Cookie-Banner sind ein regelrechter Dauerbrenner im Datenschutzrecht. Im Kampf gegen manipulative und rechtswidrige Banner wurden aktuell 422 formelle DSGVO-Beschwerden von der europäischen Datenschutzorganisation noyb eingelegt. Hinter der Organisation steht der bekannte österreichische Datenschutzaktivist Max Schrems.

Cookies sind im digitalen Zeitalter für die allermeisten nicht mehr nur ein Süßgebäck. Unter dem Begriff werden auch kleine Datensätze verstanden, die Webseiten speichern, um Nutzer identifizierbar zu machen. Dadurch können Profile erstellt werden, die das Surfverhalten und Vorlieben erkennen lassen. Genutzt werden diese Informationen vorrangig für personalisierte Werbung und personalisierte Anzeigen der besuchten Webseiten.

Da selbstverständlich nicht jeder alle Informationen über sein Surfverhalten preisgeben will, tauchen seit geraumer Zeit auf fast jeder Internetseite sogenannte Cookie-Banner auf. Diese erfragen vom Besucher den erforderlichen Konsens über die Verarbeitung der Cookies. Doch diese sind nicht immer rechtmäßig gestaltet.

Zahlreiche Beschwerden von Datenschutzorganisation noyb

Die Datenschutzorganisation noyb hat in einem einjährigen Projekt die Cookie-Banner von über 10.000 europäischen Webseiten untersucht und dabei zahlreiche rechtswidrige Gestaltungen gefunden, darunter auch Webseiten von REWE, dem Europapark Rust und Mastercard. In einem ersten Schritt kontaktierten sie daraufhin im Mai 2021 die betroffenen Unternehmen und forderten zum Nachbessern auf. Viele Unternehmen kamen dem auch bereitwillig nach – andere aber nicht oder nur unzureichend. Gegen 422 Unternehmen wurde deshalb nun Beschwerde bei den zuständigen Datenschutzbehörden erhoben. Die Behörden werden diese nun prüfen müssen und im Einzelfall entscheiden, ob tatsächlich Verstöße gegen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) vorliegen.

Problem der „dark patterns“

Die Erfragung nach Konsens zur Verarbeitung von Daten ist spätestens seit Inkrafttreten der DSGVO im Mai 2018 von überragender Bedeutung. Kunden, Mietern, Geschäftspartnern und Internetnutzern muss deutlich sein, welche Daten verarbeitet werden und müssen der Verarbeitung freiwillig zustimmen und widersprechen können. In diesem Sinne ist es beispielsweise auch nicht mehr erlaubt, Zustimmungsfelder auf Webseiten vorangekreuzt zu haben – der Nutzer muss die Einwilligung stets selbst bestätigen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

In der Vergangenheit wurden zahlreiche Cookie-Banner aber durch irreführende Bedienoberflächen gestaltet, man spricht insoweit von dark patterns. Dabei wird der Aufbau des Banners so gewählt, dass die Nutzer intuitiv am ehesten eine datenschutzunfreundliche Auswahl treffen und womöglich mehr preisgeben, als sie möchten. Eine freie Zustimmung in Form einer einfachen Ja/Nein-Option ist meist nicht möglich. Den Internetnutzern wird somit die Kontrolle über die eigenen Daten, die von der DSGVO umfassend geschützt werden sollte, enorm erschwert.

Irreführende Banner-Gestaltung ist rechtswidrig.

Ein Cookie-Banner der dem Nutzer aber keine echte individuelle Wahlmöglichkeit lässt, genügt den rechtlichen Anforderungen nicht. Definitiv verboten sind vorangekreuzte Optionen, die beispielsweise nur mit einem „Alle akzeptieren“-Button bestätigt werden können. Darüber entschied auch schon der Bundesgerichtshof am 28. Mai 2020 (Az. I ZR 7/16). Nach Urteil des Landgerichts Rostock können aber auch Irreführungen in Form der dark patterns verboten sein (Urteil v. 15.09.2020, Az. 3 O 762/19). In dem von ihm entschiedenen Streit ging es darum, dass die Buttons zur Einwilligung farblich hervorgehoben waren und die datenschützenden Optionen hingegen in weiß oder grau gehalten wurden. Dadurch standen nach Ansicht des Gerichts Zustimmung und Ablehnung nicht mehr als gleichwertige Auswahlmöglichkeiten nebeneinander und der Nutzer war nicht mehr frei in seiner Willensbekundung.

Trotz der recht klaren Rechtslage, dass Irreführungen durch dark patterns eine wirksame Zustimmung vereiteln, gibt es auch heute noch zahlreiche Webseiten, die solche – mithin rechtswidrige – Banner nutzen.

Vorsitzender von noyb kein Unbekannter

Dass hinter einer solchen Aktion die Organisation noyb steckt, ist wenig überraschend. Denn ihr Vorstandsvorsitzender ist der österreichische Jurist und Datenschutzaktivist Max Schrems. Im Oktober 2015 erlangte er europaweite Bekanntheit, indem er in zwei große Verfahren vor den Europäischen Gerichtshof gegen den Internet-Riesen Facebook siegte. Dadurch erzielte er, dass die transatlantischen Datenschutzvereinbarungen „Safe Harbor“ und „Privacy Shield“ gekippt wurden.

Wie sein neuester Clou im Kampf für den Datenschutz vor den Behörden und möglicherweise Gerichten ausgehen wird, bleibt abzuwarten.

ses