In unserem ersten Teil zu Cookies in der Datenschutzgrundverordnung (DSGVO) wurde die aktuelle Rechtslage wiedergegeben und dargestellt, welche Vorschrift der DSGVO künftig bei Einsatz von Cookies herangezogen werden kann. Doch wann überwiegen die Interessen des Online-Händlers am Einsatz des Cookies die schützenswerten Interessen der Betroffenen im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO?

Durchführung der Abwägung für den Einzelfall

Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:

  1. Gibt es ein berechtigtes Interesse des Online-Händlers?
  2. Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
  3. Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?

Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse.

Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.

Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte.

Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen: Werden nur pseudonymisierte personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Online-Händlers ebenfalls in die Waagschale geworfen werden.

Beispiele

Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Online-Händlers am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?

  • Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitebesucher regelmäßig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen oder den Warenkorb sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.B. UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
  • Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.

Fazit

Im Ergebnis bringt die Datenschutzgrundverordnung bezüglich der Zulässigkeit des Einsatzes von Cookies keine 180°-Drehung. Zwar entfällt künftig die Rechtsgrundlage, über die heute der Großteil der Cookies eingesetzt wird – insbesondere § 15 Abs. 3 TMG. Art. 6 Abs. 1 Satz 1 lit. f DSGVO bietet mit der Zulässigkeit bei positiver Interessenabwägung jedoch eine vielseitig einsetzbare Alternative.

Doch Vorsicht! Die Vorschrift ist kein Freifahrtschein – eine Interessenabwägung sollte immer objektiv und gewissenhaft durchgeführt werden, bevor der Cookie gesetzt wird. Nur, weil der Einsatz bisher möglich war, muss dies nicht auch für die Zukunft gelten – beginnen Sie daher schon heute, die Rechtmäßigkeit der von Ihnen eingesetzten Cookies unter der DSGVO zu überprüfen.

Gleichzeitig ist das jederzeitige Widerspruchsrecht der Betroffenen aus Art. 21 DSGVO zu beachten und entsprechend einzuräumen.

Ist der Einsatz eines Cookies über Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig, ist folglich keine Einwilligung erforderlich. Dies lässt jegliche Notwendigkeit für einen Cookie-Banner entfallen.

Etwas anderes kann sich jedoch aus der sog. ePrivacy-Verordnung der EU ergeben, welche sich aktuell im Entwurfsmodus befindet. Dort ist eine Neuregelung der Inhalte aus der Cookie-Richtlinie im Einklang mit der DSGVO geplant. Wir halten Sie hierzu auf dem Laufenden.

Bildnachweis: Bloomicon/shutterstock.com