Cookies
Die europäische Datenschutz-Grundverordnung finden Sie online unter datenschutz-grundverordnung.eu. Auf derselben Seite ist auch das BDSG-neu einsehbar.
Interessant ist vieleicht auch die ausführliche Umsetzung von Volkswagen
Quelle: https://www.volkswagen.de/de/rechtliches/cookie-richtlinie.html
Quelle: https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html
Viele Nutzer sind von Cookies genervt und dennoch konfrontieren die meisten Webseitenbetreiber ihre Besucher mit einem Cookie-Hinweis.
Brauchen WebSeitenbetreiber überhaupt einen solchen Cookie Hinweis?
Welche Hinweise müssen in der Datenschutzerklärung stehen?
Wie genau sollte eine Cookie Warnung aussehen?
Cookies und die EU-Cookie-Richtlinie
Cookies sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.
Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.
Hinweis: Die in einer Textdatei hinterlegten Daten kann allein der Webserver auslesen, der das Cookie gesetzt hat.
Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.
Das deutsche Recht kennt aktuell trotz der EU Cookie Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen.
Um die Sache noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko, wenn Sie keinen Cookie Hinweis auf Ihrer Webseite anbieten.
Deutschland hat nicht offiziell umgesetzt
Informationen zu Cookies eines regional in Deutschland bekannten Webseiten Hoster:
Quelle: https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/
Was sind Cookies und welche Daten sammeln sie?
Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten zum Besuch von Websites und erhöhen damit deren Benutzerfreundlichkeit: Zum Beispiel merkt sich Ihr Browser Log-in-Daten und Spracheinstellungen, die Sie dann nicht ständig aufs Neue eingeben müssen. Dem nützlichen Aspekt gegenüber steht die Kritik, dass Cookies mit dem Datenschutz oft nicht vereinbar seien. So werden viele Cookies eingesetzt, um bestimmte Aspekte des Surfverhaltens aufzuzeichnen, worüber z. B. personalisierte Werbung im Browser möglich wird. Vor allem Tracking- und Targeting-Cookies sind Datenschützern häufig ein Dorn im Auge.
Ein Cookie enthält normalerweise eine Angabe über die Lebensdauer der Textdatei sowie eine zufällig generierte Nummer, über die Ihr Computer wiedererkannt wird. In der Regel erfolgt die Datenspeicherung von Cookies anonymisiert. Personenbezogene Daten können nur dann gesammelt werden, wenn die entsprechende Seite ein Log-in erfordert.
Das besagt die Cookie-Richtlinie der EU
In der Europäischen Union soll die Richtlinie 2009/136/EG den Schutz personenbezogener Daten bei Website-Besuchen gewährleisten und stärken. Die 2009 erlassene EU-Cookie-Richtlinie sollte spätestens im Jahr 2011 von allen Mitgliedsstaaten umgesetzt werden – was so allerdings nicht geschah.
Die Cookie-Richtlinie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.
Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Das betrifft alle Cookies, die technisch nicht notwendig für das Funktionieren des Internetangebots sind. Vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Die EU-Richtlinie gibt allerdings nicht vor, wie die genannten Auflagen genau umzusetzen sind. Vor allem hinsichtlich der Einverständniserklärung durch Website-Besucher herrscht Ungewissheit.
Das wird sich mit der e-Privacy-Verordnung ändern
Das soll mit der neuen e-Privacy-Verordnung endgültig geregelt werden.
Der aktuelle Entwurf verbietet technisch nicht notwendige Cookies generell, mit der Ausnahme, dass Nutzer deren Verwendung vorher zustimmen. Der Erstentwurf sprach dabei lediglich von Webanwendungen. Die Version vom 22. März 2018 schließt jede Art der maschinengestützten Kommunikation ein, also beispielsweise Apps, E-Mail und die Erhebung von Metadatan bei VoIP-Telefonaten. Das betrifft auch die Kommunikation zwischen zwei Maschinen, sogenannte M2M-Kommunikation.
