Cookies – Einwilligung oder nicht?

Wer eine Webseite betreibt, ist früher oder später über diese Problematik gestolpert: wird eine Einwilligung für den Einsatz von Cookies benötigt oder nicht? Und wenn ja, wie hat diese auszusehen?

Die Rechtslandschaft auf diesem Gebiet gestaltet sich alles andere als übersichtlich. Da ist die in aller Munde befindliche Datenschutzgrundverordnung (DSGVO). Dann gibt es eine E-Privacy-Richtlinie (EPrivRL). Daneben gibt es das Telemediengesetz (TMG). Auch gehört hat man vielleicht etwas von der geplanten E-Privacy-Verordnung (EPrivVO).

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat kürzlich eine aktualisierte Stellungnahme für Anbieter von Telemedien herausgegeben, zu finden unter

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.

Gesetzliche Grundlagen:

Der etwas hölzerne Begriff „Telemedien“ ist legaldefiniert in § 1 Abs. 1 TMG und umschließt das Betreiben von Webseiten.

Spezifische Regelungen über elektronische Kommunikation finden sich in der EPrivRL und im TMG.

Die EPrivRL ist eine von der europäischen Kommission erlassene Richtlinie, die von der Legislative der Mitgliedstaaten in nationales Recht übertragen werden muss. Eine europäische Richtlinie ist vor deren nationaler Umsetzung noch kein für jedermann anwendbares Gesetz und kann allenfalls Signalwirkung bei der Interpretation der nationalen Gesetze entfalten.

Das TMG ist ein vom Bundestag seit 2007 in Kraft getretenes Gesetz, das den Umgang mit Informations- und Kommunikationsdiensten regelt.

Die DSGVO regelt den allgemeinen Umgang mit personenbezogenen Daten, ist also auch grundsätzlich anwendbar auf elektronisch anfallende personenbezogene Daten, und hat grundsätzlich Vorrang vor anderen Gesetzen außer in konkret in der DSGVO geregelten Ausnahmen. Vorrang wird insbesondere den Regelungen eingeräumt, die aufgrund der EPrivRL erlassen wurden, Art. 95 DSGVO. Wenn also das TMG die Umsetzung der EPrivRL darstellt, hätte das TMG als Ausnahme Vorrang vor der DSGVO.

Was wird in diesen Gesetzen vorgeschrieben?

Die EPrivRL verpflichtet die Mitgliedstaaten in Art. 5 Abs. 1 EPrivRL dazu, die Vertraulichkeit von Daten zu gewährleisten, die bei der elektronischen Kommunikation anfallen. Die Speicherung soll nur dann zulässig sein, wenn es sich gemäß Art. 5 Abs. 3 EPrivRL um technisch notwendige Daten handelt. Im Übrigen kann eine darüber hinaus gehende Verarbeitung nur durch eine informierte Einwilligung des Nutzers gerechtfertigt werden.

Das TMG erlaubt die Verarbeitung zu „Zwecke[n] der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien“, § 15 III TMG solange, bis der Nutzer dem widerspricht.

Die bislang überwiegend angewandte Praxis des sogenannten Cookie-Banners, in dem darauf hingewiesen wird, dass Cookies verwendet werden und innerhalb der Datenschutzerklärung auf die Widerspruchsmöglichkeit hingewiesen wird, beruht auf dieser Regelung.

Praktisch umgesetzt bedeutet dies:
Nach der EPrivRL dürfen Sie erst Cookies platzieren, nachdem der Nutzer eingewilligt hat. Nach dem Telemediengesetz dürfen Sie Cookies platzieren, bis der Nutzer dem widerspricht. Ein großer Unterschied!

Nach der DSGVO könnte die Datenverarbeitung aufgrund eines berechtigten Interesses des Webseiten-Betreibers gerechtfertigt sein, hierzu bedarf es allerdings einer Interessenabwägung. Andernfalls kommt nur eine Einwilligung in Betracht, die aktiv vom Nutzer kundgetan werden muss.

Telemediengesetz Vorrang?

Das TMG hat nur dann Vorrang, wenn es als Umsetzung der EPrivRL zu werten ist. Der deutsche Gesetzgeber sagte bislang, dass die EPrivRL trotz der unterschiedlichen Ausgestaltung ausreichend durch das TMG umgesetzt worden sei. Das TMG verbiete die Datenverarbeitung grundsätzlich und erlaube die Verarbeitung nur im Ausnahmefall. Damit sei der Grundsatz der EPrivRL ausreichend umgesetzt.

