veröffentlicht von RA Max-Lion Keller, LL.M. (IT-Recht)

Verwendung von Cookies nach Datenschutzgrundverordnung nur noch bei vorheriger ausdrücklicher Einwilligung des Nutzers?

News vom 28.11.2017, 17:01 Uhr | 5 Kommentare 

Muss der Online-Händler die Nutzer seiner Webseite nicht nur über die Verwendung von Cookies informieren, sondern beim Aufrufen der Webseite deren ausdrückliche Einwilligung einholen? Dies war schon bei der bisherigen Rechtslage unklar. Die Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 angewendet werden muss, macht die rechtliche Situation noch verwirrender. Vollends undurchsichtig wird die Lage auf Grund der künftigen ePrivacy-Verordnung, die den Einsatz von Cookies regeln soll. Wie hat sich der Online-Händler hier künftig zu verhalten, wenn er Abmahnungen und Bußgelder nach der DSGVO und der ePrivacy-Verordnung vermeiden will? Die IT-Recht-Kanzlei stellt die bisherige und die künftige Rechtslage dar.

I. Bisherige Rechtslage

Bereits nach bisheriger Rechtslage war die Verwendung von Cookies verwirrend. Die Richtlinie vom 25.11.2009 zur Änderung der Datenschutzrichtlinie für elektronische Kommunikation (sog. „Cookie-Richtlinie“) sieht in Artikel 5 Absatz 3 eindeutig vor, dass die vorherige Einwilligung des Nutzers in die Verwendung von Cookies eingeholt werden muss (Opt-In). Entsprechend ist auch die Rechtslage in allen anderen EU-Staaten (außer Slowenien und Rumänien), die die Cookie-Regelung dieser Richtlinie in nationales Recht umgesetzt haben.

Wie sieht die Rechtslage in Deutschland aus?

Deutschland hat die Cookie-Richtlinie nicht in nationales Recht umgesetzt. Nach Auffassung der Bundesregierung soll eine solche Umsetzung in deutsches Recht nicht nötig sein, da die deutsche Rechtslage bereits vor Bestehen der Cookie-Richtlinie im Einklang mit den Vorgaben der Cookie-Richtlinie zur Verwendung von Cookies gestanden habe. Die EU-Kommission hat diese Auffassung der Bundesregierung bestätigt. Was immer dies bedeutet, jedenfalls ist in Deutschland für die Frage der Einwilligung in die Verwendung von Cookies als pseudonymisierte Daten nach wie vor § 15 Abs. 3 Telemediengesetz (TMG) maßgebend. Demnach ist der Nutzer über die Verwendung von Cookies zu informieren und darauf hinzuweisen, dass er ein Widerspruchsrecht gegen die Verwendung von Cookies hat,(sog. Opt-Out Verfahren. (s. hierzu auch diesen Beitrag der IT-Recht-Kanzlei).

Premiumpaket

Gibt es eine Ausnahme für bestimmte Google-Produkte?

Goggle hat zwar seine Kunden mit seinen Nutzungsbedingungen zur Einwilligung der Nutzer in der EU (https://www.google.com/about/company/user-consent-policy.html) verpflichtet, für bestimmte Produkte wie Google Adsense/Gougle DoubleClick for Publishers, Google CoubleClick Ad Exchange die Einwilligung der Betroffenen einzuholen. Allerdings bleibt Google sehr schwammig, wie denn nun die Vorgaben seiner Nutzungsbedingungen einzuhalten sind (s. diesen Beitrag der IT-Recht Kanzlei).

Bisherige Umsetzung in der Praxis

Für den Onlinehändler ist in der Praxis wichtig: Die Frage der Einwilligung in die Verwendung von Cookies mag kontrovers diskutiert werden. Angesichts der eindeutigen Haltung der Bundesregierung zur weiteren Geltung des § 15 Abs. 3 TMG ist aber das Risiko einer Abmahnung eher gering, wenn der Kunde über die Möglichkeit eines Widerspruchsrecht informierten wird (s. auch OLG Frankfurt v. 17.12.2015, 6 U 30/15, das die Notwendigkeit einer vorherigen Einwilligung bei Verwendung von Cookies ablehnt und auf das Opt-Out Verfahren verweist). Dies gilt auch bei Einsatz von Google-Produkten.

