Es ist bekannt, dass Websites Cookies oder Dateien verwenden, die der Anbieter in den Computer des Nutzers, der sie besucht, einführt und die dazu dienen, die Navigation im Internet oder Online-Transaktionen zu erleichtern, aber sie sind auch ein Instrument, um Informationen über das Verhalten der Nutzer zu erhalten, die dann zu Werbezwecken für die Unternehmen verwendet werden, die mit dem Dienstleister zusammenarbeiten oder Kunden des Dienstleisters sind.
Darüber hinaus ist es immer noch gängige Praxis, dass Websites den Benutzern die Zustimmung zur Verwendung von Cookies anzeigen, wenn ein mit X gekennzeichnetes Kästchen erscheint, als Zeichen der Akzeptanz oder mit anderen verschleierten oder induzierten Formen der Zustimmung.
Der deutsche Oberste Zivil- und Strafgerichtshof hat den Europäischen Gerichtshof um eine Auslegung gebeten, ob eine solche Praxis das EU-Recht zum Schutz der Privatsphäre im Bereich der elektronischen Kommunikation verletzen könnte. Kläger in diesem Fall war der Bundesverband der Verbraucherzentralen und -verbände e.V., der sich darüber beschwerte, dass PLANET 49, ein Unternehmen, das sich mit Online-Spielen befasst, ein Standard-Kontrollkästchen verwendete, mit dem seine Nutzer ihre Zustimmung zur Platzierung von Cookies auf ihren Computern ausdrückten.
Im Zusammenhang mit diesem Antrag hat der Gerichtshof der Europäischen Union in seinem Urteil vom 1. Oktober 2019 (Rechtssache C-673/17) klargestellt, dass die Zustimmung, die der Benutzer der Website geben muss, damit Cookies auf seinem Computer platziert werden können, ausdrücklich sein muss. Darüber hinaus versteht sie, dass die Zustimmung nicht ordnungsgemäß erteilt wird, wenn der Modus aus einem standardmäßig angekreuzten Kästchen besteht, aus dem der Benutzer das Häkchen entfernen muss, wenn er es nicht geben will. Das heißt, es ist weder akzeptabel noch gültig, die Zustimmung so zu interpretieren, dass sie dadurch erteilt wird, dass der Benutzer das standardmäßig markierte Kästchen nicht ankreuzt, sondern dass der Benutzer es aus einem leeren Kästchen heraus markieren muss. Und dieses Zustimmungserfordernis ist unabhängig davon, ob „die auf dem Computer des Benutzers gespeicherte oder abgerufene Information aus persönlichen Daten besteht“ oder nicht. Es geht nicht darum, die Art der gesammelten Informationen zu qualifizieren, sondern vielmehr darum zu verhindern, dass ein Dritter ohne sein Wissen und in jedem Fall ohne seine klare und unvermeidliche Zustimmung in den Computer oder das Terminal eines Benutzers eindringt.
Der Gerichtshof verlangt eine proaktive und unzweideutige Aktivität des Nutzers, so dass die Einwilligung im Falle von Trägheit, Verwirrung oder mangelnder Klarheit nicht als erteilt verstanden werden kann, denn wenn das geschützte Gut die Privatsphäre des Einzelnen ist, kann und darf dieser nicht durch Mechanismen oder Tricks des Anbieters geschädigt werden, die darauf abzielen, die Passivität – oder Angst – des Nutzers zu verwirren oder auszunutzen und so den Computer für die Platzierung von (eigenen oder fremden) Cookies zu öffnen, die versteckte Identifikatoren und unerwünschte Vorrichtungen zur Informationssammlung enthalten können.
Das Urteil bestätigt daher, dass die Zustimmung ausdrücklich und spezifisch sein muss, was bedeutet, dass Computerdesignressourcen, bei denen der Online-Dienstanbieter das Drücken des Startknopfes zur Teilnahme an einem bestimmten Spiel (wie es vor Gericht der Fall war) oder zur Teilnahme an einer Veranstaltung, dem Empfang von Dienstleistungen usw. mit der Erteilung der Zustimmung zur Verwendung von Cookies verbindet, verboten sind. Diese Betriebsart ist für die implizite oder indirekte Bereitstellung vorgesehen, was vom Gerichtshof abgelehnt wird. Es gibt Gründe zu argumentieren, dass dieses Verbot auf Websites ausgedehnt werden kann, bei denen die Annahme der Platzierung von Cookies mit der bloßen Fortsetzung der Navigation auf der Website verbunden ist, während der Benutzer die wahre Tragweite der Warnung nicht kennt, oder ob das bloße Ziehen des Mauszeigers auf der Website als ein Akt der Fortsetzung verstanden werden kann oder nicht. Unseres Erachtens ist diese Praxis nicht akzeptabel, da die Zustimmung an den Empfang des Dienstes ohne die Möglichkeit der Dissoziation gebunden ist; um das Hindernis zu überwinden, muss nach dem Antrag auf Zustimmung der Bildschirm der Website blockiert werden, bis die Zustimmung ausdrücklich erteilt wird. In der Tat erklärt das Gericht, dass die Erteilung der Zustimmung des Benutzers zur Platzierung von Cookies nicht verschleiert, induziert oder stillschweigend erfolgen kann, sondern dass das System, das zu ihrer Erlangung gewählt wurde, zeigen muss, dass der Benutzer eine Handlung aus freiem Willen vorgenommen hat.
Eine weitere Frage, die in dem Urteil nicht behandelt wird, ist die Rechtmäßigkeit von (öffentlichen) Websites, die die Akzeptanz der Verwendung von Cookies erfordern, um die Navigation auf der Website zu ermöglichen und von den dort angebotenen Dienstleistungen zu profitieren. Man könnte sagen, dass in diesen Fällen, selbst wenn die Website die Regel respektiert, die die aktive Zustimmung des Nutzers erfordert, die Entscheidung als an der Wurzel mangelhaft verstanden werden muss, da die Alternative zum Nichtausfüllen des Zustimmungsfeldes bedeutet, dass der öffentliche Dienst nicht in Anspruch genommen werden kann.
Eduardo Vilá
Vilá Abogados
Für weitere Informationen wenden Sie sich bitte an:
4. Oktober 2019