Die Cookie-Hinweise auf Websites haben in den letzten Monaten die unterschiedlichsten Formen angenommen. Ein Grund für die Vielfalt ist die aktuelle Rechtsunsicherheit zu diesem Thema. Rechtsanwalt Dr. Carsten Ulbricht erklärt Ihnen in diesem Beitrag, wie Ihre Abwägung derzeit aussehen kann. Denn es zeigt sich: Cookie ist nicht gleich Cookie.
Seit einigen Monaten werden die Besucher von Webseiten allerorten mit Cookie-Hinweisen (auch Cookiebar genannt) „zwangsbeglückt“. In vielen Fällen fühlt sich der Nutzer nur gestört und klickt die Hinweise weg, ohne sich für die weiterführenden Hinweise in der Datenschutzerklärung zu interessieren.
Fragt man die Verantwortlichen, warum die eigene Webseite eigentlich auf Cookies hinweist, erhält man oft die Antwort, dass mittlerweile die meisten anderen Webseiten auch eine Cookiebar nutzen und dies doch offensichtlich irgendwie erforderlich sei.
Ganz offensichtlich ist vielen nicht klar, wann, warum und wie denn nun auf Cookies hingewiesen muss.
Dies wird auch an den diversen unterschiedlichen Gestaltungen deutlich. Teilweise werden Cookies erst gesetzt, wenn der Besucher tatsächlich zugestimmt hat. In zahlreichen Fällen wird mitgeteilt, dass der Nutzer dem Setzen von Cookies durch Weiternutzung zustimme. In wieder anderen Fällen ist ein Zugang auf die Webseite schon gar nicht möglich, wenn der Nutzer dem Setzen von Cookies nicht durch Klicken auf „Einverstanden“ zustimmt.
Aufgrund der großen Unsicherheit und Verwirrung rund um die Cookiebars soll der nachfolgende Beitrag die rechtlichen Grundlagen erläutern. Die gelten auch schon vor Inkrafttreten der aktuell noch im Gesetzgebungsverfahren steckenden e-Privacy-Verordnung und zeigen auf, welche Anforderungen das Setzen von Cookies unter der Datenschutzgrundverordnung (DSGVO) erfüllen sollte.
Was ist ein „Cookie“ und was ist daran problematisch?
Ein Cookie ist eine kleine Datei. Eine Website kann sie an den Browser des Nutzers schicken und ihn dadurch über einen bestimmten Zeitraum hinweg wiedererkennen. Erst dadurch wird beispielsweise ein Onlineshop möglich: Ohne den Cookie würde bei jedem Klick des Nutzers eine neue Sitzung gestartet, die nichts von den vorherigen Klicks weiß. Dienste wie Google Analytics wiederum können durch Cookies feststellen, ob sie es mit einem neuen Besucher oder einem wiederkehrenden Besucher zu tun haben. Und sie können messen, welche Seiten nacheinander aufgerufen werden, um u.a. typische Klickpfade zu erkennen. Das hilft Websitebetreibern, ihre Angebote zu optimieren.
Problematisch werden Cookies vor allem dann, wenn darüber Profile erstellt werden (oder erstellt werden könnten). Google, Facebook und andere Anbieter von Onlinewerbung haben daran zum Beispiel ein großes Interesse. Denn dadurch lassen sich Kunden oder Interessenten erneut gezielt über Werbung ansprechen (Retargeting). Und es lassen sich potenzielle Kunden anhand verschiedenster Kriterien identifizieren und erreichen. Diese Daten werden über Websites hinweg erfasst und es ist für die Nutzer oft nicht erkennbar, was dort alles im Hintergrund über sie erhoben wird.
Rechtliche Grundlagen
Werden auf oder über eine Webseite personenbezogene Daten erhoben oder verarbeitet, so ist dies nach dem Verbotsprinzip der DSGVO nur zulässig, wenn einer der Erlaubnistatbestände die jeweilige Datenverarbeitung legitimiert.
Im Zusammenhang mit Cookies wird hier schon oft die Frage gestellt, inwiefern das Setzen von Cookies eine Verarbeitung personenbezogener Daten darstellen soll.