Bisherige Empfehlung der IT-Recht Kanzlei

Um ein Abmahnungsrisiko zu minimieren und (theoretisch) mögliche Schritte von Google wegen Verletzung seiner Nutzungsbedingungen zu vermeiden, hatte die IT-Recht Kanzlei bisher empfohlen, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und ihn darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird (s. Beitrag der IT-Recht Kanzlei. http://www.it-recht-kanzlei.de/cookies-einwilligung-datenschutzerklaerung.html?print=1).

II. Rechtslage mit künftiger Geltung der DSGVO ab 25. Mai 2018

Nun müssen sich Online-Händler aber darauf einstellen, dass ab 25. Mai 2018 die DSGVO gelten wird. Wird die künftige DSGVO, die in Deutschland unmittelbare Geltung hat, die bisherige deutsche Rechtslage des § 15 Abs. 3 zum Opt-Out Verfahren bei der Verwendung von Cookies aushebeln. Muss dann bei der Verwendung von Cookies die vorherige Einwilligung der Nutzer einholen? Diese Frage wird kontrovers diskutiert.

Wird das künftige DSGVO den datenschutzrechtlichen Regelungen des deutschen Telemediengesetzes (TMG) künftig vorgehen?

Der Anwendungsvorrang der DSGVO vor den datenschutzrechtlichen Regelungen des TMG ist gegeben, da die DSGVO als in Deutschland unmittelbar geltendes Recht, die Erhebung und Verarbeitung von personenbezogenen Daten regelt (s. auch Gola Kommentar, Art 6 Rdr. 30).

Die DSGVO findet auch auf die Verwendung von Cookies Anwendung, da es sich hier um personenbezogene Daten i.S.d Art. 4 Nr. 1 DSGVO handelt. Der Nutzer hinterlässt auf der Webseite Identifikationsmerkmale wie z.B. seine IP-Adresse. Diese Information kann durch den Cookie-Datensatz dem Nutzer zugeordnet werden, s. Erwägungsgrund 30 der DSGVO:

(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Hat dennoch die Regelung des § 15 Abs. 3 TMG zum Opt-Out Verfahren als lex specialis entsprechend Art. 95 DSGVO auch künftig weiterhin Geltung?

Dies wird kontrovers diskutiert. Wie viele Bestimmungen des DSGVO ist auch der Art. 95 alles andere als klar formuliert. Dem Wortlaut des ersten Halbsatzes nach soll „natürlichen (oder juristischen) Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsnetze in der Union keine zusätzlichen Pflichten (auferlegt werden)“. Spezielle datenschutzrechtliche Pflichten der e-Privacy-Richtlinie 2002/58/EG („Cookie-Richtlinie“) oder genauer gesagt, Pflichten, die aus der Umsetzung dieser Richtlinie erwachsen, würden damit jenen der DSGVO vorgehen (s. Kommentar Gola, Art. 95 Rdr. 4 ff). Gilt das auch für § 15 Abs. 3 TMG, der bei Verwendung von Cookies nur die Möglichkeit des Widerspruchs vorsieht?

Hier fangen die Schwierigkeiten an.

