Cookie-Richtlinie

Inhalt

ORIENTIERUNGSHILFE DER DATENSCHUTZBEHÖRDEN VOM 20.12.2021

1.1 Bündelung der Einwilligungen nach TTDSG und DSGVO
1.2 Einwilligung in die unterschiedlichen Zwecke
1.3 Mehrschichtige Gestaltung
1.4 Option „Alles akzeptieren“
1.5 Insgesamt erforderliche Informationen
1.6 Widerrufsmöglichkeit direkt auf der Website
1.7 Keine Speicherung/Auslesen vor Erteilung der Einwilligung
1.8 „Merken“ der Einwilligung/Ablehnung

RECHTSPRECHUNG 2.1 Gestaltung der Einwilligung-Schaltfläche

ORIENTIERUNGSHILFE DER DATENSCHUTZBEHÖRDEN VOM 20.12.2021

Die in dieser Ziffer 1. aufgeführten Anforderungen an die Gestaltung von Cookie-Bannern ergeben sich aus der „Orientierungshilfe der Aufsichtsbehörden für Anbieterinnen von Telemedien vom 20. Dezember 2021“ (nachstehend auch verkürzt als „Orientierungshilfe“ bezeichnet).

Nachstehend aufgeführte Zitate (jeweils kursiv gedruckt) entstammen der Orientierungshilfe, soweit nichts Abweichendes angegeben ist. Ausführlichere Informationen entnehmen Sie bitte der Orientierungshilfe selbst. Diese können Sie folgendem Link abrufen: Orientierungshilfe

Die Auffassung der Datenschutzbehörden ist rechtlich nicht verbindlich. Die Entscheidung liegt letztendlich bei den Gerichten. Diejenigen Maßgaben, die sich aus der bisherigen höchstrichterlichen Rechtsprechung für die Gestaltung von Cookie-Bannern ergeben, sind in der Orientierungshilfe, soweit ersichtlich, berücksichtigt.

1.1 Bündelung der Einwilligungen nach TTDSG und DSGVO

Für den Einsatz von Cookies können zweierlei Arten von Einwilligungen erforderlich sein:

  • zum einen die ggf. nach § 25 Abs. 1 Satz 1 TTDSG erforderliche Einwilligung zur Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind,
  • zum anderen die Einwilligung, die als Rechtsgrundlage für eine geplante weitere Verarbeitung der ausgelesenen Daten gemäß Art. 6 Abs. 1 lit. a DSGVO erforderlich sein kann.

Erstere Einwilligung ist ggf. unabhängig davon erforderlich, ob personenbezogene Daten verarbeitet werden oder nicht, letztere Einwilligung hingegen hat gerade die Verarbeitung personenbezogener Daten zum Gegenstand.

Laut der Orientierungshilfe können die beiden Einwilligungen durch dieselbe Handlung, bspw. das Betätigen einer Schaltfläche, eingeholt werden. Dazu müsse bei der Abfrage allerdings eindeutig erkennbar sein, dass die Einwilligung sich auch auf die Folgeverarbeitungen beziehen soll und die im Zusammenhang mit der Einholung der Einwilligung zur Verfügung gestellten Informationen müssen sich eindeutig auf Datenverarbeitungsprozesse (und nicht lediglich den technischen Einsatz von Cookies o.ä.) beziehen.

Die Anforderungen an die Einholung der Einwilligung sind der Orientierungshilfe zufolge für beide o.g. Einwilligungen vergleichbar.

1.2 Einwilligung in die unterschiedlichen Zwecke

Zur Einbindung der einwilligungsbedürftigen Verarbeitungsvorgänge wird in der Orientierungshilfe wie folgt ausgeführt:

„Nur wenn den Endnutzer:innen ausreichende Informationen über alle Zwecke zur Verfügung stehen, zu denen auf die Endeinrichtung zugegriffen werden soll, können diese überhaupt nachvollziehen, für welche Fälle sie ihre Einwilligung erteilen. In die unterschiedlichen Zwecke müssen Endnutzer:innen sodann auch separat einwilligen oder diese ablehnen können. Fehlt es an der nötigen Granularität, hat dies auch noch weitere Auswirkungen auf die Freiwilligkeit und damit die Wirksamkeit der Einwilligung.“

„…dass das Bestimmtheitserfordernis nicht durch vage oder allgemeine Angaben wie „Verbesserung der Erfahrungen des Nutzers“, „Werbezwecke“, „ITSicherheitszwecke“ oder „zukünftige Forschung“ erfüllt werden kann.“

„Wenn Betreiber:innen von Webseiten oder Apps solche Einwilligungsbanner für die Abfrage einer Einwilligung einsetzen, sind insbesondere folgende Anforderungen zu beachten:

  • Beim erstmaligen Öffnen einer Webseite oder App erscheint das Einwilligungsbanner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt werden und über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen.
  • […]“