Die e-Privacy-Verordnung sollte auch internationale Anbieter von Kommunikationsservices interessieren. Denn die Verordnung schreibt vor, dass die Regelungen Anwendung finden, sobald sich ein Endgerät innerhalb der EU-Grenzen befindet. Dabei ist es unerheblich, wo die Datenverarbeitung eines angesteuerten Dienstes stattfindet.
Der Datenschutz in den USA ist beispielsweise weniger streng ausgelegt. Im sogenannten Microsoft-Irland-Fall Microsoft und die europäische Daten-Treuhand wollte ein amerikanisches Bezirksgericht den Großkonzern dazu zwingen, kundenbezogene Daten von EU-Bürgern in den USA zugänglich zu machen. Microsoft hat dort seinen Hauptsitz und fällt unter das dort geltende Recht.
Die Daten europäischer Kunden lässt der Konzern aber über ein Tochterunternehmen der Deutschen Telekom, T-Systems, in Deutschland speichern und schützen. Mit der Begründung, dass amerikanisches Recht nur auf amerikanischem Boden gelte, konnte die Klage in erster Instanz abgewendet werden. Der Prozess läuft aber noch. Inwieweit sich europäisches und amerikanisches Recht in Zukunft potenziell in die Quere kommen werden, bleibt abzusehen.
Da der Anwendungsbereich der e-Privacy-Verordnung gilt, sobald ein Endgerät in Europa auf Kommunikationsdienste zugreift, werden amerikanische Unternehmen überlegen müssen, ob Sie Ihre Angebote in Bezug auf Cookies für Europa lokalisieren und somit weniger zielgerichtete Werbung schalten können oder ob sie Kunden möglicherweise mit einer „Bezahlschranke“ konfrontieren.
Inhalte der aktuellen EU-Cookie-Richtlinie
Die Europäische Union möchte mit der Cookie-Richtlinie die personenbezogenen Daten der Internetnutzer stärker schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:
Technisch notwendige Cookies: Zur notwendigen Datenspeicherung gehören Cookies, die für die Funktionen einer Website zwingend erforderlich sind. Das meint etwa das Speichern von Log-in-Daten, des Warenkorbs oder der Sprachauswahl durch sogenannte Session-Cookies (die beim Schließen des Browsers gelöscht werden).
Technisch nicht notwendige Cookies:
Als nicht notwendige Cookies werden dagegen Textdateien angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen folgende:
Tracking-Cookies
Targeting-Cookies
Analyse-Cookies
Cookies von Social-Media-Websites
Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.
Das ist der Unterschied zwischen Opt-out und Opt-in:
Opt-out: Cookies werden von Beginn an gesetzt – die User können der Datenspeicherung erst nachträglich widersprechen.
Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst, wenn der Nutzer der Datenspeicherung zustimmt.
Der aktuelle Stand der e-Privacy-Verordnung
Der Erstentwurf der e-Privacy-Verordnung verlangte, dass in den Browser-Einstellungen vom Hersteller generell die höchste Privatsphärenstufe voreingestellt sein sollte. In dieser akzeptiert der Browser keine Cookies von Dritten. Somit würden die aktuell viel genutzten Cookie-Banner wegfallen, da sich User bei jeder Software-Installation aktiv dafür entscheiden müssten, Cookies zu akzeptieren. Diese Vorgabe basierte auf dem Prinzip „Privacy by Design“, das bereits in der DSGVO festgeschrieben ist. Ein neuerer Entwurf lockert allerdings die Regelungen für die Browsereinstellungen. Dies lässt User wieder von Domain zu Domain entscheiden, ob Sie Cookies zulassen.
Das sogenannte Koppelungsverbot schreibt vor, dass die Nutzung einer Website nicht davon abhängig gemacht werden darf, ob User der Verwendung von Cookies zustimmen. Es gibt jedoch berechtigte Zwecke, die notwendige Cookies voraussetzen können. Muss sich ein User beispielsweise beim Onlinebanking authentifizieren oder möchte er den Warenkorb eines Onlineshops nutzen, sind häufig Cookies notwendig. Informieren Website-Betreiber die User klar verständlich über den Zweck, können Einverständnis und Nutzung gekoppelt werden.
