine Anti-Steering-Verpflichtung gemäß dem Gesetz über digitale Märkte (DMA) verstoßen hat und dass Meta gegen die DMA-Verpflichtung verstoßen hat, den Verbrauchern die Wahl eines Dienstes zu geben, der weniger ihrer personenbezogenen Daten verwendet. Daher hat die Kommission gegen Apple und Meta Geldbußen in Höhe von 500 Mio. EUR bzw. 200 Mio. EUR verhängt.
Die beiden Entscheidungen erfolgen nach einem intensiven Dialog mit den betroffenen Unternehmen, der es ihnen ermöglicht, ihre Ansichten und Argumente ausführlich darzulegen.
Nichteinhaltungsentscheidung zu Apples Lenkungsbedingungen
Im Rahmen des DMA sollten App-Entwickler, die ihre Apps über den Apple App Store vertreiben, in der Lage sein, Kunden kostenlos über alternative Angebote außerhalb des App Stores zu informieren, sie auf diese Angebote zu lenken und ihnen zu ermöglichen, Einkäufe zu tätigen.
Die Kommission stellte fest, dass Apple dieser Verpflichtung nicht nachkommt. Aufgrund einer Reihe von Einschränkungen, die von Apple auferlegt wurden, können App-Entwickler nicht in vollem Umfang von den Vorteilen alternativer Vertriebskanäle außerhalb des App Store profitieren. Ebenso können Verbraucher nicht in vollem Umfang von alternativen und günstigeren Angeboten profitieren, da Apple App-Entwickler daran hindert, die Verbraucher direkt über solche Angebote zu informieren. Das Unternehmen hat nicht nachgewiesen, dass diese Beschränkungen objektiv notwendig und verhältnismäßig sind.
Im Rahmen der heutigen Entscheidung hat die Kommission Apple angewiesen, die technischen und kommerziellen Lenkungsbeschränkungen aufzuheben und davon abzusehen, das nicht konforme Verhalten in Zukunft fortzusetzen, wozu auch die Annahme eines Verhaltens mit einem gleichwertigen Zweck oder einer gleichwertigen Wirkung gehört.
Die gegen Apple verhängte Geldbuße berücksichtigt die Schwere und Dauer der Nichteinhaltung.
Die Kommission hat heute auch die Untersuchung der Nutzerwahlverpflichtungen von Apple eingestellt, da Apple frühzeitig und proaktiv an einer Compliance-Lösung beteiligt war. Weitere Informationen zu diesen Entscheidungen finden Sie hier.
Entscheidung über die Nichteinhaltung des „Zustimmungs- oder Vergütungsmodells“ von Meta
Gemäß dem Gesetz über digitale Märkte müssen Gatekeeper die Zustimmung der Nutzer zur Kombination ihrer personenbezogenen Daten zwischen Diensten einholen. Nutzer, die nicht zustimmen, müssen Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben.
Im November 2023 führte Meta ein binäres „Consent or Pay“-Werbemodell ein. Nach diesem Modell hatten die EU-Nutzer von Facebook und Instagram die Wahl zwischen der Zustimmung zur Kombination personenbezogener Daten für personalisierte Werbung oder der Zahlung eines monatlichen Abonnements für einen werbefreien Dienst.
Die Kommission stellte fest, dass dieses Modell nicht mit dem Gesetz über digitale Märkte vereinbar ist, da es den Nutzern nicht die erforderliche spezifische Wahlmöglichkeit gab, sich für einen Dienst zu entscheiden, der weniger personenbezogene Daten verwendet, aber ansonsten dem Dienst „personalisierte Anzeigen“ gleichwertig ist. Das Modell von Meta erlaubte es den Nutzern auch nicht, ihr Recht auf freiwillige Zustimmung zur Kombination ihrer personenbezogenen Daten auszuüben.
Im November 2024 führte Meta nach zahlreichen Austauschen mit der Kommission eine weitere Version des Modells der kostenlosen personalisierten Werbung ein, die eine neue Option bietet, bei der angeblich weniger personenbezogene Daten für die Anzeige von Werbung verwendet werden. Die Kommission prüft derzeit diese neue Option und setzt ihren Dialog mit Meta fort und fordert das Unternehmen auf, Nachweise für die Auswirkungen dieses neuen Anzeigenmodells in der Praxis vorzulegen.
Unbeschadet dieser laufenden Bewertung betrifft die heutige Entscheidung, mit der Verstöße festgestellt werden, den Zeitraum, in dem Endnutzern in der EU die binäre Option „Consent or Pay“ nur zwischen März 2024, als die DMA-Verpflichtungen rechtsverbindlich wurden, und November 2024, als das neue Anzeigenmodell von Meta eingeführt wurde, angeboten wurde.
Die gegen Meta verhängte Geldbuße berücksichtigt auch die Schwere und Dauer der Nichteinhaltung, wobei darauf hingewiesen wird, dass die heutigen Entscheidungen gegen Apple und Meta die ersten im Rahmen des DMA erlassenen Entscheidungen über die Nichteinhaltung sind.
Die Kommission hat heute auch festgestellt, dass der Online-Vermittlungsdienst Facebook Marketplace von Meta nicht mehr im Rahmen des DMA benannt werden sollte. Der Beschluss folgt auf einen Antrag von Meta vom 5. März 2024, die Benennung des Marktplatzes zu überdenken. Nach einer sorgfältigen Prüfung der Argumente von Meta und infolge der zusätzlichen Durchsetzungs- und kontinuierlichen Überwachungsmaßnahmen von Meta, um der Nutzung von Marketplace durch Unternehmen gegenüber Verbrauchern entgegenzuwirken, stellte die Kommission fest, dass Marketplace im Jahr 2024 weniger als 10 000 gewerbliche Nutzer hatte. Meta erfüllt daher nicht mehr den maßgeblichen Schwellenwert, der die Vermutung begründet, dass Marketplace ein wichtiges Zugangstor für gewerbliche Nutzer ist, um Endnutzer zu erreichen.
Die nächsten Schritte
Apple und Meta sind verpflichtet, den Entscheidungen der Kommission innerhalb von 60 Tagen nachzukommen, andernfalls riskieren sie Zwangsgelder.
Die Kommission setzt ihre Zusammenarbeit mit Apple und Meta fort, um die Einhaltung der Entscheidungen der Kommission und des Gesetzes über digitale Märkte im Allgemeinen sicherzustellen.
Hintergrund
Am 25. März 2024 leitete die Kommission Verstöße gegen die Vorschriften von Apple über die Lenkung im App Store und das „Pay-or-Consent-Modell“ von Meta ein. Am 24. Juni 2024 bzw. 1. Juli 2024 unterrichtete die Kommission Apple und Meta über ihre vorläufige Auffassung, dass die Unternehmen gegen das Gesetz über digitale Märkte verstoßen.
Apple und Meta hatten die Möglichkeit, ihre Verteidigungsrechte wahrzunehmen, indem sie alle Dokumente in den Untersuchungsakten der Kommission eingehend prüften und umfassend schriftlich auf die vorläufigen Feststellungen der Kommission antworteten. Die Kommission kann gegen Unternehmen, die die Vorschriften nicht einhalten, Geldbußen in Höhe von bis zu 10 % ihres weltweiten Jahresumsatzes verhängen.
Das OLG Frankfurt hat entschieden, dass Microsoft für das Setzen von Cookies ohne Einwilligung über Websites Dritter haftet.
