Als externer Datenschützer wird man immer wieder mit der Frage aus dem Marketing konfrontiert: „Ist der Cookie-Banner in der Form jetzt DSGVO-konform?“. Daraufhin antwortet der Datenschützer gewohnt präzise mit „Es kommt drauf an“.
Als erstes muss auch den auf den Zweck des allseits beliebten Pop-Ups geschaut werden. Beim erstmaligen Besuch einer Webseite soll zum Einsatz eventueller Trackingmechanismen und Einsatz externer Datenquellen informiert werden und vor allem die Präferenzen des Besuchers erfasst werden.
Darf getrackt werden, woher die Webseitenbesucher kommen, welche Seiten sie aufgerufen und wie sind die Klickraten auf unsere einzelnen Angebote? Dazu kommt die Erfassung der vielfältigen Erlaubnisse zur Darstellung externer Inhalte wie Twitter, YouTube oder anderer externer Datenprovider. Hinter allem sitzt in der Regel das Marketingteam des Unternehmens, welches Informationen möglichst benutzerfreundlich vermitteln möchte, um das eigene Produkt bestmöglich zu präsentieren.
Man kann nicht über Cookie-Banners schreiben, ohne aber auf verschiedene Entwicklungen und Entscheide der letzten Jahre einzugehen.
Im Frühjahr 2022 passte YouTube seinen Cookie-Banner auf Druck der französischen Datenschutzaufsichtsbehörde an. So ist nun eine „umfassende Ablehnung“ auf der obersten Ebene möglich. Zusätzlich äußerte man sich auf europäischer Ebene zu irreführendem Design (Stichwort Nudging) wie gleichfarbige Zustimmungs- und Ablehnungsbuttons. Ebenso darf der Erfolg von Max Schrems und seine Organisation NYOB in Verbindung mit mehreren Beschwerden bei europäischen Aufsichtsbehörden nicht vergessen werden. Nun galt Google Analytics mit seinen intransparenten Mechanismen als nicht mehr so einfach einsetzbar. Damit hat sich als Folge nur der einwilligungsbasierte Einsatz dieses Trackingtools zum Standard entwickelt. Weiterer Punkt war der direkte möglich Aufruf auf das Impressum ohne Zustimmung oder Ablehnung.
Nun gab es einen Entscheid des Landgerichts Köln, welcher wieder die Vorgaben zum Cookie-Banner etwas konkretisierte. Aber auch nur ein bisschen. Statt wie erhofft, im Urteil mit dem Aktenzeichen 33 O 376/22, nun einen Hinweis auf die perfekte Lösung zu erhalten, konnte das LG Köln auch nur teilweise die Klagepunkte der Verbraucherschutzzentrale Nordrheinwestfalen e.V. bestätigen.
So war die Wahl von „…nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden…. Gleichzeitig war dem Gericht der Antrag der Verbraucherschutzzentrale zu weit gefasst, dass „eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption“ beinhalten muss. Also Ablehnung gleich gestaltet zur Zustimmung? Soweit wollten die Landesrichter scheinbar auch nicht gehen und verwiesen auf mangelnde Hinweise in der DSGVO oder deren Erwägungsgründen. Das Verfahren der Verbraucherschützer gegen die Telekom enthielt übrigens ebenso einige Entscheide zu vorliegenden Übermittlungen an Wirtschaftsauskunfteien sowie Google. Aber auch hier wurden die teils vorgelegten Anträge aus Meinung des Gerichts zu weit gefasst und/oder als unbegründet bewertet.
Wie verfährt man jetzt weiter mit den Cookie-Bannern? Nun man sollte den neben den unzähligen Empfehlungen und Entscheiden auch immer den gesunden Menschenverstand einbinden und ehrlich und einfach informieren. Es muss die Wahl der Zustimmung sowie der Ablehnung vorhanden sein, klar ersichtlich. Ohne Nudging oder Ablehnung über fünf (5) Ebenen. Cookie-Banner datenschutzkonform gestalten ist keine Raketenwissenschaft oder ein Buch mit sieben Siegeln. Aber etwas, was man immer wieder im Auge behalten sollte. Da helfen wir unseren Kunden.
Und das ist spannend, wie Datenschutz.