Nicht notwendige Cookies: Ohne Einwilligung verboten!

Nahezu jede Website verlangt vor dem Öffnen, dass der Besucher ihre Cookies akzeptiert. Was als Schutz der Nutzer vor Tracking ohne ihre Einwilligung gedacht war, stellt sich in der Realität als nervige Hürde beim Surfen heraus. Grade auf Smartphones, mit denen man schnell mobil auf Daten im Internet zugreifen will, sind die von der Website verlangten Einwilligungen kaum lesbar und da-rum besonders hinderlich. Wer sich durch die Menüs bis zur Ablehnung aller nicht notwendigen Cookies gequält hat, fühlt sich oft trotzdem nicht ganz sicher, ob wirklich kein Tracking erfolgt.

Einen solchen Fall hat nun das Landgericht Frankfurt am Main (LG Frankfurt a.M., Urteil vom 19.10.2021, Az. 3-06 O 24/21 – nicht rechtskräftig) entschieden. Die Wettbewerbszentrale erstritt das Urteil gegen eine Kette von Fitness-Studios. Diese setzte Tracking-Cookies der Anbieter Crite-o, Facebook, Google Analytics, Hotjar und Microsoft Ads ein, mit denen der Nutzer über mehrere Websites hinweg verfolgt werden konnte. Die Cookies erkannten, ob der Nutzer durch eine Anzeige auf die Website gelangt ist und dienten der Messung der Umsätze von Anzeigen (sog. Conversion Tracking), Nutzungsstatistiken und dem Ausspielen zielgruppen-basierter Werbung. Das wäre mit Einwilligung des Nutzers wahrscheinlich sogar legal gewesen, nur wurden die Cookies bei jedem Öffnen der Website gesetzt, also zu einem Zeitpunkt, bevor der Nutzer mit dem Cookie-Banner interagieren konnte. Die Cookies wurden nicht einmal entfernt, wenn der Nutzer die im Banner ab-gefragte Einwilligung hierzu verweigerte. Nicht notwendige Cookies der Gruppen „Statistik“, „Marke-ting“, „Dienste von Drittanbietern“ blieben entgegen der Auswahl immer installiert. Selbst nach Schließen und Neustart des Browsers war eine Verfolgung des Nutzers möglich.

Es überrascht weniger, dass Webseiten-Betreiber solche illegalen Praktiken anwenden, sondern dass einer davon erwischt und überführt wurde. Insofern wurden die Zweifel vieler Nutzer bestätigt, ob denn die getroffene Wahl bzw. Abwahl von Cookies in jedem Fall beachtet wird. Es war eine Frage der Zeit, bis es eines der schwarzen Schafe erwischt. Das wird sicher für eine gewisse Ge-nugtuung bei dem einen oder anderen Nutzer geführt haben.

Bemerkenswert an dem Urteil ist im Übrigen, dass das Gericht ausdrücklich feststellte, dass der Betreiber einer Website auch für den Fehler eines Cookiebanner-Dienstleisters ohne Entlastungs-möglichkeit nach § 8 Abs. 2 UWG einzustehen muss. Die Praxis zeigt, dass Unternehmen reflexar-tig die Verantwortlichkeit von sich weisen, wenn ihnen ein datenschutzrechtlicher, wettbewerbs-rechtlicher, urheberrechtlicher oder sonstiger Verstoß vorgeworfen wird. Schuld ist oft der gerade erst eingestellte Praktikant, irgendein externer Dritter oder Angestellte, die längst das Unternehmen verlassen haben. Mit dem Urteil wird nochmals bekräftigt, dass Sie sich nicht blind auf andere ver-lassen können, selbst wenn Sie einen professionellen Drittanbieter mit der Betreuung der Cookies beauftragen. Macht dieser einen Fehler, haften Sie trotzdem und werden ggf. sogar verurteilt. Dass Sie durch das Urteil verpflichtet werden, rechtswidrige Verhaltensweisen abzustellen, mag dabei sogar noch in Ihrem Interesse sein, die Kostentragungspflicht ist es sicher nicht. Wenn Sie Glück haben, können Sie den unmittelbaren finanziellen Schaden noch im Wege des Regresses bei Ihrem Dienstleister kompensiert bekommen. Beim Image-Schaden könnte das schon schwieriger werden.

Unsere Kanzlei hat sich auf den Schutz von Daten spezialisiert und berät Sie gerne für einen reibungslosen und rechtskonformen Internet-Auftritt.

Text: Carsten Bildhäuser
Bild: Carrascal/Dindin Communication Design