Die Pressemitteilung des Gericht: Cookie-Speicherung: Microsoft haftet für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter
Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseiten-Betreibern ein, die Cookies verwenden, haftet die hier beklagte Microsoft-Tochter für die mit ihrer Unternehmenssoftware begangene Rechtsverletzung. Es entlastet sie nicht, dass nach ihren Allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung Microsoft verpflichtet, es zu unterlassen, ohne Einwilligung Cookies auf Endeinrichtungen der Klägerin einzusetzen.
Die Klägerin wendet sich gegen die Speicherung und das Auslesen sog. Cookies zu werblichen Zwecken auf ihren Endgeräten ohne ihre Einwilligung. Die Beklagte gehört zur Microsoft Corporation (i.F: „Microsoft“). Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Über Microsoft Advertising können u.a. Informationen über die Besucher einer Webseite gesammelt und für die Besucher zielgerichtete Anzeigen geschaltet werden. Für die Erfassung der Onlineaktivitäten und Interessen der Nutzer verwendet die Beklagte sog. Cookies. Webseiten-Betreibern wird von der Beklagten ein Code zur Verfügung gestellt, den diese in ihre eigene Webseite bzw. dortige Anwendungen integrieren. Sobald die Seite aufgerufen wird, wird der Cookie gesetzt bzw. ein schon vorhandener ausgelesen. Das Setzen von Cookies wird ausschließlich von den Betreibern der Webseiten durch eine entsprechende Programmierung der Seite veranlasst. Microsoft verpflichtet die Betreiber der Webseiten vertraglich, für die erforderlichen Einwilligungen zu sorgen.
Die Klägerin besuchte Webseiten Dritter. Sie behauptet, dass ohne ihre Einwilligung Cookies auf ihrem Gerät gesetzt worden seien und begehrt von der Beklagten, es zu unterlasen, auf ihren Endgeräten ohne ihre Einwilligung Cookies einzusetzen.
Das Landgericht hat mit dem angefochtenen Urteil den Erlass der beantragten einstweiligen Verfügung abgelehnt. Hiergegen richtet sich die Berufung der Klägerin, die vor dem OLG Erfolg hatte. Der Klägerin stehe ein Unterlassungsanspruch zu. Durch das Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Die Klägerin habe substantiiert vorgetragen, dass auf ihren Geräten Cookies beim Besuch mehrerer Internetseiten ohne ihre Einwilligung gespeichert worden seien. Das Gesetz verpflichte auch die Beklagte. Es verbiete „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Beklagte hafte auch als Täterin für diese Rechtsverletzung. Sie speichere die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Zudem greife sie auf die hinterlegten Informationen zu, in dem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen haben. Sie habe damit die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht.
Soweit die Beklagte sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch - als auch rechtlich - möglich sei.
Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.
Oberlandesgericht Frankfurt am Main, Urteil vom 27.6.2024, Az. 6 U 192/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 3.11.2023, Az. 2-02 O 217/22)
Erläuterungen:
§ 2 TTDSG Begriffsbestimmungen
(1) Die Begriffsbestimmungen des Telekommunikationsgesetzes, des Digitale-Dienste-Gesetzes
und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gelten auch für dieses Gesetz, soweit in Absatz 2 keine abweichende Begriffsbestimmung getroffen wird.
(2) Im Sinne dieses Gesetzes ist oder sind
1.„Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt,
...
§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Die EU-Kommission hat ein Verfahren nach dem Digital Markets Act (DMA) gegen Apple im Zusammenhang mit dem Download und Erwerb von Apps außerhalb des Apple App Stores eingeleitet.
Die Pressemitteilung der EU-Kommission: Commission sends preliminary findings to Apple and opens additional non-compliance investigation against Apple under the Digital Markets Act
Today, the European Commission has informed Apple of its preliminary view that its App Store rules are in breach of the Digital Markets Act (DMA), as they prevent app developers from freely steering consumers to alternative channels for offers and content.
In addition, the Commission opened a new non-compliance procedure against Apple over concerns that its new contractual requirements for third-party app developers and app stores, including Apple's new “Core Technology Fee”, fall short of ensuring effective compliance with Apple's obligations under the DMA.
Preliminary findings on Apple's steering rules for the App Store.
Under the DMA, developers distributing their apps via Apple's App Store should be able, free of charge, to inform their customers of alternative cheaper purchasing possibilities, steer them to those offers and allow them to make purchases.
Apple currently has three sets of business terms governing its relationship with app developers, including the App Store's steering rules. The Commission preliminarily finds that:
-None of these business terms allow developers to freely steer their customers. For example, developers cannot provide pricing information within the app or communicate in any other way with their customers to promote offers available on alternative distribution channels.
- Under most of the business terms available to app developers, Apple allows steering only through “link-outs”, i.e., app developers can include a link in their app that redirects the customer to a web page where the customer can conclude a contract. The link-out process is subject to several restrictions imposed by Apple that prevent app developers from communicating, promoting offers and concluding contracts through the distribution channel of their choice.
- Whilst Apple can receive a fee for facilitating via the AppStore the initial acquisition of a new customer by developers, the fees charged by Apple go beyond what is strictly necessary for such remuneration. For example, Apple charges developers a fee for every purchase of digital goods or services a user makes within seven days after a link-out from the app.
By sending preliminary findings, the Commission informs Apple of its preliminary view that the company is in breach of the DMA. This is without prejudice to the outcome of the investigation as Apple now has the possibility to exercise its rights of defence by examining the documents in the Commission's investigation file and replying in writing to the Commission's preliminary findings.
If the Commission's preliminary views were to be ultimately confirmed, none of Apple's three sets of business terms would comply with Article 5(4) of the DMA, which requires gatekeepers to allow app developers to steer consumers to offers outside the gatekeepers' app stores, free of charge. The Commission would then adopt a non-compliance decision within 12 months from the opening of proceedings on 25 March 2024.
New non-compliance investigation into Apple's contract terms.
Today, the Commission has also opened a third non-compliance investigation into Apple's new contractual terms for developers as a condition to access some of the new features enabled by the DMA, notably the provision of alternative app stores or the possibility to offer an app via an alternative distribution channel. Apple has so far kept the option to subscribe to the previous conditions, which do not allow alternative distribution channels at all.
The Commission will investigate whether these new contractual requirements for third-party app developers and app stores breach Article 6(4) of the DMA and notably the necessity and proportionality requirements provided therein. This includes:
- Apple's Core Technology Fee, under which developers of third-party app stores and third-party apps must pay a €0.50 fee per installed app. The Commission will investigate whether Apple has demonstrated that the fee structure that it has imposed, as part of the new business terms, and in particular the Core Technology Fee, effectively complies with the DMA.
- Apple's multi-step user journey to download and install alternative app stores or apps on iPhones. The Commission will investigate whether the steps that a user has to undertake to successfully complete the download and installation of alternative app stores or apps, as well as the various information screens displayed by Apple to the user, comply with the DMA.
- The eligibility requirements for developers related to the ability to offer alternative app stores or directly distribute apps from the web on iPhones. The Commission will investigate whether these requirements, such as the ‘membership of good standing' in the Apple Developer Program, that app developers have to meet in order to be able to benefit from alternative distribution provided for in the DMA comply with the DMA.
In parallel, the Commission will continue undertaking preliminary investigative steps outside of the scope of the present investigation, in particular with respect to the checks and reviews put in place by Apple to validate apps and alternative app stores to be sideloaded.
