Das VG Schleswig hat entschieden, dass Meta / Facebook gegen die Transparenzpflichten aus § 93 MStV verstößt, da Nutzer nicht ausreichend über Kriterien und Funktionsweisen der Algorithmen informiert werden.
Die Pressemitteilung des Gerichts: Meta verstößt mit Facebook gegen Transparenzgebot im Medienstaatsvertrag
Die 10. Kammer hat mit Beschluss vom 30. Juni 2025 einen einstweiligen Rechtsschutzantrag der Meta Platforms Ireland Limited (Antragstellerin) gegen einen Bescheid der Medienanstalt Hamburg/Schleswig-Holstein (Antragsgegnerin) abgelehnt. Die Antragsgegnerin hatte gegenüber Meta mit Bescheid vom 2. Oktober 2024 beanstandet, dass sie mit ihrem Dienst Facebook gegen Transparenzpflichten aus dem Medienstaatsvertrag verstoße. Sie informiere Nutzer u. a. nicht leicht genug wahrnehmbar über die Kriterien und Funktionsweisen der Algorithmen, die über gezeigte Beiträge, deren Auswahl und Gewichtung im News-Feed entscheiden. Die Antragsgegnerin forderte Meta unter Anordnung der sofortigen Vollziehung auf, die Verstöße kurzfristig zu beheben. Hiergegen wandte sich die Antragstellerin mit diversen Einwänden; u. a. verstießen die maßgeblichen Vorschriften des Medienstaatsvertrags (MStV) gegen Europarecht.
Das Gericht lehnte den Antrag der Antragstellerin aufgrund einer umfassenden Interessenabwägung ab. Zwar komme die Kammer bei summarischer Prüfung zu dem
Ergebnis, dass der Bescheid formell rechtmäßig sei und die Voraussetzungen für eine Beanstandung vorlägen, da die Antragstellerin den Transparenzpflichten aus § 93 MStV nicht hinreichend nachkomme. Im Eilverfahren lasse sich jedoch die komplexe Rechtsfrage, ob § 93 und § 1 Abs. 8 Satz 1 MStV gegen Unionsrecht verstießen, nicht abschließend beantworten. Die infolge der offenen Erfolgsaussichten vorzunehmende Interessenabwägung falle angesichts der Bedeutung der mit den Transparenzvorschriften geschützten Meinungsvielfalt und demokratischen Meinungsbildungsprozessen, die durch Dienste wie Facebook erheblich mitgestaltet würden, zulasten der Antragstellerin aus. Für die Kammer sei nicht erkennbar gewesen, dass der mit den Transparenzpflichten verbundene Aufwand zu besonders tiefgreifenden oder gar unverhältnismäßigen Belastungen der Antragstellerin führen würde.
Die Antragstellerin kann gegen den Beschluss (10 B 185/24) binnen zwei Wochen Beschwerde zum Oberverwaltungsgericht einreichen.
Der BGH hat entschieden, dass die Bundesnetzagentur die Öffentlichkeit per Pressemitteilung über Verfahren gegen Energielieferanten und die rechtliche Einschätzung informieren darf.
Die Pressemitteilung des BGH: Bundesgerichtshof zur Zulässigkeit einer Pressemitteilung der Bundesnetzagentur
Der Kartellsenat des Bundesgerichtshofs hat heute entschieden, dass die Bundesnetzagentur die Öffentlichkeit darüber informieren durfte, sie habe der betroffenen Energielieferantin diese Tätigkeit zum Schutz der Haushaltskunden untersagt. Die Pressemitteilung durfte auch den Hinweis enthalten, die Betroffene halte nach Auffassung der Bundesnetzagentur die gesetzlichen Regeln nicht ein, die einer sicheren und verbraucherfreundlichen Energieversorgung dienen.
Sachverhalt:
Die Betroffene war in der Vergangenheit als Gaslieferantin tätig. Ende 2021 erklärte sie gegenüber etwa 370.000 Kunden die sofortige Kündigung der bestehenden Gaslieferverträge und zeigte gegenüber der Bundesnetzagentur die Beendigung ihrer Tätigkeit als Energielieferantin von Haushaltskunden an. Das von einer personenidentischen Geschäftsführung geleitete und als Stromlieferantin tätige Schwesterunternehmen der Betroffenen sprach ebenfalls Kündigungen der bestehenden Stromlieferverträge gegenüber Haushaltskunden aus. Insgesamt erfolgten seinerzeit etwa 1,2 Millionen solcher Kündigungen, was erhebliche Folgen für die betroffenen Kunden und die für diese zuständigen Grundversorger hatte. Die Geschehnisse waren auch Anlass für eine kritische Berichterstattung in der Presse.
Im März 2023 zeigte die Betroffene die (Wieder-)Aufnahme ihrer Tätigkeit an. Die Bundesnetzagentur leitete im April 2023 ein Verfahren zur Überprüfung der Leistungsfähigkeit und Zuverlässigkeit ein und informierte hierüber die Öffentlichkeit unter namentlicher Nennung der Betroffenen. Mit Beschluss vom 29. Juni 2023 untersagte die Bundesnetzagentur der Betroffenen, die Tätigkeit als Energielieferantin von Haushaltskunden auszuüben. Am 7. Juli 2023 informierte die Bundesnetzagentur die Öffentlichkeit mit einer Pressemitteilung - erneut unter Nennung der Betroffenen - über den Ausgang des Verfahrens. Der Aufforderung der Betroffenen, die Pressemitteilung von ihrer Internetseite zu entfernen, kam die Bundesnetzagentur nicht nach. Während des Rechtsbeschwerdeverfahrens hat das Beschwerdegericht den Untersagungsbeschluss der Bundesnetzagentur vom 29. Juni 2023 mit Beschluss vom 27. November 2023 aufgehoben. Das Beschwerdegericht hielt die Untersagung zum Untersagungszeitpunkt allerdings weiterhin materiell für gerechtfertigt. Zwischenzeitlich hat die Bundesnetzagentur der Betroffenen die Tätigkeit als Energielieferantin von Haushaltskunden unter Auflagen wieder gestattet.
Bisheriger Prozessverlauf:
Mit ihrer Beschwerde hat die Betroffene unter anderem begehrt, der Bundesnetzagentur bei Meidung eines Ordnungsgelds zu untersagen, in Bezug auf die Betroffene identifizierend zu berichten, dass die Bundesnetzagentur ihr die Tätigkeit als Energielieferantin von Haushaltskunden untersagt habe. Das Oberlandesgericht hat die Beschwerde zurückgewiesen. Mit ihrer vom Beschwerdegericht zugelassenen Rechtsbeschwerde verfolgt die Betroffene ihr Begehren weiter.
