Weihnachten nähert sich, aber es geht in der Sache um etwas anderes als das Plätzchenbacken. Ein wenig Recht:

Internetnutzer/-innen müssen aktiv der Speicherung sogenannter Cookies zustimmen. Dies hat der Europäische Gerichtshof (EuGH) geurteilt. Demnach ist die voreingestellte Zustimmung zum Speichern der Daten unzulässig.

Die Verbraucherzentrale Bundesverband hatte gegen den Online-Gewinnspielanbieter Planet49 (Az.: C-673/17) geklagt, der eine solche Voreinstellung auf seiner Website nutzte. Auf der Anmeldeseite des Gewinnspiels gab es ein Kästchen, bei dem bereits ein Häkchen zur Zustimmung gesetzt war, sodass Internetnutzer/-innen automatisch in die Anwendung von Cookies einwilligten.

Zwar kann der bereits gesetzte Haken entfernt werden, doch die Verbraucherzentrale hielt dieses Vorgehen für unzulässig. Sie bemängelte, dass diese Praxis den Verbraucher/-innen oft keine aussagekräftigen Informationen vermittle und keine rechtskonformen Wahlmöglichkeiten ermögliche.

Die Richterbank des EuGH folgte dieser Argumentation. Durch ein voreingestelltes Ankreuzkästchen werde die erforderliche Einwilligung in die Verwendung von Cookies nicht wirksam erteilt, hieß es in dem Urteil. Die Nutzer/-innen sollen vor jedem Eingriff in seine Privatsphäre geschützt werden. „Ein voreingestelltes Ankreuzkästchen genügt nicht“, so die Richter/-innen.

Cookies enthalten individuell vergebene Kennungen, die in erster Linie einer Wiedererkennung eines bestimmten Endgerätes dienen. So sorgen sog. Session-Cookies beispielsweise dafür, dass sich der Nutzer in einem Online-Shop nicht auf jeder besuchten Artikelseite immer wieder neu einloggen muss. Der Online-Shop kann sich mittels des Session-Cookies den einmal erfolgreichen Login eines bestimmten Endgerätes für die Dauer des Besuches „merken“.

Entgegen landläufiger Meinung enthalten die Cookies selbst häufig keine nennenswerten Informationen. Allerdings nutzen große Tracking-Anbieter, wie z.B. Google Analytics (lto.de), Cookies, um den Nutzer/-innen über verschiedene Webseiten hinweg wiederzuerkennen und auf diese Weise dessen Surfverhalten zentral zu erfassen. Nach Auffassung des EuGH-Generalanwaltes dürfen solche Cookies nur gesetzt werden, wenn der Nutzer vorher aktiv durch Setzen eines Häkchens einwilligt. Gemessen an den europarechtlichen Vorgaben ist das voreingestellte Ankreuzkästchen keine taugliche Einwilligung. Denn eine solche setze nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) eine aktive Handlung des/-r Nutzers/-innen voraus. Wer das Häkchen nicht selbst setzt, willige eben nicht aktiv ein. Auch der Klick auf den Teilnahme-Knopf stelle keine aktive Erklärung des darüber angezeigten Einwilligungstextes dar. Denn mit dem Klick wolle der Nutzer am Gewinnspiel teilnehmen und nicht eine Einwilligung erklären.

Deutschland hätte die seit 2009 geltende Cookie-Richtlinie längst umsetzen müssen. Die Richtlinie sah prinzipiell ein sog. Opt-In-Verfahren (datenschutzbeauftragter-info.de) vor, bei dem Nutzer für den Einsatz von Cookies ihre Einwilligung geben müssen. Die Bundesregierung war dabei aber der Auffassung, dass die Cookie-Informationspflichten durch das Telemediengesetz (§ 15 TMG) bereits EU-rechtskonform umgesetzt seien. Diese Interpretation war äußerst „sportlich“, da das TMG im Gegensatz zur Forderung der EU-Cookie-Richtlinie eine Opt-Out-Lösung ausreichen ließ. Das Urteil ist als klare Ansage an den deutschen Gesetzgeber zu verstehen, das deutsche Recht an die EU-Regeln anzupassen. Das Bundeswirtschaftsministerium kündigte bereits eine Änderung des Telemediengesetzes an.

Alternativ könnte auch der europäische Gesetzgeber zuvorkommen, indem es doch zu einer baldigen Verabschiedung der ePrivacy-Verordnung kommt. Gerade weil der EuGH in seinem neulichen Urteil einen relativ harten Kurs fährt, dürften nun deutlich mehr Parteien an einer Regelung in der ePrivacy-Verordnung (heise.de) interessiert sein. Im Interesse der Rechtsklarheit wäre eine solche Lösung wünschenswert.

Die deutsche Datenschutzkonferenz (DSK), deren Mitglieder über die Einhaltung der Datenschutzregeln in Deutschland wachen, hatte bereits vor einiger Zeit klargestellt, dass sie das TMG für nicht anwendbar hält. Webseitenbetreiber müssten sich stattdessen auf die Datenschutz-Grundverordnung (DSGVO) berufen.

Bußgelder von Datenschutzbeauftragten sind damit zumindest im Bereich des Möglichen. IT-Anwälte empfehlen deshalb schon länger die mit EU-Recht konforme Einwilligungslösung.