Background
Alphabet, Amazon, Apple, ByteDance, Meta and Microsoft, the six gatekeepers designated by the Commission on 6 September 2023, had to fully comply with all DMA obligations by 7 March 2024.
On 25 March 2024, the Commission opened non-compliance investigations into Alphabet's rules on steering in Google Play and self-preferencing on Google Search, Apple's rules on steering in the App Store and the choice screen for Safari, and Meta's “pay or consent model”. The Commission announced additional investigatory steps to gather facts and information in relation to Amazon's self-preferencing and Apple's alternative app distribution and new business model.
On 29 April 2024, the Commission designated Apple with respect to its iPadOS, its operating system for tablets, as a gatekeeper under the DMA. On 13 May 2024, the Commission also designated Booking as a gatekeeper under the DMA, for its online intermediation service Booking.com. In total, 24 core platform services provided by all gatekeepers have been designated.
In case of an infringement, the Commission can impose fines up to 10% of the gatekeeper's total worldwide turnover. Such fines can go up to 20% in case of repeated infringements. Moreover, in case of systematic infringements, the Commission is also empowered to adopt additional remedies such as obliging a gatekeeper to sell a business or parts of it, or banning the gatekeeper from acquisitions of additional services related to the systemic non-compliance.
Das OLG Köln hat entschieden, dass ein Cookie-Banner so gestaltet sein muss, dass das Ablehnen genauso bequem wie das Akzeptieren ist. Zudem hat das Gericht entschieden, dass das Schließen des Cookie-Banners mit "X" keine wirksame Einwilligung darstellt.
Aus den Entscheidungsgründen: Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine gleichwertige, mithin auf klaren und umfassenden Informationen beruhende, Ablehnungsoption angeboten, weshalb er – wie vom Landgericht zutreffend ausgeführt – zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies abgehalten wird, so dass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO angesehen werden kann. Die erste Ebene enthält überhaupt keine Ablehnungsoption für den Verbraucher. Vielmehr kann dieser durch den Button „Einstellungen“ lediglich auf die zweite Ebene gelangen. Hier hat der Verbraucher dann die Auswahl zwischen dem Button „Alles Akzeptieren“ und dem Button „Speichern“. Wie vom Landgericht zutreffend ausgeführt, erschließt sich dem Durchschnittsnutzer aber bereits nicht, welche Funktion sich konkret hinter dem jeweiligen Button verbirgt bzw. mit welchem Button er nunmehr tatsächlich die Ablehnung der Cookies erreichen kann. Die Beklagte hat in erster Instanz selbst wiederholt ausgeführt, dass für den Verbraucher eine echte Wahlmöglichkeit gegeben sein müsse. Dies ist indes bei der hier aufgezeigten Gestaltung der Cookie-Banner gerade nicht der Fall.
Die Zurückweisung des Antrages zu b) – den der Kläger in der Berufungsinstanz in unveränderter Form gestellt hat – ist durch das Landgericht zu Unrecht erfolgt. Auch wenn der Kläger sich in der mündlichen Verhandlung zunächst dahingehend positioniert hat, dass es ihm gerade auf den Einschub zu a) ankomme und daher allenfalls dieser von dem beantragten Verbot isoliert erfasst sein solle, hat er letztlich den Antrag wie angekündigt gestellt und demgemäß hieran gerade nicht festgehalten. Durch die Verknüpfung und/oder bestand zwischen den Anträgen zu a) und b) ein echtes Alternativverhältnis, weshalb das Landgericht auch isoliert über den Antrag zu b) hätte entscheiden müssen. Eine andere Auslegung lässt entgegen der Auffassung der Beklagten auch das den Antrag zu b) einleitende Wort „dabei“ nicht zu, da dies ohne weiteres auch Sinn ergibt, wenn dieser Antrag nur isoliert geltend gemacht wird.
Dieser hinreichend bestimmte Antrag hat in der Sache ebenfalls Erfolg. Die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung und führt zu deren Unwirksamkeit. Insoweit kann wiederum auf die zutreffenden Ausführungen des Landgerichts verwiesen werden. Das „X“-Symbol ist Nutzern bekannt als Möglichkeit, um ein Fenster zu schließen, nicht aber, um in die Verwendung von Cookies und anderen Technologien durch den Websitebetreiber einzuwilligen. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer nicht bewusst sein. Zwar steht unmittelbar neben dem „X“- Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und denselben Button handelt. Vor diesem Hintergrund kann die Einwilligung mithilfe des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend, noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DSGVO bewertet werden
EuGH
Urteil vom 25.01.2024 C-334/22 | Audi
Emblemhalterung auf einem Kühlergrill
Der EuGH hat entschieden, dass Audi als Inhaber der entsprechenden Unionsmarke die Nutzung des Audi-Logos oder eines ähnlichen Zeichens für Ersatzteile von Drittanbietern verbieten kann.
Tenor der Entscheidung:
1. Art. 9 Abs. 2 und Abs. 3 Buchst. a bis c der Verordnung (EU) 2017/1001 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über die Unionsmarke ist dahin auszulegen, dass der Dritte, der ohne Zustimmung des Automobilherstellers, der Inhaber einer Unionsmarke ist, Ersatzteile, und zwar Kühlergrills für diese Fahrzeuge, einführt und zum Kauf anbietet, die ein Element enthalten, das für die Anbringung des Emblems, das diese Marke wiedergibt, gedacht ist und dessen Form mit dieser Marke identisch oder ihr ähnlich ist, ein Zeichen im geschäftlichen Verkehr in einer Weise benutzt, die eine oder mehrere Funktionen dieser Marke beeinträchtigen kann, was das nationale Gericht prüfen muss.
2. Art. 14 Abs. 1 Buchst. c der Verordnung 2017/1001 ist dahin auszulegen, dass er den Automobilhersteller, der Inhaber einer Unionsmarke ist, nicht daran hindert, einem Dritten die Benutzung eines mit dieser Marke identischen oder ihr ähnlichen Zeichens für Autoersatzteile, und zwar Kühlergrills, zu verbieten, wenn dieses Zeichen in der Form eines Elements des Kühlergrills besteht, das für die Anbringung des diese Marke wiedergebenden Emblems auf diesem Kühlergrill gedacht ist, ohne dass es insoweit von Bedeutung ist, ob es technisch möglich ist, dieses Emblem auf dem Kühlergrill zu befestigen, ohne das Zeichen auf ihm anzubringen.
Die Pressemitteilung des EuGH: Unionsmarke: Ein Automobilhersteller kann die Benutzung eines Zeichens, das mit der Marke, deren Inhaber er ist, identisch oder ihr ähnlich ist, für Ersatzteile verbieten
Das gilt dann, wenn das Ersatzteil ein Element enthält, das für die Anbringung des Emblems dieses Herstellers gedacht ist und in seiner Form dieser Marke ähnlich oder mit ihr identisch ist-
Der Automobilhersteller Audi ist Inhaber der folgenden Unionsbildmarke:
[Abbilung]
Sie ist u. a. für Fahrzeuge, Ersatzteile und Autozubehör eingetragen.
Diese Marke wird als Audi-Emblem wiedergegeben und benutzt. Ein polnischer Händler bietet nachgebaute, auf ältere Audi-Fahrzeuge angepasste Kühlergrills zum Kauf an und macht auf seiner Webseite Werbung dafür. Diese Kühlergrills enthalten ein Teil, dessen Form dieser Marke ähnlich oder mit ihr identisch ist und das für die Anbringung des Audi-Emblems gedacht ist.
