WHAT THE COOKIE?!

on 28.11.2019 by Dr. Ramona Greiner, Dr. Thomas Helbing

– Was das EuGH-Urteil für Ihr Website-Tracking bedeutet und wie Sie Cookies weiterhin einsetzen können

Auf der Suche nach einer rechtssicheren Web-Tracking-Lösung verlieren sich viele Unternehmen im Dschungel der Begriffe sowie der unterschiedlichen Auslegungen und wünschen sich vor allem nur eines: Rechtssicherheit – endlich Klarheit darüber, was denn nun geht beim Tracking und was nicht.

Leider ist die Rechtslage in vielen Punkten immer noch nicht ganz klar. Erschwerend kommt hinzu, dass zwei rechtliche Themen immer wieder vermischt und durcheinandergebracht werden: Zum einen die Cookie-Regelungen, zum anderen die Vorschriften zum Schutz Personenbezogener Daten (PII). Im Folgenden schaffen wir für Sie Klarheit zum aktuellen Stand der Dinge – in Zusammenarbeit mit unserem Fachanwalt für IT-Recht Dr. Thomas Helbing (www.thomashelbing.com).

 

Cookies: Was das EuGH-Urteil entschieden hat (und was nicht)

Ausgangssituation:

  • Die Cookie-Anforderungen sind bisher in einer EU-Richtlinie geregelt (Richtlinie 2002/58/EG geändert durch 2009/136/EG). Eine EU-Richtlinie bindet grundsätzlich nicht Bürger oder Unternehmen in der EU, sondern verpflichtet die Bundesrepublik entsprechende Gesetze zu erlassen, damit die Richtlinie in Deutschland gilt.
  • Bereits in diesem Punkt herrscht Unsicherheit: Ob und in welchem Umfang Deutschland die Cookie-Vorgaben in nationales Recht umgesetzt hat, ist äußerst umstritten. Manche sehen im Telemediengesetz eine Umsetzung der Cookie-Vorgaben. Man kann aber durchaus anzweifeln, ob die Cookie-Vorgaben in Deutschland überhaupt einzuhalten sind, denn darüber muss der Bundesgerichtshof noch entscheiden. Ausgang offen.
  • Die in der Richtlinie verankerten Anforderungen gelten für alle im Endgerät des Nutzers gespeicherten oder von dort abgerufenen Informationen, egal ob diese einer Person zugeordnet werden können oder nicht.
  • Über Cookies muss der Nutzer immer informiert werden.

Für das Setzen oder Auslesen des Cookies bedarf es zudem immer einer Einwilligung, außer der Cookie ist…

  1. … zur Sicherstellung der Datenübertragung erforderlich
  2. … zur Erbringung eines Dienstes „unbedingt erforderlich“, den der Nutzer „ausdrücklich wünscht“

 

Das EuGH-Urteil und die Neuerungen:

In seiner Entscheidung zu Planet49 hat der EuGH geurteilt, dass für eine Cookie-Einwilligung dem Nutzer eine Reihe von Informationen gegeben werden müssen und vor allem, dass die Einwilligung aktiv erfolgen muss. Ein vorausgefülltes Häkchen genügt nicht, ebenso genügt keine implizite Einwilligung nach dem Motto „Sie willigen ein, indem Sie unsere Webseite nutzen, auf der Webseite klicken, herunterscrollen etc.”

Der EuGH hat nicht entschieden, bei welchen Cookies eine Einwilligung nötig ist. Das wird in der Behandlung des Urteils oft falsch dargestellt, selbst von Datenschutzbehörden und Rechtsanwälten.

Auf der sicheren Seite ist, wer sich so verhält, als würde die Cookie-Richtlinie in Deutschland unmittelbar gelten, denn die Datenschutzbehörden und ggf. auch der BGH werden die Wertungen aus der Cookie Richtlinie womöglich in den Anwendungsbereich des Datenschutzrechts übertragen, wie im Folgenden ausführlicher beschrieben wird.