Die Frage, was alles als personenbezogenes Datum im Sinne der Datenschutzgrundverordnung anzusehen ist, wird in Art. 4 Ziff.1 DSGVO definiert. Neben Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden auch Betroffener) beziehen, fallen ausdrücklich auch Onlinekennungen in den Anwendungsbereich.
Danach genügt es schon, wenn eine Onlinekennung (z.B. eine Cookie-ID) einen Webseitenbesucher als „unique user“ identifizieren kann, der bestimmte Seiten angeschaut hat, ohne dass auch nur irgendeine tatsächlich Identifikation des Namens möglich ist.
Nach dieser Definition fallen also nicht alle Cookies in der Anwendungsbereich der DSGVO.
Soweit technisch notwendige Cookies gesetzt werden, die keinerlei Wiedererkennung des Nutzers ermöglichen, fehlt es bereits an einer datenschutzrechtlichen Relevanz.
Werden hingegen Cookies gesetzt, die es ermöglichen den Nutzer wiederzuerkennen (wie z.B. Retargeting) oder das Nutzungsverhalten (pseudonym) tracken, stellt dies eine Verarbeitung personenbezogener Daten dar, die unter der DSGVO legitimiert werden muss.
Danach ist festzustellen, dass die allermeisten Drittanbieterwerkzeuge (wie z.B. Google Analytics oder Facebook Retargeting) auf die Vereinbarkeit mit der Datenschutzgrundverordnung geprüft werden müssen.
Nach der DSGVO ist die Erhebung und Verarbeitung von nutzerbasierten Cookie-IDs oder anderen Onlinekennungen nur zulässig, wenn einer der Erlaubnistatbestände des Art. 6 Abs.1 DSGVO die konkrete Datenverarbeitung legitimiert.
Werden personenbezogene Daten der Webseitenbesucher über Cookies verarbeitet, kommen in der Regel nur die Legitimationstatbestände
- Art. 6 Abs.1 lit. a) DSGVO (Einwilligung der betroffenen Person)
- Art. 6 Abs.1 lit. f) DSGVO (Berechtigte Interessen der verantwortlichen Stelle)
in Betracht.
Geht man davon aus, dass cookiebasiertes Drittanbieterwerkzeuge über berechtigte Interessen legitimiert werden können, dürfen diese gesetzt werden ohne dass der Nutzer vorher zustimmt. Ob cookiebasiertes Tracking oder Targeting über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden kann oder einer Einwilligung (Opt-In) im Sinne des Art. 6 Abs.1 lit.f DSGVO bedarf, hängt von einer Abwägung der Interessen des Webseitenbetreibers mit denen der Besucher und deren berechtigten Nutzererwartung ab.
Lange waren zahlreiche namhafte Juristen davon ausgegangen, dass man eine Vielzahl von Tracking- und Targetingwerkzeugen über berechtigte Interessen legitimieren könne, es also keiner ausdrücklichen Zustimmung im Sinne eines Opt-In bedürfe.
Doch dann löste die Stellungnahme der Datenschutzkonferenz (DSK), als gemeinsames Gremium der Datenschutzbehörden, vom 26.04.2018 kurz vor dem Wirksamwerden der DSGVO ein Erdbeben aus. Darin teilte die DSK nämlich mit, dass der Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und/oder Nutzerprofile erstellen, nach ihrer Auffassung stets einer vorherigen informierten Einwilligung (Opt-In) bedürfe.
Folgt man diesem Verständnis der Datenschutzbehörden, so muss man davon ausgehen, dass jede Form von cookiebasiertem Tracking und Targeting nur eingesetzt werden, wenn der betroffene Nutzer vorher in das Setzen ebendieser Cookies eingewilligt hat.
Empfehlungen für die Praxis
Betreiber von Webseiten sollten die verwendeten cookiebasierten Tracking- und Targetingwerkzeuge nach den oben stehenden Maßstäben (neu) bewerten.
