Cookies in der Datenschutzgrundverordnung

13. Juni 2017.

Cookies in der Datenschutzgrundverordnung – Teil 1

Für Online-Händler spielen Cookies eine große Rolle – als technisches Mittel für die Merkfunktion von Sprache und Warenkorb, zur Webseitenanlyse oder für Online-Marketing. Aktuell ist der Einsatz von Cookies zu bestimmten Zwecken rechtlich grundsätzlich möglich. Doch welche Auswirkungen hat hierauf die Datenschutzgrundverordnung?

Zur Erinnerung: Was sind Cookies?

„Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden …“ Dieser Satz leitet nahezu jeden Abschnitt über Cookies in den Datenschutzerklärungen vieler Webseiten ein. Doch was bedeutet das?
Die kleinen Dateien, die temporär im Webbrowser des Endgeräts eines Nutzers abgelegt werden, halten Informationen für den Dienstanbieter bereit, der das Setzen des Cookies veranlasst hat. Dies kann der Betreiber der Webseite sein, die durch den Nutzer besucht wurde oder ein Service eines Dritten, zum Beispiel einer Affiliate Marketing Plattform.
Um bestimmte Werte zu messen oder den Nutzer wieder zu erkennen, werden die vorgehaltenen Informationen im Falle eines erneuten Webseitenbesuchs oder eines Besuchs einer bestimmten anderen Webseite ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP Adresse des Nutzers, beinhalten.
Auf diese Weise kann eine Analyse der Seitennutzung erstellt, der Warenkorb eines Nutzers für eine bestimmte Zeit auch ohne Login gemerkt oder verhaltensbasierte Werbung ausgespielt werden.

Wann dürfen Cookies aktuell eingesetzt werden?

Die Zulässigkeit des Einsatzes von Cookies hängt davon ab, welche Informationen das jeweilige Cookie bereithält.  Sind personenbezogene Daten unverändert enthalten, wie zum Beispiel die IP Adresse in ungekürzter Form, gelten für den jeweiligen Cookie die gleichen Regeln, wie für jede andere Erhebung, Verarbeitung und Nutzung personenbezogener Daten: Das Erstellen und Auswerten des Cookies ist nur zulässig, soweit eine Rechtsnorm dies vorsieht oder der Betroffene hierin eingewilligt hat.
Für pseudonymisierte personenbezogene Daten sieht § 15 Abs. 3 TMG eine Erleichterung des Grundsatzes vor. Diese Daten dürfen zur Erstellung von Nutzungsprofilen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Webangebots erhoben und ausgewertet werden, soweit der Betroffenen nicht widerspricht. Dementsprechend ist er in der Datenschutzerklärung über die Erhebung und Verarbeitung zu informieren und ihm eine Widerspruchsmöglichkeit (Opt Out) einzuräumen. Diese gesetzliche Privilegierung pseudonymisierter Daten dient aktuell als Grundlage für den Einsatz der meisten Cookies.
Aus der Diskussion um die Cookie-Richtlinie (Richtlinie 2009/136/EG), auf die hier nicht näher eingegangen werden soll, hat sich darüber hinaus in Deutschland die Praxis entwickelt, mittels eines Banners auf den Einsatz von Cookies hinzuweisen, um in dieser Form das Einverständnis des Nutzers hierzu einzuholen.

Einsatz von Cookies unter der DSGVO

Mit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden die bisherigen datenschutzrelevanten Regelungen des TMG keine Anwendung mehr finden. Dies betrifft auch § 15 Abs. 3 TMG. Gleichzeitig hält die DSGVO keine dementsprechende Ausnahmeregelung für pseudonymisierte Daten bereit, ebenso wenig enthält sie eine ausdrückliche Regelung speziell für Cookies.
Daher gilt für in Cookies hinterlegte personenbezogene Daten nichts anderes, als für anderweitig erhobene oder verarbeitete personenbezogene Daten, unabhängig davon, ob es sich dabei um Pseudonyme handelt oder nicht.
Doch was heißt das? Gibt es eine Chance, Cookies künftig überhaupt noch ohne vorherige Einwilligung einzusetzen?

