Datenschutzrecht

DSK: Viele Cookies schon ab dem 25. Mai nicht mehr einsetzbar – RA Solmecke erläutert die Konsequenzen

Die Datenschutz Grundverordnung rollt mit großen Schritten heran. Knapp drei Wochen haben Verantwortliche in Deutschland noch Zeit, die Regeln des neuen Gesetzes umzusetzen, danach drohen hohe Bußgelder.

Die vielen Rechtsfragen, die sich durch die neue Verordnung ergeben, werden im Internet derzeit heißt diskutiert. Offen war bislang die Frage, auf welche Rechtmäßigkeitsgrundlage der Einsatz von Cookies, insbesondere mit Tracking-Funktion, gestützt werden kann. Die Datenschutzbehörden stellen hierzu aktuell Folgendes fest:

Die Verwendung von Cookies ist bislang in der ePrivacy-Richtlinie geregelt. Die ePrivacy-Richtlinie legt fest, dass bestimmte Cookies stets einer Einwilligung bedürfen. Dieser Teil der ePrivacy-Richtlinie (Art. 5 Abs. 3 ePrivacy-Richtlinie) wurde in Deutschland nicht (ausdrücklich) umgesetzt (vgl. auch Beschluss vom Düsseldorfer Kreis vom 24.25.11.2010 https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/03/Beschluss-des-D%C3%BCsseldorfer-Kreises-2010-Umsetzung_der_Datenschutzrichtlinie_f%C3%BCr_elektronische_Kommunikationsdienste.pdf) und fand bisher auch nicht aufgrund einer unmittelbaren Wirkung der Richtlinie Anwendung, da eine horizontale unmittelbare Wirkung der ePrivacy-Richtlinie ausscheidet. Soweit durch die ePrivacy-Richtlinie (bzw. die nationale Umsetzung dieser Richtlinie) nichts anderes geregelt ist, kommen die Vorschriften der DSGVO zur Anwendung (Art. 95 DSGVO). Genau hier setzen auch die bisherigen Diskussionen zur Rechtmäßigkeit von Cookies an: Da die ePrivay-Richtlinie in Deutschland weder umgesetzt wurde, noch unmittelbar Anwendung findet, existiert in Deutschland keine ausdrückliche Regelung. Da ab dem 25.05.2018 maßgeblich die DSGVO gilt, kam als Rechtmäßigkeitsgrundlage neben der Einwilligung daher insbesondere das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO für den Einsatz von Cookies in Betracht.

Dieser Auffassung stellen sich die Datenschutzbehörden nun jedoch entgegen. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) gaben am Donnerstag eine Stellungnahme hierzu raus (http://wbs.is/dsk-cookie):

Nach Auffassung der DSK komme es für die Beurteilung der Rechtmäßigkeit des Einsatzes von Cookies maßgeblich auf das Vorhandensein einer Einwilligung im Sinne der DSGVO an.

Soweit Tracking-Mechanismen zum Einsatz kommen, bedürfe es stets einer vollinformierten vorherigen Einwilligung. Die DSK führt aus, dass diese Auffassung im Einklang mit dem europäischen Rechtsverständnis stehe. Im überwiegenden Teil der EU-Mitgliedstaaten wurde danach die ePrivacy-Richtlinie bereits vollständig (inkl. des Einwilligungs-Erfordernisses) in nationales Recht umgesetzt, oder die jeweiligen Aufsichtsbehörden fordern schon heute ein entsprechendes „Opt-in“. Um künftig einen einheitlichen Vollzug europäischen Datenschutzrechts gewährleisten zu können, dürfe dies in Deutschland nicht anders behandelt werden.

Zusammengefasst:

  • Der Einsatz von Cookies kann auf die Rechtmäßigkeitsgrundlagen Art. 6 Abs. 1 lit. b (z.B. zur Erfüllung eines Vertrages) und lit. f (berechtigtes Interesse an der Verarbeitung) DSGVO gestützt werden, soweit die Verarbeitung unbedingt erforderlich ist, um den Dienst zur Verfügung zu stellen.
  • Sofern Tracking-Mechanismen eingesetzt oder Nutzerprofile erstellt werden, fordert die DSK stets eine umfassende Einwilligung der betroffenen Person gem. der DSGVO.