Bei Analysewerkzeugen wie Google Analytics (mit IP-Masking) oder Matomo (früher Piwik) lässt sich eine Legitimation über berechtigte Interessen aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings aus unserer Sicht mit guten Argumenten begründen. Wer entsprechende Werkzeuge bzw. die dafür erforderlichen Cookies einsetzt, müsste nach dieser Auffassung zwar in der Datenschutzerklärung auf die entsprechende Datenverarbeitung und die jeweiligen Widerspruchsmöglichkeiten (sog. Opt-Out) hinweisen. Eine Zustimmung vor Setzen der Cookies bedürfte es danach hingegen nicht.
Die Zulässigkeit anderer Werkzeuge (wie Online Behavioural Advertising, Retargeting) hängt sehr von der konkreten Ausgestaltung ab, insbesondere welche Daten (pseudonyme Daten oder nicht) erhoben werden, ob diese mit anderen Daten zusammengeführt werden und wie diese genutzt werden. Je nach „Eingriffsintensität“ und Erwartbarkeit lassen sich manche Tracking- und Targetingmaßnahmen also wohl noch über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO argumentieren, andere bedürfen dann tatsächlich eine Einwilligung, um sie datenschutzkonform einsetzen zu können. Im letzteren Fall sollte vor der Datenverarbeitung (z.B. über ein Cookieoverlay) eine wirksame Einwilligung eingeholt werden.
Diese Ausführungen und die Stellungnahme der Datenschutzkonferenz zeigen, dass hier unterschiedliche Standpunkte vertreten werden können. Die Rechtsprechung wird zeigen, wo genau die Grenze verläuft.
Webseitenbetreiber sollten sich auf der Grundlage einer Risikoabwägung entscheiden, welche Werkzeuge eingesetzt werden sollen und welche nicht. Während das Risiko bei einigen Werkzeugen (z.B. pseudonyme Webanalyse) eher überschaubar ist, verbleibt bei einigen anderen eine größere Rechtsunsicherheit.
Umsetzung in der Praxis
Wer die oben stehenden Grundsätze verstanden hat, kann gespannt beobachten, wie verschiedene Unternehmen die rechtlichen Unwägbarkeiten derzeit aufzulösen versuchen.
Exemplarisch seien hier einige Cookiehinweise kommentiert:
Der Hinweis auf der Webseite von BMW deutet auf eine Einwilligungslösung (Opt-In) hin. Der Nutzer soll sich durch die (Weiter-)Nutzung der Webseite mit den in der Datenschutzerklärung erläuterten Cookies einverstanden erklären. Nach der DSGVO ist schon fraglich, ob eine Weiternutzung als Einwilligung im Sinne des Art. 7 DSGVO interpretiert werden kann. Es darf durchausbezweifelt werden, dass die Datenschutzbehörden dies als zulässige Einwilligungslösung akzeptieren werden.
Kommt man auf die Webseite von Bosch,standard.at so kann der Nutzer sich mit der Verwendung der (voreingestellten) Cookies entweder einverstanden erklären oder diese durch Klick auf „Ändern“ nach seinen eigenen Vorstellung einstellen. Dies dürfte der Vorstellung der DSGVO von einer tatsächlichen Entscheidungsmöglichkeit des Nutzers schon deutlich näher kommen.
Wieder anders gestaltet der österreichische Verlag Standard seinen Cookiehinweis. Der Nutzer kann entscheiden, ob er dem Setzen von Cookies durch ein einfaches „OK“ zustimmt oder ein Abo abschließt. Hier wird überdeutlich, dass das Setzen von Cookies für entsprechende Tracking- und Targetingwerkzeuge ein unmittelbarer wirtschaftlicher Wert zukommt.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
Zusammenfassung zu Cookies unter der DSGVO
Zusammenfassend muss man also sagen, dass die zu wählende Lösung stark davon abhängt, welche cookiebasierten (Drittanbieter-)Werkzeuge eingesetzt werden.
Unabhängig von den konkreten Werkzeugen sollte stets darauf geachtet werden, dass die Webseitenbesucher gemäß Art. 13 DSGVO über die Datenverarbeitung und bestehende Widerspruchsrechte informiert werden.