1.3 Mehrschichtige Gestaltung

Zur Frage einer mehrschichtigen Gestaltung heißt es in der Orientierungshilfe:

„Grundsätzlich ist es möglich, Einwilligungsbanner mehrschichtig zu gestalten, also detailliertere Informationen erst auf einer zweiten Ebene des Banners mitzuteilen, zu der die Nutzenden über einen Button oder Link gelangen. Wenn jedoch bereits auf der ersten Ebene des Banners ein Button existiert, mit dem eine Einwilligung für verschiedene Zwecke erteilt werden kann, müssen auch auf dieser ersten Ebene konkrete Informationen zu allen einzelnen Zwecken enthalten sein. Zu unbestimmt wäre es, hier lediglich generische, allgemeine oder vage Informationen zu den Zwecken anzugeben, wie z. B. „Um Ihnen ein besseres Nutzungserlebnis bieten zu können, verwenden wir Cookies“.“

1.4 Option „Alles akzeptieren“

Weiter ergibt sich aus der Orientierungshilfe, dass eine Option „Alles akzeptieren“ o.ä. in der Regel nur dann zulässig sein soll, wenn auf derselben Ebene auch die Möglichkeit gegeben wird, die Einwilligung abzulehnen. Das könnte bspw. durch eine Schaltfläche auf derselben Ebene mit der Bezeichnung „Nicht notwendige Cookies ablehnen“ umgesetzt werden.

Unklar bleibt nach dem Inhalt der Orientierungshilfe, ob bei Einbindung einer Schaltfläche „Alles akzeptieren“ das Auswahlmenü mit den einwilligungsbedürften Verarbeitungsvorgängen auf derselben Ebene bereitgestellt werden muss oder aber ob dieses Auswahlmenü auf eine nachgeordnete Ebene verlagert werden kann (so dass auf der ersten Ebene nur eine Schaltfläche „Einstellungen“ o.ä. erscheint).

Klar ist nach dem Inhalt der Orientierungshilfe jedenfalls, dass im Falle einer Option „Alles akzeptieren“ auf derselben Ebene konkrete Informationen zu allen einzelnen Zwecken der Verarbeitungsvorgänge aufgeführt werden müssen, die akzeptiert werden sollen, s.o. unter „Mehrschichtige Gestaltung“.

1.5 Insgesamt erforderliche Informationen

Insgesamt, also ggf. unter Einbeziehung der Detailebene, muss nach dem Inhalt der Orientierungshilfe für eine wirksame Cookie-Einwilligung über Folgendes informiert werden:

  • wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck,
  • welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können
  • ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DSGVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind
  • dass ein späterer Widerruf sich gemäß Art. 7 Abs. 3 S. 3 DS-GVO nicht mehr auf die Rechtmäßigkeit des bis zum Widerruf erfolgten Zugriffs bzw. der bis dahin erfolgten Speicherung auswirkt.

Da diese Informationen zumeist zu einem guten Teil in der Datenschutzerklärung aufgeführt werden, sollte ggf. ein entsprechender Hinweis auf die Datenschutzerklärung in das Cookie-Banner aufgenommen werden und die Datenschutzerklärung im Cookie-Banner mit einem aussagekräftig bezeichneten Link, der als solcher erkennbar ist, verlinkt werden.

1.6 Widerrufsmöglichkeit direkt auf der Website

Außerdem wird in der Orientierungshilfe gefordert, dass bei Einholung einer Cookie-Einwilligung direkt auf der Website auch eine Widerrufsmöglichkeit direkt auf der Website geschaffen werden muss (Hervorhebungen stammen vom Verfasser):

  • „Wird die Einwilligung unmittelbar bei der Nutzung einer Webseite erteilt, muss auch deren Widerruf auf diesem Weg möglich sein. Nicht den Vorgaben entsprechen ausschließliche Widerrufsmöglichkeiten über andere Kommunikationswege wie EMail, Fax oder sogar per Brief. Es ist auch unzulässig, Nutzende auf ein Kontaktformular hinzuweisen, da in diesem Fall zwar derselbe Kommunikationsweg (d. h. über die Webseite) verwendet wird, aber die Anforderungen deutlich höher sind als bei der Erteilung der Einwilligung (und mittels Kontaktformular Daten erhoben würden, die für den Widerruf nicht erforderlich sind). Wurde eine Einwilligung mittels Banner o. Ä. abgefragt, ist es daher auch unzulässig, wenn zunächst eine Datenschutzerklärung aufgerufen und dann in dieser zu der richtigen Stelle gescrollt werden muss, um zu einer Widerrufsmöglichkeit zu gelangen. Ein solcher Suchvorgang als Zwischenschritt wäre eine Erschwerung, die mit den gesetzlichen Vorgaben nicht vereinbar ist. Dieser Umweg ist auch nicht auf eine technische Unmöglichkeit zurückzuführen, da eine Vielzahl an Webseiten einen stets sichtbaren Direktlink oder ein Icon anzeigen, das unmittelbar zu den relevanten Einstellungsmöglichkeiten führt. Es genügt den gesetzlichen Anforderungen erst recht nicht, wenn an verschiedenen Stellen der Datenschutzerklärung auf Opt-out Möglichkeiten auf unterschiedlichen externen Webseiten hingewiesen wird.“