Die Datenschutzkonferenz hat im März 2019 klar Stellung bezogen, dass sie das TMG nicht als nationalen Umsetzungsakt betrachtet und dementsprechend keinen Anwendungsvorrang des TMG anerkennt.

Regelungen der DSGVO

Damit bleiben bis zum Inkrafttreten der EPrivVO als Bewertungsmaßstab für die Rechtmäßigkeit der Verwendung von Cookies nur die allgemeinen Regelungen der DSGVO.

Gegebenenfalls lässt sich die Nutzung von Cookies auf Ihr überwiegendes berechtigtes Interesse stützen. Hierfür muss geprüft werden,

  1. ob ein berechtigtes Interesse Ihrerseits vorliegt
  2. ob die Datenverarbeitung zur Wahrung Ihres Interesses erforderlich ist
  3. ob die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person entgegen stehen

Als Ihr berechtigtes Interesse kann vieles angenommen werden, angefangen von Warenkorb-Funktionen über die Einbindung von fremdem Kontext, über Analysedienste zur Verbesserung Ihrer Webseite wie Reichweitenmessung oder statistische Analysen und vieles mehr.

Bereits auf der zweiten Stufe ist dann allerdings zu fragen, ob die getroffene Maßnahme erforderlich ist für die Erreichung Ihres Zwecks. Das Mittel muss geeignet sein, das Ziel zu erreichen, wobei kein milderes und gleich effektives Mittel zur Verfügung steht. Wenn hierbei Dienste eingebunden werden, die Nutzungsdaten über die eigene Webseite hinweg mit Nutzungsdaten anderer Webseiten zusammenführen, geht dies weit über das Ziel hinaus und dürfte damit schon an der Erforderlichkeit scheitern.

Schlussendlich muss geprüft werden, inwiefern die Interessen des Nutzers dagegen überwiegen. Wie tiefgreifend ist der Eingriff in das Persönlichkeitsrecht des Nutzers? Habe ich zusätzliche Funktionen implementiert, die die Selbstbestimmung des Nutzers schützen, wie Maßnahmen zur Anonymisierung oder ähnliches? Kann der Nutzer wissen, worauf er sich einlässt, habe ich ihn ausreichend informiert? Sind an die Datenverarbeitung negative Folgen für den Nutzer verknüpft (Preisdiskriminierung)?

Viele der Datenverarbeitungen, die momentan über den Cookiebanner abgewickelt werden, dürften dabei herausfallen.

Damit bleibt lediglich übrig, die Datenverarbeitung über eine Einwilligung der betroffenen Person zu rechtfertigen. Diese muss nach der DSGVO ausdrücklich erfolgen. Ein Nichtstun muss zur datensparsamsten Verarbeitung führen. Der Cookie darf demnach erst eingesetzt oder abgefragt werden, wenn der Nutzer ausdrücklich seine Einwilligung erteilt.

Der Vollständigkeit halber sei erwähnt, dass sich diese Ausführungen auf sämtliche Werbe-, Marketing- und Trackingmaßnahmen beziehen, also auch die Nutzung von digital-Fingerprinting-Methoden und ähnliches. Diese sind zudem als tieferer Eingriff zu betrachten, da der Nutzer kaum Möglichkeiten hat, dies von sich aus zu unterbinden.

Aussicht:

Die EPrivVO ist auch ein von der Europäischen Kommission ausgehender Rechtsakt und wird der Nachfolger der EPrivRL werden. Als Verordnung ist sie allerdings wie die DSGVO unmittelbar in den Mitgliedsstaaten anwendbares Recht, ohne dass es hierzu einer nationalen Umsetzung bedarf. Nach der sehr unterschiedlichen Umsetzung der EPrivRL durch die einzelnen Mitgliedstaaten war der Bedarf nach einer einheitlichen Regelung groß. Allerdings ist die EPrivVO noch nicht verabschiedet, da sich die Einigung aufgrund der sehr unterschiedlichen Interessenlagen immer wieder verzögert. Mit dem Inkrafttreten ist vor 2020 nicht zu rechnen. Wir informieren Sie über die weitere Entwicklung.

Empfehlung:

Vor dem Hintergrund des in diesem Artikel dargestellten Sachstandes empfehlen wir Ihnen, Ihre Webseite kritisch zu prüfen und zu hinterfragen. Wenn Sie außer den technisch notwendigen Cookies weitere Tools verwenden, empfehlen wir Ihnen ein Gespräch mit Ihrem Datenschutzbeauftragten.

Ass.iur. Nicole Krause
Juristische Mitarbeiterin bei GINDAT GmbH