Endlich eine Klarstellung aus Deutschland:
Für Werbe-Cookies gilt, dass sie nicht ohne informierte Zustimmung gesetzt werden dürfen. Der BGH stellt damit klar, dass die zur DSGVO widersprüchliche Formulierung im (aktuellen!) Telemediengesetz nicht greift.
Insbesondere wurde entschieden, dass voreingestellte Häkchen in einer Cookie-Zustimmung auf Webseiten nicht zulässig sind. Diese immer noch gängige Praxis wurde damit endlich als strafbar eingestuft.
Cookie-Einwilligungen unterzujubeln ist illegal.
Dieses Problem ist lange bekannt, spätestens seit der Überarbeitung der E-Privacy-Richtlinie von 2009 hätte der deutsche Gesetztgeber das Telemediengesetz überarbeiten müssen. Die Diskussion über die Unzulässigkeit der Nutzung ohne Opt-In war bereits durch das sogenannte „Cookie-Urteil“ des EuGH vom 1.10.2019 (ECLI:EU:C:2019:801) wieder in Gang gekommen, siehe dazu auch unseren Blog-Beitrag „Google-Analytics und andere Dritt-Inhalte künftig mit Opt-In einbinden“.
Dark-Pattern abgemahnt: Undurchsichtige Gestaltung der Benutzeroberfläche ist nicht zulässig
Im höchstrichterlich besprochenen Fall gab es außerdem noch ein komplexes Zustimmungsverfahren, das ebenso nicht zulässig ist: In einer längliche Liste von Werbepartnern sollten die Webseitenbesucher*innen die gewünschten auswählen, wobei voreingestellt war, dass der Webseitenanbieter selbst die Werbepartner auswählen kann.
Solches als Dark Pattern bezeichnetes Design von Nutzer*innen-Interfaces soll unterbleiben, da es die Nutzer*innen irreführt und damit nicht als informierte Einwilligung gelten. Der Graubereich ist hier recht groß – entsprechend dem in der DSGVO geforderten Privacy-by-Design darf es zumindest keine Datenschutz-unfreundlichen Voreinstellungen geben.