Was heißt das für den Einsatz von Cookies in der Praxis?
Die Rechtslage ist verzwickt und nicht abschließend geklärt. Hieran ändert auch die Tatsache nichts, dass die EU-Kommission die Anforderungen der Cookie-Richtlinie ebenfalls mit dem deutschen Telemediengesetz bereits als erfüllt ansieht. Sicher ist nur: Grundsätzlich können auf deutschen Webseiten nicht notwendige Cookies von Anfang an gesetzt werden. Wenn dies geschieht, müssen die Besucher aber die Chance haben, sich über Opt-out gegen die Speicherung Ihrer Nutzerdaten auszusprechen.
Die ideale Opt-out-Lösung
Einige deutsche Websites setzen die Vorgaben des TMGs mit dieser Opt-out-Variante um: Die aufgerufene Seite wird am oberen oder unteren Ende mit einem eingeblendeten Banner überlagert, über das die User durch einen entsprechenden Button die Verwendung von Cookies unterbinden können. Im Normalfall enthält das Banner einen Link zur Datenschutzerklärung, die folgende Informationen über die Cookie-Nutzung liefert:
Welche Daten werden gespeichert?
Warum werden diese Daten gespeichert?
Wie lange werden die Daten gespeichert?
Wer ist für die Datenspeicherung verantwortlich?
Wie kann man eine Einwilligung zur Datenspeicherung rückgängig machen?
Wichtig ist auch, dass Sie in der Datenschutzerklärung Auskunft über nicht notwendige Cookies geben. Beachten sollten Sie, dass die Informationen stets eindeutig und verständlich formuliert, dauerhaft abrufbar und leicht zu finden sind. An Stelle eines Banners können Sie auch ein Pop-up-Fenster oder eine vorgeschaltete Webseite verwenden. Ein Pop-up kann jedoch je nach Browser-Einstellung geblockt werden und eine vorgeschaltete Seite wirkt ungewohnt und könnte dazu führen, dass die Website-Besucher abspringen.
Andere Lösungen
Derzeit begegnen einem aber auch viele andere Reaktionen auf die Anforderungen des TMGs. Weit verbreitet ist beispielsweise diese Lösung: Die Nutzer werden per Banner oder Pop-up nur über das Setzen von Cookies informiert und können dem nicht widersprechen; stattdessen erklären sie sich mit der Weiternutzung der Website automatisch mit der Datenspeicherung einverstanden. Andere Websites weisen allein in ihrer Datenschutzerklärung auf die Funktion und Verwendung von Cookies hin.
Allerdings sind diese Varianten nur mit Abstrichen eine akkurate Umsetzung der rechtlichen Vorgaben des TMGs. Diesbezüglich sollte es ausreichend sein, in der Datenschutzerklärung die Nutzung von Cookies angemessen zu erläutern und darauf hinzuweisen, dass man dem widersprechen kann. Da dieser Artikel keine Rechtsberatung darstellt, sollten Sie jedoch bei Unsicherheiten immer einen Experten kontaktieren.
Cookies und Datenschutz: Was bringt die Zukunft?
Website-Betreiber sollten die weiteren Entwicklungen rund um die Umsetzung der EU-Cookie-Richtlinie aufmerksam verfolgen – denn die Rechtslage wird sich mit der e-Privacy-Verordnung definitiv ändern, auch wenn noch nicht ganz klar ist, wie streng diese ausfallen wird. Die Datenschutz-Grundverordnung der EU enthält weitere Bestimmungen für die Sicherheit von personenbezogenen Nutzerdaten. Solange die e-Privacy-Verordnung noch nicht rechtskräftig ist, fallen Cookies zumindest unter den Einflussbereich der in Kapitel 1 der DSGVO definierten personenbezogenen Daten – sofern sie Daten erfassen, die einen User auf irgendeine Weise (Kennnummer, Userprofil etc.) identifizierbar machen.