 

 

Der Schutz personenbezogener Daten – und was das mit den Cookies zu tun hat:

Die Bestimmungen zum Schutz personenbezogener Daten sind in der Datenschutzgrundverordnung (DSGVO) geregelt, also einer EU-Verordnung. Verordnungen gelten unmittelbar in allen EU-Mitgliedstaaten, es bedarf also keiner nationalen Gesetze mehr zur Umsetzung.

Die DSGVO-Anforderungen sind zu beachten, wenn „personenbezogene Daten“ „verarbeitet“ werden.

Mit Cookies kann man personenbezogene Daten verarbeiten, muss es aber nicht.

Setzt der Anbieter beim Webseitenbesucher z.B. einen Cookie, der lediglich eine zufällige Kennzahl enthält und ruft der Nutzer immer wieder einzelne Seiten des Anbieters auf, so könnte der Anbieter zum Beispiel nachverfolgen, wie sich ein Besucher durch seine Webpräsenz bewegt (z.B. welche Seiten er aufruft, wie lange er dort bleibt und ob er in ein paar Tagen wieder kommt). Der Anbieter kann auch Daten zum Endgerät sammeln, etwa zur Bildschirmauflösung oder zum Betriebssystem. Diese Daten werden nicht im Endgerät des Nutzers, sondern auf Servern des Anbieters gespeichert. Die Daten im Cookie dienen nur dazu, den einzelnen Nutzer wiederzuerkennen.

Ob es sich bei den Daten zum Besuchsverhalten um eine Verarbeitung „personenbezogener Daten“ handelt, hängt davon ab, ob der Webseitenbetreiber den Nutzer identifizieren kann (nicht: ob er es tatsächlich tut). Personenbezogene Daten liegen nämlich schon dann vor, wenn diese mit einigem Aufwand personenbeziehbar sind.

Beispiele für personenbeziehbare Daten:

Beispiel 1:

Da der Webseitenbetreiber häufig auch die IP-Adresse des Nutzers speichert oder dies könnte, könnte er ggf. über diese an die Identität des Nutzer gelangen, z.B.: Nutzer postet Beleidigungen auf Webseite, Webseitenbetreiber stellt Strafanzeige, Ermittlungsbehörden erfragen Anschlussdaten bei Telekom, Webseitenbetreiber nimmt Akteneinsicht und erhält über diese Zugang zur Information des Anschlussinhabers. Der EuGH hat in anderer Entscheidung diese „Kette“ für einen Personenbezug ausreichen lassen, jedenfalls wenn die IP-Adresse auch zur Missbrauchsbekämpfung erhoben wird.

Beispiel 2:

Wenn der Webseitenbetreiber irgendwo auf seiner Seite ein Kontaktformular oder eine Newsletter-Bestellmöglichkeit anbietet, könnte er die dort eingegebenen Namen oder E-Mail-Adressen ebenfalls mit den Daten verknüpfen, die er anhand des Cookies erhoben hat (Seitenbesuche). Auch so wäre eine Personenbeziehbarkeit in einzelnen Fällen möglich. Es genügt dabei, dass eine Verknüpfung recht leicht möglich wäre, selbst wenn diese tatsächlich nicht erfolgt und vom Webseitenbetreiber auch nicht beabsichtigt ist. Auch genügt es, wenn nur ganz wenige Seitenbesucher identifizierbar wären.

 

 

Warum PII und Cookies doch meist zusammengehören:

Größtenteils muss man davon ausgehen, dass die mittels Cookies erlangten Informationen und die im Cookie gespeicherten Informationen selbst personenbeziehbar sind und damit den Anforderungen der DSGVO unterliegen.

Neben den Cookie Anforderungen sind also meist auch die DSGVO-Anforderungen zu beachten.

Die DSGVO verlangt zunächst, dass die Datenverarbeitung erläutert wird (Art. 13, 14, 21 DSGVO), z.B. welche Daten für welche Zwecke erhoben, an wen weitergegeben und wann gelöscht werden (Datenschutzhinweise).

