Verwendung von Cookies nach Datenschutzgrundverordnung nur noch bei vorheriger ausdrücklicher Einwilligung des Nutzers?
Muss der Online-Händler die Nutzer seiner Webseite nicht nur über die Verwendung von Cookies informieren, sondern beim Aufrufen der Webseite deren ausdrückliche Einwilligung einholen? Dies war schon bei der bisherigen Rechtslage unklar. Die Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 angewendet werden muss, macht die rechtliche Situation noch verwirrender. Vollends undurchsichtig wird die Lage auf Grund der künftigen ePrivacy-Verordnung, die den Einsatz von Cookies regeln soll. Wie hat sich der Online-Händler hier künftig zu verhalten, wenn er Abmahnungen und Bußgelder nach der DSGVO und der ePrivacy-Verordnung vermeiden will? Die IT-Recht-Kanzlei stellt die bisherige und die künftige Rechtslage dar.
Inhaltsverzeichnis
- I. Bisherige Rechtslage
- Wie sieht die Rechtslage in Deutschland aus?
- Gibt es eine Ausnahme für bestimmte Google-Produkte?
- Bisherige Umsetzung in der Praxis
- Bisherige Empfehlung der IT-Recht Kanzlei
- II. Rechtslage mit künftiger Geltung der DSGVO ab 25. Mai 2018
- Wird das künftige DSGVO den datenschutzrechtlichen Regelungen des deutschen Telemediengesetzes (TMG) künftig vorgehen?
- Hat dennoch die Regelung des § 15 Abs. 3 TMG zum Opt-Out Verfahren als lex specialis entsprechend Art. 95 DSGVO auch künftig weiterhin Geltung?
- Die Regelungen der DSGVO zur Verwendung von Cookies
- III. Rechtslage mit künftiger Geltung der ePrivacy Verordnung
I. Bisherige Rechtslage
Bereits nach bisheriger Rechtslage war die Verwendung von Cookies verwirrend. Die Richtlinie vom 25.11.2009 zur Änderung der Datenschutzrichtlinie für elektronische Kommunikation (sog. „Cookie-Richtlinie“) sieht in Artikel 5 Absatz 3 eindeutig vor, dass die vorherige Einwilligung des Nutzers in die Verwendung von Cookies eingeholt werden muss (Opt-In). Entsprechend ist auch die Rechtslage in allen anderen EU-Staaten (außer Slowenien und Rumänien), die die Cookie-Regelung dieser Richtlinie in nationales Recht umgesetzt haben.
Wie sieht die Rechtslage in Deutschland aus?
Deutschland hat die Cookie-Richtlinie nicht in nationales Recht umgesetzt. Nach Auffassung der Bundesregierung soll eine solche Umsetzung in deutsches Recht nicht nötig sein, da die deutsche Rechtslage bereits vor Bestehen der Cookie-Richtlinie im Einklang mit den Vorgaben der Cookie-Richtlinie zur Verwendung von Cookies gestanden habe. Die EU-Kommission hat diese Auffassung der Bundesregierung bestätigt. Was immer dies bedeutet, jedenfalls ist in Deutschland für die Frage der Einwilligung in die Verwendung von Cookies als pseudonymisierte Daten nach wie vor § 15 Abs. 3 Telemediengesetz (TMG) maßgebend. Demnach ist der Nutzer über die Verwendung von Cookies zu informieren und darauf hinzuweisen, dass er ein Widerspruchsrecht gegen die Verwendung von Cookies hat,(sog. Opt-Out Verfahren. (s. hierzu auch diesen Beitrag der IT-Recht-Kanzlei).
Gibt es eine Ausnahme für bestimmte Google-Produkte?
Google hat zwar seine Kunden mit seinen Nutzungsbedingungen zur Einwilligung der Nutzer in der EU (https://www.google.com/about/company/user-consent-policy.html) verpflichtet, für bestimmte Produkte wie Google Adsense/Gougle DoubleClick for Publishers, Google CoubleClick Ad Exchange die Einwilligung der Betroffenen einzuholen. Allerdings bleibt Google sehr schwammig, wie denn nun die Vorgaben seiner Nutzungsbedingungen einzuhalten sind (s. diesen Beitrag der IT-Recht Kanzlei).