Entscheidung des Bundesgerichtshofs:
Der Bundesgerichtshof hat die Rechtsbeschwerde zurückgewiesen. Der Betroffenen steht gegen die Bundesnetzagentur kein Anspruch auf Unterlassung der in der Pressemitteilung vom 7. Juli 2023 enthaltenen Aussagen zu. Die Bundesnetzagentur durfte die Veröffentlichung auf der Grundlage von § 74 Satz 2 EnWG aF vornehmen. Die Regelung soll nach ihrem Sinn und Zweck die Transparenz behördlichen Handelns erhöhen und eine frühzeitige Information der Öffentlichkeit ermöglichen. Sie ermächtigt deshalb grundsätzlich auch zur Veröffentlichung einer ergangenen, aber noch nicht bestandskräftigen Untersagungsverfügung unter Nennung des betroffenen Unternehmens durch eine Pressemitteilung. Ob und in welcher Weise die Veröffentlichung im Einzelfall erfolgt, steht im Ermessen der Bundesnetzagentur. Von diesem Ermessen hat die Bundesnetzagentur rechtsfehlerfrei Gebrauch gemacht. Sie durfte unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes dem öffentlichen Informationsinteresse den Vorrang gegenüber den Interessen der Betroffenen einräumen.
Vorinstanz:
OLG Düsseldorf - Beschluss vom 29. Mai 2024 - VI-3 Kart 481/23 [V]
Die maßgeblichen Vorschriften lauten:
Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz)
§ 5 Anzeige der Energiebelieferung
(1) Energielieferanten, die Haushaltskunden mit Energie beliefern, müssen nach Maßgabe des Absatzes 2 Satz 1 und 2 die Aufnahme und Beendigung der Tätigkeit sowie Änderungen ihrer Firma bei der Bundesnetzagentur anzeigen; […]
(4) Mit der Anzeige der Aufnahme der Tätigkeit ist das Vorliegen der personellen, technischen und wirtschaftlichen Leistungsfähigkeit sowie der Zuverlässigkeit der Geschäftsleitung darzulegen. Die Bundesnetzagentur ist berechtigt, das Vorliegen der personellen, technischen und wirtschaftlichen Leistungsfähigkeit sowie der Zuverlässigkeit der Geschäftsleitung jederzeit unter Nutzung der behördlichen Aufsichtsrechte nach diesem Gesetz zu überprüfen. […]
(5) Die Regulierungsbehörde kann einem Energielieferanten die Ausübung der Tätigkeit jederzeit ganz oder teilweise untersagen, wenn die personelle, technische oder wirtschaftliche Leistungsfähigkeit oder Zuverlässigkeit nicht gewährleistet ist. […]
§ 74 Veröffentlichung von Verfahrenseinleitungen und Entscheidungen
[in der bis 28. Dezember 2023 geltenden Fassung]:
Die Einleitung von Verfahren nach § 29 Abs. 1 und 2 und Entscheidungen der Regulierungsbehörde auf der Grundlage des Teiles 3 sind auf der Internetseite und im Amtsblatt der Regulierungsbehörde zu veröffentlichen. Im Übrigen können Entscheidungen von der Regulierungsbehörde veröffentlicht werden.
[in der ab 29. Dezember 2023 geltenden Fassung]:
Die Einleitung von Verfahren nach § 29 Absatz 1 und 2 sowie Entscheidungen der Regulierungsbehörde auf der Grundlage des Teils 3 sind auf der Internetseite der Regulierungsbehörde zu veröffentlichen. Entscheidungen der Bundesnetzagentur auf der Grundlage des Teils 3 und des § 65 sind einschließlich der Begründungen auf der Internetseite der Bundesnetzagentur zu veröffentlichen. Im Übrigen können Verfahrenseinleitungen und Entscheidungen sowie deren Begründung von der Regulierungsbehörde veröffentlicht werden. Die Veröffentlichungen nach den Sätzen 1 bis 3 schließen auch die Veröffentlichung der Firmen betroffener Unternehmen mit ein. Satz 2 ist nicht anzuwenden auf Verfahren nach § 65 auf Grund einer Verordnung nach § 111f.
Das VG Hannover hat entschieden, dass ein Cookie-Banner / Cookie-Consent-Tool für technisch nicht notwendige Cookies eine "Alles ablehnen"-Schaltfläche enthalten muss.
Die dazugehörige Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen: Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss
Auf nahezu jeder Webseite im Internet werden Nutzerinnen und Nutzer beim Öffnen mit einem Einwilligungsbanner konfrontiert. Viele weisen eine Schaltfläche mit der Bezeichnung „Alle akzeptieren“ auf, die Nutzerinnen und Nutzer häufig anklicken werden, damit der Einwilligungsbanner verschwindet und der Inhalt der Webseite gelesen werden kann. Mit diesem Klick wird allerdings die Erlaubnis erteilt, dass unter Umständen sehr viele Cookies und andere Trackingtechnologien eingesetzt werden, um detaillierte Nutzerprofile zu generieren und in Echtzeit personalisierte Werbung auf der Webseite auszuspielen.
Der Landesbeauftragte für den Datenschutz in Niedersachsen setzt sich seit vielen Jahren gegen manipulativ gestaltete Einwilligungsbanner und für wirksame – insbesondere informierte und freiwillige – Einwilligungen ein. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt und die Rechte von Internetnutzerinnen und -nutzern in Sachen Datenschutz gestärkt: Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt. Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, so das Verwaltungsgericht Hannover in seiner Urteilsbegründung. Andernfalls seien die derart eingeholten Einwilligungen unwirksam, was einen Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie die Datenschutz-Grundverordnung darstellt.
Hintergrund des Verfahrens war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem niedersächsischen Medienhaus. Dieses hatte Cookie-Einwilligungen mittels eines Banners eingeholt – ohne Nutzerinnen und Nutzern eine echte Wahlmöglichkeit zu bieten.
Gericht erkennt mehrere Verstöße
Das Verwaltungsgericht kritisierte die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht:
das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
die Überschrift „optimales Nutzungserlebnis“ und die Beschriftung „akzeptieren und schließen“ auf dem Schließen-Button waren irreführend,
der Begriff der „Einwilligung“ fehlte vollständig,
die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.
Das Gericht erkannte, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.
Dazu der Landesbeauftragte für den Datenschutz in Niedersachsen, Denis Lehmkemper: „Die allermeisten Menschen sind vermutlich von Cookie-Bannern genervt. Diese erfüllen jedoch eine wichtige Funktion für die Aufrechterhaltung der Privatsphäre im Internet. Genau deshalb setzen sich die Datenschutz-Aufsichtsbehörden für eine echte Wahlmöglichkeit bei der Gestaltung der Banner ein. Diese Wahlmöglichkeit wird von vielen Webseitenbetreibern bisher jedoch nicht umgesetzt. Ich hoffe, das Urteil sendet ein Signal an möglichst viele Anbieter und trägt so dazu bei, datenschutzkonforme Einwilligungslösungen umzusetzen.“
Das LG Berlin II hat entschieden, dass die datenschutzrechtliche Einwilligung bei Anmeldung eines Google-Kontos nicht DSGVO-konform ist.
Aus den Entscheidungsgründen: l. Der Kläger kann von der Beklagten gem. 88 8 Abs. 1, 3 Nr. 3, 3 Abs. 1, 3a UWG 1.V.m. Art. 5 Abs. 1 lit. a, 6 Abs. 1 S. 1 lit. a DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. Art. 6 Abs. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung für ein Google-Konto keine freiwillige und in informierter Weise abgegebene Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung einzuholen, wenn dies geschieht wıe in Anlage K 3 abgebildet.
1. Die Klagebefugnis ergibt sich aus 8 8 Abs. 3 Nr. 3 UWG sowie 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. verwiesen. Der Kläger ist als qualifizierte Einrichtung im Sinne von $ 4 UKlaG in der Liste des Bundesamtes für Justiz eingetragen.
2. Bei Art. 5 Abs. 1 Ilit. a und Art. 6 Abs. 1 S. 1lit. a DS-GVO handelt es sich um Marktverhaltensregelungen 1.S.d. $ 3a UWG.
Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urt. v. 27.4.2017 - | ZR 215/15, GRUR 2017, 819 Rn. 20, beck-online).
Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (OLG Stuttgart, Urteil vom 27.02.2020 - 2 U 257/19 - Reifensofortverkauf, Rn. 79 m.w.N.).
Nach diesen Maßstäben handelt es sich bei Art 5 Abs. 1 Iıt. a und Art. 6 Abs. 1 S. 1]lıt. a DS-GVO um Marktverhaltensregelungen. Denn diese Regelungen betreffen die Zulässigkeit der Erhebung von Daten u.a. auch bei der unmittelbaren Teilnahme am Markt, im vorliegenden Fall durch Eröffnung eines Google-Kontos, also bei Eingehung eines Vertrages mit der Beklagten oder der Nutzung des Kontos. Diese wiederum nutzt die Daten u.a. für die Schaltung von Werbung, was die DS-GVO zu regeln sucht (so auch LG Leipzig, Urteil vom 31.5.2023 — 05 O 666/22, MMR 2024, 277 Rn. 87, beck-online; KG, Urteil vom 20.12.2019 - 5 U 9/18 —, Rn. 174, Juris zu Art. 6 Abs. 1 5. 1 lit. a DS-GVO; MüKoUWG/Schaffert, 3. Aufl. 2020, UWG 8 3a Rn. 81, beck-online).
3. Gemäß 8 2 Abs. 1 Satz 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Eine Norm dient dem Schutz der Verbraucher, wenn der Verbraucherschutz Ihr eigentlicher Zweck ist. Sie kann auch anderen Zwecken dienen; es genügt aber nicht, wenn der Verbraucherschutz in der Norm nur untergeordnete Bedeutung hat oder eine nur zufällige Nebenwirkung iIst. Die Norm muss Verhaltenspflichten des Unternehmers gegenüber dem Verbraucher begründen (vgl. zum Ganzen BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 15] - SEPA-Lastschrift, mwN).
Die für den Streitfall maßgeblichen Vorschriften der DSGVO fallen unter den Beispielskatalog des 8 2 Abs. 2 Nr. 13 UKlaG.
4. Die Beklagte hat auch gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 S. 1]lit. a DS-GVO verstoßen.
Gemäß Art 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten u.a. auf rechtmäßige Weise und nachvollziehbar (transparent) verarbeitet werden. Art. 6 Abs. 1 DS-GVO nimmt diesen Grundsatz durch die Anforderung auf, dass eine der dort geregelten Bedingungen erfüllt sein muss. Nach Art 6 Abs. 1 S. 1lıt. a DS-GVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person Ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine „Einwilligung“ der betroffenen Person ist nach Art. 4 Nr. 11 DS-GVO Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
a) Es fehlt an einer freiwilligen Einwilligung.
Das Tatbestandsmerkmal „frei“” bzw. „freiwillig“ setzt ganz generell voraus, dass die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 34, beck-online). Die Einwilligung muss daher aufgeklärt erfolgen. Der Betroffene ist darauf hinzuweisen, dass er seine Einwilligung verweigern kann (BeckOK DatenschutzR/Schild, 50. Ed. 1.11.2024, DS-GVO Art. 4 Rn. 128, beck-online).
Inwiefern diejenigen Einwendungen der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, welche über die Einwendungen des Klägers hinausgehen, überhaupt zu prüfen sind, kann dahinstehen. An der Freiwilligkeit fehlt es jedenfalls aufgrund der vom Kläger bemängelten fehlenden Möglichkeit der vollständigen Ablehnung der Einwilligung in die Datenverarbeitung.
aa) Eine unwirksame Einwilligung liegt deshalb vor, da die „Express-Personalisierung“ lediglich die Möglichkeiten „Bestätigen“ und „Zurück“ vorsieht und nicht unmittelbar eine Ablehnung der Einwilligung möglich ist.
Grundsätzlich ist für eine freiwillige Entscheidung eines Nutzer seine Kenntnis von den Alternativen erforderlich. Hierfür muss die Beklagte die entsprechenden Möglichkeiten eröffnen und/oder eindeutig aufklären. Der Kläger und die Datenschutzbeauftragte lassen bei ihren Bewertungen wie die Beklagte zu Recht bemängelt - den ersten Schritt, die Auswahlmöglichkeit über den Personalisierungsweg, unberücksichtigt. Denn wenn dort eindeutig aufgeführt wird, dass der Weg über die „Express Personalisierung“” die unbedingte Einwilligung bedeutet, während diese bei der „Manuellen Personalisierung“ abgelehnt werden kann, so würde dies für eine aufgeklärte Einwilligung ausreichen. Dies ist allerdings nicht der Fall. Denn unter „Express-Personalisierung“ heißt es: „Nutzen Sie diese Personalisierungseinstellungen, um Inhalte und Werbung zu erhalten, die auf Ihre Interessen abgestimmt sind.“ Dieser Beschreibung lässt sich schon nicht eindeutig entnehmen, dass es überhaupt um eine Einwilligung in eine Datenverarbeitung geht. Aber selbst wenn man dies zugunsten der Beklagten annähme, ist aus dem Text nicht ersichtlich, dass der Nutzer bei Wahl der „Express-Personalisierung“ keine Möglichkeit hat, seine Einwilligung nicht zu erteilen. Aus diesem Grund müssen die beiden Personalisierungsschritte doch jeweils einzeln betrachtet werden. Dann reicht aber allein die tatsächliche Möglichkeit, die Einwilligung, nachdem der Vorgang über die „Express-Personalisierung“ abgebrochen wurde und über „Manuelle Personalisierung“ neu begonnen wurde, ım Rahmen der „Manuellen Personalisierung“ verweigern zu können, nicht aus, um den Nutzer ausreichend über die Möglichkeit der Ablehnung seiner Einwilligung zu Informieren. Vielmehr hätte der Nutzer auch im Rahmen der „Express-Personalisierung“ eindeutig darüber aufgeklärt werden müssen, dass er seine Einwilligung insgesamt verweigern kann, beispielsweise über einen weiteren Button „Ablehnen“. Dies wollte die Beklagte aber offenbar nicht, da der Expressweg dergestalt attraktiver für sie ist.
bb) Aber auch der erteilten Einwilligung über die „Manuelle Personalisierung“ fehlt es an einer Freiwilligkeit. Denn die Beklagte nutzt unstreitig trotz einer fehlenden Einwilligung in „personalisierte Werbung“ über die „allgemeine Werbung“ den Standort des Nutzers in Deutschland. Auch dabei handelt es sich um ein personenbezogenes Datum (vgl. Art. 4 Nr. 1 DS-GVO). Soweit die Beklagte sich hinsichtlich der Zulässigkeit auf die Empfehlungen der EDSA stützt, welche eine kontextbezogene oder allgemeine Werbung als „datenschutzfreundliche Alternative zur personalisierten Werbung“ anerkennt, so verkennt sie, dass die EDSA dabei auf den Bereich der Datenminimierung Bezug nimmt, nicht aber auf die Frage, ob eine wirksame freiwillige Einwilligung vorliegt. Um diese annehmen zu können, muss die Beklagte eine Alternative anbieten, mit der sämtliche Datennutzung verweigert werden kann. Soweit die Beklagte für die Nutzung des Standorts ein sonstiges berechtigtes Interesse behauptet, trägt sie noch nicht einmal vor, welches dieses sein soll.
Aufgrund der prinzipiellen Nutzung des von der Beklagten bezeichneten „allgemeinen Standorts“ besteht für den Nutzer tatsächlich keine Möglichkeit, die Nutzung sämtlicher personenbezogener Daten abzulehnen, weshalb es an der Freiwilligkeit der Einwilligung fehlt.
b) Es fehlt an auch an einer informierten Einwilligung zu einem bestimmten Zweck.
aa) Das Erfordernis der Einwilligung In „informierter Weise“ ist als Ausprägung des in Art. 5 Abs. 1 lit. a DS-GVO niedergelegten Transparenzgrundsatzes zu verstehen (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Die Informationspflicht bzgl. der Einwillilgung bezieht sich auf bestimmte Elemente, die für die Entscheidungsfindung wesentlich sind, mindestens umfasst sie aber: die Identität des Verantwortlichen, den Zweck Jjedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird, die (Art der) Daten, die erhoben und verwendet werden sowie das Bestehen eines Widerrufsrechts (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Hinsichtlich der formalen Gestaltung muss eine einfache, klare und allgemeinverständliche Sprache verwendet werden und zudem muss die Einwilligung leicht zugänglich und deutlich von anderen Sachverhalten klar zu unterscheiden sein (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online).
bb) Vorliegend fehlt es an der Transparenz schon deshalb, da die Beklagte weder über die einzelnen Google-Dienste noch Google-Apps, Google-Websites oder Google-Partner aufklärt, für welche die Daten verwendet werden sollen. Die Reichweite der Einwilligung Ist dem Nutzer schon aus diesem Grund völlig unbekannt. Ob darüber hinaus auch die konkrete Art und Weise der Darstellung, einschließlich der verwendeten Sprache, eine informierte Entscheidung entfallen lassen, kann daher dahinstehen.
Soweilt die Beklagte auf den Inhalt ihrer Datenschutzerklärung verweist, welche weitere Informationen über die „Partner“ und „Dienste“ enthielt und dabei u.a. von zwei Millionen Partnerwebsites die Rede ist, reicht auch diese Aufklärung nicht aus. Denn insoweit bleibt die Information viel zu vage, als dass der Nutzer den Umfang der Nutzung seiner Daten erfassen kann und insbesondere wofür sie bei den „Diensten“ und „Partnern“ genutzt werden. Soweit die Beklagte zu der fehlenden Angabe der Google-Dienste anführt, dass diese zu einem übermäßig langen Informationstext für die Nutzer geführt, was der Transparenz nicht genutzt hätte, kann dem nicht gefolgt werden. Zwar soll nach den „Leitlinien des Europäischen Datenschutzausschusses ("EDSA") zur Einwilligung“ keine „lange“ Datenschutzbestimmung verwendet werden, allerdings gehört die Information über sämtliche Google-Dienste (Anlage K1), für welche der Nutzer seine Einwilligung erteilt, schon nach dem Erwägungsgrund 42 der DS-GVO zu den Minimalangaben, die für eine informierte Einwilligung erforderlich sind. Demnach soll die betroffene Person nämlich wissen, in welchem Umfang sie ihre Einwilligung erteilt hat, dazu gehört insbesondere die Kenntnis für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Die Tatsache, dass die Beklagte über die von ihr zur Verfügung gestellte Einwilligung die Erlaubnis zur Nutzung von Daten für über 70 Google-Dienste einholen will, kann nicht dazu führen, dass es ihr erlaubt sein soll, die Dienste nicht wenigstens über die von Ihr genutzte Form des „layered approach” aufzuführen. Dass die Fülle an Diensten zu einer Unübersichtlichkeit deren Angabe führen würde, deutet vielmehr eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat. Sofern die Beklagte weiter ausführt, Nutzer könnten durch die Anzeige ihres „Google-Konto-Avatars“ erkennen, wenn es sich bei dem Jeweils genutzten Dienst um einen Google-Dienst handelt, und im Übrigen das Google-Konto bei den Nutzern unterschiedlich genutzt würde, so dass es zu unterschiedlich umfangreicher Nutzung der Daten kommt, so verhilft auch dieser Vortrag zu keiner abweichenden Beurteilung. Die Tatsache, dass die Nutzer nach der Einwilligung durch einen Avatar erkennen können, wann eine Google-Dienst vorliegt, ist zu spät und für die Frage der wirksamen Einwilligung unbeachtlich. Der Umfang muss den Nutzern bei Erteilung der Einwilligung bekannt sein. Auch die Tatsache, dass Nutzer Dienste in unterschiedlichen Umfang nutzen und damit unterschiedlich viele Daten preisgeben, Ist keine Besonderheit bei den Diensten der Beklagten, sondern die Regel. Dass hieraus hergeleitet werden kann, dass eine Information über den Umfang der Einwilligung nur eingeschränkt erfolgen muss, ist nicht nachvollziehbar.
c) Aus den Erwägungen unter b) fehlt es auch an der Einwilligung in einen bestimmten Zweck.
5. Angesichts der ausdrücklichen Bestimmung des 8 12a UKlaG, dass die zuständige inländische Datenschutzbehörde anzuhö6ren ist, führt die Tatasche, dass es sich bei dieser nicht um die federführende Aufsichtsbehörde 1.S.d. DS-GVO handelt, nicht zu einem Ausschluss des Anspruchs. Die DS-GVO selbst macht in Bezug zu den Rechtsbehelfen nach Art. 77 ff. DS-GVO für natürliche Personen, aber auch für den Kläger keine Vorgaben, dass eine Datenschutzbehörde überhaupt einzubinden wäre. 6. Die Wiederholungsgefahr ist gegeben. Neben der bereits durch den Verstoß indizierten Wiederholungsgefahr setzt ein Unterlassungsanspruch auf Grundlage des $ 2 Abs. 1 Satz 1 UKlaG voraus, dass er Im Interesse des Verbraucherschutzes geltend gemacht wird. Hierfür Ist erforderlich, dass der dem Anspruch zugrundeliegende Verstoß die Kollektivinteressen der Verbraucher berührt. Das ist der Fall, wenn der Verstoß in seinem Gewicht und In seiner Bedeutung über den Einzelfall hinausreicht und eine generelle Klärung geboten erscheinen lässt (vgl. BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 36] - SEPA-Lastschrift, mwN).