Dazu der Kölner IT Rechtsanwalt Christian Solmecke:

„Die jetzige Beurteilung der Aufsichtsbehörden kommt spät. Für Webseiten Betreiber bleibt jetzt nur noch wenig Zeit, ihre Technologie entsprechend umzugestalten. Das Hauptproblem besteht darin, dass Cookies in der Regel nur noch gesetzt werden dürfen, wenn der Nutzer VORHER umfassend über die Funktionsweise des Cookies informiert worden ist und sich damit einverstanden erklärt hat. Im Umkehrschluss darf natürlich kein Cookie gesetzt werden, sofern der Nutzer sich nicht damit einverstanden erklärt hat. Ein weiteres maßgebliches Problem ist, dass es gerade bei Analysediensten wie Google Analytics nicht möglich ist, eine vollinformierte transparente Einwilligung einzuholen, da nicht abschließend bekannt ist, welche personenbezogenen Daten von diesen Diensten genau verarbeitet werden.

Problematisch an der Sichtweise der DSK ist ebenfalls, dass nun für Cookies, die nicht unbedingt zum Betrieb der Internetseite notwendig sind, einzelne Einwilligungen eingeholt werden müssen. Eine globale Einwilligung dürfte nicht ausreichen. Verantwortlichen ist jetzt zu raten, möglichst nur noch solche Cookies einzusetzen, die zwangsläufig für den Betrieb der Seite notwendig sind oder für die es möglicherweise ein berechtigtes Interesse geben kann. Bezogen auf solche Cookies reicht auch in Zukunft ein einfacher Datenschutzhinweis, für sämtliche anderen Cookies muss die explizite Einwilligung erteilt werden. Dummerweise wird auch das nur eine Übergangslösung für die Verantwortlichen sein. Eine endgültige Regelung zum Thema Cookies soll die ePrivacy Verordnung liefern, die die ePrivacy-Richtlinie eigentlich schon zum 25. Mai 2018 ablösen sollte. Aufgrund von Diskussionen im EU-Parlament kam es dann jedoch zu Verzögerungen, so dass mit dem Inkrafttreten einer ausverhandelten ePrivacy-Verordnung, die dann endgültig Aufschluss über die Verwendung von Cookies gibt, erst im Jahr 2019 zu rechnen ist. Bis dahin bleibt Verantwortlöichen nichts anderes übrig, als sich auf brüchiges Eis zu begeben, sofern sie noch Cookies einsetzen wollen.“

„Fit für die DSGVO“ – Das neue Buch von RA Christian Solmecke

Das Werk von Rechtsanwalt Christian Solmecke und Rechtsanwalt Christian Sitter führt Sie auf über 200 Seiten durch den DSGVO Dschungel und gibt Ihnen praktische Muster, Checklisten und Hilfen an die Hand. Das aktuelle Fachbuch „Fit für die DSGVO“ stiehlt Ihnen keine Zeit mit verwirrenden und viel zu theoretischen Ausführungen, sondern bietet Ihnen mit klaren Erläuterungen und einfach nutzbaren Mustern einen direkten Weg zu einem DSGVO-konformen Auftritt.

Greifen Sie jetzt schon online auf die Inhalte des Fachbuchs zu und lernen Sie jetzt „Fit für die DSGVO“ im kostenlosen 14-Tage-Test ab Online-Zugriff kennen. Überzeugen Sie sich: Mit „Fit für die DSGVO“ lassen sich die neuen Datenschutzregeln passgenau auf Ihre Konstellation zuschneiden.

Alle Infos erhalten Sie unter:  

http://wbs.is/dsgvo-fit

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (5 Bewertungen, Durchschnitt: 4,00 von 5)

RSSKommentare (1)

Kommentar schreiben

  1. Maya sagt:

    Was ist denn unter berechtigtem Interesse zu verstehen? Gehören z.b. amazon affiliate links,dazu?

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.