Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß

Mittlerweile gibt es fast keine Seite mehr, die man aufrufen kann ohne, dass ein Pop-Up-Fenster erscheint, über welches man in die Nutzung von Cookies & Co. einwilligen soll. Viele dieser Consent-Tools (auch allgemein als „Cookie-Banner“ bezeichnet) sind grundsätzlich oder in ihren Standard-Einstellungen nicht rechtskonform. Wir zeigen Ihnen wie eine optimale Umsetzung aussieht.

Hintergrund

Sowohl der EuGH (Urteil vom 01.10.2019, Az.: C-673/17) als auch der BGH (Urteil vom 28.05.2020, Az.: I ZR 7/16) machten in Ihren Urteilen deutlich, dass für das Setzen von nicht notwendigen Cookies eine aktive Einwilligung des Websitenutzers (Opt-In) erforderlich ist. Eine aktive Einwilligung bedeutet, dass folgende oder ähnlich formulierte Cookie-Banner (die wir immer noch häufig auf Websites vorfinden) nicht rechtskonform sind:

Nach Inkraftreten des TTSDG (hier unseren Artikel zu dem Thema aufrufen) umfasst die notwendige, aktive Einwilligung des Nuters keineswegs ausschließlich Cookies, vielmehr geht es hier um alle Technologien, die Informationen in der Endeinrichtung des Endnutzers (z.B. auf dem PC oder Smartphone eines Website-Besuchers) speichert (z.B. Cookies) oder auf Informationen zugreift, die bereits in der Endeinrichtung des Endbenutzers gespeichert sind (z.B. der verwendete Browser oder die IP-Adresse).

Somit sind ninmehr auch Technologien wie zum Beispiel das Device Fingerprinting oder das Speichern von Informationen im sogenannten Local- und Session-Storage erfasst.

Wann ist eine Anwendung unbedingt erforderlich?

Hierfür gibt es keinen verbindlichen Katalog. Theoretisch könnte man die Frage mit „nie“ beantworten, da eine Website auch ohne jegliche Verwendung von Cookies und Co. technisch optimal funktionieren kann.

Allerdings kann man unserer Rechtsauffassung nach davon ausgehen, dass folgende Gründe zum Einsatz einer Anwendungen als einwilligungsfrei nutzbar einzuordnen sind (die nachfolgende Aufzählung ist lediglich beispielhaft und nicht abschließend):

• Speicherung des Warenkorbs
• Speicherung einer Sprachauswahl
• Speicherung von Log-In-Daten
• Zum Opt-In oder Opt-Out der Verwendung von Technologien, die nicht technisch notwendig sind
• Load Balancing zur Vermeidung einer Serverüberlastung
• Speicherung eines Wertes der Bildschirmauflösung des jeweiligen Nutzers
  (auch „Adaptive Images“ bezeichnet)

Wie sieht eine rechtsfonforme Gestaltung aus?

1. Einwilligung (Opt-In-Lösung)

Wie bereits erwähnt, muss es sich zwingend um eine Einwilligung, also um eine Opt-In-Lösung handeln. Gemäß Art. 4 Nr. 11 DSGVO ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Somit scheiden Opt-Out Funktionen, bei dem man keine Einwilligung einholt, sondern die Verwendung durch Erklärung eines Widerspruchs für die Zukunft untersagt werden kann, aus. Eine solche Opt-In-Lösung wurde auch bereits im März 2019 und somit vor den Urteilen des BGH und EuGH seitens der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK – Datenschutzkonferenz) in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien gefordert.

Eine wirksame Einwilligung setzt laut der DSK eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung“ oder in Form einer sonstig eindeutigen bestätigenden Handlung voraus, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden, personenbezogenen Daten ausdrücklich einverstanden ist. Dies kann beispielsweise durch Anklicken eines Kästchens oder eines Buttons beim Besuch der Website, wodurch eindeutig ein Einverständnis hinsichtlich der angekündigten und beabsichtigten Datenverarbeitung ausgedrückt wird, geschehen.

Eine Einwilligung allein ist indessen noch nicht ohne Weiteres ausreichend, denn es muss sich um eine informierte Einwilligung handeln. Der Nutzer muss also vor der Einwilligung über bestimmte Punkte informiert werden. Am Beispiel „Cookie“ wären dies folgende Punkte:

Angaben über die Funktionsdauer der Cookies
Der Nutzer muss vor seiner Einwilligung darüber informiert werden, wie lange das Cookie „aktiv“ ist (zum Beispiel 24 Monate).