In den letzten Jahren mussten sich deutsche Websites lediglich dann stärker an der Cookie-Richtlinie orientieren, wenn sie beispielsweise Waren ins EU-Ausland über einen Onlineshop verkauften und entsprechende Zielmärkte das EU-Recht strenger auslegten. Die Cookie-Richtlinie in der EU hatte zudem Einfluss auf das sogenannte Retargeting, bei dem Onlinemarketing-Experten versuchen, mithilfe von Tracking-Cookies Käufer zu weiteren Transaktionen zu bewegen.
Doch mit Einzug der Datenschutz-Grundverordnung in die Gesetzgebung werden auch hierzulande strengere Regeln für die Verarbeitung personenbezogener Daten gelten. Diese Regelungen genau umzusetzen, wird Website-Betreibern zudem ein gutes Stück Arbeit ersparen, wenn später die „neue Cookie-Richtlinie“ in Form der e-Privacy-Verordnung rechtsgültig wird.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel (ganz unten).
Hinweis: Ich zitiere:
Quelle: https://www.datenschutzbeauftragter-info.de/cookie-und-webtracking-nur-mit-einwilligung-was-waere-wenn/
Datum: 14. März 2018
Fachbeitrag
Ab dem 25. Mai 2018 stehen wesentliche Änderungen im Datenschutz an. Cookie und Webtracking könnten nur noch mit ausdrücklicher Einwilligung der Nutzer möglich sein. Das Ob, Wie und Warum wird diskutiert, aber klare Antworten werden nicht geliefert. Wir beleuchten den rechtlichen Hintergrund.
Übergangszeit bis zur ePrivacy-Verordnung
Die ePrivacy-Verordnung sollte zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und die Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) in der Fassung von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie) und das Telemediengesetz (TMG) ablösen. Das wird zum Mai 2018 nicht passieren, da die ePrivacy-Verordnung noch im Entwurfsstadium steckt.
Das TMG enthält eine umfassende Regelung zu Webtracking für deutsche Anbieter. Es erlaubt derzeit das Erstellen pseudonymer und anonymer Nutzerprofile sofern der Nutzer dem nicht widersprich (sog. Widerspruchslösung), während es die Erstellung personenbezogener Profile von einer Einwilligung abhängig macht.
In diesem Artikel geht es nicht um die ePrivacy-Verordnung, sondern um den Umgang mit Cookies und Webtracking in der Übergangszeit bis die ePrivacy-Verordnung wirkt.
Die Argumentationskette
Zurzeit geht man teilweise davon aus, dass ohne ePrivacy-Verordnung das TMG neben der DSGVO (Art. 95 DSGVO i.V.m. Erwägungsgrund 173) gilt, da die Normen des TMG die nationale Umsetzung der ePrivacy-Richtlinie darstellen. Diese Ansicht zieht Erwägungsgrund 25 der ePrivacy-Richtlinie, bzw. Erwägungsgrund 66 der Cookie-Richtlinie heran.
Folgt man einen alternativen Ansatz, könnte man folgendes sagen:
Neben der DSGVO gilt das TMG nach anderer Ansicht nicht weiter. Zwar dient § 15 Abs. 3 TMG der Umsetzung der ePrivacy-Richtlinie, hat die Richtlinie aber gerade nicht korrekt umgesetzt. Dies ergibt sich daraus, dass das TMG eine Opt-Out-Lösung präsentiert während die Richtlinie eine Opt-In-Lösung fordert.
Auch kann die Richtlinie nicht unmittelbar als Rechtsgrundlage herangezogen werden, da eine Richtlinie ihrer Natur nach einer Umsetzung in nationales Recht bedarf (Art. 288 AEUV). Denkbar wäre eine richtlinienkonforme Auslegung des § 15 TMG, was hier bereits schwierig ist, weil sie eine komplette Umdeutung des TMG bedeuten würde. Das ginge im Rahmen einer Auslegung m.E. zu weit. Im Ergebnis verstößt § 15 Abs. 3 TMG gegen die europarechtlichen Vorgaben.