Art. 5 Abs. 3 Cookie-Richtlinie, der den Einsatz von Cookies regelt, bezieht sich gerade nicht auf die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste, sondern auf jede Person, die Informationen auf Endgeräte überträgt oder auf diesen Geräten liest (Gola, a.a.O.). Weiterhin ist der zweite wenig verständliche Halbsatz des Art. 95 DSGVO zu berücksichtigen. Demnach gilt der Vorrang der Cookie-Richtlinie oder der Vorschriften zur nationalstaatlichen Umsetzung nur, soweit die natürlichen Personen „besonderen in der Cookie-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel erfolgen“. Zusätzliche Unsicherheit erwächst aus dem Umstand, dass Art. 5 Abs. 3 Cookie-Richtlinie gar nicht in deutsches Recht umgesetzt wurde, da wie oben ausgeführt nach Auffassung der Bundesregierung deutsches Recht bereits vor Inkrafttreten der Cookie-Richtlinie die Frage der Einwilligungspflicht bei Verwendung von Cookies abdeckt. Es besteht daher keine Klarheit darüber, ob § 15 Abs. 3 TMG als Umsetzung der Cookie-Richtlinie den Regelungen der DSGVO vorgeht (s. Gola, Art. 95, Rndr. 18).

Hinweis für die Praxis: Es ist daher besser, nicht auf die weiterbestehende Vorrangigkeit des § 15 Abs. 3 TMG zu vertrauen.

Die Regelungen der DSGVO zur Verwendung von Cookies

Die DSGVo regelt zwar nicht ausdrücklich die Verwendung von Cookies als pseudodynamisierte Daten. Das heißt aber nicht, dass die DSBVO hier keine Anwendung findet. Wie bereits oben ausgeführt, sind Cookies personenbezogene Daten i.S.d. Legaldefinition des Art 4 Nr. DSGVO. Nach dem DSGVO gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt bei Verarbeitung von Daten. In Art 6 DSGVO als zentrale Vorschrift sind abschließend alle Rechtmäßigkeitsgründe für die Verarbeitung von personenbezogen Daten geregelt.
Eine große Bedeutung wird für die Frage der Verwendung von Cookies Art. 6 Abs. 1 lit f DSGVO als Rechtmäßigkeitsgrund zukommen, demnach u.a. auch Cookies ohne vorherige Einwilligung des Betroffenen unter bestimmten Voraussetzungen verwendet werden können.

Art. 6 Abs. lit f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen ….

Es ist also eine Abwägung zwischen den berechtigen Interessen des Online-Händlers und den Interessen oder Grundrechte der betroffenen Person vorzunehmen.

Der Online-Händler kann als berechtigte Interessen in sehr allgemeiner Weise seine wirtschaftlichen, rechtlichen und ideellen Interessen geltend machen (s. Gola, Art. 6 Rdnr. 51) . Dies schließt die Verwendung von Cookies jeglicher Art, auch von Drittpartei-Cookies ein. Ist die Verarbeitung der Daten mit Hilfe von Cookies zur Erreichung der Interessen des Online-Händlers erforderlich (Art. 5 DSGVO), dann muss geprüft werden, ob überwiegende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem entgegenstehen. Ein bloßes Tangieren der Rechte des Betroffenen reicht dabei nicht aus (s. Gola a.a.O, Rdnr. 52). Dies sind äußerst vag Abwägungsmaßstäbe, die auch durch den in Erwägungsgrund 47 genannten Grundsatz „der vernünftigen Erwartungshaltung des Betroffenen“ kaum konturiert werden. Es wird von der künftigen Rechtsprechung des EuGHs abhängen, ob konkrete Kriterien für diese Interessenabwägung gefunden werden können.

Fazit für die Praxis

1. Auch wenn § 15 Abs. 3 TMG für die Frage der Verwendung von Cookies in Zukunft nicht mehr angewendet werden kann, so bleibt im Ergebnis alles weitgehend beim Alten. Der Online-Händler kann auf der Grundlage des allgemeinen Erlaubnistatbestands des Art. 6 Abs. 1, lit f Cookies verwenden, ohne die vorherige Einwilligung des Nutzers einzuholen. Dies bezieht auch Cookies von Drittparteien ein. Das sehr vage Abwägungsgebot dieser Vorschrift gibt jedenfalls dem Online-Händler einen weiten Spielraum.

