Warten auf Godot – Noch immer keine Neuregelung für Cookies & Co.
RAin Dr. Diana Ettig, LL.M.
„Eine Volkszählung ist schuld am Cookie-Banner-Wahnsinn“ titelte die Frankfurter Allgemeine Zeitung (FAZ) in einem am 9. 1. 2024 veröffentlichten Artikel. Will man diesen online lesen, erscheint – Sie werden es ahnen – ein sogenannter „Cookie-“ oder „Consent-Banner“. Die Nutzer:innen haben danach die Auswahl zwischen einer werbefinanzierten Nutzung von faz.net oder dem werbefreien „Pur-Abo“. Den übrigen Text werden nur die wenigsten Nutzer:innen lesen, viele werden den Banner nur genervt „wegklicken“.
Dass die aktuellen gesetzlichen Regelungen zu Cookies & Co. einer Aktualisierung bedürfen, hat auch der europäische Gesetzgeber längst erkannt: Die Neuregelung ist Gegenstand des Gesetzesentwurfs einer E-Privacy-Verordnung, die ursprünglich 2018 – zeitgleich mit dem Wirksamwerden der Datenschutzgrundverordnung – die Vorgängerrichtlinie ablösen sollte. Doch das Gesetzesvorhaben geriet immer wieder ins Stocken, wurde von mehreren Ratspräsidentschaften neu aufgegriffen und blieb schließlich in den Trilog-Verhandlungen stecken. Es ist wohl nur noch eine Frage der Zeit, bis die Kommission ihren Entwurf offiziell zurückzieht und damit das Gesetzesvorhaben für endgültig gescheitert erklärt.
Damit gilt weiterhin die E-Privacy-Richtlinie (RL 2002/22/EG) in ihrer Fassung aus dem Jahre 2009 (RL 2009/136/EG). Die letzte Aktualisierung – die erst 2021 mit dem TTDSG in deutsches Recht umgesetzt wurde – ist mithin bereits 15 Jahre alt und entspricht in keiner Weise den aktuellen Bedürfnissen von Website- und App-Betreibern auf der einen und Nutzer:innen auf der anderen Seite. Bei Letzteren hat sich vielmehr eine regelrechte „Cookie-Fatigue“ eingestellt. Dem will das Amt für Verbraucherschutz der EU-Kommission nunmehr durch eine Selbstverpflichtungsinitiative begegnen. Ein Ziel der Initiative ist es, die Geschäftsmodelle hinter Online-Angeboten transparenter zu machen und so Nutzer:innen eine informierte Entscheidung über die Nutzung ihrer personenbezogenen Daten und Geräteinformationen zu ermöglichen. Zudem sollen die Diensteanbieter die Nutzer:innen erst ein Jahr nach der letzten Anfrage erneut um die Zustimmung zu Cookies und vergleichbaren Technologien bitten dürfen.
Dass die Nutzer:innen durchaus bereit und in der Lage sind, eine informierte Entscheidung zu treffen, zeigen ironischerweise die zunehmenden Ablehnungsraten. Hintergrund dessen ist, dass immer mehr Banner eine wirkliche Auswahlmöglichkeit auf erster Ebene vorsehen. Denn Dark Patterns, die eine Ablehnung erst über Buttons wie „Weitere Einstellungen“ auf der zweiten Ebene ermöglichen, werden immer stärker sanktioniert. Nicht nur die deutschen Aufsichtsbehörden haben das Thema auf ihre Agenda gesetzt (vgl. Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht vom 9. 2. 2024 „Apps und ‘Cookie’-Banner auf dem Prüfstand“), auch NGOs gehen erfolgreich mit Unterlassungsbegehren gegen rechtswidrige Gestaltungen vor. Zuletzt sorgte etwa ein Urteil des OLG Köln vom 19. 1. 2024 (Az.: 6 U 80/23) in einem Rechtsstreit zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Dienst WetterOnline für Aufsehen. Darin untersagte das Kölner Gericht die Nutzung eines Cookie-Banners unter anderem deswegen, weil dieser keine der Einwilligung gleichwertige Ablehnungsoption vorsah.
Nunmehr wird in der Fachwelt intensiv diskutiert, ob der Tenor des Urteils – der sich auf die konkrete Verletzungsform bezieht – verallgemeinerungsfähig ist oder nicht. Die Frage ist allerdings, ob den Betreibern von Websites und Apps wirklich damit geholfen ist, wenn wirtschaftsfreundliche Berater:innen immer weiter Schlupflöcher in einem sich zuziehenden Netz suchen. Vielmehr wäre es ganze 15 Jahre nach Inkrafttreten der „Cookie-Richtlinie“ wahrscheinlich auch in Deutschland endlich an der Zeit, nach alternativen Finanzierungsmöglichkeiten für Online-Angebote zu suchen.
Andere europäische Länder sind uns bei dieser Thematik um mehrere Jahre voraus. Dies zeigt sich beispielsweise an den Veröffentlichungen der französischen Datenschutzaufsichtsbehörde CNIL, die sich nicht nur weit vor den deutschen Behörden zu einem rechtskonformen Einsatz von Cookies und vergleichbaren Technologien (wie z. B. Browser-Fingerprinting), sondern auch zu Spezialfragen wie den sogenannten „PUR-Modellen“ der Verlagsbranche geäußert hat. Vielleicht ist das auch der Grund, warum der Cookie-Banner von Le Monde anders aussieht als bei der FAZ (und anderen deutschen Zeitungen und Zeitschriften). Den eingangs erwähnten Artikel kann man übrigens auch nach der Einwilligung zur werbefinanzierten Nutzung nicht lesen. Das geht nur mit einem Online-Abo.
RAin Dr. Diana Ettig, LL.M.*
* | Jahrgang 1983. Fachanwältin für Urheber- und Medienrecht und Of Counsel in der Kanzlei SPIRIT LEGAL. Studierte in Dresden und Paris. Studium zum Master of Law in Dresden und Strasbourg. Promotion zum Bereicherungsausgleich bei Persönlichkeitsrechtsverletzungen. Spezialisiert auf die Bereiche Urheber-, Presse- und Datenschutzrecht. |