Cookies – Einwilligung oder berechtigtes Interesse

Cookies - Einwilligung gegen berechtigtes Interesse

Seit dem Urteil des Europäischen Gerichtshofes (EuGH) zu Planet49 (Urteil vom 01.10.2019, Az.: C-673/17) sind Unternehmen beim Einsatz ihrer Cookies zum Umdenken angehalten. Vorher war es Gang und Gäbe, den Einsatz der Cookies auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO) zu stützen. Eine Einwilligung zum Einsatz holten sich Verantwortliche nicht ein. Diese übliche Vorgehensweise verurteilte der Bundesgerichtshof (BGH) am 07.07.2020 – dem EuGH-Urteil folgend – als nicht mehr rechtskonform.

Vor kurzem haben die Datenschutzaufsichtsbehörden eine koordinierte Überprüfung der Einhaltung datenschutzrechtlicher Bestimmungen, u. a. auf der Webseite (Einsicht in ein Beispiel finden Sie hier) angestoßen. Im Zuge dessen verschicken die Behörden Fragebögen an Webseiten-Betreiber mit der Bitte um Rückversand der ausgefüllten Bögen.

Cookies

Cookies sind kleine Textdateien. Diese kann ein Webseiten-Betreiber im Browser des jeweiligen Nutzers speichern, um Daten über diese Person zu sammeln. (Mehr zur Definition von Cookies finden Interessenten hier).

Bedeutung von Cookies

Für einen Webseiten-Betreiber können Cookies eine hohe Bedeutung haben. Anhand dieser kann ein Unternehmen verschiedene Parameter erkennen und diese analysieren. Es besteht die Möglichkeit, ganze Benutzerprofile zu erstellen und die eigene Marketing-Strategie darauf abzustimmen, um letztendlich den Umsatz zu steigern.

Arten von Cookies

Dabei muss ein Verantwortlicher technisch-funktional notwendige Cookies, z. B. zur Sprachwahl oder für den Warenkorb, die regelmäßig vom Webseiten-Betreiber stammen, von Cookies zu Tracking- oder Analysezwecken unterscheiden, die oft auf Drittanbieter aus den Vereinigten Staaten (z. B. Google Analytics) zurückgehen und mit einer Datenübermittlung in Drittländer (Staaten außerhalb der EU) wie in die Vereinigten Staaten verbunden sind.

Die zweite Kategorie von Cookies ist nur mit der vorherigen ausdrücklichen Einwilligung der betroffenen Webseiten-Nutzer zulässig, kann also nicht auf ein berechtigtes Interesse gestützt werden. Die Einwilligung setzt eine verständliche Information voraus, um wirksam zu sein. Zudem muss ein Verantwortlicher sie zu Nachweiszwecken aufbewahren. Schließlich muss er das System so konfigurieren, dass keine Datenübermittlung stattfindet, ohne dass eine Cookie-Einwilligung vorliegt. Das typische Instrument zum Einholen der Einwilligung sind Cookie-Banner, die der Verantwortliche den Vorgaben der Datenschutzaufsichtsbehörden entsprechend gestalten sollte.

Nötiges Umdenken bei Unternehmen

Mit dem Urteil des EuGH sollte bei Unternehmen eine Umstrukturierung des Cookie-Einsatzes stattfinden. Das heißt, Verantwortliche sollten die Gestaltung des Cookie-Banners auf ihrer Webseite dem Urteil entsprechend überprüft und erforderlichenfalls angepasst haben. Auch sollten sie die jeweiligen Verarbeitungsvorgänge mit den entsprechenden Rechtsgrundlagen im Einklang mit dem Urteil und dem Cookie-Banner im Webseiten-Datenschutzhinweis (allgemein auch bekannt als Datenschutzerklärung) aktualisiert haben.

Veraltete Versionen des Cookie-Einsatzes

Die unzeitgemäße Art des Cookie-Einsatzes, die zur Unwirksamkeit der Einwilligung und damit zur Rechtswidrigkeit der Datenverarbeitung führen kann, gibt es in mehreren Varianten:

1) Im Voraus gesetzte Häkchen bei Cookie-Einstellungen,

2) Zustimmung zum Einsatz von Cookies durch Nutzung der Webseite,

3) Koppelungen,

4) aktive Cookies auch ohne Einwilligung oder vor Abfrage der Einwilligung oder auch

5) abgenötigte Einwilligungen durch eine bestimmte Weise der Gestaltung des Consent Management Tools.

