Der Europäische Gerichtshof (EuGH) hat heute in einem Urteil klargestellt, dass das Ankreuzen einer Zustimmung zur Datenspeicherung aktiv durch die Nutzer:innen selbst erfolgen muss. Wenn ein Kästchen in einem Vertrag im Vorhinein angekreuzt ist, stellt das noch keine gültige Einwilligungserklärung dar – auch wenn der Vertrag dann unterschrieben wurde.
Die rumänische Aufsichtsbehörde zur Verarbeitung personenbezogener Daten hatte gegen Orange România ein Bußgeld verhängt, worauf das Landesgericht in Bukarest das EU-Gericht um eine Einordnung ersuchte.
Der Mobilfunkanbieter hatte Kunden Verträge vorgelegt, die eine Klausel zur Speicherung einer Ausweiskopie enthielt. Diese muss „freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen“, was der EuGH hier nicht für gegeben hielt, weil das entsprechende Kästchen bereits im Vorhinein angekreuzt war. Im vergangenen Jahr hatte der EuGH ein ähnliches Urteil in der Handhabung von Tracking-Cookies getroffen.
Wahlfreiheit nicht gegeben
Die Verträge von Orange România hatten aus Sicht des Gerichts nicht ausreichend darauf hingewiesen, dass der Vertrag auch ohne eine entsprechende Zustimmung abgeschlossen werden konnte. Ein Widerspruch hatte laut den Verträgen schriftlich in einem zweiten Formular zu erfolgen.
Im Sinne einer echten Wahlfreiheit dürfen Verträge nicht irreführen, urteilte das Gericht. Kund:innen dürften durch solche ungebührliche Mehraufwände in ihrer Entscheidungsfreiheit nicht eingeschränkt werden. Im Gegenteil: Die Verantwortung, die Einwilligung über das Speichern persönlicher Daten nachzuweisen, liegt nach Ansicht des EuGH klar bei den Firmen.
Ausnahme: Überwachung durch den Staat. Dann muss man alles akzeptieren. Es gibt nicht mal Kästchen, die man ankreuzen kann.
> Es gibt nicht mal Kästchen, die man ankreuzen kann.
Da muss man nicht gleich verzagen. Diese Kästchen lassen sich ohne großen Aufwand an jede Behörden-Fassade malen.
Endlich wieder mal (für westliche Verhätnisse) subtile Regimekritik.
Wer mal aus versehen ein Seminar über versteckte Regimekritik im Kurzfilm des ehemaligen Ostblocks gesehen hat…
Auch schön sind die Buttons „Alle akzeptieren“, wobei nicht die aktuelle Auswahl gemeint ist, sondern nach dem Klick alle Häkchen aktiviert werden. Um nur das Häkchen bei „nur essenzielle Daten speichern“ zu setzen muss man auf den Button „Dateneinstellungen verwalten klicken“ und anschließend auf „übernehmen“ klicken. Das ist bewusst irreführend. Problem hierbei: kein ausreichender verpflichtender Standard. Leider wurde es verpasst, Privacy by Design als Recht gesetzlich so festzuschreiben, dass alle Dienste ohne Tracking und Analyse genutzt werden können müssen, ohne dass der Nutzer aktiv irgendwo ein Häkchen setzen muss.
Ich habe zwar ein „Do-not-track“, aber offenbar respektiert das praktisch kein Dienst (bzw. „ist nicht implementiert“)
Die Bundesregierung geht übrigens mit schlechtem Beispiel voraus: https://www.bundesregierung.de/breg-de (bzw. Datenschutzeinstellungen im Footer)
Ein Klick auf „Ja, ich bin mit allen Cookies einverstanden“ /aktiviert/ das Tracking.
Um Tracking zu deaktivieren muss man umständlich auf „Datenschutzeinstellungen anpassen“ und dann auf „Anpassungen übernehmen“ klicken.
Das widerspricht eindeutig der Vorgabe „Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung“, da das Ablehnen des Trackings umständlicher ist, als auf den Button „Ja, ich bin mit allen Cookies einverstanden“ zu klicken. Zudem ist die hier demonstrierte Vorgehensweise eine bewusste Täuschung des Nutzers, der bei einem Klick auf „Ja, ich bin mit allen Cookies einverstanden“ i.d.R. davon ausgeht, dass er nur die angezeigten Cookies akzeptiert.
Wie es richtig geht, zeigt z.B. https://datenschutz-generator.de/
Dort kann man mit einem Klick entweder der Marketing-Nutzung zustimmen oder „Nur essenzielle Cookies akzeptieren“.
Ich denke, dass dies eher kein gutes Beispiel ist, denn dort wird der Benutzer durch Framing beeinflusst. Und am Ende wird er einfach auf den Knopf mit dem geringsten Widerstand klicken. Besser wäre hier die Seite von Knorr, bei der wird auf das Darkpattern verzichtet und das Tracking startet erst nachdem akzeptiert wurde https://www.knorr.com/.
Und das Tracking ohne Cookies ist abgeschaltet?
Vielleicht kennt Knorr das gar nicht.