Bisherige Umsetzung in der Praxis
Für den Onlinehändler ist in der Praxis wichtig: Die Frage der Einwilligung in die Verwendung von Cookies mag kontrovers diskutiert werden. Angesichts der eindeutigen Haltung der Bundesregierung zur weiteren Geltung des § 15 Abs. 3 TMG ist aber das Risiko einer Abmahnung eher gering, wenn der Kunde über die Möglichkeit eines Widerspruchsrecht informierten wird (s. auch OLG Frankfurt v. 17.12.2015, 6 U 30/15, das die Notwendigkeit einer vorherigen Einwilligung bei Verwendung von Cookies ablehnt und auf das Opt-Out Verfahren verweist). Dies gilt auch bei Einsatz von Google-Produkten.
Bisherige Empfehlung der IT-Recht Kanzlei
Um ein Abmahnungsrisiko zu minimieren und (theoretisch) mögliche Schritte von Google wegen Verletzung seiner Nutzungsbedingungen zu vermeiden, hatte die IT-Recht Kanzlei bisher empfohlen, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und ihn darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird (s. Beitrag der IT-Recht Kanzlei. https://www.it-recht-kanzlei.de/cookies-einwilligung-datenschutzerklaerung.html?print=1).
II. Rechtslage mit künftiger Geltung der DSGVO ab 25. Mai 2018
Nun müssen sich Online-Händler aber darauf einstellen, dass ab 25. Mai 2018 die DSGVO gelten wird. Wird die künftige DSGVO, die in Deutschland unmittelbare Geltung hat, die bisherige deutsche Rechtslage des § 15 Abs. 3 zum Opt-Out Verfahren bei der Verwendung von Cookies aushebeln. Muss dann bei der Verwendung von Cookies die vorherige Einwilligung der Nutzer einholen? Diese Frage wird kontrovers diskutiert.
Wird das künftige DSGVO den datenschutzrechtlichen Regelungen des deutschen Telemediengesetzes (TMG) künftig vorgehen?
Der Anwendungsvorrang der DSGVO vor den datenschutzrechtlichen Regelungen des TMG ist gegeben, da die DSGVO als in Deutschland unmittelbar geltendes Recht, die Erhebung und Verarbeitung von personenbezogenen Daten regelt (s. auch Gola Kommentar, Art 6 Rdr. 30).
Die DSGVO findet auch auf die Verwendung von Cookies Anwendung, da es sich hier um personenbezogene Daten i.S.d Art. 4 Nr. 1 DSGVO handelt. Der Nutzer hinterlässt auf der Webseite Identifikationsmerkmale wie z.B. seine IP-Adresse. Diese Information kann durch den Cookie-Datensatz dem Nutzer zugeordnet werden, s. Erwägungsgrund 30 der DSGVO:
(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
Hat dennoch die Regelung des § 15 Abs. 3 TMG zum Opt-Out Verfahren als lex specialis entsprechend Art. 95 DSGVO auch künftig weiterhin Geltung?
Dies wird kontrovers diskutiert. Wie viele Bestimmungen des DSGVO ist auch der Art. 95 alles andere als klar formuliert. Dem Wortlaut des ersten Halbsatzes nach soll „natürlichen (oder juristischen) Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsnetze in der Union keine zusätzlichen Pflichten (auferlegt werden)“. Spezielle datenschutzrechtliche Pflichten der e-Privacy-Richtlinie 2002/58/EG („Cookie-Richtlinie“) oder genauer gesagt, Pflichten, die aus der Umsetzung dieser Richtlinie erwachsen, würden damit jenen der DSGVO vorgehen (s. Kommentar Gola, Art. 95 Rdr. 4 ff). Gilt das auch für § 15 Abs. 3 TMG, der bei Verwendung von Cookies nur die Möglichkeit des Widerspruchs vorsieht?
Hier fangen die Schwierigkeiten an.
