Keine wirksame Einwilligung zu Cookies durch voreingestelltes Ankreuzkästchen

Out-Law News | 25 Oct 2019 | 11:00 am | Lesedauer: 2 Min.

Online-Diensteanbieter verstoßen gegen EU-Datenschutzvorschriften, wenn sie voreingestellte Ankreuzkästchen verwenden, um die Einwilligung von Internetnutzern zum Setzen von Cookies auf deren Geräten einzuholen, so das höchste Gericht der EU.

Der Europäische Gerichtshof (EuGH) hat entschieden, dass „keine wirksame Einwilligung (…) vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss“.

Nach Ansicht des Gerichts erfüllen voreingestellte Ankreuzkästchen nicht die Voraussetzungen für die Einholung einer Einwilligung zur Verwendung von „Cookies“ nach EU-Recht, auch wenn Internetnutzer das Kästchen abwählen und sich abmelden oder ihre Zustimmung zu einem späteren Zeitpunkt widerrufen können. Es gelten die Anforderungen an die Einwilligung unabhängig davon, ob die verwendeten Cookies personenbezogene Daten speichern bzw. auf solche zugreifen oder nicht.

Cookies sind kleine Textdateien, die auf dem Gerät eines Internetnutzers abgelegt werden. Sie werden von einem Webseiten-Server erzeugt, der im Grunde genommen der Computer ist, der eine Website betreibt. Die im Cookie enthaltenen Informationen werden vom Server gesetzt und können von diesem Server verwendet werden, wenn das Gerät des Benutzers mit der Website interagiert.

Websites verwenden Cookies hauptsächlich, weil sie Zeit sparen und das Surfen effizienter und angenehmer gestalten. Mittels Cookies können Websites zudem die Surfgewohnheiten der Besucher überwachen und für Marketingzwecke ein Profil über sie erstellen.

EU-Datenschutzgesetze verpflichten die Betreiber von Websites und andere Anbieter eines Dienstes der Informationsgesellschaft, von Internetnutzern die Zustimmung zur Verwendung nicht unbedingt notwendiger Cookies einzuholen und die Nutzer darüber zu informieren, wie sie Cookies verwalten und löschen können.

Der EuGH urteilte zudem, dass Betreiber einer Website ihre Offenlegungspflichten nach den einschlägigen Datenschutzvorschriften nur dann erfüllen, wenn sie ihren Nutzern Informationen über die Funktionsdauer der Cookies zur Verfügung stellen und sie zudem darüber informieren, ob Dritte Zugriff auf diese Cookies erhalten könnten.

Nach Aussage des Experten für Technologierecht Dr. Alexander Bayer von Pinsent Masons, der Anwaltskanzlei hinter Out-Law, liegt das Urteil des EuGH auf einer Linie mit den EU-weit gültigen Zustimmungsregeln für werbliche Kommunikation, die ebenfalls eine Zustimmung auf Opt-in-Basis erfordern.

Das Urteil betone ferner „den Schutz der Privatsphäre der Internetnutzer, insbesondere gegen das Eindringen von ‚Hidden Identifiers‘ oder ähnlichen Instrumenten in Computer oder mobile Geräte“, so Bayer.

Bayer: „Die Entscheidung besagt eindeutig, dass Unternehmen Nutzer im Voraus über die Funktionsweise und die Funktionsdauer des Cookies informieren und darüber aufklären müssen, ob Dritte Zugriff auf die durch das Cookie gesammelten Daten haben könnten. Nur dann führt ein aktiver ‚Klick‘ auch zu einer wirksamen Einwilligung. Ein voreingestelltes Ankreuzkästchen erfüllt diesen Zweck nicht.“

„Man muss kein Hellseher sein, um zu vorherzusagen, dass die in dieser Entscheidung festgelegten Prinzipien über Fälle der Verwendung von Cookies hinaus Auswirkungen auch auf ähnliche gelagerte Konstellationen haben werden, in denen Unternehmen versuchen, Zugriff auf Daten von Verbrauchern zu erlangen und diese zu nutzen“, so Bayer.

In den letzten Monaten haben sowohl die britische Datenschutzbehörde Information Commissioner's Office (ICO) als auch ihr französisches Pendant Commission Nationale de l'Informatique et des Libertés (CNIL) neue Leitlinien für die Anwendung von Vorschriften über die Zustimmung zu Cookies veröffentlicht.

Die Expertin für Datenschutzrecht Claire Edwards von Pinsent Masons sagte im Juli, dass Unternehmen einerseits gemäß der neuen Leitlinien ihre Zustimmungsmechanismen überprüfen müssten, was möglicherweise mit hohen Kosten und dem Risiko des Verlusts wichtiger Daten verbunden sein könnte, andererseits aber Gefahr liefen, diese neuen Mechanismen in nicht allzu ferner Zukunft mit Blick auf neue geplante Gesetze zum Schutz der Privatsphäre im Internet wegen deren Auswirkungen auf die Verwendung von Cookies erneut überarbeiten zu müssen.

Pläne, die bestehende Datenschutzrichtlinie für elektronische Kommunikation durch eine neue Verordnung über Privatsphäre und elektronische Kommunikation zu ersetzen, wurden  erstmals 2017 diskutiert. Während  die Abgeordneten des Europaparlaments die Verhandlungsposition des Parlaments zu den Reformen im Oktober 2017 abgesegnet habenwurde die Umsetzung der Reformpläne aufgrund von Meinungsverschiedenheiten zwischen den Regierungen der EU-Mitgliedstaaten im Ministerrat verschoben.

Die finnische Ratspräsidentschaft legte im September neue Kompromissvorschläge vor.