Wer hinter dem Cookie „steckt“
Es muss eine Information erfolgen, wer das Cookie setzt. Es kann sich hierbei sowohl um Sie selbst (z.B. bei einer selbstgehosteten Variante von Matomo) also auch (und das wird der häufigste Fall sein) um einen externen Dienstleister handeln. Im zweiten Fall sollte auch stets auf die Datenschutzerklärung des jeweiligen Dienstleisters verlinkt werden.

Form der durchgeführten Datenverarbeitung
Der Nutzer muss über den Einsatzzweck sowie darüber informiert werden, welche Daten verarbeitet werden (personenbezogene Daten wie die IP-Adresse etc.).

2. Konkrete Tipps zur Gestaltung

Wann muss das Consent-Tool erscheinen?
Beim erstmaligen Öffnen der Website muss das Consent-Tool (z.B. als eigenes HTML-Element) erscheinen. Während das Tool angezeigt wird, müssen zunächst alle weitergehenden Skripte der Website, die potenziell Nutzerdaten erfassen, blockiert werden.

Wann dürfen die Dienste, die durch das Consent-Tool geblockt werden, aktiviert werden?
Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen innerhalb des Consent-Tools oder das Klicken auf eine Schaltfläche, abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.

Keine vorausgewählten Punkte
Erwägungsgrund 32 DSGVO ist zu entnehmen, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person […] daher keine Einwilligung darstellen [sollten]“. Bedeutet: Es dürfen somit keine Kästchen (außer bei den essenziellen Anwendungen) vorausgewählt sein.

Müssen Impressum und Datenschutzerklärung innerhalb verlinkt sein?
Auf der „Startseite“ (auch 1. Ebene oder First Layer genannt) also dem Teil des Consent-Tools, dass der Nutzer zuerst sieht, müssen das Impressum sowie die Datenschutzerklärung verlinkt sein. Der Zugriff hierauf, darf durch das Tool nicht verhindert werden.

Muss das Consent-Tool jedes Mal erscheinen, wenn der Nutzer die Seite aufruft?
Um die Einwilligung oder eben die ausgebliebene Einwilligung des Nutzers bei erneutem Aufruf der Website zu berücksichtigen, kann die Entscheidung des Nutzers auf dessen Endgerät ohne Verwendung einer User-ID o.Ä. gespeichert werden, also ohne direkte Identifikation des Users durch den Seitenbetreiber, sodass das Consent-Tool nicht erneut erscheint muss und gleichzeitig ein Nachweis einer vorliegenden Einwilligung erbracht werden kann.

Möglichkeit zum Widerruf der Einwilligung bereitstellen
Da eine Einwilligung widerruflich ist, ist es notwendig, eine entsprechende Möglichkeit zum Widerruf bereitzuhalten. Der Widerruf muss so einfach möglich sein, wie die Erteilung der Einwilligung. Wir empfehlen hierfür einen gut suchtbaren Button im Footer der Website, sodass der Button auf jeder Seite vorhanden ist.

Freiwillige Einwilligung notwendig
Die Einwilligung des Nutzers muss freiwillig erfolgen. Das heißt, dem Nutzer muss eine echte und freie Wahl zur Verfügung gestellt werden, sodass er die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden, die Einwilligung muss somit ohne Zwang erfolgen. Bedeutet: Der Nutzer muss eine öffentlich für jedermann zugängliche Website auch dann aufrufen können, wenn er sich gegen den Einsatz von technisch nicht notwendigen Technologien entscheidet und nicht in die personenbezogene Datenverarbeitung einwilligt.

Kann man Dienste in Kategorien bündeln?
Erwägungsgrund 43 DSGVO gibt folgendes wieder: „Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“ Unserer Auffassung nach, kann man, jedenfalls wenn sinnvolle Gruppierungen erfolgen, mit dem Terminus „im Einzelfall angebracht“ eine entsprechende Bündelung argumentieren. Wenn eine funktionelle Zusammenfassung in Gruppen erfolgt, scheint nichts dagegenzusprechen.

Kann man in die Nutzung aller Anwendungen mit einem Klick einwilligen?
Bei vielen Consent-Tools gibt es einen Button, mit dem man alle Anwendungen auf einmal annehmen kann. Wenn alle Anwendungs-Gruppen und im Idealfall alle Anwendungen auch jeweils einzeln ausgewählt werden können, spricht aus unserer Sicht nichts dagegen. Hierzu gibt es jedoch noch keine höchstrichterliche Rechtsprechung und zudem kommt es auch auf die jeweilige Gestaltung an.

Wie sollten die Buttons innerhalb des Consent-Tools benannt werden?
Die Bezeichnung der Buttons sollte eindeutig sein und aus Begriffen wie „Akzeptieren“ oder „In alle Dienste/Anwendungen einwilligen“ und „Ablehnen“ oder „Nur in essenzielle Anwednungen einwilligen“ bestehen.

