Der deutsche Bundesverband der Verbraucherzentralen hatte in Deutschland gegen ein Online-Gewinnspiel des Anbieters Planet49 geklagt; der Bundesgerichtshof hatte den Europäischen Gerichtshof (EuGH) um eine Klärung der Fragen gebeten.

Hintergrund der Klage ist die Frage, was User tun müssen, um dem Setzen von Cookies zuzustimmen. Auf der Anmeldeseite von Planet49 gab es ein Kästchen, bei dem bereits ein Häkchen gesetzt war. User hätten dieses Häkchen zwar auch wieder entfernen können, doch eine Zustimmung wurde durch die angebotene Praxis erleichtert.

Bei dem Rechtsstreit geht es aber nicht nur um Planet49. Auch andere Unternehmen haben ihre Cookie-Vereinbarung auf diese Weise gestaltet. Bei einigen ist nicht einmal ein Entfernen des Häkchens möglich.

Cookies speichern beim Surfen Daten auf der Festplatte des Nutzers. Beim erneuten Besuch der Webseite werden sie dann wieder abgerufen, um den Nutzer und seine Einstellungen wiederzuerkennen.

Der EuGH teilt die Bedenken des Klägers. Im Urteil aus Luxemburg heißt es, durch ein voreingestelltes Ankreuzkästchen werde die erforderliche Einwilligung in die Verwendung von Cookies nicht wirksam erteilt.

Es mache auch keinen Unterschied, ob es sich bei dem auf dem Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handele oder nicht. Das Recht der Europäischen Union solle den Nutzer "vor jedem Eingriff in seine Privatsphäre" schützen.

Deutsche Unternehmen wie Planet49 hatten sich bei ihrem Vorgehen auf das deutsche Telemediengesetz (TMG) von 2007 berufen. Dort heißt es, Unternehmen dürften Daten verwenden, wenn User dem nicht ausdrücklich widersprächen. Diesem Weg des "Opt-out" steht das "Opt-in" entgegen, das eine EU-Richtline seit 2009 – und ein explizites Einverständnis vorsieht.

Eigentlich hätte auch Deutschland längst (bis 2011) diese EU-Richtlinie umsetzen müssen; auch die 2018 erlassene Datenschutz-Grundverordnung (DSGVO) der EU sieht ein "Opt-in" vor. Doch deutsche Gesetzgeber haben bislang entschieden, die nationale TMG-Richtline reiche – trotz des Widerspruchs zum EU-Recht – aus.

IT-Experten sehen eine mögliche Erklärung für den deutschen Sonderweg in der ePrivacy-Verordnung. Diese weitere europäische Gesetzesinitiative soll den Schutz der Privatsphäre zur Standardeinstellung machen und dabei auch die Cookie-Nutzung verbindlich regeln. Eigentlich sollte die ePrivacy-Verordnung noch in diesem Jahr kommen, doch bislang konnten sich die EU-Staaten nicht einigen.

Der nun erfolgte Luxemburger Richterspruch dürfte den deutschen Sonderweg der Rechtsauslegung beenden, theoretisch. Praktisch bleibt wohl erst einmal alles beim Alten. Denn solange es das Telemediengesetz in der gegenwärtigen Form gibt, können sich Unternehmen weiterhin auf dieses deutsche Recht berufen.

Über den konkreten Rechtsstreit entscheidet nun der Bundesgerichtshof, der dabei aber die Vorgaben des EuGH beachten muss.