Lösung nach DSGVO
Übrig bleibt also die DSGVO. Die DSGVO ist im Gegensatz zu einer Richtlinie direkt anwendbar und bedarf keiner Umsetzung, eben weil sie eine Verordnung ist. Die DSGVO ist anwendbar, wenn bei Cookies und Webtracking pseudonymisierte Daten verarbeitet werden. Anders als anonyme Daten, fallen pseudonymisierte Daten unter die DSGVO.
So weit so gut.
Aus oben genannter Überlegung wird als Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 47 S. 7 herangezogen. Demnach hat die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich zu sein und im Rahmen einer Interessenabwägung dürfen die Interessen des Betroffenen nicht überwiegen. Aus dem Erwägungsgrund 47 ergibt sich, dass die Verarbeitung zum Zwecke der Direktwerbung ein solches berechtigtes Interesse betrachtet werden kann. Der Fall ist scheinbar klar: Als Rechtsgrundlage kann das berechtigte Interesse herangezogen werden. Eine Widerspruchslösung genügt.
Ein alternativer Ansatz
Was aber passiert, wenn diese Argumentation nicht ausreicht? Wie oben beschrieben, gibt das europäische Recht ein Einwilligungserfordernis für Webtracking vor. Die Einwilligung muss nach diesen Vorgaben aktiv erfolgen und eine Opt-Out-Lösung genügt nicht.
Folgt man einem alternativen Ansatz, wäre das Einholen einer Einwilligung erforderlich. Die Anforderungen an eine Einwilligung sind nach der DSGVO hoch (vgl. Art. 7 DSGVO). Und u.a. dürfte die Einhaltung der Informationspflichten sein – der Cookie Banner würde statt eines mehr oder weniger diskreten Banners nunmehr die gesamte Seite ausfüllen.
Zudem dürfen Daten erst nach der aktiven Einwilligung verarbeitet werden. Konkret bedeutet dies zweierlei. Zum einen, dass eine Einwilligung aktiv erteilt werden müsste – eine konkludente Einwilligung durch Weitersurfen reicht nicht. Zum anderen, das technisch unterbunden wird müsste, dass überhaupt Daten vor einer Einwilligung erhoben werden.
Noch ist nichts sicher
Die hier dargestellte Argumentation ist durchaus vertretbar. Abzuwarten bleibt, wie sich diese Thematik entwickelt und welche Ansicht sich auf europäischer Ebene durchsetzt. Überhaupt bleibt abzuwarten, wie sich die Diskussion rund um die ePrivacy-Verordnung entwickelt.
Ich bin auf der Suche nach weiteren Informationen zum Thema Cookies auf einen Beitrag gestossen, den ich gerne zitieren möchte.
Quelle: https://shopbetreiber-blog.de/2017/06/01/dsgvo-cookies-1/
Ich zitiere hier einen Beitrag von Jennifer Rost vom 1.06.2017
Neue Rechtsgrundlagen der DSGVO
Zunächst ist festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer
„Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“
zugeordnet werden kann. Dies ist eine weitergehende Definition, als § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sie noch enthielt.
Cookies enthalten regelmäßig jedenfalls Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird. Dass es sich hierbei um Pseudonyme handelt, spielt im Rahmen der DSGVO zunächst keine Rolle.
Es bleibt insoweit bei dem Verbot mit Erlaubnisvorbehalt, das auch der DSGVO zugrunde liegt: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt. Diese Bedingungen sind neu, ähneln inhaltlich jedoch Regelungen, die heute bereits aus §§ 28 ff. BDSG bekannt sind. Auf den ersten Blick bleibt für Cookies daher nur der Weg über eine vorherige Einwilligung des Betroffenen. Doch kann der europäische Gesetzgeber diese wenig praktikable Lösung wirklich gewollt haben?
Lösung über die Abwägung berechtigter Interessen
Kurz gesagt: nein. Zwar muss mangels einer Privilegierung wie § 15 Abs. 3 TMG in Zukunft auf die „normalen“ Voraussetzungen einer zulässigen Verarbeitung personenbezogener Daten zurückgegriffen werden. Die Einwilligung ist jedoch nicht die einzige Alternative, die für Cookies in Frage kommt.
