Cookies & Co. vor dem faktischen Aus?

29.04.2019

Neue Orientierungshilfe der Datenschutzkonferenz (DSK) und anstehende Entscheidung des EuGH zu Cookies.

Bildrechte: nanuvision – fotolia.com

Schon lange gibt es die Diskussion, ob die Nutzung von Cookies und anderen Technologien zum Zwecke der Webanalyse, des Trackings und der individualisierten Werbung die ausdrückliche Einwilligung der Betroffenen erfordert oder ob diese auch auf ein berechtigtes Interesse gestützt werden kann. Zu dieser Frage haben sich sowohl der Generalanwalt beim EuGH also auch die deutsche Datenschutzkonferenz (DSK) jüngst geäußert. Beide Äußerungen sprechen sich im Kern dafür aus, dass eine Einwilligung erforderlich ist und ein berechtigtes Interesse in den allermeisten Fällen nicht (mehr) ausreichend sein soll.

Bisher wurde in der Praxis häufig von der Einholung einer Einwilligung unter Verweis auf § 15 Abs. 3 TMG abgesehen und eine Opt-Out Lösung praktiziert. Alternativ werden häufig auch so genannte Cookie-Consent-Banner eingesetzt, die versuchen, aus dem Verhalten des Nutzers eine Einwilligung abzuleiten.

Verfahren vor dem EuGH

Vor dem Europäischen Gerichtshof streiten die Planet49 GmbH und der Bundesverband der Verbraucherzentralen (Rs C-673/17) darüber, ob die Einholung einer aktiven Einwilligung bei der Verwendung von Cookies erforderlich ist.

Einen Vorgeschmack auf die mögliche Entscheidung des EuGH lieferten am 21. März 2019 die Schlussanträge des Generalanwalts Maciej Szpunar in der genannten Angelegenheit. Der Generalanwalt äußerte sich dahingehend, dass nach der E-Privacy Richtlinie und der Datenschutzgrundverordnung die Diensteanbieter eine Einwilligung für die Nutzung von Cookies einholen müssten. Diese Einwilligung könne aber nicht durch eine vorausgewählte Checkbox eingeholt werden. Zudem müssten Nutzer über die Funktionsdauer von Cookies sowie darüber informiert werden, ob Dritte Zugriff auf die Cookies haben (sog. Third-Party Cookies).

Diesen Äußerungen des Generalanwalts kommt besondere Bedeutung zu, da der EuGH – jedenfalls bisher – im Regelfall den Schlussanträgen des Generalanwalts folgt. Die Folge einer entsprechenden Entscheidung wäre, dass bei jedem neuen Rechtsstreit zur Cookie-Thematik die nationalen Gerichte die Rechtsprechung des EuGH zwingend berücksichtigen müssten.

Orientierungshilfe der DSK

Besonders relevant ist vor diesem Hintergrund auch die am 5. April 2019 veröffentlichte Orientierungshilfe für Anbieter von Telemedienste der Datenschutzkonferenz (DSK), worin sich die Datenschutzaufsichtsbehörden des Bundes und der Länder unter anderem ganz konkret zur Einwilligungsfrage bei Cookies äußern. Auch aus Sicht der DSK ist ein Opt-Out Verfahren für eine Einwilligung vor dem Hintergrund des Erwägungsgrundes 32 DSGVO nicht ausreichend. Die Aufsichtsbehörden fordern sogar ausdrücklich, dass beim Öffnen der Webseite im Cookie-Banner alle einwilligungsbedürftigen Verarbeitungsvorgänge unter Nennung der beteiligten Akteure und deren Funktionen erklärt und über ein Auswahlmenü aktiviert werden müssen. Sie stellen darüber hinaus klar, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt werden dürfen. Während das Banner angezeigt wird, sollen alle weitergehenden Skripte einer Webseite oder Web-App, die potenziell Nutzerdaten erfassen, mit technischen Maßnahmen blockiert werden. Erst durch die aktive Einwilligung darf die Datenverarbeitung tatsächlich beginnen.

Darüber hinaus hat sich die DSK in ihrem Papier auch zu der Frage der Anwendbarkeit der datenschutzrechtlichen Vorschriften des TMG seit Geltung der DSGVO geäußert und diese abgelehnt. Grundsätzlich könnten diese Vorschriften nur dann neben der DSGVO zur Anwendung kommen, wenn es sich dabei um Umsetzungen der ePrivacy-Richtlinie (2002/58/EG) handeln. Die Voraussetzungen dafür sieht die DSK als nicht gegeben.

