Cookies nur noch nach Einwilligung – Aufsichtsbehörden erschweren Webanalyse

Die Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) steht unmittelbar bevor. Weil die gleichzeitig geplante ePrivacy-Verordnung der EU aber noch nicht in Kraft treten kann, stellt sich in einigen Bereichen die Frage nach der Anwendbarkeit der bestehenden nationalen Gesetze. Die deutschen Datenschutzaufsichtsbehörden sehen insbesondere beim Einsatz von Cookies – um z. B. das Nutzerverhalten auf Websites zu analysieren – Probleme. Sie fordern deswegen eine Einwilligung des Nutzers bevor Cookies gesetzt werden dürfen. Das aber würde der bisherigen Sichtweise zuwiderlaufen und im Zweifelsfall ganze Geschäftsmodelle vernichten.

Das Problem von DSGVO, ePrivacy-Verordnung und nationalem Recht

Während viele Unternehmen mit Hochdruck daran arbeiten, die neuen Vorschriften der DSGVO umzusetzen, diskutieren auch die Aufsichtsbehörden, wie die DSGVO konkret auszulegen ist. Für die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder stellt das Verhältnis zu bestehenden nationalen Gesetzen eine besondere Herausforderung dar. Dies liegt auch daran, dass der Gesetzgebungsprozess der ePrivacy-Verordnung der EU sich verzögert. In der ePrivacy-Verordnung soll u. a. der Einsatz von Cookies neu geregelt werden.

Mangels neuer Regelung stellt sich also die Frage, ob in Deutschland beim Einsatz von Cookies die bisher geltenden Vorschriften des Telemediengesetzes (TMG) noch anzuwenden sind. Die datenschutzrechtlichen Paragrafen des TMG dienten jedoch der Umsetzung der (alten) EU-Datenschutzrichtlinie, die durch die DSGVO abgelöst wurde. An letztere wurde das TMG bisher nicht angepasst.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zieht daraus den Schluss, dass der Anwendungsvorrang der DSGVO greift. In einem am 30. April 2018 veröffentlichten Positionspapier schreiben die Aufsichtsbehörden:

„Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.“

Konsequenzen mit enormer Tragweite

Die Tragweite dieser Interpretation durch die Aufsichtsbehörden kann kaum überschätzt werden. Denn nun kommt als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien nur noch Art. 6 Absatz 1 Buchstabe a) DSGVO in Betracht – also die eindeutige und freiwillig erfolgte Einwilligung der Betroffenen.

Sollen also Cookies eingesetzt werden, muss die sogenannte informierte Einwilligung i. S. d. DSGVO eingeholt werden, bevor Cookies platziert bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden. Bisher galt es als ausreichend, über den Einsatz von Cookies z. B. zu Analysezwecken zu informieren und auf die Widerspruchsmöglichkeit hinzuweisen. Nach Interpretation der deutschen Datenschutzaufsichtsbehörden muss nun mindestens ein Soft-Opt-in erfolgen, also etwa ein Bestätigungs-Button geklickt werden, bevor das Analyse-Cookie gesetzt werden darf. Ignoriert der Nutzer den Cookie-Hinweis und nutzt die Website weiter, ist keine Einwilligung gegeben!

Für die Nutzung von Google Analytics und vergleichbaren Tools zur Reichweitenmessung etc. könnte diese Sichtweise der Aufsichtsbehörden katastrophal sein. Im Zweifelsfall könnten ganze Geschäftsmodelle, die auf der Nutzung (pseudonymisierter) Nutzerdaten basieren, zusammenbrechen.

Es bleibt also abzuwarten, wie einzelne Datenschutzaufsichtsbehörden und Gerichte den Einsatz von Cookies zukünftig bewerten bzw. ob die ePrivacy-Verordnung neue Rechtsgrundlagen schafft, die praxistauglicher sind. Bis dahin kann nur empfohlen werden, den Einsatz von Cookies vom Opt-in der Nutzer abhängig zu machen.

2 Kommentare
  1. Jan
    Jan sagte:

    „Denn nun kommt als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien nur noch Art. 6 Absatz 1 Buchstabe a) DSGVO in Betracht – also die eindeutige und freiwillig erfolgte Einwilligung der Betroffenen.“

    Warum sollte man an dieser Stelle denn nicht Art. 6 Absatz 1 Buchstabe f) DSGVO („berechtigtes Interesse“) als Grundlage nehmen?

    Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.