1.7 Keine Speicherung/Auslesen vor Erteilung der Einwilligung

Erst wenn Nutzer:innen die Einwilligung abgegeben haben, dürfen Informationen auf den Endgeräten gespeichert oder aus diesem ausgelesen werden, sowie die einwilligungsbedürftige Datenverarbeitung stattfinden.

1.8 „Merken“ der Einwilligung/Ablehnung

Die Erteilung bzw. Ablehnung der Einwilligung sollte ohne direkte Identifizierung des Nutzers umgesetzt werden. Einzelheiten hierzu finden sich auf S. 29/ 30 der Orientierungshilfe.

Rechtsprechung

Soweit sich aus der bisherigen höchstrichterlichen Rechtsprechung Maßgaben für die Gestaltung der Cookie-Einwilligung ergeben, sind diese in der in Ziffer 1. bezeichneten Orientierungshilfe, soweit ersichtlich, berücksichtigt.

Urteile zu weiteren Aspekten der Gestaltung von Cookie-Bannern sind nachstehend aufgeführt.

2.1 Gestaltung der Einwilligung-Schaltfläche

Folgende weiteren Einzelheiten der Gestaltung der Einwilligungs-Schaltfläche haben Gerichte wie folgt beanstandet:

  • Ablehnende Schaltfläche tritt gegenüber der Akzeptieren-Schaltfläche völlig in den Hintergrund

LG Rostock mit Urteil vom 15.09.2020, Az. 3 O 762/19:

„Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden" seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen"-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden.“

  • Neben der Möglichkeit zu akzeptieren stehen lediglich Einstellungen zur Auswahl; Vielzahl von Einstellungsmöglichkeiten; Schaltfläche „alle akzeptieren“ ist auffällig gestaltet, während die Schaltfläche „alle ablehnen“ uanauffällig gestaltet ist

LG München mit Urteil vom 29.11.2022, Az. 33/O 14776/19:

"Als freiwillig kann die Einwilligung nur dann betrachtet werden, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, d.h. auch ohne Nachteile auf die Erteilung der Einwilligung verzichten kann [...]. Dies ist angesichts des Aufbaus der von der Beklagten verwendeten CMP nicht der Fall. So kann auf der ersten Seite der CMP […] lediglich die Einwilligung in vollem Umfang erteilt oder durch Betätigung der Schaltfläche „Einstellungen“ eine gesonderte Auswahl getroffen werden. Dabei ist die Schaltfläche .Akzeptieren“ nochmals durch die blaue Markierung besonders in den Vordergrund gerückt, so dass für den Nutzer offensichtlich ist, dass deren Betätigung die schnellste Möglichkeit darstellt, die Webseite zu nutzen. Bereits der Umstand, dass ein Besucher die Webseite der Beklagten nicht ohne weitere Interaktion mit der CMP nutzen kann, spricht gegen eine freiwillige Entscheidung. Zudem ist auf der ersten Ebene der CMP allein aus dem Fließtext ersichtlich, dass die Einwilligung auch abgelehnt werden kann. Ob eine Ablehnung mit Nachteilen oder Mehraufwand verbunden ist, kann der Nutzer dagegen nicht erkennen. Jedenfalls ist eine Verweigerung der Einwilligung erst nach Betätigung der Schaltfläche „Einstellungen“ auf einer zweiten Ebene der CMP möglich und damit mit mehr Aufwand als das bloße .Akzeptieren“ der Datenverarbeitung verbunden. Zwar erscheint der damit beschriebene Aufwand als verhältnismäßig gering. Gleichwohl ist ein solcher zusätzlicher Aufwand angesichts der im Internet gerade üblichen Schnelligkeit und geringen Aufmerksamkeit der Nutzer nicht unerheblich. Dabei ist ferner zu berücksichtigen, dass auf der zweiten Ebene der CMP die Vielzahl von Einstellungsmöglichkeiten zu einer weiteren Erschwerung der Einwilligungsverweigerung führt. Denn auch hier wird wiederum die Schaltfläche „Alle Akzeptieren“ sowohl aufgrund der farblichen Gestaltung als auch durch ihre Positionierung und Größe nochmals hervorgehoben, während die Schaltfläche „alle ablehnen“ in Größe und Gestaltung dagegen unauffällig gehalten ist. Eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten „Einwilligung erteilen“ und „Einwilligung verweigern“ ist weder vorgetragen noch ersichtlich."