Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Cookies – Einwilligung oder nicht?
  • Datenschutz

Cookies – Einwilligung oder nicht?

Wer eine Webseite betreibt, ist früher oder später über diese Problematik gestolpert: wird eine Einwilligung für den Einsatz von Cookies benötigt oder nicht? Und wenn ja, wie hat diese auszusehen?

Die Rechtslandschaft auf diesem Gebiet gestaltet sich alles andere als übersichtlich. Da ist die in aller Munde befindliche Datenschutzgrundverordnung (DSGVO). Dann gibt es eine E-Privacy-Richtlinie (EPrivRL). Daneben gibt es das Telemediengesetz (TMG). Auch gehört hat man vielleicht etwas von der geplanten E-Privacy-Verordnung (EPrivVO).

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat kürzlich eine aktualisierte Stellungnahme für Anbieter von Telemedien herausgegeben, zu finden unter

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.

Gesetzliche Grundlagen:

Der etwas hölzerne Begriff „Telemedien“ ist legaldefiniert in § 1 Abs. 1 TMG und umschließt das Betreiben von Webseiten.

Spezifische Regelungen über elektronische Kommunikation finden sich in der EPrivRL und im TMG.

Die EPrivRL ist eine von der europäischen Kommission erlassene Richtlinie, die von der Legislative der Mitgliedstaaten in nationales Recht übertragen werden muss. Eine europäische Richtlinie ist vor deren nationaler Umsetzung noch kein für jedermann anwendbares Gesetz und kann allenfalls Signalwirkung bei der Interpretation der nationalen Gesetze entfalten.

Das TMG ist ein vom Bundestag seit 2007 in Kraft getretenes Gesetz, das den Umgang mit Informations- und Kommunikationsdiensten regelt.

Die DSGVO regelt den allgemeinen Umgang mit personenbezogenen Daten, ist also auch grundsätzlich anwendbar auf elektronisch anfallende personenbezogene Daten, und hat grundsätzlich Vorrang vor anderen Gesetzen außer in konkret in der DSGVO geregelten Ausnahmen. Vorrang wird insbesondere den Regelungen eingeräumt, die aufgrund der EPrivRL erlassen wurden, Art. 95 DSGVO. Wenn also das TMG die Umsetzung der EPrivRL darstellt, hätte das TMG als Ausnahme Vorrang vor der DSGVO.

Was wird in diesen Gesetzen vorgeschrieben?

Die EPrivRL verpflichtet die Mitgliedstaaten in Art. 5 Abs. 1 EPrivRL dazu, die Vertraulichkeit von Daten zu gewährleisten, die bei der elektronischen Kommunikation anfallen. Die Speicherung soll nur dann zulässig sein, wenn es sich gemäß Art. 5 Abs. 3 EPrivRL um technisch notwendige Daten handelt. Im Übrigen kann eine darüber hinaus gehende Verarbeitung nur durch eine informierte Einwilligung des Nutzers gerechtfertigt werden.

Das TMG erlaubt die Verarbeitung zu „Zwecke[n] der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien“, § 15 III TMG solange, bis der Nutzer dem widerspricht.

Die bislang überwiegend angewandte Praxis des sogenannten Cookie-Banners, in dem darauf hingewiesen wird, dass Cookies verwendet werden und innerhalb der Datenschutzerklärung auf die Widerspruchsmöglichkeit hingewiesen wird, beruht auf dieser Regelung.

Praktisch umgesetzt bedeutet dies:
Nach der EPrivRL dürfen Sie erst Cookies platzieren, nachdem der Nutzer eingewilligt hat. Nach dem Telemediengesetz dürfen Sie Cookies platzieren, bis der Nutzer dem widerspricht. Ein großer Unterschied!

Nach der DSGVO könnte die Datenverarbeitung aufgrund eines berechtigten Interesses des Webseiten-Betreibers gerechtfertigt sein, hierzu bedarf es allerdings einer Interessenabwägung. Andernfalls kommt nur eine Einwilligung in Betracht, die aktiv vom Nutzer kundgetan werden muss.

Telemediengesetz Vorrang?

Das TMG hat nur dann Vorrang, wenn es als Umsetzung der EPrivRL zu werten ist. Der deutsche Gesetzgeber sagte bislang, dass die EPrivRL trotz der unterschiedlichen Ausgestaltung ausreichend durch das TMG umgesetzt worden sei. Das TMG verbiete die Datenverarbeitung grundsätzlich und erlaube die Verarbeitung nur im Ausnahmefall. Damit sei der Grundsatz der EPrivRL ausreichend umgesetzt.

