Neues zum Datenschutzrecht
28.2.2020
ePrivacy-Verordnung? Da war doch mal was mit Cookies ...
Endlich ist es wieder soweit! Nein, die ePrivacy-Verordnung der EU mit einer klaren Cookie-Regelung gibt es immer noch nicht, aber es kann wieder etwas Neues zum Stand der Dinge berichtet werden. Obwohl auf EU-Ebene bereits überlegt wurde, den gesamten Gesetzgebungsprozess neu zu starten, wird Anfang März unter der neuen EU-Ratspräsidentschaft Kroatiens ein weiterer Kompromissvorschlag zum bisherigen Entwurf der ePrivacy-Verordnung erörtert. Gegenstand dieses neuen Vorschlags sind die wohl am stärksten umstrittenen Regelungen des zulässigen Einsatzes von Cookies in Art. 6 bis 8 des Entwurfes sowie die korrespondierenden Erwägungsgründe. Während die letzte Entwurfsfassung stark auf eine Einwilligung fokussiert, sieht der neue Kompromissvorschlag auch eine Interessenabwägung vor. Allerdings sieht es insgesamt weiterhin nach keiner rechtssicheren und praxistauglichen Lösung aus, wie sie bei einer stärkeren Berücksichtigung technischer Verfahren grundsätzlich gefunden werden könnte. Weitere Änderungsvorschläge zum Entwurf der ePrivacy-Verordnung, zum Beispiel bezüglich des Geltungsbereichs, sollen folgen.
Hintergrund - Cookies gemäß ePrivacy-Richtline und Telemediengesetz oder Datenschutz-Grundverordnung?
Der Einsatz von Cookies und anderen Tracking-Technologien bei Endgeräten elektronischer Kommunikation wie Computer oder Smartphones wird durch die ePrivacy-Richtlinie und die nationalen Umsetzungsvorschriften der EU-Mitgliedstaaten geregelt. Art. 5 Abs. 3 ePrivacy-Richtlinie verpflichtet die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn der Nutzer eingewilligt hat. Einer Einwilligung bedarf es ausnahmsweise nicht, wenn ein Cookie unbedingt erforderlich ist, damit der Website-Betreiber einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann. Das ist z.B. bei Login- und Warenkorb-Funktionen von Online-Shops der Fall. Diese Vorgaben der ePrivacy-Richtlinie wurden in Deutschland – jedenfalls nach Ansicht des Bundesgesetzgebers – mit § 15 Abs. 3 Telemediengesetz (TMG) umgesetzt. Allerdings sieht diese Norm gar keine Einwilligung vor, sondern lediglich eine Widerspruchsmöglichkeit des Nutzers. Die Rechtsunsicherheit verstärkte sich mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und den damit einhergehenden Überschneidungen mit der ePrivacy-Richtlinie. Aufgrund dieser diffusen Rechtslage wurden die Rechtspflichten beim Einsatz von Cookies und anderen Tracking-Technologien – je nach Rechtsauffassung und „Risikoappetit“ – sehr unterschiedlich und nicht selten mit äußerst vielfältig gestalteten „Cookie-Bannern“ umgesetzt.
„Planet49“-Entscheidung des EuGH
Diese Praxis änderte sich schlagartig, nach der „Planet49“-Entscheidung des EuGH vom 1. Oktober 2019 (Az. C-673/17). Das EuGH-Urteil hat nämlich – wenig überraschend – sehr deutlich gezeigt, dass die in verschiedensten Ausprägungen sogenannter Cookie-Banner umgesetzte „Widerspruchslösung“ auf Basis von § 15 Abs. 3 TMG endgültig nicht mehr haltbar ist. Der Einsatz von einwilligungsbedürftigen Cookies kann nicht mehr auf Cookie-Banner gestützt werden, die mit mehr oder weniger konkreten Hinweisen und einem „Okay“-Button versehen sind. Die weitere Nutzung einer Website stellt keine Einwilligung dar, wie sie die ePrivacy-Richtlinie und die DSGVO verlangen. Der EuGH hat sich aber nicht dazu geäußert, unter welchen Voraussetzungen Cookies gesetzt werden dürfen und ob ein Werbetracking mittels Cookies überhaupt einer Einwilligung bedarf. Das war – entgegen vieler Veröffentlichungen in der Fachpresse - gerade kein Gegenstand des Verfahrens. Das Gericht hat auch keine Aussage dazu getroffen, welche Rechtsgrundlage in Deutschland mangels Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie heranzuziehen ist.
Ausblick und Hinweise für die Praxis
Der Bundesgerichtshof (BGH) wird demnächst unter Berücksichtigung des EuGH-Urteils „Planet49“ über die Anwendbarkeit von § 15 Abs. 3 TMG entscheiden. Es spricht viel dafür, dass der Bundesgerichtshof § 15 Abs. 3 TMG für nicht anwendbar erklärt und die Nutzung von Cookies aufgrund des im zugrundeliegenden Fall vorhandenen Personenbezugs auf der Grundlage der DSGVO beurteilt. Das entspräche der Auffassung der deutschen Datenschutzaufsichtsbehörden, wie sich der von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder herausgegebenen Orientierungshilfe für Anbieter von Telemedien entnehmen lässt.
Bis zu einer etwaigen Änderung des TMG oder dem noch nicht absehbaren Inkrafttreten der ePrivacy-Verordnung kommt für Cookies, aber auch andere Identifier- und Tracking-Technologien die DSGVO zum Tragen, wie es die deutschen Datenchutzaufsichtsbehörden schon seit längerer Zeit vertreten. Das gilt aber nur, wenn tatsächlich personenbezogene Daten verarbeitet werden. Diese diffuse Rechtslage wird zum Leidwesen von Website-Betreibern, Anbietern von Webanalyse- und Tracking-Diensten und Website-Besuchern wohl noch einige Zeit bestehen bleiben. Das bedeutet: Für die große Anzahl von Cookies, die sich unter Berücksichtigung der engen Auslegung der deutschen Aufsichtsbehörden, aber auch des Europäischen Datenschutzausschusses nicht mit Art. 6 Abs. 1 Buchstabe b und f DSGVO rechtfertigen lassen, kommt in Deutschland als Rechtsgrundlage derzeit nur Art. 6 Buchstabe a DSGVO in Betracht, der eine Einwilligung vorsieht. Das gilt nicht zuletzt für Cookies, mit denen Nutzerverhalten websiteübergreifend zu Werbezwecken verfolgt werden kann.
Es bleibt abzuwarten, ob und wie die Gesetzgeber weiter agieren. Sollte sich der deutsche Bundesgesetzgeber entschließen, das TMG nunmehr doch zu ändern, ist eine Anpassung gemäß den Vorgaben von Art. 5 Abs. 3 ePrivacy-Richtlinie i.S.d. "Planet49"-Urteils des EuGH zu erwarten. Derweil wird auf europäischer Ebene die scheinbar unendliche Geschichte der fortlaufenden Kompromissvorschläge zum Entwurf der ePrivacy-Verordnung fortgeschrieben. Das ist bedauerlich, da die ePrivacy-Verordnung aufgrund der direkten Anwendbarkeit von EU-Verordnungen für Klarheit sorgen könnte.
Sollten Sie Fragen zum rechtskonformen Einsatz von Cookies und anderen Tracking-Technologien oder zur sonstigen datenschutzrechtlichen Themen haben oder dabei Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht