LG München I – Entscheidung zu Cookie-Banner von „focus.de“
Die Entscheidung des LG München I (Urteil vom 29.11.2022, Az.: 33 O 14776/19) sorgt hier intern schon seit ein paar Wochen für ein wenig Furore. Du findest das Urteil hier:
Die dazugehörige Pressemitteilung des vzbv ist hier zu finden.
Die Entscheidung ist noch nicht rechtskräftig. Die Beklagte hat ein Rechtsmittel gegen das Urteil eingelegt.
Ergebnis der Entscheidung
Im Ergebnis hat das LG München I dem Anbieter der Internetseite „focus.de“ untersagt, das Cookie-Banner in der damaligen Form weiterzuverwenden, soweit auch „für die domainübergreifende Aufzeichnung und Auswertung des Nutzerverhaltens zu Analyse- und Marketingzwecken Informationen auf dem Endgerät des Nutzers“ gespeichert oder auf diese zugegriffen wird.
Vereinfacht formuliert hat das LG München I festgestellt, dass über das konkrete verwendete Cookie-Banner seiner Ansicht nach keine wirksame Einwilligung eingeholt werden kann.
Cookie-Banner XXL
Das Urteil beinhaltet schon zu Beginn einen bemerkenswerten Tenor. Denn dieser beinhaltet schon über 140 Seiten Screenshots des Cookie-Banners der Beklagten.
Wenn du das Urteil wirklich lesen möchtest, kannst du also eigentlich getrost bei Seite 179 anfangen. Denn dort beginnt die Urteilsbegründung. Die interessanten Fragen werden dann erst ab Seite 184 (a.E.) abgehandelt.
Wesentliche Aussagen des LG München I
In der Urteilsbegründung finden sich einige bemerkenswerte Aussagen. Die, die ich besonders erwähnenswert finde, hebe ich hier hervor:
Inhaltlich geht es u.a. um die interessante Frage zu TCF 2.0. Und zwar, ob der sog. Transparency & Consent-String („TC-String“) Informationen enthält, durch den „User“ direkt identifiziert werden können oder nicht.
Der „TC-String“ wird im Endgerät der Betroffenen gespeichert und von dort auch wieder abgerufen, um auf dessen Basis Werbung auszuspielen.
Das LG München I zu der Frage:
Nach Überzeugung der Kammer handelt es sich zumindest bei dem von der Beklagten auf den Endgeräten der Nutzer als Cookie gespeicherten TC String um eine personenbezogene Information, die der domainübergreifenden Nachverfolgung der Nutzer dient, wobei dies auch zu Analyse- und Marketingzwecken erfolgt.
Die Begründung überzeugt mich dann nicht wirklich, weil das LG München I hier über den Rückgriff der IP-Adresse zur „Identifzierbarkeit“ kommt. Im Hinblick auf die Erforderlichkeit einer Einwilligung ist das allerdings auch nicht relevant, denn eine Einwilligung nach § 25 TTDSG ist auch dann erforderlich, wenn die im Endgerät gespeicherten Informationen nicht personenbezogenen sind.
Praktisch von erheblicher Relevanz sind dann die Ausführungen des Gerichts zur Einwilligung und insbesondere, ob es eine Anforderung gibt, eine Ablehnung auf erster Ebene des Banners vorzuhalten.
Als freiwillig kann die Einwilligung nur dann betrachtet werden, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, d.h. auch ohne Nachteile auf die Erteilung der Einwilligung verzichten kann.
Soweit so gut.
Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall. So kann auf der ersten Seite der CMP (…), welche die Nutzung der Webseite bis zur Einwilligungserteilung oder -verweigerung durch teilweises Verdecken der Webseite verhindert, lediglich die Einwilligung in vollem Umfang erteilt oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden.
Und weiter zu kleineren „Dark Patterns“:
Dabei ist die Schaltfläche „Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen.
Und dann der Hammer:
Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung.
Ich glaube nicht, dass man das so pauschal feststellen kann. Da bin ich gespannt, was die nächste Instanz dazu sagt.
Das Gericht relativiert diese Aussage dann noch in den Folgesätzen und versucht unter einem Hinweis auf weitere „Dark Patterns“ die Aussage zu untermauern:
Zudem ist auf der ersten Ebene der CMP allein aus dem Fließtext ersichtlich, dass die Einwilligung auch abgelehnt werden kann. Ob eine Ablehnung mit Nachteilen oder Mehraufwand verbunden ist, kann der Nutzer dagegen nicht erkennen. Jedenfalls ist eine Verweigerung der Einwilligung erst nach Betätigung der Schaltfläche „Einstellungen“ auf einer zweiten Ebene der CMP möglich und damit mit mehr Aufwand als das bloße „Akzeptieren“ der Datenverarbeitung verbunden. Zwar erscheint der damit beschriebene Aufwand als verhältnismäßig gering. Gleichwohl ist ein solcher zusätzlicher Aufwand angesichts der im Internet gerade üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzer nicht unerheblich.
Nun frage ich mich nur, woraus nun konkrete die rechtliche Anforderung kommen soll, dass eine Verweigerung einer Einwilligung mit stets gleichem Aufwand verbunden sein soll. Das gibt weder das TTDSG (bzw. die ePrivacy-Richtlinie) noch die DSGVO her (vgl. zu den Fragestellungen Kühling/Sauerborn, ZfDR 2022, 339 ff.). Aber darüber lässt sich bekanntlich streiten. Die Aufsichtsbehörden sehen das bekanntlich auch so wie das LG München I.
Um es klarzustellen: Auch ich finde es gut, wenn ich bei einem Cookie-Banner schon auf erster Ebene ablehnen kann. Und ich halte das auch für fair und moralisch geboten. Rechtlich erforderlich ist es m.E. aber nicht zwingend.
In der weiteren Begründung des Urteils geht es dann um weitere Tracking-Themen (Google Analytics), die in Teilbereichen interessant sein können. Die Klage wurde hinsichtlich der anderen Punkte abgewiesen.
Spannend finde ich aber vor allem den Part bzgl. der Freiwilligkeit der Einwilligung bei fehlendem Ablehn-Button auf erster Ebene des Cookie-Banners.