Kai Schützle
Rechtsanwalt
Fachanwalt für IT-Recht
Schützle Rechtsanwaltsgesellschaft mbH

Fehler beim Cookie-Banner können schnell teuer werden. Besonders tückisch: Selbst wenn die Schuld nicht bei Ihnen liegt, haften Sie.

Viele Cookie-Banner taugen schon rein technisch nichts. Blockt das Tool nicht vernünftig, haftet oft aber nicht etwa der Tool-Anbieter, sondern der Websitebetreiber. Das Urteil des LG Frankfurt am Main vom 19.10.2021 macht einmal mehr deutlich, wie wichtig es ist, dass Sie bei Ihrem Cookie-Banner keine Fehler machen.

Was ist passiert?

Es ging um die Website eines Fitness- und Wellnessstudios. Öffnete man diese Website erschien ein Cookie-Banner mit den Auswahlmöglichkeiten „Annehmen“ und „Weitere Infos“. Bereits bei diesem Schritt (also noch bevor irgendeine Auswahl getroffen wurde und eine Einwilligung des Nutzers erfolgen konnte), wurden nicht notwenige Cookies gesetzt sowie der Local Storage ebenfalls in technisch nicht notwendiger Weise beschrieben.

Betroffen waren Dienste wie der Facebook-Pixel, Google Analytics oder Hotjar. Klickte man auf den Button „Annehmen“ wurden keine weiteren Cookies gesetzt. Bedeutet: Es war völlig egal, was der Nutzer auswählte oder anklickte, bereits beim ersten Laden der Website wurden alle Cookies gesetzt sowie der Local Storage beschrieben, unabhängig von einer Einwilligungserklärung des Nutzers. Hiergegen ging die Wettbewerbszentrale mit einer entsprechenden Abmahnung vor.

Was sagte der Betreiber der Website zu seiner Verteidigung?

Der Websitebetreiber führte an, dass es für kurze Zeit zu einem technischen Versagen auf der Website gekommen sei, was zu Folge gehabt hätte, dass unabhängig von der Einwilligung des Nutzers Cookies gesetzt und der Web Storage beschrieben worden wären.

Ursprung des Fehlers soll eine Systemumstellung des Cookie-Banner-Anbieters gewesen sein. Der Fehler sei dem Websitebetreiber nicht sofort aufgefallen, jedoch nach Bekanntwerden sofort behoben worden. Der Websitebetreiber sah sich nicht in der Haftung, da der Fehler auf Seiten des Cookie-Banner-Anbieters entstanden ist.

Wie schätzte das Gericht den Sachverhalt ein?

Das Gericht gab der Wettbewerbszentrale Recht und bestätigte, dass der geltend gemachte Anspruch auf Unterlassung – Speicherung nicht notwendiger Cookies ohne Einwilligung – der Wettbewerbszentrale korrekt ist.

Die Wettbewerbszentrale war, wie auch das Gericht, der Auffassung, dass der Websitebetreiber als Diensteanbieter nach § 15 TMG (mittlerweile außer Kraft, da das TTDSG in Kraft getreten ist) unmittelbar hierfür haftbar ist. Da der Unterlassungsanspruch verschuldensunabhängig ist, sind die Gründe des Fehlverhaltens irrelevant.

Oder platt ausgedrückt: Baut Ihr Consent-Tool-Anbieter Mist, müssen Sie dafür grade stehen.

Wie schätzten wir den Sachverhalt ein?

Leider sehen wir diesen Fehler in der Praxis sehr häufig. Das Urteil des LG Frankfurt verdeutlicht das Haftungsrisiko in diesen Fällen. Was in dem Urteil nicht zum Tragen kam, war, dass es sich bei den Diensten, die geblockt werden sollten, um US-Anbieter handelte. Das bedeutet, dass eine reine Einwilligung in das Setzen von Cookies oder das Beschreiben des Web Storage auch nicht ausreichend gewesen wäre, da bei Diensten wie dem Facebook-Pixel oder Google Analytics eine Datenübermittlung in ein unsicheres Drittland (USA) stattfindet, was eine informierte Einwilligung voraussetzt. Ansonsten ist das Urteil des LG Frankfurt folgerichtig und nachvollziehbar.

Was ist zu tun?

Checken Sie Ihren Cookie-Banner!

Wie Sie an dem Fall sehen, reicht es nicht einfach einen Cookie-Banner auf der eigenen Website zu haben. Der Cookie-Banner muss fehlerfrei arbeiten und alle individuellen Anforderungen der jeweiligen Website widerspiegeln.

Ein andere Entscheidung des VG Wiesbaden (hier können Sie unseren ausführlichen Bericht dazu lesen) zeigt, dass es bei dem Einsatz von Cookie-Bannern noch weiteres Gefahrenpotential gibt, wenn der von Ihnen ausgewählte Cookie-Banner-Dienst, Daten in ein unsicheres Drittland überträgt.

Das beste Vorgehen aus unserer Sicht: Verbannen Sie alle Dienste, die eine Einwilligung benötigen und ersetzen Sie diese gegen datenschutzkonforme Alternativen, die keine Einwilligung bedürfen: Somit minimieren Sie das Risiko eines fehlerhaften Cookie-Banners (für den Sie in der Haftung stehen) auf 0, haben keinen störenden Banner auf Ihrer Website und können ggf. noch effektiver mit den Diensten arbeiten.