Nähere Beschreibungen finden Sie übrigens in unserem Beitrag „Cookies – Bußgelder beim Einsatz vermeiden“.

Fakt ist, dass all die oben genannten Einsatzmöglichkeiten nicht als im Einklang mit der DSGVO angesehen werden. Bevor der EuGH Klarheit schaffte, nahmen viele Verantwortliche an, ein Opt-Out in der Datenschutzerklärung genüge. Bei der Umstellung auf Opt-In (Einwilligung) machten Verantwortliche dann eine Reihe von Fehlern: Diese sind jedoch unbedingt zu vermeiden, wenn ein Unternehmen nicht ein Bußgeld, einen Schadensersatzanspruch oder eine Abmahnung riskieren möchte.

Korrektes Einholen der Einwilligung

Um von sich sagen zu können, dass ein Unternehmen nicht erforderliche Cookies DSGVO-konform einsetzt, muss es die Einwilligung einholen. Das geschieht idealerweise auf eine Weise, die bei Bedarf nachweisbar ist. Ansonsten gilt, dass nicht existiert bzw. nicht eingehalten wurde, was ein Verantwortlicher nicht beweisen kann (siehe Art. 5 Abs. 2 DSGVO – “Rechenschaftspflicht”). Für die Marketing-Abteilung ist das BGH-Urteil wahrscheinlich eine Sache, die die Arbeit in dem Sinne erschwert, dass sie Daten nicht mehr ohne Weiteres in der gewünschten ausführlichen Weise sammeln und analysieren kann. Wünscht ein Betroffener den Einsatz von Cookies nicht, darf ein Webseiten-Betreiber diese nicht auf dessen Gerät speichern. Die Folge daraus ist, dass die gewünschten Daten zur Auswertung und gegebenenfalls Änderung der Marketing-Strategie nicht zur Verfügung stehen. Nach und nach breitete sich also die Praktik im Internet aus, dass Webseiten-Betreiber nach der Erlaubnis zum Einsatz von Cookies fragen. Wichtig ist, dass die Zustimmung nicht voreingestellt ist.

Begründung des Einsatzes von Cookies mithilfe des berechtigten Interesses

Es ist häufig ersichtlich, dass Verantwortliche versuchen, den Einsatz mit dem berechtigten Interesse zu begründen, um letztendlich doch die gewünschten Cookies einsetzen und die Daten sammeln zu können. Dabei sind die Häkchen für das berechtigte Interesse schon gesetzt bzw. die Regler auf „Grün“ (Zustimmung) o. ä. gesetzt.

Ist diese Praktik rechtswidrig?

Nun, es kommt darauf an, um welche Art von Cookies es sich handelt und wie diese technisch eingesetzt werden. Oft wissen Webseiten-Betreiber nicht, was ihre Webmaster alles wohlmeinend eingebaut haben. Da hilft in einem ersten Schritt, beim Webmaster nachzufragen oder technische Analyse-Tools, wie z. B. dieses, zu nutzen. Ohne diese technische Grundlagenermittlung lässt sich keine sinnvolle datenschutzrechtliche Bewertung und Absicherung vornehmen. Eine weitere wichtige Kontrollüberlegung ist, ob man all die netten US-Dienstleistungen und Analyse-Tools überhaupt benötigt, ob es irgendjemanden im Unternehmen gibt, der Zugang zu den Daten hat, diese einsieht, auswertet und z. B. zur Steuerung von Werbemaßnahmen oder auch nur zur Verbesserung der Internetseite nutzt. Ist dies nicht der Fall, kann ein Verantwortlicher die Tools von der Webseite nehmen und benötigt dann auch keine Einwilligung und die Datenschutzerklärung auf der Webseite wird schlanker. Zudem werden die Webseiten-Nutzer dann nicht von Consent Bannern genervt.