Die Datenschutzkonferenz hat im März 2019 klar Stellung bezogen, dass sie das TMG nicht als nationalen Umsetzungsakt betrachtet und dementsprechend keinen Anwendungsvorrang des TMG anerkennt.

Regelungen der DSGVO

Damit bleiben bis zum Inkrafttreten der EPrivVO als Bewertungsmaßstab für die Rechtmäßigkeit der Verwendung von Cookies nur die allgemeinen Regelungen der DSGVO.

Gegebenenfalls lässt sich die Nutzung von Cookies auf Ihr überwiegendes berechtigtes Interesse stützen. Hierfür muss geprüft werden,

  1. ob ein berechtigtes Interesse Ihrerseits vorliegt
  2. ob die Datenverarbeitung zur Wahrung Ihres Interesses erforderlich ist
  3. ob die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person entgegen stehen

Als Ihr berechtigtes Interesse kann vieles angenommen werden, angefangen von Warenkorb-Funktionen über die Einbindung von fremdem Kontext, über Analysedienste zur Verbesserung Ihrer Webseite wie Reichweitenmessung oder statistische Analysen und vieles mehr.

Bereits auf der zweiten Stufe ist dann allerdings zu fragen, ob die getroffene Maßnahme erforderlich ist für die Erreichung Ihres Zwecks. Das Mittel muss geeignet sein, das Ziel zu erreichen, wobei kein milderes und gleich effektives Mittel zur Verfügung steht. Wenn hierbei Dienste eingebunden werden, die Nutzungsdaten über die eigene Webseite hinweg mit Nutzungsdaten anderer Webseiten zusammenführen, geht dies weit über das Ziel hinaus und dürfte damit schon an der Erforderlichkeit scheitern.

Schlussendlich muss geprüft werden, inwiefern die Interessen des Nutzers dagegen überwiegen. Wie tiefgreifend ist der Eingriff in das Persönlichkeitsrecht des Nutzers? Habe ich zusätzliche Funktionen implementiert, die die Selbstbestimmung des Nutzers schützen, wie Maßnahmen zur Anonymisierung oder ähnliches? Kann der Nutzer wissen, worauf er sich einlässt, habe ich ihn ausreichend informiert? Sind an die Datenverarbeitung negative Folgen für den Nutzer verknüpft (Preisdiskriminierung)?

Viele der Datenverarbeitungen, die momentan über den Cookiebanner abgewickelt werden, dürften dabei herausfallen.

Damit bleibt lediglich übrig, die Datenverarbeitung über eine Einwilligung der betroffenen Person zu rechtfertigen. Diese muss nach der DSGVO ausdrücklich erfolgen. Ein Nichtstun muss zur datensparsamsten Verarbeitung führen. Der Cookie darf demnach erst eingesetzt oder abgefragt werden, wenn der Nutzer ausdrücklich seine Einwilligung erteilt.

Der Vollständigkeit halber sei erwähnt, dass sich diese Ausführungen auf sämtliche Werbe-, Marketing- und Trackingmaßnahmen beziehen, also auch die Nutzung von digital-Fingerprinting-Methoden und ähnliches. Diese sind zudem als tieferer Eingriff zu betrachten, da der Nutzer kaum Möglichkeiten hat, dies von sich aus zu unterbinden.

Aussicht:

Die EPrivVO ist auch ein von der Europäischen Kommission ausgehender Rechtsakt und wird der Nachfolger der EPrivRL werden. Als Verordnung ist sie allerdings wie die DSGVO unmittelbar in den Mitgliedsstaaten anwendbares Recht, ohne dass es hierzu einer nationalen Umsetzung bedarf. Nach der sehr unterschiedlichen Umsetzung der EPrivRL durch die einzelnen Mitgliedstaaten war der Bedarf nach einer einheitlichen Regelung groß. Allerdings ist die EPrivVO noch nicht verabschiedet, da sich die Einigung aufgrund der sehr unterschiedlichen Interessenlagen immer wieder verzögert. Mit dem Inkrafttreten ist vor 2020 nicht zu rechnen. Wir informieren Sie über die weitere Entwicklung.

Empfehlung:

Vor dem Hintergrund des in diesem Artikel dargestellten Sachstandes empfehlen wir Ihnen, Ihre Webseite kritisch zu prüfen und zu hinterfragen. Wenn Sie außer den technisch notwendigen Cookies weitere Tools verwenden, empfehlen wir Ihnen ein Gespräch mit Ihrem Datenschutzbeauftragten.

Ass.iur. Nicole Krause
Juristische Mitarbeiterin bei GINDAT GmbH

Zurück
© 2011–2024 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo