Der Umgang mit Cookies sorgt immer wieder für Diskussionen und aufsehenerregende Grundsatzurteile, wie zuletzt die des Gerichtshofs der Europäischen Union (EuGH, Urteil vom 01.10.2019 - C-673/17) und des Bundesgerichtshofs (BGH, Urteil vom 28.05.2020 - I ZR 7/16). Wir haben in dem Artikel "Cookies rechtssicher einsetzen - so geht's!" bereits ausführlich dargestellt, wie man es richtig macht.
Auch in einem aktuellen Verfahren des LG München I (Az.: 33 O 14776/19) ging es nun im Wesentlichen wieder um die typischen Fragen nach der Notwendigkeit und Wirksamkeit entsprechender Einwilligungen im Rahmen der Cookie-Nutzung. Diese werden typischerweise mit Hilfe der jedermann bekannten Cookie-Banner (sog. "Consent Management Platform" oder kurz CMP) eingeholt – so auch hier.
Interessant macht diesen Fall aber vor allem, dass der Kläger – ein Verbraucherverband – im Laufe des Verfahrens umschwenkte und seine Klage nicht mehr auf die Datenschutz-Grundverordnung (DS-GVO) und dazu ergangene Grundsatzurteile, sondern vielmehr auf das zwischenzeitlich in Kraft getretene Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) stützte.
Da die Beklagte, die Betreiberin eines großen Nachrichtenportals, bereits mit Besuch der Website Cookies, insbesondere auch in Form einer codierten Zeichenkette (sog. TC String), auf dem Endgerät des Besuchers speicherte, musste das Gericht eine Prüfung des neuen § 25 TTDSG vornehmen.
Nach dessen Abs. 1 sind die "Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, […] nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat."
Bei dieser Einwilligung sind dabei dieselben Bewertungsmaßstäbe anzusetzen wie bei einer Einwilligung nach der DS-GVO.
Diesbezüglich ist mittlerweile anerkannt, dass die für eine wirksame Einwilligung notwendige Freiwilligkeit dann nicht gewahrt ist, wenn der Besucher einer Website erst über nicht unerhebliche Umwege eine Ablehnung vornehmen kann (sog. „Dark Patterns“). So hatte der Besucher in diesem Fall auf der ersten Ebene der CMP nur die Auswahlmöglichkeiten "Einstellungen" oder "Akzeptieren" – eine Ablehnung war aber erst möglich, wenn man über den Button "Einstellungen" auf eine zweite Ebene der CMP gelangte. Dies hielt das Gericht für unzulässig.
Daneben sprach das Gericht in diesem Zusammenhang auch kritisch an, dass die Farbgebung der Buttons suggeriert habe, der "Akzeptieren"-Button sei für den Besucher vorteilhaft. Im Allgemeinen sollte mit solch subtilen Beeinflussungen (sog. „Nudging“) vorsichtig umgegangen werden, da sie im Extremfall bereits alleine zur Unwirksamkeit der darauf beruhenden Einwilligung führen können.
Eine Ausnahme der Notwendigkeit einer Einwilligung nach dem neuen § 25 Abs. 2 Nr. 2 TTDSG nahm das Gericht schließlich nicht an. Nach dieser Vorschrift ist eine Einwilligung dann nicht notwendig, "wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."
Das Gericht ging davon aus, dass die vorgenannten Cookies der domainübergreifenden Nachverfolgung zu Analyse- und Marketingzwecken dienten und deshalb gerade nicht unbedingt erforderlich, das heißt technisch notwendig, waren.
Der Vollständigkeit halber sei schließlich noch gesagt, dass die Klage im Übrigen abgewiesen wurde. Dies ist jedoch vor allem darauf zurückzuführen, dass zum einen klägerseits nach Auffassung des Gerichts nicht substantiiert genug vorgetragen wurde, zum anderen die Klage schlussendlich nur noch auf das TTDSG gestützt wurde. Daraus ergeben sich aber – im Gegensatz zu der nicht mehr angeführten DS-GVO – nicht die vom Kläger geltend gemachten Informationspflichten.
Zusammenfassend lässt sich festhalten, dass der Umgang mit Cookies sich durch die Einführung des TTDSG kaum geändert hat. Hier gilt es aber zu beachten, dass sich der § 25 TTDSG allgemein auf "Informationen" bezieht, sodass das TTDSG diesbezüglich einen weiteren Anwendungsbereich als die auf Informationen mit Personenbezug beschränkte DS-GVO aufweist. In tatsächlicher Hinsicht sollte man auch weiterhin vermeiden, die Ablehnung von Cookies im Vergleich zum Akzeptieren erkennbar zu erschweren.
