Über den Einsatz von Cookies haben wir bereits des Öfteren berichtet, da dieses Thema zahlreiche Fragen aufwirft. Unter anderem informierten wir bereits über datenschutzrechtliche Risiken und wie sich Nutzer schützen können.
Sowohl aus dem Telemediengesetz (TMG) als auch aus der Richtlinie 2009/136/EG, auch Cookie-Richtlinie genannt (Ergänzung der e-Privacy-Richtlinie 2002/58/EG), lässt sich ableiten, dass Seitenbesucher über den Einsatz von Cookies informiert werden sollten. Es stellt sich allerdings vermehrt die Frage, welche Regelungen die EU-Datenschutz-Grundverordnung vorsieht.
Cookies und DS-GVO – Welche Änderungen zu erwarten sind
Das bereits – aus dem Bundesdatenschutzgesetz (BDSG) – bekannte Verbot mit Erlaubnisvorbehalt bleibt auch zukünftig mit der DS-GVO bestehen, weswegen Unternehmen vor der Verarbeitung personenbezogener Daten prüfen sollten, ob mindestens eine der – in Artikel 6 Abs. 1 DS-GVO – benannten Bedingungen erfüllt ist. In Artikel 6 Abs. 1 Satz 1 DS-GVO heißt es dazu: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“
Neben der DS-GVO wird es zudem eine E-Privacy-verordnung geben, die die aktuelle e-Privacy-Richtlinie ablösen soll. Diese soll – wie auch die ursprüngliche e-Privacy-Richtlinie – den Schutz personenbezogener Daten in der elektronischen Kommunikation sicherstellen.
Cookies und E-Privacy-Verordnung
In Artikel 8 Abs. 1 im Entwurf der E-Privacy-Verordnung heißt es: „Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:
- sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
- der Endnutzer hat seine Einwilligung gegeben oder
- sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
- sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.“
In Erwägungsgrund (ErwG.) 21 des Entwurfs der E-Privacy-Verordnung wird erläutert, dass der Einsatz von Cookies somit unter anderem für Konfigurationszwecke und für die Dauer einer Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von zum Beispiel Online-Formularen bei mehreren Seiten mitverfolgen zu können, zulässig ist. Auch können Cookies demnach ein Hilfsmittel sein, um zum Beispiel den Webdatenverkehr zu einer Website zu messen.
Zudem wird in ErwG. 22 des Entwurfs der E-Privacy-Verordnung beschrieben, dass Webbrowser zukünftig Betroffene (Nutzer) auffordern sollen, Voreinstellungen zum Einsatz von Cookies vorzunehmen. Dabei sollen Nutzer festlegen, ob das Setzen von allen Cookies, nur von Cookies des Erstanbieters (Webseitenbetreibers) erlaubt ist und ob gar keine Cookies gesetzt werden dürfen. Dadurch könnte zwar zukünftig die Pflicht zum Einsatz von Cookie-Bannern wegfallen, allerdings bedeutet es für Webseitenbetreiber, dass der Do-Not-Track-Mechanismus der Webbrowser, keinesfalls ignoriert werden darf. Dieser wird von Webbrowsern unterstützt und soll Webseiten signalisieren, dass keine Nutzungsprofile erstellt/keine Cookies gesetzt werden dürfen.
Was ist mit Cookies von Drittanbietern?
Nutzer sollen somit zukünftig in den Voreinstellungen den Einsatz von sämtlichen Cookies oder von Drittanbieter-Cookies verbieten. Dies könnte dazu führen, dass insbesondere Drittanbieter-Cookies häufig blockiert werden, was wiederrum die Online-Werbung für Unternehmen erheblich erschwert. Deshalb dürften Webseitenbetreiber die Einwilligung zum Einsatz von Drittanbieter-Cookies aller Voraussicht nach mit einer individuellen Anfrage beim Endnutzer einholen. Dies dürfte allerdings wiederrum den Einsatz von detaillierten Cookie-Bannern erfordern.