Audi hat diesen Händler verklagt. Ihm soll verboten werden, nachgebaute Kühlergrills, die ein mit der Marke AUDI identisches oder ihr ähnliches Zeichen enthalten, zu vermarkten. Das mit dieser Klage befasste polnische Gericht möchte wissen, welchen Umfang der Schutz aus dieser Marke hat. Es hat sich an den Gerichtshof gewandt, um zu klären, ob die Vermarktung von Autoersatzteilen wie der in Rede stehenden Kühlergrills nach dem Unionsrecht1 eine „Benutzung eines Zeichens im geschäftlichen Verkehr“ darstellt, die die Funktionen der Marke AUDI beeinträchtigen kann. Es fragt sich auch, ob der Inhaber dieser Marke einem Dritten eine solche Benutzung verbieten kann.
In seinem Urteil bejaht der Gerichtshof dies. Er stellt zunächst fest, dass die für Geschmacksmuster vorgesehene Reparaturklausel nicht anwendbar ist . Sodann führt er aus, dass im vorliegenden Fall die Kühlergrills nicht vom Inhaber der Marke AUDI stammen und ohne seine Zustimmung auf den Markt gebracht werden. Das Teil, das für die Anbringung des Audi-Emblems gedacht ist, ist für ihre Vermarktung durch den Dritten in die Kühlergrills integriert. Es ist für das Publikum, das ein solches Ersatzteil kaufen will, sichtbar. Dies könnte einen sachlichen Zusammenhang zwischen dem fraglichen Ersatzteil und dem Inhaber der Marke AUDI darstellen. Daher kann eine solche Benutzung die Funktionen der Marke, die u. a. darin bestehen, die Herkunft oder die Qualität der Ware zu garantieren, beeinträchtigen.
Der Gerichtshof überlässt es dem nationalen Gericht, zu prüfen, ob das fragliche Teil des Kühlergrills mit der Marke AUDI identisch oder ihr ähnlich ist und ob der Kühlergrill mit einer oder mehreren Waren, für die diese Marke eingetragen ist, identisch oder ihnen ähnlich ist. Wenn das nationale Gericht der Auffassung ist, dass die Marke AUDI in der Union bekannt ist, muss ihr Inhaber allerdings unter bestimmten Bedingungen verstärkten Schutz genießen. In diesem Fall spielt es keine Rolle, ob die fraglichen Kühlergrills und die Waren, für die diese Marke eingetragen ist, identisch, ähnlich oder verschieden sind.
Der Gerichtshof bestätigt auch, dass das Unionsrecht, wenn die Wahl der Form des Teils, das für die Anbringung des Emblems des Automobilherstellers gedacht ist, von dem Willen geleitet ist, einen Kühlergrill zu vermarkten, der dem Originalkühlergrill so getreu wie möglich ähnelt, das ausschließliche Recht dieses Herstellers und Inhabers der Marke, die Benutzung eines identischen oder ähnlichen Zeichens zu verbieten, nicht beschränkt.
Das LG Berlin hat entschieden, dass LinkedIn die Do-Not-Track-Einstellung des Browsers nicht ignorieren darf. Ferner darf die Zustimmung zur Sichtbarkeit von Profildaten außerhalb von Linkedin nicht vorkonfiguriert sein.
Aus den Entscheidungsgründen: d) Die beanstandete Mitteilung verstößt gegen § 5 Abs. 1 Satz 1 und 2 Nr. 7 UWG.
aa) Nach § 5 Abs. 1 Satz 1 UWG handelt unlauter, wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Eine geschäftliche Handlung ist gemäß § 5 Abs. 1 Satz 2 UWG irreführend, wenn sie unwahre Angaben (Fall 1) oder sonstige zur Täuschung geeignete Angaben über — nachfolgend aufgezählte - Umstände enthält (Fall 2). Nach 8 5 Abs. 1 Satz 2 Fall 2 Nr. 7 UWG ist eine geschäftliche Handlung irreführend, wenn sie sonstige zur Täuschung geeignete Angaben über Rechte des Verbrauchers enthält.
[...]
Die von der Beklagten im eigenen Geschäftsinteresse getätigte Mitteilung, nicht auf DNT-Signale zu reagieren, ist bei objektiver Betrachtung darauf gerichtet, Verbraucher davon abzuhalten, bei der Nutzung des Internet-Angebots der Beklagten DNT-Signale einzusetzen oder, falls sie es dennoch tun, den von ihnen damit verfolgten Zweck gegenüber der Beklagten tatsächlich geltend zu machen.
[...]
Die Mitteilung transportiert aber implizit die Rechtsansicht, die der Kläger ihr mit seiner Antragsformulierung beimisst. Die Beklagte bringt nämlich zum Ausdruck, dass sie ein DNT-Signal nicht als wirksamen Widerspruch eines Verbrauchers gegen eine Nachverfolgung seines Nutzerverhaltens ansieht. Dabei wird unterstellt, dass die Beklagte sich nicht bewusst’ rechtswidrig verhalten und trotz eines wirksamen Widerspruchs eines Verbrauchers dessen Daten verarbeiten will. Worauf sich die Beklagte bezieht, wenn sie von einem DNT-Signal spricht, erläutert sie in dem unter Ziff, 5.4 ihrer Datenschutzrichtlinie unter „Erfahren Sie mehr“ verlinkten Dokument (Anlage K 10). Sie erklärt ein DNT-Signal wie folgt: „Derzeit bieten einige Browser — darunter Internet Explorer, Firefox und Safari — eine DNT-Option an, die auf einer DNT-Kopfzeile basiert. Diese Technologie sendet ein Signal an die von dem Browser besuchten Webseiten über die DNT-Einstellungen des Nutzers.“ Bei der in Anlage K 13 wiedergegebenen angegriffenen Mitteilung handelt es sich allerdings nicht um eine im Rahmen der Rechtsverfolgung oder Rechtsverteidigung geäußerte Rechtsansicht, die gemäß der oben dargestellten Rechtsprechung privilegiert wäre. Sie ist nicht eingebettet in den Kontext einer rechtlichen Auseinandersetzung, in der die Beklagte gegenüber einem Dritten ihre Rechte geltend macht oder verteidigt. Vielmehr befindet sie sich in der Datenschutzrichtlinie der Beklagten, mit der die Beklagte allen ihren Nutzern Informationen zum Datenschutz in dem von ihr betriebenen Netzwerk vermittelt. Die Beklagte behauptet mit der angegriffenen Mitteilung eine eindeutige Rechtslage, die der angesprochene Kunde als Feststellung versteht. Sie suggeriert dem angesprochenen Verbraucher, dass sie nicht verpflichtet ist, DNT-Signale zu beachten, und vermittelt den Eindruck, dass dies rechtskonform ist. Dass sie auf ein rechtskonformes Verhalten Wert legt, unterstreicht die Beklagte durch die einleitende Versicherung, Privatsphäre und Datenschutz sehr ernst zu nehmen. Der angesprochene Kunde kann die Mitteilung in ihrer Gesamtheit nicht anders verstehen, als dass die Benutzung eines DNT-Signals rechtlich irrelevant ist und die Beklagte ein solches Signal nicht zu beachten braucht.