Il. Der Kläger kann von der Beklagten gem. $8 8 Abs. 1, 3 Nr. 2, 3 Abs. 1, 3a UWG. 1I.V.m. Art. 25 Abs. 2 S. 1 DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. 25 Abs. 2 S. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung die verfügbare Option der Speicherfrist für personenbezogene Daten von 3 Monaten nicht in den vorgegebenen Auswahlmöglichkeiten anzubieten, wenn dies geschieht wie in Anlage K 4 abgebildet.
1. Die Klagebefugnis ergibt sich aus $ 8 Abs. 3 Nr. 3 UWG sowl'!e 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. Verwiesen.
2. Auch bei Art. 25 Abs. 2 S. 1 DS-GVO handelt es sich um eine Marktverhaltensregelung (Köhler/Feddersen/Köhler/Odörfer, 43. Aufl. 2025, UWG 8 3a Rn. 1./4a, beck-online mit Verweis auf LG Hamburg, Urteil vom 22. Februar 2024 — 327 O 250/22, dort Rn. 62) sowie ein Verbraucherschutzgesetz 1.5.d. $ 2 UklaG.
3. Die Beklagte hat auch gegen Art. 25 Abs. 2 S. 1 DS-GVO verstoßen.
a) Nach Art. 25 Abs. 1 S. 1 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
„Erforderlich“ sind Daten dann, wenn der Verarbeitungszweck sich ohne sie nicht erreichen lässt (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online). Nach Erwägungsgrund 39 der DS-GVO soll die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Für solche Daten, die der Verantwortliche nicht notwendig verarbeiten muss, um die legitimen Zwecke der Verarbeitungserlaubnis erfüllen zu können, ist ihm der Weg der Voreinstellung demgegenüber verschlossen (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online).
b) Nach diesen Maßstäben liegt in Bezug auf die „Express-Personalisierung“ eine Verletzung des Art. 25 Abs. 2 S. 1 DSGVO vor, da dort eine Speicherung von mehr als drei Monaten standardmäßig eingestellt ist. Dadurch, dass durch den Nutzer nachträglich unstreitig auch ein Löschen der Daten nach drei Monaten eingestellt werden kann, gibt die Beklagte zu verstehen, dass eine solche Speicherdauer für die von der Beklagten vorgenommene Verarbeitung grundsätzlich ausreicht. Alles, was über eine Speicherung von mehr als drei Monaten hinausgeht, war mithin nicht erforderlich. Gegenteiliges behauptet auch die Beklagte nicht. So führt sie selber aus, dass eine Speicherung von 18 bzw. 36 Monaten eine „optimale Nutzererfahrung“ ermögliche und damit den Zweck der Personalisierung „bestmöglich“ erreichen würde. Bei der Frage der Erforderlichkeit der Datennutzung geht es aber nicht um die bestmögliche Nutzung, sondern um das mindestens Notwendige.
Dass die Speicherdauer im Nachgang der Einwilligung verkürzt werden können, ist hingegen irrelevant. Dass der Anbieter den Nutzern die Möglichkeit eröffnet, Datenschutzeinstellungen des Dienstes jJederzeit selbst zu ändern, genügt nach der Idee des Gesetzgebers dem normativen Auftrag des Art. 25 Abs. 2 DS-GVO nicht (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46, beck-online).
c) Schwieriger zu beurteilen ist hingegen die Frage in Bezug auf die „Manuelle Personalisierung“, da dort zwischen drei Varianten der Speicherung gewählt werden konnte und damit eine formelle Voreinstellung nicht gegeben ist. „Voreinstellung“ könnte aber auch derart verstanden werden, dass sie Jede Entscheidungsgestaltung umfasst, die durch Vorgaben des Anbieters eine Verhaltenssteuerung (zulasten Betroffener) erzielt. Darunter könnten auch solche Designmuster fallen, die dem Nutzer zwar kein „angeklicktes Kästchen“ vorgeben, ihn aber dazu nötigen, sich zwischen zwel Alternativen zu entscheiden, die zur Auswahl stehen (s. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46a, beck-online). Martini Ist - ohne Verweis auf eine Fundstelle - der Auffassung, dass solche Formen der Verhaltenssteuerung der Gesetzgeber nicht vor Augen hatte, als er Abs. 2 S. 1 erließ. Die Vorschrift beruhe vielmehr auf dem verhaltensökonomischen Default-Gedanken, der an automatisch gesetzte, aber abänderbare Programmvorgaben des Verantwortlichen anknüpft. „Voreinstellung“ setze daher eine vorbereitete Konfiguration voraus (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46b, beck-online).
Hintergrund des Art. 25 Abs. 2 S. 1 DS-GVO ist allerdings die Erkenntnis, dass werksseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden (Baumgartner, ZD 2017, 308, beck-online). Diese Erkenntnis greift Art. 25 Abs. 2 S. 1 DS-GVO auf und verlangt, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden (Baumgartner, ZD 2017, 308, beck-online).
Im vorliegenden Fall kann der Nutzer die Länge der Speicherung aktiv auswählen. Dabei wird ihm der Zeitraum von drei Monaten allerdings nicht angeboten, vielmehr wird der Zeitraum von 18 bzw. 36 Monaten voreingestellt. Zwar kann der Nutzer die Speicherung seiner Daten auch gänzlich ablehnen. Allerdings war der Verantwortliche zu dieser Auswahlmöglichkeit schon aufgrund der Freiwilligkeit der Einwilligung (s.o.) verpflichtet, so dass man bei der Beurteilung der Frage der Rechtsmäßigkeit diese Variante unberücksichtigt lassen muss, um die Frage allein bei Betrachtung der beiden verbleibenden Auswahlmöglichkeiten zu beantworten. Soweit die Beklagte anmahnt, dass die Verantwortlichen einen Gestaltungsspielraum hinsichtlich der Ausgestaltung Ihrer Einwilligungserklärung und so auch hinsichtlich der Auswahl der Monate hätten, so trifft dies gerade aufgrund des Grundsatzes der Datenminimierung in dieser Allgemeinheit eben nicht zu. Unter Berücksichtigung des Sinns und Zwecks der Vorschrift ist die angebotene Auswahl der Beklagten nicht zulässig, da eine echte Wahl für eine Datenminimierung, wie sie auch Art. / Abs. 4 DS-GVO vorsieht, nicht besteht. Das Ziel der DS-GVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten, fordert nach Dafürhalten der Kammer eine strenge Betrachtungsweise.
Das OLG Frankfurt hat entschieden, dass Microsoft für das Setzen von Cookies ohne Einwilligung über Websites Dritter haftet.
Die Pressemitteilung des Gericht: Cookie-Speicherung: Microsoft haftet für einwilligungsfreie Cookie-Speicherung über Webseiten Dritter
Willigen Endnutzer nicht in die Speicherung von Cookies auf ihren Endgeräten gegenüber den Webseiten-Betreibern ein, die Cookies verwenden, haftet die hier beklagte Microsoft-Tochter für die mit ihrer Unternehmenssoftware begangene Rechtsverletzung. Es entlastet sie nicht, dass nach ihren Allgemeinen Geschäftsbedingungen die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung Microsoft verpflichtet, es zu unterlassen, ohne Einwilligung Cookies auf Endeinrichtungen der Klägerin einzusetzen.
Die Klägerin wendet sich gegen die Speicherung und das Auslesen sog. Cookies zu werblichen Zwecken auf ihren Endgeräten ohne ihre Einwilligung. Die Beklagte gehört zur Microsoft Corporation (i.F: „Microsoft“). Ihr Dienst „Microsoft Advertising“ ermöglicht es Webseiten-Betreibern, Anzeigen in den Suchergebnissen des „Microsoft Search Network“ zu schalten und den Erfolg ihrer Werbekampagnen zu messen. Über Microsoft Advertising können u.a. Informationen über die Besucher einer Webseite gesammelt und für die Besucher zielgerichtete Anzeigen geschaltet werden. Für die Erfassung der Onlineaktivitäten und Interessen der Nutzer verwendet die Beklagte sog. Cookies. Webseiten-Betreibern wird von der Beklagten ein Code zur Verfügung gestellt, den diese in ihre eigene Webseite bzw. dortige Anwendungen integrieren. Sobald die Seite aufgerufen wird, wird der Cookie gesetzt bzw. ein schon vorhandener ausgelesen. Das Setzen von Cookies wird ausschließlich von den Betreibern der Webseiten durch eine entsprechende Programmierung der Seite veranlasst. Microsoft verpflichtet die Betreiber der Webseiten vertraglich, für die erforderlichen Einwilligungen zu sorgen.
Die Klägerin besuchte Webseiten Dritter. Sie behauptet, dass ohne ihre Einwilligung Cookies auf ihrem Gerät gesetzt worden seien und begehrt von der Beklagten, es zu unterlasen, auf ihren Endgeräten ohne ihre Einwilligung Cookies einzusetzen.
Das Landgericht hat mit dem angefochtenen Urteil den Erlass der beantragten einstweiligen Verfügung abgelehnt. Hiergegen richtet sich die Berufung der Klägerin, die vor dem OLG Erfolg hatte. Der Klägerin stehe ein Unterlassungsanspruch zu. Durch das Setzen von Cookies habe die Beklagte gegen die gesetzlichen Vorgaben verstoßen. Die Klägerin habe substantiiert vorgetragen, dass auf ihren Geräten Cookies beim Besuch mehrerer Internetseiten ohne ihre Einwilligung gespeichert worden seien. Das Gesetz verpflichte auch die Beklagte. Es verbiete „jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers“, betont der Senat. Damit erfasse es jeden Akteur, der eine konkrete Speicher- oder Zugriffshandlung beabsichtige. Die Beklagte hafte auch als Täterin für diese Rechtsverletzung. Sie speichere die Informationen in Form von Cookies auf den Endeinrichtungen der Nutzer, sobald die entsprechende Anforderung durch den von ihr bereit gestellten Programmcode auf der vom Nutzer besuchten Internetseite ausgelöst werde. Zudem greife sie auf die hinterlegten Informationen zu, in dem sie sich diese von den Betreibern der Internetseiten zur Verfügung stellen lasse, nachdem diese die Informationen ausgelesen haben. Sie habe damit die Speicherung der Cookies ohne Einwilligung adäquat kausal verwirklicht.
Soweit die Beklagte sich darauf verlasse, dass die jeweiligen Webseiten-Betriebe die erforderliche Einwilligung einholten, entlaste sie dies nicht. Sie bleibe darlegungs- und beweisbelastet für den Umstand, dass die Endnutzer vor der Speicherung von Cookies auf ihren Endgeräten eingewilligt haben. Wie sie diesen Nachweis führe, obliege ihr. Sie müsste aber sicherstellen, dass diese Einwilligung vorliege. Das Gesetz gehe zu Recht davon aus, dass dieser Nachweis der Beklagten sowohl technisch - als auch rechtlich - möglich sei.
Die im Eilverfahren ergangene Entscheidung ist nicht anfechtbar.
Oberlandesgericht Frankfurt am Main, Urteil vom 27.6.2024, Az. 6 U 192/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 3.11.2023, Az. 2-02 O 217/22)
Erläuterungen:
§ 2 TTDSG Begriffsbestimmungen
(1) Die Begriffsbestimmungen des Telekommunikationsgesetzes, des Digitale-Dienste-Gesetzes
und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) gelten auch für dieses Gesetz, soweit in Absatz 2 keine abweichende Begriffsbestimmung getroffen wird.
(2) Im Sinne dieses Gesetzes ist oder sind
1.„Anbieter von digitalen Diensten“ jede natürliche oder juristische Person, die eigene oder fremde digitale Dienste erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden digitalen Diensten vermittelt,
...
§ 25 TTDSG Schutz der Privatsphäre bei Endeinrichtungen
(1) 1Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,
1.wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
2.wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Das OLG Köln hat entschieden, dass ein Cookie-Banner so gestaltet sein muss, dass das Ablehnen genauso bequem wie das Akzeptieren ist. Zudem hat das Gericht entschieden, dass das Schließen des Cookie-Banners mit "X" keine wirksame Einwilligung darstellt.
Aus den Entscheidungsgründen: Durch eine Gestaltung der Cookie-Banner wie in der vom Kläger in Bezug genommenen konkreten Verletzungsform wird dem Verbraucher weder auf der ersten noch auf der zweiten Ebene eine gleichwertige, mithin auf klaren und umfassenden Informationen beruhende, Ablehnungsoption angeboten, weshalb er – wie vom Landgericht zutreffend ausgeführt – zur Abgabe der Einwilligung hingelenkt und von der Ablehnung der Cookies abgehalten wird, so dass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO angesehen werden kann. Die erste Ebene enthält überhaupt keine Ablehnungsoption für den Verbraucher. Vielmehr kann dieser durch den Button „Einstellungen“ lediglich auf die zweite Ebene gelangen. Hier hat der Verbraucher dann die Auswahl zwischen dem Button „Alles Akzeptieren“ und dem Button „Speichern“. Wie vom Landgericht zutreffend ausgeführt, erschließt sich dem Durchschnittsnutzer aber bereits nicht, welche Funktion sich konkret hinter dem jeweiligen Button verbirgt bzw. mit welchem Button er nunmehr tatsächlich die Ablehnung der Cookies erreichen kann. Die Beklagte hat in erster Instanz selbst wiederholt ausgeführt, dass für den Verbraucher eine echte Wahlmöglichkeit gegeben sein müsse. Dies ist indes bei der hier aufgezeigten Gestaltung der Cookie-Banner gerade nicht der Fall.
