Matic Štojs Lomovšek - stock.a
Was das EU-Datenschutzrecht für Cookies bedeutet
Nicht erst die geplante E-Privacy-Verordnung könnte die Verwendung von Cookies massiv verändern. Der Generalanwalt beim EuGH sieht mit Blick auf GDPR heute schon Änderungsbedarf.
Tracking-Cookies sind schon seit langem ein Thema in der Datenschutzdiskussion. Bereits 2015 hatten die Aufsichtsbehörden für den Datenschutz in Deutschland erklärt: „Die Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy Richtlinie, Artikel 5 Absatz 3, RL 2002/58/EG) gestattet die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, jedoch nur, wenn der Nutzer dazu seine Einwilligung gegeben hat. (…) Das Telemediengesetz (TMG) setzt diese europarechtlichen Vorgaben allerdings nur unvollständig in deutsches Recht um.“
Die geplante E-Privacy-Verordnung könnte unter anderem das in Deutschland bislang übliche Opt-Out-Verfahren bei Cookies beenden und ein Opt-In-Verfahren verlangen.
„Die E-Privacy-Verordnung sollte ursprünglich zeitgleich mit dem Anwendungsbeginn der DSGVO im letzten Mai in Kraft treten. Es ist eine Sache, diese zugegebenermaßen ambitionierte Frist nicht halten zu können. Das entschuldigt aber nicht den Umstand, dass seit über einem Jahr inhaltlich keine wirklichen Fortschritte erzielen werden konnten, sondern stattdessen versucht wird, das angestrebte Datenschutzniveau abzusenken“, so der Bundesdatenschutzbeauftragte Ulrich Kelber. „Gerade in dem hochsensiblen Bereich der elektronischen Kommunikation benötigen wir eine starke Regelung. Deshalb muss die E-Privacy Verordnung zwingend so ausgestaltet werden, dass das Schutzniveau sowohl der aktuellen E-Privacy-Richtlinie als auch der DSGVO mindestens gehalten und – wo nötig – erweitert wird. Zudem muss klargestellt werden, dass den Datenschutzaufsichtsbehörden bei der Aufsicht über die Verarbeitung personenbezogener Daten auch unter der E-Privacy-Verordnung sämtliche in der DSGVO vorgesehenen Kompetenzen zukommen.“
Der Europäische Datenschutzausschuss (EDPB) hat den europäischen Gesetzgeber nun aufgefordert, die bereits seit langem diskutierte E-Privacy-Verordnung schnellstmöglich zu verabschieden. Diese müsse in Ergänzung der Datenschutz-Grundverordnung (DSGVO) ein hohes Schutzniveau für die Daten im Bereich der elektronischen Kommunikation garantieren.
Aufsichtsbehörden leiten Cookie-Vorgaben aus DSGVO ab
Im April 2018 hatten die deutschen Datenschutzaufsichtsbehörden ihre Position veröffentlicht, dass auch vor Verabschiedung der E-Privacy-Verordnung der Umgang mit Tracking-Cookies geändert werden müsse, auf Basis der Datenschutz-Grundverordnung: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, das heißt zum Beispiel bevor Cookies platziert werden beziehungsweise auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“ Wirtschaftsverbände wie Bitkom hatten diese Position kritisiert.
Viele Verbände sind nun der Ansicht, man müsse noch auf die E-Privacy-Verordnung warten, so lange könnten Opt-Out-Verfahren nach dem deutschen Telemediengesetz (TMG) genutzt werden, wobei gleichzeitig die Hoffnung in vielen Bereichen der Wirtschaft besteht, dass die E-Privacy-Verordnung noch entschärft wird. Nun aber scheint neue Bewegung in die Bewertung der datenschutzrechtlichen Vorgaben für Tracking-Cookies zu kommen.
Generalanwalt beim EuGH sieht Bedarf für Einwilligung bei Cookies
In der Rechtssache C-673/17 „Planet49 GmbH gegen Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.” hat der Generalanwalt beim EuGH seine Schlussanträge veröffentlicht. Diese bedeuten nicht, dass der Europäische Gerichtshof (EuGH) auch entsprechend urteilen wird, doch oftmals folgt der EuGH diesen Schlussanträgen.
Ohne an dieser Stelle auf das Verfahren genauer einzugehen, sind die Schlussfolgerungen des Generalanwaltes spannend, da sie nicht dem deutschen Telemediengesetz folgen, sondern vielmehr der Position, die die deutschen Aufsichtsbehörden seit Jahren vertreten. Sollte der EuGH entsprechend den Schlussanträgen folgen, müsste es Änderungen bei den Cookie-Verfahren geben, die bisher auf dem deutschen TMG fußen, selbst dann, wenn die E-Privacy-Verordnung noch auf sich warten lässt.
Nach Ansicht des Generalanwaltes müssen Dienstanbieter eine Einwilligung für Cookies einholen, wenn diese nicht zwingend für die Nutzung des Dienstes erforderlich sind, was im Fall von Tracking-Cookies technisch nicht der Fall ist.
Diese Einwilligung kann demnach nicht durch eine vorausgewählte Checkbox eingeholt werden, weder nach der E-Privacy-Richtlinie noch nach der Datenschutz-Grundverordnung (DSGVO/GDPR). Nutzer müssen vorab über die Funktionsdauer von Cookies und über mögliche Zugriffe Dritter auf die Cookies informiert werden, so der Generalanwalt.
Es zeigt sich: Nicht nur die ausstehende Entscheidung des EuGH und die geplante E-Privacy-Verordnung können die Nutzung von Tracking-Cookies massiv verändern und Opt-Out-Verfahren beenden. Bereits aus der DSGVO lassen sich Vorgaben für die Einwilligung (Opt-In-Verfahren) ableiten, wie die Schlussanträge des Generalanwaltes beim EuGH zeigen.
Betreiber von Webseiten tun gut daran, sich über ihren Umgang mit Cookies nochmals Gedanken zu machen, sofern diese nicht für die vom Nutzer gewünschte Funktion wirklich erforderlich sind.