Für Online-Händler spielen Cookies eine große Rolle – als technisches Mittel für die Merkfunktion von Sprache und Warenkorb, zur Webseitenanlyse oder für Online-Marketing. Aktuell ist der Einsatz von Cookies zu bestimmten Zwecken rechtlich grundsätzlich möglich. Doch welche Auswirkungen hat hierauf die Datenschutzgrundverordnung?
Zur Erinnerung: Was sind Cookies?
“Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden …” Dieser Satz leitet nahezu jeden Abschnitt über Cookies in den Datenschutzerklärungen vieler Webseiten ein. Doch was bedeutet das?
Die kleinen Dateien, die temporär im Webbrowser des Endgeräts eines Nutzers abgelegt werden, halten Informationen für den Dienstanbieter bereit, der das Setzen des Cookies veranlasst hat. Dies kann der Betreiber der Webseite sein, die durch den Nutzer besucht wurde oder ein Service eines Dritten, zum Beispiel einer Affiliate Marketing Plattform.
Um bestimmte Werte zu messen oder den Nutzer wieder zu erkennen, werden die vorgehaltenen Informationen im Falle eines erneuten Webseitenbesuchs oder eines Besuchs einer bestimmten anderen Webseite ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP Adresse des Nutzers, beinhalten.
Auf diese Weise kann eine Analyse der Seitennutzung erstellt, der Warenkorb eines Nutzers für eine bestimmte Zeit auch ohne Login gemerkt oder verhaltensbasierte Werbung ausgespielt werden.
Wann dürfen Cookies aktuell eingesetzt werden?
Die Zulässigkeit des Einsatzes von Cookies hängt davon ab, welche Informationen das jeweilige Cookie bereithält. Sind personenbezogene Daten unverändert enthalten, wie zum Beispiel die IP Adresse in ungekürzter Form, gelten für den jeweiligen Cookie die gleichen Regeln, wie für jede andere Erhebung, Verarbeitung und Nutzung personenbezogener Daten: Das Erstellen und Auswerten des Cookies ist nur zulässig, soweit eine Rechtsnorm dies vorsieht oder der Betroffene hierin eingewilligt hat.
Für pseudonymisierte personenbezogene Daten sieht § 15 Abs. 3 TMG eine Erleichterung des Grundsatzes vor. Diese Daten dürfen zur Erstellung von Nutzungsprofilen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Webangebots erhoben und ausgewertet werden, soweit der Betroffenen nicht widerspricht. Dementsprechend ist er in der Datenschutzerklärung über die Erhebung und Verarbeitung zu informieren und ihm eine Widerspruchsmöglichkeit (Opt Out) einzuräumen. Diese gesetzliche Privilegierung pseudonymisierter Daten dient aktuell als Grundlage für den Einsatz der meisten Cookies.
Aus der Diskussion um die Cookie-Richtlinie (Richtlinie 2009/136/EG), auf die hier nicht näher eingegangen werden soll, hat sich darüber hinaus in Deutschland die Praxis entwickelt, mittels eines Banners auf den Einsatz von Cookies hinzuweisen, um in dieser Form das Einverständnis des Nutzers hierzu einzuholen.
Einsatz von Cookies unter der DSGVO
Mit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden die bisherigen datenschutzrelevanten Regelungen des TMG keine Anwendung mehr finden. Dies betrifft auch § 15 Abs. 3 TMG. Gleichzeitig hält die DSGVO keine dementsprechende Ausnahmeregelung für pseudonymisierte Daten bereit, ebenso wenig enthält sie eine ausdrückliche Regelung speziell für Cookies.
Daher gilt für in Cookies hinterlegte personenbezogene Daten nichts anderes, als für anderweitig erhobene oder verarbeitete personenbezogene Daten, unabhängig davon, ob es sich dabei um Pseudonyme handelt oder nicht.
Doch was heißt das? Gibt es eine Chance, Cookies künftig überhaupt noch ohne vorherige Einwilligung einzusetzen?
Neue Rechtsgrundlagen der DSGVO
Zunächst ist festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer
“Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen”
zugeordnet werden kann. Dies ist eine weitergehende Definition, als § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sie noch enthielt.
Cookies enthalten regelmäßig jedenfalls Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird. Dass es sich hierbei um Pseudonyme handelt, spielt im Rahmen der DSGVO zunächst keine Rolle.
