Ein Werbeunternehmen veranstaltete ein Gewinnspiel zu Werbezwecken und platzierte vor dem »Teilnahme-Button« ein Ankreuzkästchen mit kurzer Beschriftung. Dieses Kästchen war bereits mit einem voreingestellten Häkchen versehen. Das Kästchen enthielt den Hinweis »Ich bin einverstanden, dass die Firma W-GmbH Cookies setzt. Diese dienen zur Sammlung von Informationen zu Werbezwecken für Produkte der Partner der W-GmbH.«
Der Bundesverband der Verbraucherzentralen war der Auffassung, bei einem voreingestellten, angekreuzten Kästchen liege keine wirksame Einwilligung des Internetnutzers vor.
Der Bundesgerichtshof, bei dem der Rechtsstreit schließlich zur Entscheidung anstand, war der Auffassung, dass EU-Richtlinien über die Verarbeitung personenbezogener Daten einschlägig seien. Er legte deshalb dem Gerichtshof der Europäischen Union (EuGH) verschiedene Fragen zur Vorabentscheidung vor. Insbesondere wollte er eine Entscheidung zu der Frage, ob ein solches, bereits gekreuztes Kästchen eine »wirksame Einwilligung des Internetnutzers nach den einschlägigen Vorschriften« darstellt.
Der EuGH verneinte dies im Ergebnis.
Keine wirksame Einwilligung
Die Anforderungen an eine wirksame Einwilligung bei voreingestellt angekreuzten Häkchen waren nach Ansicht des Gerichts nach den einschlägigen Vorschriften nicht erfüllt. Eine für die Speicherung und den Abruf von Cookies auf dem Gerät des Internetnutzers einer Website erforderliche Einwilligung müsse freiwillig für den bestimmten Fall und in einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung abgegeben werden. Es bedürfe einer aktiven Handlung. Diese sei bei vorangekreuzten Häkchen allerdings nicht gegeben.
Die Einwilligung müsse für den konkreten Fall erteilt werden. Das bloße Belassen des Kreuzchens in der Schaltfläche für die Teilnahme am Gewinnspiel stelle deshalb noch keine wirksame Einwilligung des Nutzers in die Speicherung von Cookies dar.
Personenbezogene Daten
Nach Auffassung des EuGH ist es unerheblich, ob ein Cookie personenbezogene Daten zum Gegenstand hat oder nicht, ob es sich also bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt. Denn das Unionsrecht soll den Nutzer vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass »Hidden Identifiers« o. ä. in sein Gerät eindringen.