Allerdings müssen in der künftigen Datenschutzerklärung des Online-Händlers bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO ausdrücklich bejaht werden:

  • Art. 6 Abs. 1 lit f DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden
  • Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Händlers vor
  • Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich.
  • Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.

Die IT-Recht Kanzlei wird für ihre Mandanten eine Datenschutzerklärung gemäß DSGVO ausarbeiten, die dies berücksichtigt.

2. Es bleibt bei der bisherigen Empfehlung der IT-Recht Kanzlei

Um ein Abmahnungsrisiko zu minimieren und (theoretisch) mögliche Schritte von Google wegen Verletzung seiner Nutzungsbedingungen zu vermeiden, empfiehlt die IT-Recht Kanzlei gleichwohl weiterhin, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und ihn darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird (s. diesen Beitrag der IT-Recht Kanzlei)

III. Rechtslage mit künftiger Geltung der ePrivacy Verordnung

Ursprünglich sollte die e-Privacy-Verordnung zum Schutz vor ungewolltem Tracking und zur Verwendung von Cookies im Mai 2018 in Kraft treten. Auf Anfrage hat das Bundeswirtschaftsministerium nun mitgeteilt, dass sich die EU-Mitgliedstaaten wohl erst im Frühjahr 2018 auf eine gemeinsame Verhandlungsposition einigen können. Die jetzigen Schwierigkeiten einer Regierungsbildung in Deutschland werden eine solche Einigung sicher nicht erleichtern. Es sind noch eine Unzahl von Punkten zwischen EU-Parlament, EU-Kommission und Ministerrat zu klären. Vor diesem Hintergrund ist es zurzeit wenig sinnvoll, über die Auswirkungen dieses Verordnungsentwurfs zu spekulieren.

Die IT-Recht Kanzlei wird über das weitere Beratungsverfahren berichten.

Bildquelle:
© Africa Studio - Fotolia.com
Veröffentlicht von:
Max-Lion Keller, LL.M. (IT-Recht)
Rechtsanwalt

Besucherkommentare

Einen Abhänger habe ich ...

18.04.2018, 21:36 Uhr

Kommentar von Jan

Hallo, danke für den Artikel. An einer Stelle haben Sie mich verloren: Die DSGVO selber macht das Optin für Cookies nicht zur Pflicht, oder? Da steht nichts dazu drin (deswegen wird's ja die...

ePrivacy-Verordnung

06.04.2018, 09:55 Uhr

Kommentar von IT-Recht Kanzlei

Die ePrivacy-Verordnung ist nach wie vor nur ein Entwurf und rechtlich noch nicht relevant. Die Frage, ob § 15 Abs. 3 TMG neben der Datenschutzgrundverordnung noch Anwendung findet, wird kontrovers...

Das TMG ist keine Umsetzung der ePrivacy-Richtlinie

02.04.2018, 22:26 Uhr

Kommentar von Volker Caumanns

Da das TMG keine Umsetzung der ePrivacy-Richtlinie ist und somit § 15 Abs. 3 TMG keine Umsetzung des Art. 5 dieser Richtlinie, dürfte Art. 95 DS-GVO auf das TMG keine Anwendung finden. 

Änderung des Cookie-Banner Textes durch das DSGVO ?

23.03.2018, 13:14 Uhr

Kommentar von Kai

Muss man im Cookie-Banner von personenbezogenen Daten reden oder reicht es auch nach dem Inkrafttreten der DSGVO aus, wenn man von der Nutzung von Cookies spricht ? Kann man also weiterhin so einen...

Hervorragende Übersicht, danke. Wichtig sind mir immer die Handlungsanweisungen.

23.02.2018, 12:36 Uhr

Kommentar von C. F.

Danke für den Artikel, man merkt da steckt viel Arbeit drin. Als Geschäftsführer bin ich geübt darin, nicht alle Details aller Themen in den diversen Fachbereichen nachzuvollziehen. Ich vertraue...

© 2005-2018 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller