EuGH-UrteilIm Voraus angekreuzte Kästchen sind nicht legal

Eine Einwilligung zur Datenspeicherung ist nur rechtskräftig, wenn Nutzer:innen das entsprechende Häkchen selbst setzen. Der Europäische Gerichtshof hat hierzu heute Klarheit geschaffen. Auslöser war ein Gerichtsverfahren in Rumänien.

Ein Stift liegt auf einem Blatt Papier mit einem Kästchen, neben dem "I Agree" steht.
Kästchen müssen in Verträgen aktiv von der Verbraucher:in angekreuzt werden. Vereinfachte Pixabay Lizenz Catkin

Der Europäische Gerichtshof (EuGH) hat heute in einem Urteil klargestellt, dass das Ankreuzen einer Zustimmung zur Datenspeicherung aktiv durch die Nutzer:innen selbst erfolgen muss. Wenn ein Kästchen in einem Vertrag im Vorhinein angekreuzt ist, stellt das noch keine gültige Einwilligungserklärung dar – auch wenn der Vertrag dann unterschrieben wurde.

Die rumänische Aufsichtsbehörde zur Verarbeitung personenbezogener Daten hatte gegen Orange România ein Bußgeld verhängt, worauf das Landesgericht in Bukarest das EU-Gericht um eine Einordnung ersuchte.

Der Mobilfunkanbieter hatte Kunden Verträge vorgelegt, die eine Klausel zur Speicherung einer Ausweiskopie enthielt. Diese muss „freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen“, was der EuGH hier nicht für gegeben hielt, weil das entsprechende Kästchen bereits im Vorhinein angekreuzt war. Im vergangenen Jahr hatte der EuGH ein ähnliches Urteil in der Handhabung von Tracking-Cookies getroffen.

Wahlfreiheit nicht gegeben

Die Verträge von Orange România hatten aus Sicht des Gerichts nicht ausreichend darauf hingewiesen, dass der Vertrag auch ohne eine entsprechende Zustimmung abgeschlossen werden konnte. Ein Widerspruch hatte laut den Verträgen schriftlich in einem zweiten Formular zu erfolgen.

Im Sinne einer echten Wahlfreiheit dürfen Verträge nicht irreführen, urteilte das Gericht. Kund:innen dürften durch solche ungebührliche Mehraufwände in ihrer Entscheidungsfreiheit nicht eingeschränkt werden. Im Gegenteil: Die Verantwortung, die Einwilligung über das Speichern persönlicher Daten nachzuweisen, liegt nach Ansicht des EuGH klar bei den Firmen.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

8 Ergänzungen

    1. > Es gibt nicht mal Kästchen, die man ankreuzen kann.

      Da muss man nicht gleich verzagen. Diese Kästchen lassen sich ohne großen Aufwand an jede Behörden-Fassade malen.

      1. Endlich wieder mal (für westliche Verhätnisse) subtile Regimekritik.

        Wer mal aus versehen ein Seminar über versteckte Regimekritik im Kurzfilm des ehemaligen Ostblocks gesehen hat…

  1. Auch schön sind die Buttons „Alle akzeptieren“, wobei nicht die aktuelle Auswahl gemeint ist, sondern nach dem Klick alle Häkchen aktiviert werden. Um nur das Häkchen bei „nur essenzielle Daten speichern“ zu setzen muss man auf den Button „Dateneinstellungen verwalten klicken“ und anschließend auf „übernehmen“ klicken. Das ist bewusst irreführend. Problem hierbei: kein ausreichender verpflichtender Standard. Leider wurde es verpasst, Privacy by Design als Recht gesetzlich so festzuschreiben, dass alle Dienste ohne Tracking und Analyse genutzt werden können müssen, ohne dass der Nutzer aktiv irgendwo ein Häkchen setzen muss.
    Ich habe zwar ein „Do-not-track“, aber offenbar respektiert das praktisch kein Dienst (bzw. „ist nicht implementiert“)

    1. Die Bundesregierung geht übrigens mit schlechtem Beispiel voraus: https://www.bundesregierung.de/breg-de (bzw. Datenschutzeinstellungen im Footer)

      Ein Klick auf „Ja, ich bin mit allen Cookies einverstanden“ /aktiviert/ das Tracking.
      Um Tracking zu deaktivieren muss man umständlich auf „Datenschutzeinstellungen anpassen“ und dann auf „Anpassungen übernehmen“ klicken.

      Das widerspricht eindeutig der Vorgabe „Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung“, da das Ablehnen des Trackings umständlicher ist, als auf den Button „Ja, ich bin mit allen Cookies einverstanden“ zu klicken. Zudem ist die hier demonstrierte Vorgehensweise eine bewusste Täuschung des Nutzers, der bei einem Klick auf „Ja, ich bin mit allen Cookies einverstanden“ i.d.R. davon ausgeht, dass er nur die angezeigten Cookies akzeptiert.

      1. Ich denke, dass dies eher kein gutes Beispiel ist, denn dort wird der Benutzer durch Framing beeinflusst. Und am Ende wird er einfach auf den Knopf mit dem geringsten Widerstand klicken. Besser wäre hier die Seite von Knorr, bei der wird auf das Darkpattern verzichtet und das Tracking startet erst nachdem akzeptiert wurde https://www.knorr.com/.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.