Vielmehr bietet Art. 6 Abs. 1 Satz 1 lit. f DSGVO eine Möglichkeit für die zulässige Verarbeitung von personenbezogenen Daten, der nicht nur im Hinblick auf Cookies voraussichtlich eine große Relevanz zukommen wird.
Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Es kommt also auf eine Interessenabwägung im Einzelfall an.
Durchführung der Abwägung für den Einzelfall
Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:
Gibt es ein berechtigtes Interesse des Online-Händlers?
Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?
Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse.
Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.
Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.
Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte.
Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen: Werden nur pseudonymisierte personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Online-Händlers ebenfalls in die Waagschale geworfen werden.
Beispiele
Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Online-Händlers am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?
Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitebesucher regelmäßig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen oder den Warenkorb sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.B. UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.
Fazit
Im Ergebnis bringt die Datenschutzgrundverordnung bezüglich der Zulässigkeit des Einsatzes von Cookies keine 180°-Drehung. Zwar entfällt künftig die Rechtsgrundlage, über die heute der Großteil der Cookies eingesetzt wird – insbesondere § 15 Abs. 3 TMG. Art. 6 Abs. 1 Satz 1 lit. f DSGVO bietet mit der Zulässigkeit bei positiver Interessenabwägung jedoch eine vielseitig einsetzbare Alternative.
Doch Vorsicht! Die Vorschrift ist kein Freifahrtschein – eine Interessenabwägung sollte immer objektiv und gewissenhaft durchgeführt werden, bevor der Cookie gesetzt wird. Nur, weil der Einsatz bisher möglich war, muss dies nicht auch für die Zukunft gelten – beginnen Sie daher schon heute, die Rechtmäßigkeit der von Ihnen eingesetzten Cookies unter der DSGVO zu überprüfen.
Gleichzeitig ist das jederzeitige Widerspruchsrecht der Betroffenen aus Art. 21 DSGVO zu beachten und entsprechend einzuräumen.
Ist der Einsatz eines Cookies über Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig, ist folglich keine Einwilligung erforderlich. Dies lässt jegliche Notwendigkeit für einen Cookie-Banner entfallen.
Etwas anderes kann sich jedoch aus der sog. ePrivacy-Verordnung der EU ergeben, welche sich aktuell im Entwurfsmodus befindet. Dort ist eine Neuregelung der Inhalte aus der Cookie-Richtlinie im Einklang mit der DSGVO geplant. Wir halten Sie hierzu auf dem Laufenden.
Eine weitere Interessante Zusammenfassung/Überblick zum Thema Cookies finden Sie unter
https://www.onlinehaendler-news.de/recht/rechtsfragen/29385-dsgvo-9-cookies.html
FAZIT:
1. Setzen Sie ein Cookie-Banner ein, wenn sie sich nicht sicher sind, wer auf ihrer Webseite welce Daten sammelt, um sich abzusichern.
2. Identifizieren Sie die Cookies auf ihrer Webseite und analysieren Sie genau welche Cookies sie warum einsetzen
3. Verwenden Sie nur die Cookies die sie zwingend benötigen, um so weniger Daten sie sammeln um so besser
4. Speichern sie die Daten nur im Sinne der Notwendigkeit des Vernwendungszweck der Daten entsprechend.
Generell gilt je weniger personenbezogene Daten sie speichern, destso besser ist es im Sinne der DSGVO.
Beispiel:
IP-Adressen können durchaus personenbezogen ausgewertet werden. IP-Adressen können einem Ort zugeordnet werden, ein Ort wohlmöglich eindeutig einer einzelnen Person und somit sind es schon wieder eindeutig personenbezogene Daten die zumindest hätten soweit Anonymisiert werden müssen, um für Auswertungen verwendet werden zu dürfen.
Haftungsausschluss
Die Informationen in diesem Artikel sind allein als unverbindliche Hinweise zu verstehen. Für die inhaltliche Richtigkeit der hier gemachten Angaben übernimmt die Dynamics Business Solutions GmbH keine Gewähr.
No responses yet