EuGH-UrteilIm Voraus angekreuzte Kästchen sind nicht legal

Eine Einwilligung zur Datenspeicherung ist nur rechtskräftig, wenn Nutzer:innen das entsprechende Häkchen selbst setzen. Der Europäische Gerichtshof hat hierzu heute Klarheit geschaffen. Auslöser war ein Gerichtsverfahren in Rumänien.

Ein Stift liegt auf einem Blatt Papier mit einem Kästchen, neben dem "I Agree" steht.
Kästchen müssen in Verträgen aktiv von der Verbraucher:in angekreuzt werden. – Vereinfachte Pixabay Lizenz Catkin

Der Europäische Gerichtshof (EuGH) hat heute in einem Urteil klargestellt, dass das Ankreuzen einer Zustimmung zur Datenspeicherung aktiv durch die Nutzer:innen selbst erfolgen muss. Wenn ein Kästchen in einem Vertrag im Vorhinein angekreuzt ist, stellt das noch keine gültige Einwilligungserklärung dar – auch wenn der Vertrag dann unterschrieben wurde.

Die rumänische Aufsichtsbehörde zur Verarbeitung personenbezogener Daten hatte gegen Orange România ein Bußgeld verhängt, worauf das Landesgericht in Bukarest das EU-Gericht um eine Einordnung ersuchte.

Der Mobilfunkanbieter hatte Kunden Verträge vorgelegt, die eine Klausel zur Speicherung einer Ausweiskopie enthielt. Diese muss „freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen“, was der EuGH hier nicht für gegeben hielt, weil das entsprechende Kästchen bereits im Vorhinein angekreuzt war. Im vergangenen Jahr hatte der EuGH ein ähnliches Urteil in der Handhabung von Tracking-Cookies getroffen.

Wahlfreiheit nicht gegeben

Die Verträge von Orange România hatten aus Sicht des Gerichts nicht ausreichend darauf hingewiesen, dass der Vertrag auch ohne eine entsprechende Zustimmung abgeschlossen werden konnte. Ein Widerspruch hatte laut den Verträgen schriftlich in einem zweiten Formular zu erfolgen.

Im Sinne einer echten Wahlfreiheit dürfen Verträge nicht irreführen, urteilte das Gericht. Kund:innen dürften durch solche ungebührliche Mehraufwände in ihrer Entscheidungsfreiheit nicht eingeschränkt werden. Im Gegenteil: Die Verantwortung, die Einwilligung über das Speichern persönlicher Daten nachzuweisen, liegt nach Ansicht des EuGH klar bei den Firmen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Ausnahme: Überwachung durch den Staat. Dann muss man alles akzeptieren. Es gibt nicht mal Kästchen, die man ankreuzen kann.

    1. > Es gibt nicht mal Kästchen, die man ankreuzen kann.

      Da muss man nicht gleich verzagen. Diese Kästchen lassen sich ohne großen Aufwand an jede Behörden-Fassade malen.

      1. Endlich wieder mal (für westliche Verhätnisse) subtile Regimekritik.

        Wer mal aus versehen ein Seminar über versteckte Regimekritik im Kurzfilm des ehemaligen Ostblocks gesehen hat…

  2. Auch schön sind die Buttons „Alle akzeptieren“, wobei nicht die aktuelle Auswahl gemeint ist, sondern nach dem Klick alle Häkchen aktiviert werden. Um nur das Häkchen bei „nur essenzielle Daten speichern“ zu setzen muss man auf den Button „Dateneinstellungen verwalten klicken“ und anschließend auf „übernehmen“ klicken. Das ist bewusst irreführend. Problem hierbei: kein ausreichender verpflichtender Standard. Leider wurde es verpasst, Privacy by Design als Recht gesetzlich so festzuschreiben, dass alle Dienste ohne Tracking und Analyse genutzt werden können müssen, ohne dass der Nutzer aktiv irgendwo ein Häkchen setzen muss.
    Ich habe zwar ein „Do-not-track“, aber offenbar respektiert das praktisch kein Dienst (bzw. „ist nicht implementiert“)

    1. Die Bundesregierung geht übrigens mit schlechtem Beispiel voraus: https://www.bundesregierung.de/breg-de (bzw. Datenschutzeinstellungen im Footer)

      Ein Klick auf „Ja, ich bin mit allen Cookies einverstanden“ /aktiviert/ das Tracking.
      Um Tracking zu deaktivieren muss man umständlich auf „Datenschutzeinstellungen anpassen“ und dann auf „Anpassungen übernehmen“ klicken.

      Das widerspricht eindeutig der Vorgabe „Die Ablehnung der Cookies sollte so einfach sein, wie die Zustimmung“, da das Ablehnen des Trackings umständlicher ist, als auf den Button „Ja, ich bin mit allen Cookies einverstanden“ zu klicken. Zudem ist die hier demonstrierte Vorgehensweise eine bewusste Täuschung des Nutzers, der bei einem Klick auf „Ja, ich bin mit allen Cookies einverstanden“ i.d.R. davon ausgeht, dass er nur die angezeigten Cookies akzeptiert.

      1. Ich denke, dass dies eher kein gutes Beispiel ist, denn dort wird der Benutzer durch Framing beeinflusst. Und am Ende wird er einfach auf den Knopf mit dem geringsten Widerstand klicken. Besser wäre hier die Seite von Knorr, bei der wird auf das Darkpattern verzichtet und das Tracking startet erst nachdem akzeptiert wurde https://www.knorr.com/.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.