ddd) Diese von der Beklagten vermittelte Rechtsansicht ist jedoch nicht zutreffend. Vielmehr stellt ein DNT-Signal durchaus einen wirksamen Widerspruch gegen eine Datenverarbeitung dar. Das ergibt sich aus Art. 21 Abs. 5 DSGVO. (i) Gemäß Art. 21 Abs. 5 DSGVO kann eine betroffene Person im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ihr — etwa aufgrund Art. 21 Abs. 1 oder Abs. 2 DSGVO begründetes — Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. (ii) Bei dem von der Beklagten betriebenen sozialen Netzwerk handelt es sich um einen Dienst der Informationsgesellschaft in diesem Sinne. Ein Dienst der Informationsgesellschaft ist gemäß Art. 4 Ziff. 25 DSGVO eine Dienstleistung im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates, also jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Darunter fallen auch Internetangebote wie die sozialen Medien (Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 21 Rn. 42; Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 21 Rn. 74). (ii) Das DNT-Signal stellt ein automatisiertes Verfahren dar, das technische Spezifikationen verwendet, und damit unter Art. 21 Abs. 5 DSGVO fällt (Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 21 Rn. 43; Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 21 Rn. 35; Schwartmann/Jaspers/Thüsing/Kugelmann/Atzert, 2. Aufl. 2020, DS-GVO/BDSG, Artikel 21 Widerspruchsrecht, Rn. 103;. Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 21 Rn. 16; Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), Teil 4: Individuelle Datenschutzrechte Rn. 27, beck-online; Schantz/Wolff, Das neue Datenschutzrecht (2017), Rn. 1235, beck-online). Soweit vereinzelt Zweifel geäußert werden, ob DNT-Signale den Anforderungen von Art. 21 DSGVO genügen, weil ein Widerspruch eine aktive und bewusste Handlung erfordere, die nicht vorliege, wenn stillschweigend und unter Umständen unbewusst eine Voreinstellung nur übernommen werde (BeckOK DatenschutzR/Forgö, 44. Ed. 1.11.2021, DS-GVO Art. 21 Rn. 29), greift dieser Einwand nicht durch. Es ist anzunehmen, dass der Verordnungsgeber diese Ausnahme bewusst implementieren wollte (s. Schwartmann/Jaspers/Thüsing/Kugelmann/Atzert, 2. Aufl. 2020, DS-GVO/BDSG, Artikel 21 Widerspruchsrecht, Rn. 105). Dies entspricht auch dem Zweck 16 0 420/19 - Seite 18 - der DSGVO, die Wahrnehmung von Betroffenenrechten zu erleichtern. q Dem steht auch nicht entgegen, dass das DNT-Signal bei der Einführung des TTDSG zum 1. Dezember 2021 keine ausdrückliche Berücksichtigung gefunden hat.
[...]
2. Der Klageantrag zu 2 ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Unterlassung der standardmäßigen Aktivierung von Funktionen zur Sichtbarkeit von Profilinformationen von Mitgliedern außerhalb LinkedIn, wie im Antrag spezifiziert, aus 88 3, 5 Abs. 1, Abs. 2 Nr. 7, 8 Abs. 1 Satz 1, Abs. 3 Nr. 3 UWG.
[...]
b) Gegenstand des mit der Klage geltend gemachten Unterlassungsantrags ist auch hier die konkrete Verletzungsform, wie im Klageantrag zu 2 durch Abbildung der von der Beklagten verwendeten Voreinstellungen spezifiziert. Der Kläger wendet sich mit dem Klageantrag zu 2 dagegen, dass die Beklagte bei der erstmaligen Anmeldung von Nutzern Voreinstellungen verwendet in der Weise, dass sowohl ein Schalter „Sichtbarkeit außerhalb LinkedIn“ als auch ein Schalter „Öffentliche Sichtbarkeit Ihres Profils" von vornherein aktiviert ist. Die Aktivierung hat zur Folge, dass personenbezogene Daten der Nutzer in Partnerdiensten der Beklagten angezeigt und im Internet für jedermann sichtbar veröffentlicht werden. Der Kläger wendet sich nach Maßgabe des Antrags nicht gegen diese Veröffentlichung, also die Datenverarbeitung, sondern gegen die Voreinstellungen an sich.
c) Die beanstandeten Voreinstellungen verstoßen gegen § 5 Abs. 1 Satz 1 und 2 Nr. 7 UWG.
aa) Die Voreinstellungen sind eine geschäftliche Handlung im Sinne von & 5 Abs. 1 UWG. Dem Begriff der geschäftlichen Handlung unterfällt gemäß § 2 Abs. 1 Nr. 1 UWG das Verhalten einer Person zugunsten des eigenen Unternehmens bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen unmittelbar und objektiv zusammenhängt. Die beanstandeten Voreinstellungen, die Nutzer der Beklagten bei erstmaliger Anmeldung vorfinden, stehen in Zusammenhang mit einem Geschäftsabschluss und sind bei objektiver Betrachtung darauf gerichtet, die Entscheidung des Verbrauchers über den Umfang, in dem er seine Daten zur Verarbeitung zur Verfügung stellt, zu beeinflussen. Stellt der Verbraucher seine Daten in möglichst großem Umfang zur Verfügung, fördert das die Sichtbarkeit und Reichweite des von der Beklagten betriebenen Netzwerks in deren Geschäftsinteresse.
bb) Die Voreinstellungen sind zur Täuschung geeignete Angaben über Verbraucherrechte im Sinne von § 5 Abs. 1 Satz 2 Nr. 7 UWG.
aaa) Der Streitfall betrifft auch hinsichtlich des Klageantrags zu 2 eine geschäftliche Handlung, die sich einem der in § 5 Abs. 1 Satz 2 Fall 2 UWG aufgeführten Bezugspunkte einer Irreführung zuordnen lässt, nämlich den in § 5 Abs. 1 Satz 2 Fall 2 Nr. 7 UWG genannten Rechten des Verbrauchers. Wie oben unter IV. 1. d) cc) aaa) ausgeführt, hat der Begriff der Rechte des Verbrauchers eine weite Bedeutung und erfasst nicht nur Angaben über die Existenz bestimmter Rechte, sondern auch über deren Inhalt, Umfang und Dauer sowie etwaige Voraussetzungen für die Geltendmachung. Die streitgegenständlichen Voreinstellungen betreffen das Recht des Verbrauchers, in eine Veröffentlichung seiner Daten auf bestimmten Wegen einzuwilligen oder nicht. bbb) Die angegriffenen Voreinstellungen der Beklagten sind eine Angabe im Sinne des § 5 Abs. 1 Satz 2 UWG. Sie stellen eine Geschäftshandlung mit Informationsgehalt dar, da sie die Information vermitteln, dass die Beklagte von dem Nutzer eingegebene Daten mit dessen Einwilligung über Partnerdienste bzw. öffentlich zugänglich macht.
bbb) Die angegriffenen Voreinstellungen der Beklagten sind eine Angabe im Sinne des § 5 Abs. 1 Satz 2 UWG. Sie stellen eine Geschäftshandlung mit Informationsgehalt dar, da sie die Information vermitteln, dass die Beklagte von dem Nutzer eingegebene Daten mit dessen Einwilligung über Partnerdienste bzw. öffentlich zugänglich macht.
ccc) Die Voreinstellungen sind im Sinne von § 5 Abs. 1 Satz 2 Fall 2 Nr. 7 UWG zur Täuschung über Verbraucherrechte geeignet.
Das LG Berlin hat entschieden, dass das Setzen von Werbecookies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers zulässig ist. Insbesondere dürfen die Cookies nicht automatisch mit Aufruf der Website gesetzt werden. Die hier streitgegenständliche Verwendung von Cookies auf welt.de war - so das Gericht - wettbewerbswidrig.