Art. 5 Abs. 3 Cookie-Richtlinie, der den Einsatz von Cookies regelt, bezieht sich gerade nicht auf die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste, sondern auf jede Person, die Informationen auf Endgeräte überträgt oder auf diesen Geräten liest (Gola, a.a.O.). Weiterhin ist der zweite wenig verständliche Halbsatz des Art. 95 DSGVO zu berücksichtigen. Demnach gilt der Vorrang der Cookie-Richtlinie oder der Vorschriften zur nationalstaatlichen Umsetzung nur, soweit die natürlichen Personen „besonderen in der Cookie-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel erfolgen“. Zusätzliche Unsicherheit erwächst aus dem Umstand, dass Art. 5 Abs. 3 Cookie-Richtlinie gar nicht in deutsches Recht umgesetzt wurde, da wie oben ausgeführt nach Auffassung der Bundesregierung deutsches Recht bereits vor Inkrafttreten der Cookie-Richtlinie die Frage der Einwilligungspflicht bei Verwendung von Cookies abdeckt. Es besteht daher keine Klarheit darüber, ob § 15 Abs. 3 TMG als Umsetzung der Cookie-Richtlinie den Regelungen der DSGVO vorgeht (s. Gola, Art. 95, Rndr. 18).
Hinweis für die Praxis: Es ist daher besser, nicht auf die weiterbestehende Vorrangigkeit des § 15 Abs. 3 TMG zu vertrauen.
Die Regelungen der DSGVO zur Verwendung von Cookies
Die DSGVo regelt zwar nicht ausdrücklich die Verwendung von Cookies als pseudodynamisierte Daten. Das heißt aber nicht, dass die DSBVO hier keine Anwendung findet. Wie bereits oben ausgeführt, sind Cookies personenbezogene Daten i.S.d. Legaldefinition des Art 4 Nr. DSGVO. Nach dem DSGVO gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt bei Verarbeitung von Daten. In Art 6 DSGVO als zentrale Vorschrift sind abschließend alle Rechtmäßigkeitsgründe für die Verarbeitung von personenbezogen Daten geregelt.
Eine große Bedeutung wird für die Frage der Verwendung von Cookies Art. 6 Abs. 1 lit f DSGVO als Rechtmäßigkeitsgrund zukommen, demnach u.a. auch Cookies ohne vorherige Einwilligung des Betroffenen unter bestimmten Voraussetzungen verwendet werden können.
Art. 6 Abs. lit f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen ….
Es ist also eine Abwägung zwischen den berechtigen Interessen des Online-Händlers und den Interessen oder Grundrechte der betroffenen Person vorzunehmen.
Der Online-Händler kann als berechtigte Interessen in sehr allgemeiner Weise seine wirtschaftlichen, rechtlichen und ideellen Interessen geltend machen (s. Gola, Art. 6 Rdnr. 51) . Dies schließt die Verwendung von Cookies jeglicher Art, auch von Drittpartei-Cookies ein. Ist die Verarbeitung der Daten mit Hilfe von Cookies zur Erreichung der Interessen des Online-Händlers erforderlich (Art. 5 DSGVO), dann muss geprüft werden, ob überwiegende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem entgegenstehen. Ein bloßes Tangieren der Rechte des Betroffenen reicht dabei nicht aus (s. Gola a.a.O, Rdnr. 52). Dies sind äußerst vag Abwägungsmaßstäbe, die auch durch den in Erwägungsgrund 47 genannten Grundsatz „der vernünftigen Erwartungshaltung des Betroffenen“ kaum konturiert werden. Es wird von der künftigen Rechtsprechung des EuGHs abhängen, ob konkrete Kriterien für diese Interessenabwägung gefunden werden können.
Fazit für die Praxis
1. Auch wenn § 15 Abs. 3 TMG für die Frage der Verwendung von Cookies in Zukunft nicht mehr angewendet werden kann, so bleibt im Ergebnis alles weitgehend beim Alten. Der Online-Händler kann auf der Grundlage des allgemeinen Erlaubnistatbestands des Art. 6 Abs. 1, lit f Cookies verwenden, ohne die vorherige Einwilligung des Nutzers einzuholen. Dies bezieht auch Cookies von Drittparteien ein. Das sehr vage Abwägungsgebot dieser Vorschrift gibt jedenfalls dem Online-Händler einen weiten Spielraum.
Allerdings müssen in der künftigen Datenschutzerklärung des Online-Händlers bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO ausdrücklich bejaht werden:
- Art. 6 Abs. 1 lit f DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden
- Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Händlers vor
- Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich.
- Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.
Die IT-Recht Kanzlei wird für ihre Mandanten eine Datenschutzerklärung gemäß DSGVO ausarbeiten, die dies berücksichtigt.
2. Es bleibt bei der bisherigen Empfehlung der IT-Recht Kanzlei
Um ein Abmahnungsrisiko zu minimieren und (theoretisch) mögliche Schritte von Google wegen Verletzung seiner Nutzungsbedingungen zu vermeiden, empfiehlt die IT-Recht Kanzlei gleichwohl weiterhin, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und ihn darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird (s. diesen Beitrag der IT-Recht Kanzlei)
III. Rechtslage mit künftiger Geltung der ePrivacy Verordnung
Ursprünglich sollte die e-Privacy-Verordnung zum Schutz vor ungewolltem Tracking und zur Verwendung von Cookies im Mai 2018 in Kraft treten. Auf Anfrage hat das Bundeswirtschaftsministerium nun mitgeteilt, dass sich die EU-Mitgliedstaaten wohl erst im Frühjahr 2018 auf eine gemeinsame Verhandlungsposition einigen können. Die jetzigen Schwierigkeiten einer Regierungsbildung in Deutschland werden eine solche Einigung sicher nicht erleichtern. Es sind noch eine Unzahl von Punkten zwischen EU-Parlament, EU-Kommission und Ministerrat zu klären. Vor diesem Hintergrund ist es zurzeit wenig sinnvoll, über die Auswirkungen dieses Verordnungsentwurfs zu spekulieren.
Die IT-Recht Kanzlei wird über das weitere Beratungsverfahren berichten.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
5 Kommentare
Für mich stellt sich das so da: Cookie-Richtlinie ist in DE nicht umgesetzt. Entsprechend gibts keine Pflicht zum Opt-In. Die DSGVO macht ein Optin nicht zur Pflicht, von daher verändert sich die aktuelle, rechtliche Situation nicht entscheidend. Es bleibt weiterhin "sehr grau".
Kann man also weiterhin so einen Text nutzen ?
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung
Als Geschäftsführer bin ich geübt darin, nicht alle Details aller Themen in den diversen Fachbereichen nachzuvollziehen. Ich vertraue meinen Beratern und mache einfach was sie sagen. Ideal unterstützen würde mich eine konkrete, operationalisierbare Handlungsempfehlung. Die würde ich dann einfach ausführen, ohne sie zu hinterfragen und das Restrisiko in Kauf nehmen.
Oder Notfalls zwei bis drei konkrete Ausführungsanweisungen mit verschiedenen Risiko-Leveln.
Die genaue Herleitung, warum jetzt gerade diese Variante vom Spezialisten bevorzugt wird, interessiert mich weniger, weil ja schon ein Vertrauensverhältnis besteht. Ich schätze vor allem konkrete Handlungsempfehlungen.
Gut, dass die auch immer in den Artikeln stehen, das schätze ich sehr. Ideal wenn dieser Abschnitt kompakt ist und eine eine eigene Überschrift hat, denn dann lese ich bewusst nur das Kapitel mit den Handlungsanweisungen und setze das um. Grund: Neben Legal-Risiken bin ich mit hohen Risiken im Bereich Marketing/Sales etc. konfrontiert, so kann in der Gesamtsicht aller Risiken das unternehmerische Gesamtrisiko sinken, wenn ich Datenschutz-Themen wenig Zeit zuteile (nur ohne Hinterfragen oder Verstehen schnell den neuesten Rat der it-recht-kanzlei schnell einbauen) und die restliche Zeit höheren Risiken widme.
Vielen Dank.