12.10.2020 | Datenschutz & IT | ID: 1075532

EuGH-Entscheidung verbietet vorab angekreuzte Einwilligungsfelder für Cookies

Der Europäische Gerichtshof (EuGH) entschied im Fall C-673/17 am 01.10.2019 darüber, ob die Einwilligung zu Cookies durch ein bereits zuvor angekreuztes Feld zulässig ist. Kann dies Haftungfälle auslösen?

Obwohl die Antwort für Praktiker nicht überraschend war, hat das Urteil zu Recht große Sorge um möglicherweise resultierende Haftungsfälle ausgelöst.

Sachverhalt

Im Jahr 2013 veranstaltet ein Anbieter aus Deutschland auf seiner Webseite ein Gewinnspiel. Zur Teilnahme müssen zunächst die eigenen Daten mitgeteilt und weiters zwei Hinweise über Ankreuzfelder akzeptiert werden. Eines der Ankreuzfelder ist in der Voreinstellung bereits angekreuzt und dient der Setzung eines Tracking-Cookies durch einen Webanalysendienst.

Der EuGH hat letztendlich festgehalten, dass eine rechtskonforme Einwilligung zur Setzung fakultativer, also nicht technisch zwingend erforderlicher Cookies nur ausdrücklich und durch aktive Handlung erteilt werden kann. Ein vorab angekreuztes Feld widerspricht demnach diesem Grundsatz. Zusätzlich äußerte sich der EuGH noch zur Frage der zwingend zu erteilenden Informationen bezüglich der Cookies.

Besonderheit der EU-Entscheidung

Das Besondere an dieser Entscheidung waren jedoch zwei Aspekte:

• Die Auseinandersetzung des EuGH mit der im Jahr 2013, als auch mit der heute geltenden datenschutzrechtlichen Rechtslage und
• Die Beantwortung der Frage, welche eigentlich bereits klar war

Der EuGH entschied nämlich, dass sich der europäische Gesetzgeber im Erwägungsgrund 32 der DSGVO klar zur Frage der Zustimmung bei vorangekreuzten Feldern geäußert hat: Demnach könnte eine Einwilligung „etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite“ erfolgen. Hingegen „bereits angekreuzte Kästchen […] sollten daher keine Einwilligung darstellen.“

Die Folge sind mögliche Haftungsfälle

Vor dem Inkrafttreten der DSGVO am 25.05.2018 war es tatsächlich so, dass viele Unternehmen bereits vorab Felder (beispielsweise für eine Einwilligung zum Erhalt von Newsletter oder Werbemails) ankreuzten. Damit wurde eine möglichst schnelle Füllung der Datenbanken erreicht. Allerdings haben manche Unternehmen diese Praxis auch nach dem Inkrafttreten der DSGVO weitergeführt – zum Teil auch bis heute noch. Bereits vor Geltung der DSGVO gab es vereinzelt Entscheidungen von nationalen Datenschutzbehörden und außerdem gute Gründe für die Untersagung der vorangekreuzten Felder als gültige Einwilligung. Spätestens mit der DSGVO wurde diese Frage aber geklärt und entsprechende Verantwortliche in den betreffenden Unternehmen hätten handeln müssen. Durch das Nichthandeln riskieren sie ansonsten für Schäden zu haften, welche ihr Unternehmen durch diese Fehlentscheidung oder Untätigkeit erlitten hat.