Das Bundeskartellamt ist zu dem Ergebnis gekommen, dass die Deutsche Bahn AG ihre Marktmacht gegenüber Mobilitätsplattformen von Drittanbietern missbraucht:
Die Pressemitteilung des Gerichts: Offene Märkte für digitale Mobilitätsdienstleistungen – Deutsche Bahn muss Wettbewerbsbeschränkungen abstellen
Nach einer Entscheidung des Bundeskartellamtes vom 26. Juni 2023 verstößt die Deutsche Bahn AG gegen das Kartellrecht, da der Konzern seine Marktmacht gegenüber Mobilitätsplattformen missbraucht. Das Bundeskartellamt hat der Deutschen Bahn (DB) aufgegeben, bestimmte Verhaltensweisen und Vertragsklauseln zu ändern.
Andreas Mundt, Präsident des Bundeskartellamtes: „Der vom Netzbetrieb bis zum Fahrkartenvertrieb vertikal integrierte Staatskonzern Deutsche Bahn ist das in Deutschland mit weitem Abstand marktbeherrschende Verkehrsunternehmen im Schienenpersonenverkehr. Die Dienstleistungen von Mobilitätsplattformen, Reisenden eine integrierte Routenplanung zu ermöglichen, sind ohne die Einbindung der Angebote und der Verkehrsdaten der Deutschen Bahn nicht denkbar. Daher unterfällt die Deutsche Bahn der kartellrechtlichen Missbrauchsaufsicht und hat besondere Pflichten gegenüber anderen Unternehmen. Konkret geht es um die Weitergabe von Daten, Werbeverbote, vertikale Preisvorgaben, weitreichende Rabattverbote und das Vorenthalten verschiedener Provisionen für die Drittplattformen. Ohne eine wirksame kartellrechtliche Durchsetzung können die Geschäftsmodelle von Mobilitätsplattformen nicht im Wettbewerb zur Deutschen Bahn funktionieren.“
Mobilitätsplattformen bieten ihren Kunden vergleichende Informationen für Reiserouten mit verschiedenen Verkehrsmitteln und verkehrsträgerübergreifend sowie die Buchung entsprechender Tickets und Fahrkarten an. Hierfür spielen die Eisenbahn und die Verkehrsleistungen der DB eine wichtige Rolle. So vermitteln die Plattformen etwa die Kombination von Bahntickets mit Flügen, Carsharing, Fernbus oder Mietfahrrädern.
Die DB ist einerseits das marktbeherrschende Schienenverkehrsunternehmen und andererseits selbst eine marktstarke Mobilitätsplattform mit ihrem Portal „bahn.de“ und mit ihrer App „DB Navigator“. Nach den Feststellungen des Bundeskartellamtes nutzt die DB ihre Schlüsselstellung auf den Verkehrs- und Infrastrukturmärkten, um den von dritten Mobilitätsplattformen ausgehenden Wettbewerb einzuschränken. Wettbewerbswidrige Vertragsklauseln der DB sind aus Sicht des Amtes Werbeverbote, vertikale Preisvorgaben, weitreichende Rabattverbote sowie die Vorenthaltung einer Inkassoprovision. Nach der zwischenzeitlichen Ankündigung der DB, Mobilitätsplattformen auch keine Provision für die Vermittlung von DB-Fahrkarten mehr zahlen zu wollen, stand im Verfahren zudem die Pflicht zur Zahlung einer solchen Provision nach kartellrechtlichen Entgeltmaßstäben in Rede.
Zum anderen verweigert die DB den Mobilitätsplattformen den fortlaufenden und diskriminierungsfreien Zugang zu allen von der DB kontrollierten Verkehrsdaten in Echtzeit, die für die Organisation und Buchung von Reisen mit unterschiedlichen Verkehrsmitteln unerlässlich sind (sog. Prognosedaten). Dies betrifft Verspätungsdaten des Schienenpersonenverkehrs ebenso wie Zugausfälle oder ausgefallene bzw. zusätzliche Halte, die Gründe für Verspätungen oder Ausfälle, zusätzliche Fahrten oder Ersatzverkehre, aktuelle Gleisangaben oder Gleiswechsel und Daten zu Großstörungsereignissen.
Zwar ist die DB durch die seit dem 7. Juni 2023 geltende neue EU-Fahrgastrechteverordnung verpflichtet, Prognosedaten für die Information der Reisenden zu teilen. Nach der Auffassung des Bundeskartellamtes reicht das für die Abstellung des kartellrechtlichen Verstoßes aber nicht aus. Die EU-Fahrgastrechteverordnung erfasst nicht alle erforderlichen Prognosedaten und lässt wichtige Aspekte der kommerziellen und technischen Umsetzung regelungsbedürftig.
Andreas Mundt: „Eine einvernehmliche Verfahrensbeendigung ist nach langen Verhandlungen vor allem an einzelnen kommerziellen Bedingungen gescheitert. Deshalb bedarf es einer behördlichen Anordnung, um mögliche Praktiken der Bevorzugung der eigenen Angebote oder nachteilige Konditionen für den Zugang zu Prognosedaten durch die marktbeherrschende Deutsche Bahn für die Zukunft zu verhindern. Außerdem hat die Deutsche Bahn eine Reihe von Vertragsklauseln zu ändern, mit denen die Mobilitätsplattformen als Online-Partner behindert werden können. Wir wollen verhindern, dass die Deutsche Bahn mit ihren eigenen unternehmerischen Interessen ihre Dominanz im Schienenpersonenverkehr auch auf zukunftsweisende Mobilitätsmärkte ausweitet und innovative Mobilitätsanbieter ausgebremst werden.“
Das Bundeskartellamt hat der DB unter anderem folgende Maßnahmen auferlegt:
- Die Mobilitätsplattformen können zukünftig ohne vertragliche Beschränkungen seitens der DB auch unter Verwendung DB-spezifischer Begriffe von den Möglichkeiten der Online- und App-Store- Werbung Gebrauch machen.
- Online-Partner der DB können zukünftig beim Verkauf von Bahn-Tickets eigene Rabattaktionen, Bonuspunkt- oder Cashback-Programme einsetzen. Hierdurch wird eine Ungleichbehandlung mit der DB selbst, die ihrerseits ihre eigenen Angebote mit diesen Mitteln bewirbt, beendet. Einzelne gezielte Rabattaktionen, die der DB zusätzliche Risiken im Hinblick auf die Steuerung der Auslastung ihrer Züge auferlegen, sind davon ausgenommen.
- Die DB hat Mobilitätsdienstleistern, die für sie beim Fahrkartenvertrieb die Buchungs- und Zahlungsabwicklung übernehmen, zukünftig ein an kartellrechtlichen Mindeststandards orientiertes Leistungsentgelt zu zahlen. Das Gleiche gilt für die Vermittlungsprovision selbst. Die genaue Höhe der Provisionen bleibt den Verhandlungen zwischen der DB und ihren Vertragspartnern vorbehalten; sie war nicht Gegenstand des Verfahrens.
- Die Regelungen in der neuen EU-Fahrgastrechteverordnung zur Bereitstellung von Prognosedaten werden ergänzt, die Umsetzung insbesondere der kommerziellen und technischen Konditionen durch Vorgaben näher geregelt und ein Zugang auch für Drittdaten eröffnet. Der Datenzugang Dritter muss diskriminierungsfrei und mit dem Datenzugang der DB selbst vergleichbar sein.