Schlussendlich wird dann die weitere Entwicklung in Form von zukünftige Stellungnahmen und Gerichtsentscheidungen zeigen, welche cookiebasierten Tracking- und Targetingmaßnahmen (noch) über berechtigte Interessen legitimiert werden können, weil der Nutzer sie vernünftigerweise erwarten muss und welche Werkzeuge zwingend einer Einwilligung bedürfen. Schlussendlich wird hier nicht die deutsche Rechtsauffassung, sondern eine einheitliche europäische Auslegung zugrunde zu legen sein.
Bis dahin bleibt es eine Frage der konkreten Argumentation und einer Risikoabwägung, welche Werkzeuge eingesetzt werden.
Die sichere Variante ist fraglos, Cookies von Targeting- und Trackingwerkzeugen erst setzen zu lassen, wenn der Nutzer aktiv im Sinne eines Opt-In zugestimmt hat.
Folgt man diesem Ansatz, ist zu entscheiden, welche Opt-In-Lösung gewählt werden soll. Nachvollziehbarerweise besteht ein großes Interesse der Online- und Marketingabteilungen an einer möglichst umfassenden Datenbasis. Ist die Cookiebar so gestaltet, dass nur wenige Nutzer zustimmen, wird diese Datenbasis erheblich reduziert.
Nach der herrschenden Literaturmeinung scheint es hingegen auch vertretbar, Drittanbieterwerkzeuge, deren Datenverarbeitung nicht über die vernünftigen Erwartungen eines Nutzers hinausgehen, über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO zu legitimieren. Aufgrund der dargestellten Stellungnahme der Datenschutzkonferenz sollte hier – auch aufgrund der unterschiedlichen Ausgestaltungen der verfügbaren Drittanbieterwerkzeuge – stets eine Risikoabwägung vorgenommen werden. Zudem sollte die gewählte Lösung und die zugrundeliegende Argumentation den Anforderungen der DSGVO entsprechend dokumentiert werden.
Aufgrund der erheblichen Bedeutung der Verwendung von Cookies sollte die weitere Entwicklung, einschließlich der wohl ab 2020 zu erwartenden e-Privacy-Verordnung weiter beoachtet werden.
Dieser Artikel gehört zu: UPLOAD Magazin 64
Die Datenschutz-Grundverordnung DSGVO hat in diesem Jahr für viel Wirbel gesorgt. Mit einigen Monaten Abstand haben wir nun einen umfassenden Schwerpunkt für Sie rund um das wichtige Thema Datenschutz zusammengestellt. Wir ziehen darin Bilanz zur DSGVO, haben einen Praxisleitfaden mit acht Punkten für Ihre Compliance, haben Fachleute nach Ihrer Meinung zu DSGVO und e-Privacy-Verordnung befragt, beschäftigen uns mit dem Thema Cookies und haben Tipps zum technischen Datenschutz für Sie. Plus: Wie Sie den richtigen Influencer für eine Kampagne auswählen
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Er ist ein auf Internet und die digitale Transformation spezialisierter Rechtsanwalt bei der Kanzlei Bartsch Rechtsanwälte (Standorte Karlsruhe und Stuttgart) mit den Schwerpunkten IT-Recht, Marken-, Urheber- und Wettbewerbsrecht sowie Datenschutz. Im Rahmen seiner anwaltlichen Tätigkeit berät Dr. Ulbricht nationale und internationale Mandanten in allen Rechtsfragen des E- und Mobile Commerce, Big Data, sowie zu allen Themen im Bereich Social Web. Seine Schwerpunkte liegen dabei auf der rechtlichen Prüfung internetbasierter Geschäftsmodelle, datenschutzrechtlichen Themen aber auch dem Umgang mit nutzergenerierten Inhalten. Neben seiner Referententätigkeit berichtet er seit dem Jahr 2007 regelmäßig in seinem Weblog zum Thema „Internet, Social Media & Recht“ unter www.rechtzweinull.de.
A N Z E I G E
3 Gedanken zu „Opt-In oder Opt-Out? Cookies unter der Datenschutzgrundverordnung“
Kommentare sind geschlossen.