Für Online-Händler spielen Cookies eine große Rolle – als technisches Mittel für die Merkfunktion von Sprache und Warenkorb, zur Webseitenanlyse oder für Online-Marketing. Aktuell ist der Einsatz von Cookies zu bestimmten Zwecken rechtlich grundsätzlich möglich. Doch welche Auswirkungen hat hierauf die Datenschutzgrundverordnung?

Zur Erinnerung: Was sind Cookies?

„Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden …“ Dieser Satz leitet nahezu jeden Abschnitt über Cookies in den Datenschutzerklärungen vieler Webseiten ein. Doch was bedeutet das?

Die kleinen Dateien, die temporär im Webbrowser des Endgeräts eines Nutzers abgelegt werden, halten Informationen für den Dienstanbieter bereit, der das Setzen des Cookies veranlasst hat. Dies kann der Betreiber der Webseite sein, die durch den Nutzer besucht wurde oder ein Service eines Dritten, zum Beispiel einer Affiliate Marketing Plattform.

Um bestimmte Werte zu messen oder den Nutzer wieder zu erkennen, werden die vorgehaltenen Informationen im Falle eines erneuten Webseitenbesuchs oder eines Besuchs einer bestimmten anderen Webseite ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP Adresse des Nutzers, beinhalten.

Auf diese Weise kann eine Analyse der Seitennutzung erstellt, der Warenkorb eines Nutzers für eine bestimmte Zeit auch ohne Login gemerkt oder verhaltensbasierte Werbung ausgespielt werden.

Wann dürfen Cookies aktuell eingesetzt werden?

Die Zulässigkeit des Einsatzes von Cookies hängt davon ab, welche Informationen das jeweilige Cookie bereithält.  Sind personenbezogene Daten unverändert enthalten, wie zum Beispiel die IP Adresse in ungekürzter Form, gelten für den jeweiligen Cookie die gleichen Regeln, wie für jede andere Erhebung, Verarbeitung und Nutzung personenbezogener Daten: Das Erstellen und Auswerten des Cookies ist nur zulässig, soweit eine Rechtsnorm dies vorsieht oder der Betroffene hierin eingewilligt hat.

Für pseudonymisierte personenbezogene Daten sieht § 15 Abs. 3 TMG eine Erleichterung des Grundsatzes vor. Diese Daten dürfen zur Erstellung von Nutzungsprofilen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Webangebots erhoben und ausgewertet werden, soweit der Betroffenen nicht widerspricht. Dementsprechend ist er in der Datenschutzerklärung über die Erhebung und Verarbeitung zu informieren und ihm eine Widerspruchsmöglichkeit (Opt Out) einzuräumen. Diese gesetzliche Privilegierung pseudonymisierter Daten dient aktuell als Grundlage für den Einsatz der meisten Cookies.

Aus der Diskussion um die Cookie-Richtlinie (Richtlinie 2009/136/EG), auf die hier nicht näher eingegangen werden soll, hat sich darüber hinaus in Deutschland die Praxis entwickelt, mittels eines Banners auf den Einsatz von Cookies hinzuweisen, um in dieser Form das Einverständnis des Nutzers hierzu einzuholen.

Einsatz von Cookies unter der DSGVO

Mit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden die bisherigen datenschutzrelevanten Regelungen des TMG keine Anwendung mehr finden. Dies betrifft auch § 15 Abs. 3 TMG. Gleichzeitig hält die DSGVO keine dementsprechende Ausnahmeregelung für pseudonymisierte Daten bereit, ebenso wenig enthält sie eine ausdrückliche Regelung speziell für Cookies.

Daher gilt für in Cookies hinterlegte personenbezogene Daten nichts anderes, als für anderweitig erhobene oder verarbeitete personenbezogene Daten, unabhängig davon, ob es sich dabei um Pseudonyme handelt oder nicht.

Doch was heißt das? Gibt es eine Chance, Cookies künftig überhaupt noch ohne vorherige Einwilligung einzusetzen?

Neue Rechtsgrundlagen der DSGVO

Zunächst ist festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer

„Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“

zugeordnet werden kann. Dies ist eine weitergehende Definition, als § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sie noch enthielt.

Cookies enthalten regelmäßig jedenfalls Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird. Dass es sich hierbei um Pseudonyme handelt, spielt im Rahmen der DSGVO zunächst keine Rolle.

Es bleibt insoweit bei dem Verbot mit Erlaubnisvorbehalt, das auch der DSGVO zugrunde liegt: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt. Diese Bedingungen sind neu, ähneln inhaltlich jedoch Regelungen, die heute bereits aus §§ 28 ff. BDSG bekannt sind. Auf den ersten Blick bleibt für Cookies daher nur der Weg über eine vorherige Einwilligung des Betroffenen. Doch kann der europäische Gesetzgeber diese wenig praktikable Lösung wirklich gewollt haben?

Lösung über die Abwägung berechtigter Interessen

Kurz gesagt: nein. Zwar muss mangels einer Privilegierung wie § 15 Abs. 3 TMG in Zukunft auf die „normalen“ Voraussetzungen einer zulässigen Verarbeitung personenbezogener Daten zurückgegriffen werden. Die Einwilligung ist jedoch nicht die einzige Alternative, die für Cookies in Frage kommt.

Vielmehr bietet Art. 6 Abs. 1 Satz 1 lit. f DSGVO eine Möglichkeit für die zulässige Verarbeitung von personenbezogenen Daten, der nicht nur im Hinblick auf Cookies voraussichtlich eine große Relevanz zukommen wird.

Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Es kommt also auf eine Interessenabwägung im Einzelfall an.

Wie diese durchzuführen ist, erläutern wir Ihnen anhand von Beispielen in Teil 2 dieses Beitrags.

Bildnachweis: Bloomicon/shutterstock.com