Neue Rechtsgrundlagen der DSGVO

Zunächst ist festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer
„Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“
zugeordnet werden kann. Dies ist eine weitergehende Definition, als § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sie noch enthielt.
Cookies enthalten regelmäßig jedenfalls Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird. Dass es sich hierbei um Pseudonyme handelt, spielt im Rahmen der DSGVO zunächst keine Rolle.
Es bleibt insoweit bei dem Verbot mit Erlaubnisvorbehalt, das auch der DSGVO zugrunde liegt: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt. Diese Bedingungen sind neu, ähneln inhaltlich jedoch Regelungen, die heute bereits aus §§ 28 ff. BDSG bekannt sind. Auf den ersten Blick bleibt für Cookies daher nur der Weg über eine vorherige Einwilligung des Betroffenen. Doch kann der europäische Gesetzgeber diese wenig praktikable Lösung wirklich gewollt haben?

Lösung über die Abwägung berechtigter Interessen

Kurz gesagt: nein. Zwar muss mangels einer Privilegierung wie § 15 Abs. 3 TMG in Zukunft auf die „normalen“ Voraussetzungen einer zulässigen Verarbeitung personenbezogener Daten zurückgegriffen werden. Die Einwilligung ist jedoch nicht die einzige Alternative, die für Cookies in Frage kommt.
Vielmehr bietet Art. 6 Abs. 1 Satz 1 lit. f DSGVO eine Möglichkeit für die zulässige Verarbeitung von personenbezogenen Daten, der nicht nur im Hinblick auf Cookies voraussichtlich eine große Relevanz zukommen wird.
Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Es kommt also auf eine Interessenabwägung im Einzelfall an.
Wie diese durchzuführen ist, erläutern wir Ihnen anhand von Beispielen in Teil 2 dieses Beitrags.
Quelle: Diese Inhalte werden zur Verfügung gestellt von Trusted Shops, dem Gütesiegel für Online-Shops. Alle Rechte vorbehalten. Trusted Shops Newsletter 23/2017, 06.06.2017, Jennifer Rost, 01.06.2017

Cookies in der Datenschutzgrundverordnung – Teil 2

In unserem ersten Teil zu Cookies in der Datenschutzgrundverordnung (DSGVO) wurde die aktuelle Rechtslage wiedergegeben und dargestellt, welche Vorschrift der DSGVO künftig bei Einsatz von Cookies herangezogen werden kann. Doch wann überwiegen die Interessen des Online-Händlers am Einsatz des Cookies die schützenswerten Interessen der Betroffenen im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO?

Durchführung der Abwägung für den Einzelfall

Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:
  1. Gibt es ein berechtigtes Interesse des Online-Händlers?
  2. Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
  3. Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?
Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse.
Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.
Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.
Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte.
Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen: Werden nur pseudonymisierte personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Online-Händlers ebenfalls in die Waagschale geworfen werden.

Beispiele

Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Online-Händlers am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?
  • Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitebesucher regelmäßig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen oder den Warenkorb sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z. B. UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
  • Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.

Fazit

Im Ergebnis bringt die Datenschutzgrundverordnung bezüglich der Zulässigkeit des Einsatzes von Cookies keine 180°-Drehung. Zwar entfällt künftig die Rechtsgrundlage, über die heute der Großteil der Cookies eingesetzt wird – insbesondere § 15 Abs. 3 TMG. Art. 6 Abs. 1 Satz 1 lit. f DSGVO bietet mit der Zulässigkeit bei positiver Interessenabwägung jedoch eine vielseitig einsetzbare Alternative.
Doch Vorsicht! Die Vorschrift ist kein Freifahrtschein – eine Interessenabwägung sollte immer objektiv und gewissenhaft durchgeführt werden, bevor der Cookie gesetzt wird. Nur, weil der Einsatz bisher möglich war, muss dies nicht auch für die Zukunft gelten – beginnen Sie daher schon heute, die Rechtmäßigkeit der von Ihnen eingesetzten Cookies unter der DSGVO zu überprüfen.
Gleichzeitig ist das jederzeitige Widerspruchsrecht der Betroffenen aus Art. 21 DSGVO zu beachten und entsprechend einzuräumen.
Ist der Einsatz eines Cookies über Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig, ist folglich keine Einwilligung erforderlich. Dies lässt jegliche Notwendigkeit für einen Cookie-Banner entfallen.
Etwas anderes kann sich jedoch aus der sog. ePrivacy-Verordnung der EU ergeben, welche sich aktuell im Entwurfsmodus befindet. Dort ist eine Neuregelung der Inhalte aus der Cookie-Richtlinie im Einklang mit der DSGVO geplant. Wir halten Sie hierzu auf dem Laufenden.
Quelle: Diese Inhalte werden zur Verfügung gestellt von Trusted Shops, dem Gütesiegel für Online-Shops. Alle Rechte vorbehalten. Trusted Shops Newsletter 24/2017, 12.06.2017, Jennifer Rost, 08.06.2017