Die DSK macht in Ihrer Orientierungshilfe umfangreiche Ausführung zum berechtigten Interesse nach Art. 6 Abs.1 lit. f) DSGVO. Die Aufsichtsbehörden erkennen dabei durchaus an, dass beispielsweise an einer Reichweitenmessung oder an statistischen Analysen ein berechtigtes Interesse bestehen kann. Im Rahmen der Abwägung mit den Rechten der betroffenen Personen messen sie Letzteren aber sehr hohe Bedeutung zu. Als Kriterien im Rahmen der Interessenabwägung stellen die Aufsichtsbehörden u.a. auf vernünftige Erwartung der betroffenen Personen und Transparenz, Interventionsmöglichkeiten der betroffenen Person, Verkettung von Daten, beteiligte Akteure, Dauer der Beobachtung, Kreis der Betroffenen, Datenkategorien und Umfang der Datenverarbeitung ab und betonen, dass diesbezüglich die jeweiligen Erwägungsgründe der DSGVO heranzuziehen seien.

Als konkretes Beispiel für die Reichweitenmessung wird angeführt, dass die Interessenabwägung zugunsten des Verantwortlichen Webseitenbetreibers ausfalle, wenn lediglich statistische Angaben für die Messung verwendet werden und keine umfangreiche Profilbildung und Weitergabe von Daten an Dritte erfolge, da dies dann für den Nutzer vorhersehbar sei. Zur Interessenabwägung bei Einsatz von Tracking-Pixeln von sozialen Netzwerken legt die DSK ausführlich dar, dass die Rechte der betroffenen Personen vor den Interessen der Webseitenbetreiber überwiegen, da sich der durchschnittliche Nutzer sozialer Netzwerke nicht über die Profilbildung durch die Betreiber mittels Einbindung „unsichtbarer“ Pixel im Klaren sei, keine Möglichkeit zum Widerspruch habe und Nutzungsdaten über einen längeren Zeitraum zur Profilbildung gespeichert würden.

Stellungnahme

Nach unserer Einschätzung sind die Ansichten des Generalanwalts und der DSK ausgesprochen streng und die Umsetzung aller Vorgaben zur Ausgestaltung der Telemedienangebote teilweise praxisfern. Allerdings bringen die Ausführung gerade mit Blick auf das Verhältnis von DSGVO und TMG mehr Klarheit in die langjährige Diskussion. Es ist für Webseitenbetreiber und auch andere Anbieter von Telemedien also durchaus wichtig, sich mit den Ansichten der Aufsichtsbehörden auseinanderzusetzen und diese bei der Ausgestaltung der Webseite / Web-App zu berücksichtigen.

Die von den Aufsichtsbehörden angeführten Kriterien für die Interessenabwägung ermöglichen es sowohl den Anbietern von Telemedienangeboten als auch den Entwicklern von Anwendungen zur Reichweitenmessung, zur Analyse des Benutzerverhaltens oder zur Werbesteuerung ihre Angebote anhand der aufgestellten Kriterien zu bewerten, gegebenenfalls Anpassungen vorzunehmen oder eigene Argumente für einen anderen Ausgang der Interessenabwägung zu dokumentieren. Die Frage der Zulässigkeit des Einsatzes von Cookies & Co wird weiterhin eine Einzelfallenscheidung bleiben. Kurzfristige neue Impulse durch die E-Privacy-Verordnung erwarten wir nicht. Selbst wenn der Rat im Juni seine Position zu den streitigen Punkten verkünden sollte, werden die Wahlen und der anschließende Trilog eine schnelle Einigung und eine schnelle Anwendbarkeit der E-Privacy-Verordnung verhindern.

Praxistipp:

Vor dem Hintergrund der Stellungnahme des Generalanwalts und der Orientierungshilfe der DSK rechnen wir damit, dass kurzfristig differenziertere Lösungen für die Einwilligung erforderlich sein werden. Ein pauschales „Mit der Nutzung der Webseite stimmen Sie allen Cookies zu.“ wird nicht mehr ausreichend sein (falls es das jemals gewesen ist). Daher raten wir dazu, den Einsatz von Cookies und Trackingtechniken zu überprüfen und sich darauf einzustellen, dass sehr viel häufiger als bisher eine aktive Einwilligung der Nutzer erforderlich sein wird. Auch müssen voraussichtlich die Informationstexte überarbeitet werden, um die geforderte Transparenz zu schaffen. Am Markt sind sowohl kostenlose als auch kostenpflichtige Tools verfügbar, die ein aktives Consent Management anbieten. Viele dieser Tools ermöglichen einen Start der Webseite mit deaktivierten Cookies und einfache Einstellungen für Einwilligungen.