Die Zurückweisung des Antrages zu b) – den der Kläger in der Berufungsinstanz in unveränderter Form gestellt hat – ist durch das Landgericht zu Unrecht erfolgt. Auch wenn der Kläger sich in der mündlichen Verhandlung zunächst dahingehend positioniert hat, dass es ihm gerade auf den Einschub zu a) ankomme und daher allenfalls dieser von dem beantragten Verbot isoliert erfasst sein solle, hat er letztlich den Antrag wie angekündigt gestellt und demgemäß hieran gerade nicht festgehalten. Durch die Verknüpfung und/oder bestand zwischen den Anträgen zu a) und b) ein echtes Alternativverhältnis, weshalb das Landgericht auch isoliert über den Antrag zu b) hätte entscheiden müssen. Eine andere Auslegung lässt entgegen der Auffassung der Beklagten auch das den Antrag zu b) einleitende Wort „dabei“ nicht zu, da dies ohne weiteres auch Sinn ergibt, wenn dieser Antrag nur isoliert geltend gemacht wird.
Dieser hinreichend bestimmte Antrag hat in der Sache ebenfalls Erfolg. Die Gestaltung der Cookie-Banner mit dem verlinkten Button „Akzeptieren & Schließen X“ in der rechten oberen Ecke verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung und führt zu deren Unwirksamkeit. Insoweit kann wiederum auf die zutreffenden Ausführungen des Landgerichts verwiesen werden. Das „X“-Symbol ist Nutzern bekannt als Möglichkeit, um ein Fenster zu schließen, nicht aber, um in die Verwendung von Cookies und anderen Technologien durch den Websitebetreiber einzuwilligen. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer nicht bewusst sein. Zwar steht unmittelbar neben dem „X“- Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und denselben Button handelt. Vor diesem Hintergrund kann die Einwilligung mithilfe des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend, noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DSGVO bewertet werden
Das LG München hat entschieden, dass die Werbung für das Bier Wunderbräu mit Münchner Adresse auf dem Bieretikett eine wettbewerbswidrige Herkunftstäuschung ist, da das Bier woanders gebraut wird.
Die Pressemitteilung des Gerichts: „Klimaneutrales Bier?“
Die für das Gesetz gegen den unlauteren Wettbewerb zuständige 37. Zivilkammer hat heute ein Handelsunternehmen für Getränke dazu verurteilt, es zu unterlassen, das von ihm vertriebene Bier als WUNDERBRAEU zu bezeichnen, wenn dies in Zusammenhang mit einer auf der Bierflasche abgedruckten Münchner Adresse geschieht, an welcher das Bier jedoch nicht gebraut wird. Dies stelle eine Herkunftstäuschung dar.
Zudem muss das beklagte Unternehmen in Zukunft die Bewerbung des Biers mit „CO2 positiv“ bzw. „klimaneutrale Herstellung“ auf der Bierflasche unterlassen (Az. 37 O 2041/23). Die Bewertungsmaßstäbe, aufgrund derer diese Äußerungen getroffen würden, seien auf den Etiketten der Flaschen nicht hinreichend transparent offengelegt.
Die Beklagte hatte argumentiert, dass die Bezeichnung „WUNDERBRAEU“ für sich nicht irreführend sei. Zudem habe sie ihren Verwaltungssitz an der angegebenen Münchner Adresse und es sei gesetzlich vorgeschrieben, die Adresse auf der Flasche abzudrucken.
Dem folgte das Landgericht München I nicht. Die für sich gesehen nicht eindeutige Bezeichnung „WUNDERBRAEU“ sei jedenfalls mit der auf dem rückwärtigen Etikett enthaltenen Adresse einer für Brauereien bekannten Straße in München irreführend. Durch die fragliche Aufschrift werde ein Bezug des Produktes mit einer Anschrift in München hergestellt, obwohl dort unstreitig nicht die Produktionsstätte, sondern allein der Sitz des Handelsunternehmens sei. Zwar möge die Bezeichnung für sich gesehen auch für die Beklagte als Vertriebsunternehmen zulässig sein und die Angabe auch insgesamt den gesetzlichen Anforderungen entsprechen. Das ändere aber nichts daran, dass die Aufschrift im Zusammenhang den Eindruck erwecke, die angegebene Anschrift bezeichne den Herkunftsort des Produktes selbst. Dies sei unzulässig.
Eine Täuschung über die Herkunft des Bieres sei auch geeignet, die Entscheidung der Verbraucherinnen und Verbraucher zu beeinflussen.
Die weiteren, von dem klagenden Verband beanstandeten Angaben „CO2 positiv“ und „klimaneutrale Herstellung“ stellen laut Gericht ebenfalls eine unzulässige Irreführung dar und wurden dem beklagten Unternehmen deshalb, so wie es die Angaben verwendet hatte, verboten.
Die Beklagtenseite hatte angeführt, dass ein QR-Code auf der Flasche zu den gewünschten Informationen über die Bedeutung der beanstandeten Angaben zur Klimabilanz führe.
Dies reichte der Kammer nicht aus. Gerade in der heutigen Zeit, in der Unternehmen in den Verdacht des sogenannten „Greenwashing“ kämen und in dem Ausgleichsmaßnahmen kontrovers diskutiert würden, sei es wichtig, die Verbraucher über die Grundlagen der jeweiligen werbenden Behauptung aufzuklären. Verbraucher hätten daher ein maßgebliches Interesse daran, inwieweit behauptete Klimaneutralität durch Einsparungen oder durch Ausgleichsmaßnahmen und wenn ja durch welche Ausgleichsmaßnahmen erreicht würden. Daher müssten den Verbrauchern die Bewertungsmaßstäbe für die werbenden Angaben „CO2 positiv“ und „klimaneutrale Herstellung“ auf der Bierflasche offengelegt werden:
Die 37. Zivilkammer führte hierzu aus: „Im vorliegenden Fall enthält die entsprechende Werbung zur Klimaneutralität und CO2 positiven Bilanz jedoch schon keinen Hinweis darauf, dass weitere Informationen auf der Homepage verfügbar sind. Der abgedruckte QR-Code ist auch nicht in so engem räumlichen Zusammenhang zu der umweltbezogenen Werbung aufgedruckt, dass es sich dem Kunden ohne weiteres erschließen würde, dass die für ihn notwendigen Informationen auf diese Weise verfügbar wären.“ Für einen etwaig zulässigen sog. „Medienbruch“ sei eine Verweisung mit einem klaren und eindeutigen Link erforderlich. Zudem führe der fragliche QR-Code auch nicht direkt auf eine Seite zur Erläuterung der klimaschonenden Maßnahmen, sondern allgemein auf die Homepage der Beklagten, von wo aus die Verbraucherinnen und Verbraucher sich dann zu den gewünschten Informationen erst durchklicken müssten, so die Kammer.
Letztendlich bestünden zudem erhebliche Zweifel daran, ob die auf der Homepage des beklagten Unternehmens aufgeführten Informationen ausreichend wären. Denn genaue Angaben zur berechneten Klimabilanz und Angaben darüber, in welchem Umfang die Klimaneutralität durch Kompensationsmaßnahmen erreicht werden sollen und in welchem Umfang durch Einsparung, fänden sich dort gerade nicht.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 300.000 EURO gegen eine Bank wegen mangelnder Transparenz bei der automatisierter Ablehnung eines Kreditantrags verhängt.
Die Pressemitteilung der BlnBDI: 300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags - Computer sagt Nein
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.
In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.
Da der Kunde einen guten Schufa-Score und ein regelmäßiges hohes Einkommen hatte, bezweifelte er die automatisierte Ablehnung. Die Bank machte auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich, die automatisierte Einzelentscheidung sinnvoll anzufechten. Daraufhin beschwerte er sich bei der Datenschutzbeauftragten.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Dass die Bank in diesem Fall auch auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, hat ein Bußgeld zur Folge. Eine Bank ist verpflichtet, die Kund:innen bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall.“
Die Datenschutzbeauftragte hat festgestellt, dass die Bank in dem konkreten Fall gegen Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO verstoßen hat. Bei der Bußgeldzumessung berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die vorsätzliche Ausgestaltung des Antragsprozesses und der Auskunft. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen den Verstoß eingeräumt sowie Änderungen an den Prozessen bereits umgesetzt und weitere Verbesserungen angekündigt hat.
Öffentliche Gesundheit: Strengere Vorschriften für Medizinprodukt
Heute treten neue EU-Vorschriften für Medizinprodukte in Kraft, mit denen ein moderner und robusterer Rechtsrahmen zum Schutz der öffentlichen Gesundheit und der Patientensicherheit geschaffen wird. Die neuen Vorschriften werden nun anwendbar, nachdem ihr Geltungsbeginn aufgrund der beispiellosen Herausforderungen der Coronavirus-Pandemie um ein Jahr verschoben worden war, um dem gestiegenen Bedarf an lebenswichtigen Medizinprodukten in der gesamten EU Rechnung zu tragen.
Die Verordnung gilt für Medizinprodukte von Hüftgelenksprothesen bis hin zu Heftpflastern. Mit ihr wird die Transparenz verbessert und das EU-Recht an den technologischen und medizinischen Fortschritt angepasst. Damit verbessert sich die klinische Sicherheit und es entsteht ein fairer Marktzugang für Hersteller.
Stella Kyriakides, Kommissarin für Gesundheit und Lebensmittelsicherheit, erklärte dazu: „Dies ist ein wichtiger Fortschritt für den Schutz der Patientinnen und Patienten in ganz Europa. Die neuen Vorschriften erhöhen die Sicherheit und Qualität von Medizinprodukten, bieten den Patientinnen und Patienten gleichzeitig mehr Transparenz und verringern die Verwaltungslasten für die Unternehmen. Die Verordnung wird die Innovation und unsere internationale Wettbewerbsfähigkeit stärken und sicherstellen, dass wir auf alle neuen und künftigen Herausforderungen vorbereitet sind.“
Kurz gefasst bewirkt die Verordnung über Medizinprodukte:
Bessere Qualität, mehr Sicherheit und größere Zuverlässigkeit von Medizinprodukten: Es werden strengere Kontrollen von Hochrisiko-Produkten wie Implantaten und die Konsultation eines Expertenpools auf EU-Ebene vor dem Inverkehrbringen des Produkts vorgeschrieben. Klinische Bewertungen, Prüfungen und die benannten Stellen, die Bescheinigungen für Medizinprodukte ausstellen dürfen, werden schärfer kontrolliert.
Größere Transparenz und bessere Patientenaufklärung: Wichtige Informationen müssen leicht aufzufinden sein. Die Europäische Datenbank für Medizinprodukte (EUDAMED) wird Informationen zu jedem auf dem Markt befindlichen Medizinprodukt enthalten, auch betreffend die Unternehmen und die von den benannten Stellen ausgestellten Bescheinigungen. Jedes Produkt erhält eine einmalige Produktkennung, damit es in EUDAMED zu finden ist. Eine ausführlichere Kennzeichnung und digitale Handbücher werden die Benutzerfreundlichkeit erhöhen. Implantatpatienten erhalten einen Implantationsausweis mit allen wesentlichen Informationen.
Verstärkte Vigilanz und Marktüberwachung: Sobald Produkte auf dem Markt sind, müssen die Hersteller Daten über ihre Leistung erheben. Die EU-Länder werden ihre Vigilanz und Marktüberwachung eng koordinieren.
Hintergrund
In der EU gibt es mehr als 500 000 Arten von Medizinprodukten auf dem Markt. Medizinprodukte sind beispielsweise Kontaktlinsen, Röntgengeräte, Beatmungsgeräte, Schrittmacher, Software, Brustimplantate, künstliche Hüftgelenke oder Heftpflaster.
Sie spielen eine entscheidende Rolle bei der Rettung von Menschenleben, da sie im Gesundheitswesen innovative Lösungen für die Diagnose, Prävention, Überwachung, Vorhersage, Prognose, Behandlung oder Linderung von Krankheiten bieten.
Die Verordnung über Medizinprodukte wird durch die Verordnung über In-vitro-Diagnostika (2017/746/EU) ergänzt, die ab dem 26. Mai 2022 gelten wird. In-vitro-Diagnostika dienen dazu, Tests an Proben vorzunehmen, etwa HIV-Bluttests, Schwangerschaftstests, COVID-19-Tests und Blutzucker-Überwachungssysteme für Diabetiker.
Entwurf eines Gesetzes zur Stärkung des Verbraucherschutzes im Wettbewerbs- und Gewerberecht
Der Entwurf verbessert den Schutz der Verbraucherinnen und Verbraucher vor unlauteren geschäftlichen Handlungen insbesondere im Kontext digitaler Geschäftsmodelle verbessert und ermöglicht eine wirksamere Durchsetzung des Verbraucherrechts. Hierfür enthält der Entwurf Regelungen zur Verbesserung der Verbraucherinformation bei Rankings und Verbraucherbewertungen.
Verbraucherinnen und Verbraucher erhalten zudem einen Anspruch auf Schadensersatz bei schuldhaften Verstößen von Unternehmern gegen verbraucherschützende Vorschriften des UWG. Bei weitverbreiteten Verstößen in mehreren Mitgliedsstaaten der Europäischen Union gegen Vorschriften, die die Richtlinie 2005/29/EG umsetzen, erhalten die zuständigen Behörden die Möglichkeit, im Rahmen von gemeinsamen Durchsetzungsmaßnahmen ein umsatzabhängiges Bußgeld zu verhängen. Die neue Öffnungsklausel wird für Verschärfungen der für Kaffeefahrten geltenden Regelungen über Wanderlager genutzt. Darüber hinaus sieht der Entwurf Klarstellungen zum Anwendungsbereich des UWG vor, insbesondere zur Abgrenzung von privater Meinungsäußerung und kommerzieller Kommunikation im Internet.