Die Abstellungsverfügung hat insgesamt einen in die Zukunft gerichteten Regelungscharakter, um einen Wettbewerb um smarte Mobilitätsdienstleistungen noch stärker als bisher in Gang zu setzen. Die Vereinbarung der vertraglichen Einzelheiten und die konkrete Vertragsausgestaltung überlässt das Bundeskartellamt mit Blick auf die verfassungsrechtlich geschützten Freiheitsrechte von Unternehmen den Vertragspartnern selbst. Für die Verhandlungen sind Fristen vorgesehen.
Die Auswirkungen der jetzt abzustellenden Wettbewerbsbeschränkungen berühren auch die Interessen anderer Verkehrsunternehmen, die ebenfalls auf den Mobilitätsplattformen der Online-Partner der DB zu finden sind. Gerade für die in Deutschland deutlich kleineren und weniger bekannten Eisenbahnunternehmen können Mobilitätsplattformen ein wichtiger Kanal sein, um ihre Reichweite zu erhöhen und Nachfrager für ihre Verkehrsdienstleistungen zu gewinnen.
Die Entscheidung des Bundeskartellamtes ist noch nicht bestandskräftig. Die DB hat die Möglichkeit innerhalb eines Monats Beschwerde gegen die Entscheidung einzulegen, über die dann das Oberlandesgericht Düsseldorf entscheiden würde.
Zur Entscheidung im Bahn-Verfahren hat das Bundeskartellamt ausführliche FAQ veröffentlicht.
Das LG München hat entschieden, dass der Cookie-Banner nach TCF-Standard von FOCUS-Online datenschutzwidrig ist. Insbesondere rügt das Gericht, dass der Cookie-Banner angesichts der Vielzahl technisch nicht notwendiger Cookies unübersichtlich ist und der Aufwand zum Ablehnen aller Cookies zu aufwändig ist, da kein "Alle-Ablehnen"-Button vorgehalten wird.
Das LG Frankfurt hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß durch Setzen technisch nicht notwendiger Cookies ohne vorherige rechtskonforme Einholung der Einwilligung des Nutzers vorliegt. Insofern liegt ein Verstoß gegen § 3a UWG i.V.m § 15 Abs. 3 TMG vor. Ein Website-Betreiber haftet dabei für etwaige Fehler seines Cookie-Banner-Dienstleisters. Geklagt hatte die Wettbewerbszentrale.
Das LG Köln hat entschieden, dass ein abmahnfähiger Wettbewerbsverstoß vorliegt, wenn ein Website-Betreiber einen Cookie-Banner verwendet, wonach der Nutzer durch weitere Nutzung der Website dem Setzen technisch nicht notwendiger Cookies zustimmt.
Die Entscheidung:
Tenor:
Im Wege der einstweiligen Verfügung wird gemäß §§ 935 ff. ZPO, 1, 5 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1BGB, 15 Abs. 3 S. 1 TMG wegen der Dringlichkeit des Falles ohne vorherige mündliche Verhandlung angeordnet:
Der Antragsgegnerin wird bei Meidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,- EUR, ersatzweise Ordnungshaft, oder Ordnungshaft jeweils bis zu sechs Monaten, zu vollziehen an den Geschäftsführern der Antragsgegnerin, untersagt, im geschäftlichen Verkehr im Internet einen Datenschutzhinweis mit folgenden Informationen über Cookies zu veröffentlichen:
"Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung"
wie geschehen im Internet unter der URL: https://[...].de und nachstehend eingeblendet:
[...]
Die Antragsgegnerin hat die Kosten des Verfahrens zu tragen.
Gründe:
I. Der Sachverhalt ergibt sich aus der Antragsschrift, auf die zur Vermeidung von Wiederholungen Bezug genommen wird.
II. Der Verfügungsgrund ergibt sich aus § 5 UKlaG in Verbindung mit § 12 Abs. 1 UWG. Der Verfügungsanspruch folgt aus § 1 UKlaG in Verbindung mit §§ 307 Abs. 2 Nr. 1 BGB, 15 Abs. 3 TMG. Der Antragsteller ist nach § 3 Abs. 1 Nr. 2 UKlaG aktiv legitimiert (vgl. BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 17). Die von ihm angegriffene Klausel ist mit § 307 Abs. 2 S. 2 BGB nicht vereinbar. Denn sie widerspricht dem wesentlichen Gedanken von § 15 Abs. 3 TMG. Nach letztgenannter Vorschrift darf der Diensteanbieter für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer nach einer Unterrichtung über sein Widerspruchsrecht dem nicht widerspricht. Nach der Rechtsprechung des Bundesgerichtshofes ist die Vorschrift dahingehend richtlinienkonform auszulegen, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nicht einsetzen darf, wenn die Einwilligung des Nutzers mittels eines voreingestellten Ankreuzkästchens eingeholt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss (BGH, Urt. v. 28.05.2020 - I ZR 7/16, NJW 2020, 2540 Rn. 52). Dem folgend widerspricht eine, wie hier verwendete, Klausel erst Recht § 15 Abs. 3 TMG, wenn mit der Weiternutzung der Internetseite konkludent in die Nutzung von Cookies eingewilligt werden soll (so auch Haberer, MMR 2020, 810 (813)).
III. Der Verfahrenswert wird auf 2.500,- EUR festgesetzt. Nach der Rechtsprechung des Bundesgerichtshofes richtet sich der Verfahrenswert in Verfahren nach dem Unterlassungsklagengesetz allein nach dem Interesse der Allgemeinheit an der Beseitigung einer gesetzwidrigen Allgemeinen Geschäftsbedingung, nicht hingegen nach der wirtschaftlichen Bedeutung des Verbotes einer Klausel (siehe nur BGH, Bes. v. 29.07.2015 - IV ZR 45/15).
Das LG Köln hat entschieden, dass das Setzen technisch nicht notwendiger Cookies ohne Einwilligung des Nutzers ein abmahnfähiger Wettbewerbsverstoß ist.
Aus den Entscheidungsgründen:
Die Kammer hat von § 938 Abs. 1 ZPO Gebrauch gemacht und den Tenor abweichend von dem gestellten Antrag formuliert. Die durch den Antragsteller in seinem Antrag gewählte Formulierung war nicht sachdienlich, weil die beanstandete Nutzung von Cookies ohne Einwilligung keine Werbung darstellt. Die gewählte Formulierung hält sich im Rahmen des gestellten Antrags, weil dieser ausweislich der Antragsbegründung und der in dem Antrag eingeblendeten Passage aus der Webseite des Antragstellers darauf gerichtet ist, dem Antragsteller das Setzen von Cookies zu untersagen, wenn keine aktive Einwilligung der Nutzer eingeholt wird, sondern deren Inaktivität als Einwilligung gewertet wird.
2. Der Verfügungsgrund wird vermutet, § 12 Abs. 2 UWG. Umstände, aufgrund derer die Vermutung erschüttert wäre, hat der Antragsgegner nicht vorgetragen.
3. Der Verfügungsanspruch des nach § 8 Abs. 3 Nr. 2 UWG prozessführungsbefugten Antragstellers folgt aus §§ 8 Abs. 1, 3, 3a UWG i.V.m. 12 Abs. 1, 15 Abs. 3 TMG in richtlinienkonformer Auslegung der zuletzt genannten Vorschriften unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG. Entgegen dem Vorbringen des Antragsgegners sind diese Vorschriften, nicht hingegen die Datenschutzgrundverordnung anwendbar. Die Datenschutzgrundverordnung beansprucht gemäß ihres Artikels 95 gegenüber der RL 2002/58/EG keinen Vorrang und ermöglicht deswegen eine fortdauernde Anwendung auch der §§ 12, 15 TMG, bei denen es sich um Marktverhaltensregelungen handelt (Köhler/Bornkamm/Feddersen/Köhler, 38. Aufl. 2020 Rn. 1.74d, UWG § 3a Rn. 1.74d, m.w.N.).