Es bleibt insoweit bei dem Verbot mit Erlaubnisvorbehalt, das auch der DSGVO zugrunde liegt: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt. Diese Bedingungen sind neu, ähneln inhaltlich jedoch Regelungen, die heute bereits aus §§ 28 ff. BDSG bekannt sind. Auf den ersten Blick bleibt für Cookies daher nur der Weg über eine vorherige Einwilligung des Betroffenen. Doch kann der europäische Gesetzgeber diese wenig praktikable Lösung wirklich gewollt haben?
Lösung über die Abwägung berechtigter Interessen
Kurz gesagt: nein. Zwar muss mangels einer Privilegierung wie § 15 Abs. 3 TMG in Zukunft auf die “normalen” Voraussetzungen einer zulässigen Verarbeitung personenbezogener Daten zurückgegriffen werden. Die Einwilligung ist jedoch nicht die einzige Alternative, die für Cookies in Frage kommt.
Vielmehr bietet Art. 6 Abs. 1 Satz 1 lit. f DSGVO eine Möglichkeit für die zulässige Verarbeitung von personenbezogenen Daten, der nicht nur im Hinblick auf Cookies voraussichtlich eine große Relevanz zukommen wird.
Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, “sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen”.
Es kommt also auf eine Interessenabwägung im Einzelfall an.
Wie diese durchzuführen ist, erläutern wir Ihnen anhand von Beispielen in Teil 2 dieses Beitrags.
Bildnachweis: Bloomicon/shutterstock.com
Also in Zukunft noch mehr nervige Cookie-Popups.
Wieso Popups?
Es gibt auch andere technische Möglichkeiten!
Um jetzt noch etwas mehr Verwirrung zu schaffen, wird das Thema Cookies in der zukünftigen E-PrivacyVO geregelt werden, die just im nächsten Jahr ebenfalls in Kraft treten soll, aber noch in der Entwurfsphase ist. Hierdurch werden insbesondere die Regelungen der sog. Cookie-Rl vereinheitlicht. Aus meiner Sicht wird man daher abwarten müssen, welche Regelungen beachtet werden müssen.
Die Frage werden wir erst beantworten können, wenn dann wirklich der fertige Text der E-Privacy-VO vorliegt.
Dass eine abschließende Beantwortung erst möglich ist, wenn die E-Privacy-VO verkündet ist stimmt. Das etwas zum Thema Cookies in der EPrivacy-VO kommt steht doch außer Frage. Ich finde, dass man dies durchaus hätte erwähnen können. Ein Entwurf liegt ja nun schon vor.
Also in Zukunft noch mehr “Aufblobbendes Zeug” :/
Also so wie ich das verstehe, kommt beim laden einer Website zukünftig nur noch ein Hinweis gleich am Anfang. Und zwar, das auf der Seite Cookies verwendet werden und ob man diese explizit zulässt. (Opt-in) Das heißt, wenn ich den Hinweis einfach schließe OHNE der Bestätigung oder meiner Genehmigung dann werden keine Cookies gesetzt egal ob es sich um Analytics oder was auch immer handelt. Wenn ich den Hinweis aber bestätige, dann werden auf diese Website weiterhin Cookies in meinem Browser gesetzt.
Nein, genau wie heute sind auch nach der DSGVO solche Cookie-Hinweise nicht notwendig. Evtl. werden die mit der E-Privacy-Verordnung eingeführt, die kommt aber frühestens 2019.
Ich habe gesehen, dass von Trusted ausgerüstete Webpages und die von Trusted selbst einen ausführlichen Cookie-Popup-Text haben (insb. hinsichtlich Nutzungszweck). Ist das nun verpflichtend oder reicht tatsächlich noch der Hinweis “Diese Webseite verwendet Cookies” OK. Oder wer mag noch ergänzen um “weitere Informationen” (als Link zur eigenen Datenschutzseite).
Alles toll erklärt!
Danke!
Danke für den Artikel. Hat nochmal etwas Klarheit über das leider oft verwirrende Thema Datenschutz gebracht.
Zum Glück gibt es jede Menge Plugins oder Add-Ons für Onlineshops, die sich um Cookies & Co. kümmern. Als privater user ist die ganze Sache schon etwas nervig, auch wenn es Sinn macht.