Wie groß sollten die Buttons innerhalb des Consent-Tools sein?
Die Versuchung liegt nahe, den Button, von dem der Website-Betreiber gerne möchte, dass ihn der Nutzer ihn anklickt, optisch größer und somit hervorgehoben zu gestalten, was unserer Auffassung nach nicht zulässig ist. Gestalten Sie die Buttons gleich groß, sodass diese als gleichwertig wahrgenommen werden andernfalls spricht man von sogenanntem Nudging (vgl. hierzu die Ausführungen der Landesbeauftragten für den Datenschutz Niedersachsen zu den datenschutzkonformen Einwilligungen auf Webseiten –Anforderungen an Consent-Layer aus dem November 2020)

Welche Farben sollten die Buttons innerhalb des Consent-Tools haben?
Auch hier liegt der Gedanke nahe, den Button, von dem der Website-Betreiber gerne möchte, dass ihn der Nutzer anklickt, farblich hervorzuheben. Man spricht in diesem Zusammenhang von „Dark Patterns“. Eine extreme Hervorhebung wäre zum Beispiel den „Annehmen-Button“ grün und den „Ablehnen-Button“ rot zu gestalten. Auch hiervon ist abzuraten, da auch bereits eine entsprechende Rechtsprechung hierzu existiert (LG Rostock, Urteil vom 15.09.2020, Az.: 3 O 762/19) und eine Irreführung des Nutzers u.a. zur Unwirksamkeit der Einwilligung führen kann. Verwendet Sie im Idealfall die gleichen Farben für alle Buttons.

Möglichkeit zum „Annehmen“ und „Ablehnen“ auf einer Ebene
Bei manchen Consent-Tools ist der „Annehmen-Button“ auf der ersten Seite des Consent-Tools und somit direkt sichtbar vorhanden, wohingegen der „Ablehnen-Button“ erst mit einem Klick auf einen anderen Button z.B. „Details“ oder „Einstellungen“ aufrufbar ist. Auch dieses Vorgehen halten wir für unzulässig. Beide Buttons sollten auf der ersten Ebene vorhanden sein.

Sind sogenannte Cookie-Walls zulässig?
Cookie-Walls machen die Nutzung einer Homepage von Ihrer Akzeptanz abhängig. Derartige Cookie-Walls sind nach unserer Rechtsauffassung nur zulässig, wenn ein vergleichbare(r) Dienst/Website des gleichen Anbieters/Verantwortlichen ohne Einwilligung verfügbar ist. Orientiert an den Leitlinien in Bezug auf die Einwilligung gemäß Verordnung2016/679 der Artikel-29-Datenschutzgruppe, könnte dieser andere Dienst auch ein Bezahldienst sein, da die Leitlinien dies nicht ausschließen, wobei die Beweislast hierfür beim Verantwortlichen liegt. Ansonsten sind solche Cookie Walls unzulässig, weil sie dem Nutzer keine echte Wahlmöglichkeit lassen. Das französische Conseil d’Etat (es gibt in Deutschland kein 1:1 vergleichbares Gremium, wobei es Parallelen zum Bundesverwaltungsgericht gibt) entschied am 19.06.2020 dass die Verwendung einer Cookie Wall die Einwilligung nicht mangels Freiwilligkeit unwirksam werden lässt. Es scheint dabei kein Unterschied zwischen keiner Alternative und Bezahl-Alternative gemacht worden zu sein. Wie dies deutsche Gerichte entscheiden werden, bleibt abzuwarten.

Konkludente Einwilligung durch Scrollen?
Wenn man das Consent-Tool einfach ignoriert und weiter auf der Website hoch- und runterscrollt, willigt man durch die weitere Nutzung der Website selbstverständlich nicht konkludent in die Nutzung ein. Solche Banner sieht man leider auch noch sehr häufig.

Sind nur Cookies relevant?
Nein, die Einwilligung wird nicht nur das Setzen von einwilligungsbedürftigen Cookies umfassen dürfen, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder diverse Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

Schrems II: Eignen sich Consent-Tools auch zur Einholung einer informierten Einwilligung in eine Datenübertragung in ein „unsicheres Drittland“?
Das kann man nicht pauschal beantworten. Viele Website-Betreiber versuchen auf Grund des EuGH-Urteil vom 16.07.2020 „Schrems II“ eine informierte Einwilligung in die Datenübertragung in ein sogenanntes „unsicheres Drittland“ einzuholen, da bei etlichen Diensten eine Verbindung zu Servern von US-amerikanischen Unternehmen besteht. Hier kommt es auf eine sehr saubere Gestaltung an, die einzelfallbezogen erfolgen muss.