Der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH) hatten zuletzt entschieden, dass für das Setzen von Cookies zu Tracking- und Marketingzwecken eine aktive Einwilligung des Website-Nutzers erforderlich ist. In Detailfragen ließen die Urteile jedoch einigen Gestaltungsspielraum. Das Landgericht Rostock setzt diese Rechtsprechung nun in einem aktuellen Urteil fort, schließt jedoch einige Lücken und macht Website-Betreibern das Leben dadurch ein bisschen schwerer.
Im Mai hatte der BGH in der Sache Planet 49 entschieden, dass Website-Betreiber eine aktive Einwilligung der Nutzer benötigen, wenn sie Cookies zur Speicherung und Analyse des Nutzerverhaltens auf ihrer Seite setzen wollen (Urteil vom 28.05.2020, Az. I ZR 7/16, wir hatten berichtet). Dabei hatte das Gericht ausdrücklich festgehalten, dass “voreingestellte Ankreuzkästchen” (Opt-Out) gerade keine wirksame Einwilligung darstellen.
In dem nun vom LG Rostock entschiedenen Fall (Urteil vom 15.09.2020, Az. 3 O 762/19) hatte der Bundesverband der Verbraucherzentrale einen Website-Betreiber abgemahnt, der verschiedene Cookies und Trackingdienste, u.a. Google Analytics, nutzte. Der Betreiber hatte auf seiner Website ein sogenanntes Consent Tool des Anbieters Cookiebot implementiert. Dieses war von ihm jedoch so konfiguriert, dass Ankreuzkästchen für die Kategorien “Notwendig”, “Präferenzen”, “Statistiken” und “Marketing” voreingestellt waren.
Mit Hinblick auf die ausdrücklichen Urteilsgründe des BGH, hält das LG Rostock nun wenig überraschend fest, dass mittels dieses Banners keine rechtswirksame Einwilligung in die Cookie-Nutzung eingeholt werden könne.
Im Anschluss an die Abmahnung hatte der Website-Betreiber die Konfiguration des Consent Tools geändert. Die Ankreuzhäkchen waren von der Benutzeroberfläche verschwunden. Stattdessen enthielt das Banner einen grün hinterlegten Button “Cookies zulassen” und eine hellgrau hinterlegte Schaltfläche “Nur notwendige Cookies zulassen”. Bei einem Klick auf den grünen Button wurden sämtliche vorausgewählten Cookies gesetzt.
Solche und ähnliche Gestaltungen sind zwischenzeitlich weit verbreitet und machen sich die Trägheit des Besuchers zunutze, der die Einwilligungstexte häufig ohnehin nicht liest, sondern das Banner gewohnheitsmäßig mit dem auffälligsten Button “wegklickt” (sog. Nudging).
Nach Auffassung des LG Rostock lässt sich jedoch auch mit einem derart konfigurierten Consent Tool keine wirksame Einwilligung einholen. Das Gericht führt hierzu aus:
“Eine wirksame Einwilligung ist damit auch mit dem nunmehr verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten ‘Cookie zulassen’-Buttons ‘aktiviert’. (…) Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solches Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat.”
Auch der Umstand, dass der Ablehnen-Button grau hinterlegt war, führt nach Auffassung des Gerichts zur Unwirksamkeit der Einwilligung:
“Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich ‘Nur notwendige Cookies verwenden’ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden ‘Cookie zulassen’-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig als nicht gleichwertige Einwilligungsmöglichkeit wahrgenommen werden.”
Damit schiebt das LG Rostock dem Nudging einen empfindlichen Riegel vor. Website-Betreiber, die bisher ein derart optimiertes Consent Tool genutzt haben und das Risiko einer Abmahnung nun reduzieren wollen, sollten Anpassungen hieran vornehmen. Dabei sollte insbesondere darauf geachtet werden, dass
Eine gute Nachricht für Website-Betreiber haben die Rostocker Richter dann doch noch: Das Gericht hält fest, dass das Cookie-Banner selbst keinen Hinweis auf die Widerrufsmöglichkeit enthalten müsse. Art. 7 Abs. 3 Satz 3 DSGVO sieht zwar vor, dass der Nutzer über die Möglichkeit des Widerrufs seiner Einwilligung informiert werden muss. Hieraus lasse sich jedoch nicht die Pflicht herleiten, dass dieser Hinweis bereits im Banner selbst erfolgen muss. Ein Hinweis in der Datenschutzerklärung genüge.