Abwägung der Interessen

Beim berechtigten Interesse ist abzuwägen, ob das Interesse des Webseiten-Betreibers oder das des Besuchers überwiegt. Wie schon erwähnt, liegt es im Interesse des Betreibers, seinen Umsatz zu steigern, für gewöhnlich durch Verkauf eines Produktes oder einer Dienstleistung. Diesem Interesse steht das des Webseiten-Besuchers entgegen. Sein Interesse besteht hauptsächlich darin, die Webseite zu besuchen, um sich zu informieren, etwas zu bestellen, sich zu unterhalten o. A., ohne dabei in seinem Verhalten webseitenübergreifend analysiert zu werden, ohne dass seine Daten vom Webseiten-Betreiber an Dienstleister in datenschutzrechtlich unsichere Drittländer übermittelt werden. Dabei ist davon auszugehen, dass es nicht Anliegen des Nutzers ist, dass der Webseiten-Betreiber die Daten dessen sammelt und auswertet. Der daraus entstehende Gedanke ist der, dass das Interesse des Nutzers, seine privaten Daten zu schützen, schwerer wiegt als das Ziel des Betreibers, seinen Profit zu steigern. Daher können Analyse- und Tracking-Daten nicht auf ein berechtigtes Interesse gestützt werden.

Anders mag dies bei technisch notwendigen und funktional auch in der Regel vom Nutzer gewollten Komforteinstellungen sein, die im beiderseitigen Interesse liegen. So möchte der Seitenbetreiber keinen Besucher wegen wiederholter nerviger Spracheinstellungen verlieren oder wenn der Nutzer Produkte in einen Warenkorb gelegt hat und die Seite versehentlich oder aus technischen Fehlern geschlossen wird, soll der Warenkorb für eine zu definierende Zeit als Cookie gespeichert sein.

Schutz der Privatsphäre bei Endeinrichtungen gemäß § 25 TTDSG

Die am 20.05.2021 verabschiedete Fassung des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), welche am 01.12.2021 in Kraft tritt, soll Klarheit schaffen. So sagt Abs. 1 S. 1 dieses Paragraphen, „die Speicherung von Informationen […] ist [sic] nur zulässig, wenn der Endnutzer […] eingewilligt hat.“ Nach § 25 Abs. 2 TTDSG bedarf es hingegen u. a. dann keiner Einwilligung, sofern die “[…] Speicherung von Informationen (Anm.: Cookies) in der Endeinrichtung des Endnutzers  (Anm.: im Browser) oder der […] Zugriff [sic] auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen […]” unbedingt erforderlich ist, “[…] damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Fazit

Wir verstehen, dass der Einsatz von Cookies im Einklang mit der DSGVO und den aktuellsten Rechtsprechungen noch immer für Verwirrung sorgen kann. Es ist sicherlich auch nur eine Frage der Zeit, bis es bezüglich der neuesten Praktik, den Einsatz von Cookies auf dem schon voreingestellten berechtigten Interesse zu stützen, was die Ablehnung ggf. als obsolet erklärt, ein Urteil gibt. Diskutiert wird es sicherlich schon. Da ist zu empfehlen, möglichst zu vermeiden, dass Ihr Unternehmen das beklagte Unternehmen ist, denn eventuell fällt das Urteil nicht zu Ihren Gunsten aus. Die sanftere Variante kann auch sein, dass Sie ihre Webseite anpassen, um DSGVO-konform zu arbeiten.

Auf der sichersten Seite stehen Sie jedoch, wenn Sie die Grauzone vermeiden und für jegliche Cookies, die für den Betrieb der Webseite nicht wirklich zwingend erforderlich sind, die Einwilligung des Besuchers einholen und die Cookies auch erst dann einsetzen, wenn diese Einwilligung dokumentiert worden ist, oder die Seite so zu gestalten, dass keine einwilligungsbedürftigen Cookies zum Einsatz kommen.

Sie benötigen Hilfe bei der Umsetzung zum datenschutzkonformen Einsatz von Cookies oder zu weiteren Datenschutzthemen? Kontaktieren Sie uns! Wir können helfen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.