Nach Art. 6 der Datenschutzgrundverordnung darf zudem eine „Verarbeitung“ von „personenbezogenen Daten“ nur erfolgen, wenn eine Rechtsgrundlage dies erlaubt. Rechtsgrundlage kann eine Einwilligung sein (Opt-In) oder eine Interessensabwägung. Bei der Interessensabwägung erfolgt die Verarbeitung ohne aktive Zustimmung, der Nutzer wird lediglich informiert und erhält ggf. (nicht zwingend) die Möglichkeit zu widersprechen (Opt-Out).

 

 

Wann brauchen wir also eine Einwilligung?

Wann eine Einwilligung im Online-Bereich erforderlich ist, haben die deutschen Datenschutzbehörden in einer Orientierungshilfe erläutert. Diese ist lang, kompliziert und enthält im Ergebnis keine sehr klaren Aussagen. Zudem erfolgte die Orientierungshilfe vor dem Planet49-Urteil. Möglicherweise übertragen die Datenschutzbehörden die Wertungen aus der Cookie-Richtlinie ins Datenschutzrecht, sodass eine Einwilligung immer als nötig angesehen wird, sofern die Datenverarbeitung im Zusammenhang mit einem Cookie steht, der nicht „unbedingt erforderlich“ ist. Wenn man für einen Cookie eine Einwilligung benötig, macht es deshalb Sinn, sich im Zweifel auch für die damit im Zusammenhang stehende Datenverarbeitung eine Datenschutz-Einwilligung abgeben zu lassen.

Für Juristen: Auf die Regelung in § 15 Abs. 3 TMG dürfte man sich nicht beziehen können, so urteilen auch zutreffend die Datenschutzbehörden in besagter Orientierungshilfe.

Die Linie der Datenschutzbehörden kann man in Bezug auf die Erfassung und Auswertung des Besucherverhaltens auf der Webseite („Tracking“) grob so umreißen:

  • Werden Daten über besuchte Seiten und grundlegende Endgerätdaten (z.B. Auflösung, Betriebssystem) vom Seitenbetreiber selbst zur Seitenoptimierung benötigt, genügt ein Opt-Out (keine Einwilligung nötig). Gleiches gilt, wenn hierfür ein technischer Dienstleister als reiner Auftragsverarbeiter eingesetzt wird. Der Dienstleister darf die Daten aber nicht für eigene Zwecke nutzen (z.B. Produktoptimierung, etc.), das haben verschiedene Datenschutzbehörden erst im Rahmen von Pressemitteilungen im November 2019 bekräftigt.
  • Einer Einwilligung bedürfen Verarbeitungen, bei denen es um Werbung oder die Optimierung von Werbekampagnen geht (Remarketing).

 

 

Ausblick – oder: Was ist eigentlich mit der ePrivacy-Verordnung?

Eigentlich sollte das Thema Cookies in einer ePrivacy Verordnung neben der DSGVO geregelt werden. Lobbyismus verhindert seit drei Jahren eine Einigung auf politischer Ebene in der EU (Rat). Ein Einigungsversuch der Finnen Ende 2019 gilt als gescheitert. Eine Einigung im Rat ist allenfalls 2020 zu erwarten. Es schließt sich der weitere Gesetzgebungsprozess (Trilog) an. Wie bei der DSGVO greift dann voraussichtlich eine Übergangsfrist von zwei Jahren, sodass die neuen Regeln nicht vor Ende 2023 gelten dürften. Die geplante ePrivacy Verordnung ist also kein Grund das Thema auf die lange Bank zu schieben.

 

Diesem Artikel folgt in den nächsten Tagen ein Teil 2, der Ihnen eine Schritt-für-Schritt-Anleitung zur Verfügung stellt, wie Sie auf Ihrer Website-Cookies datenschutzkonform einsetzen können.