Durch Vorlage der im Tenor dieses Beschlusses eingeblendeten Screenshots hat der Antragsteller glaubhaft gemacht, dass der Antragsgegner Cookies setzt, ohne eine aktive Einwilligung der betroffenen Nutzer einzuholen. Dies stellt im konkreten Fall einen Verstoß gegen §§ 12 Abs. 1, 15 Abs. 3 TMG dar, die insoweit richtlinienkonform unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG auszulegen sind (vgl. (Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 59, m.w.N.; vgl. auch BGH NJW 2020, 2540, Rn. 49 ff. d.A.).
Zwar ist § 15 Abs. 1, 3 TMG unter Berücksichtigung von Art. 5 Abs. 3 RL 2002/58/EG dahingehend auszulegen, dass eine Einwilligung unter den dort in Satz 2 genannten Voraussetzungen nicht erforderlich ist (rein technische Speicherung bzw. Zugang, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht in ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit die Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann). Dass diese Voraussetzungen nicht gegeben sind, ergibt sich jedoch aus dem im Tenor eingeblendeten Screenshot. Der Verweis auf die Nutzung von Cookies erfolgt dort nicht im Zusammenhang mit der Übertragung einer Nachricht; ebenso wenig steht er im Zusammenhang mit einem durch den Nutzer ausdrücklich angefragten Dienst, was beispielsweise bei einer angeforderten Wiedergabe von Video- oder Audioinhalten oder dem Aufruf einer Warenkorbfunktion der Fall wäre (vgl. Forgó/Helfrich/Schneider, Betr. Datenschutz, Teil XI. Kap. 2 RFID, Smartcards und Cookies, 3. Aufl. 2019, Rn. 61).
[...]
Streitwert: 10.000 Euro (§51 Abs. 4 GKG)
Das LG Rostock hat wenig überraschend entschieden, dass die Einwilligung durch Cookie-Banner für Tracking-Cookies und Drittanbieter-Cookies mit vorausgewählter Auswahl nicht den Vorgaben der DSGVO entspricht.
Auch wir weisen bei der Beratung von Website-Betreibern schon immer darauf hin, dass nahezu alle der in der Praxis üblichen Cookie-Banner nicht rechtskonform sind.
Aus den Entscheidungsgründen:
(2) Die Beklagte verwendet auf ihrer Internetseite Technologien, die Drittanbieter-Cookies auf Endgeräten der Nutzer ablegen. Die Verwendung der in den Anlagen K11 - K13 bezeichneten Cookies ist unstreitig.
Der Kläger hat unter namentlicher Nennung verschiedener Tracking-Cookies weiter vorgetragen, es erfolge eine websiteübergreifende Übertragung personengebundener Daten, wie z.B. der IP-Adresse. Die Beklagte hat zwar in Bezug auf das implementierte Tool .Google Analytics“ be stritten, dass dieses die IP-Adresse an den Drittanbieter weiterleitet. Im Übrigen hat sie jedoch le diglich pauschal bestritten, dass eine websiteübergreifende Datenübertragung erfolgt.
Das ist insoweit unzureichend, da die Beklagte die Darlegungs- und Beweislast dafür trifft, dass die Gestaltung der Website datenschutzrechtskonform ist, wie sich aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO ergibt (vgl BeckOK DatenschutzR/Schantz, 32. Ed. 1.5.2020, DS-GVO Art 5, Rn. 39 m.w.N.). Nachdem die vom Kläger konkret benannten Tracking-Technologien (vgl. Schriftsatz vom 04.OG.2020, S. 7) nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.
Zudem hat die Beklagte in ihrer Datenschutzerklärung (Anlagen K11 - K13) in der Beschreibung der Cookies selbst deren Funktionsweise dahin beschrieben, dass diese zur Verfolgung des Nutzers über mehrere Webseiten und auch zur Identifikation des Nutzers über Besuche und Geräte hinweg dienen.
(3) Die für eine Verwendung dieser Cookies notwendige Einwilligung konnte zum Zeitpunkt der Abmahnung mit dem durch die Beklagte verwendeten Cookie-Banner (Anlage K6) nicht wirksam erteilt werden.
aa) Die Verwendung der hier im Streit stehenden Cookies ist einwilligungsbedürftig. Die Notwendigkeit der Einwilligung ergibt sich aus § 15 Abs. 3 TMG, der angesichts der Regelung in Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG (E-Privacy-Richtlinie) dahin richtlinienkonform aus zulegen ist, dass der Diensteanbieter Cookies zur Erstellung von Nutzungsprofilen für Zwecke der Werbung oder Marktforschung nur mit Einwilligung des Nutzers einsetzen darf (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II).
bb) Eine wirksame Einwilligung in die hier konkret beanstandete Datenverarbeitung konnten die Nutzer mit dem durch die Beklagte zur Verfügung gestellten Cookie-Banner (Anlage K6) aufgrund der gewählten Vorbelegung - alle Cookies ausgewählt (sog. Opt-Out) - nicht erteilen. Mit der Entscheidung des BGH vom 28.05.2020 zur Notwendigkeit und zur Ausgestaltung der wirksamen Einwilligung bei der Verwendung von Cookies (vgl. BGH GRUR 2020, 891 - Cookie-Einwilligung II) steht fest dass die durch die Beklagte gewählte Opt-Out-Variante dazu nicht geeignet ist.
b) Die aufgrund des festzustellenden Rechtsverstoßes bestehende Vermutung für das Vorliegen einer Wiederholungsgefahr ist nicht durch die vorgetragene Änderung des Banners widerlegt Die Kammer hat ihren insoweit zunächst mit der Ladungsverfügung vom 14.04.2020 erteilten Hinweis in der mündlichen Verhandlung entsprechend korrigiert. Denn die Beklagte hat nach Ansicht der Kammer den Vertsoß nicht beseitigt. Auch das nunmehr von der Beklagten verwendete Cookie-Banner erfüllt die Voraussetzungen für eine wirksamen Einwilligung der Nutzer nicht.
(1) "Einwilligung“ der betroffenen Person ist gemäß Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden per-
sonenbezogenen Daten einverstanden ist.
Der BGH hat in der vorgenannten Entscheidung dazu ausführt:
Nach Art. 4 Nr. 11 der Verordnung (EU) 2016/679 ist Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Nach Erwägungsgrund 32 der Verordnung (EU) 2016/679 sollte die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Für den bestimmten Fall ist eine Einwilligung abgegeben, wenn Inhalt, Zweck und Tragweite der Erklärung hinreichend konkretisiert sind (vgl. DeckOK.DatonschutzR/Schild, 31. Edition (Stand 1. Februar 2020], Art. 4 DS-GVO Rn. 125; Buchner/Kühling in Kühling/Buchner, DS-GVO BDSG, 2. Aufl., Art. 4 DS-GVO Rn. 8).
(2) Eine wirksame Einwilligung Ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten "Cookie Zulassen“-Buttons aktiviert. Damit entspricht die Gestaltung des Cookie-Banners grundsätzlich der Gestaltung in dem durch den BGH entschiedenen Fall. Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.
Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden' seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden "Cookie zulassen"-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert" werden.
