Muss der Online-Händler die Nutzer seiner Webseite nicht nur über die Verwendung von Cookies informieren, sondern beim Aufrufen der Webseite deren ausdrückliche Einwilligung einholen? Dies war schon bei der bisherigen Rechtslage unklar. Die Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 angewendet werden muss, macht die rechtliche Situation noch verwirrender. Vollends undurchsichtig wird die Lage auf Grund der künftigen ePrivacy-Verordnung, die den Einsatz von Cookies regeln soll. Wie hat sich der Online-Händler hier künftig zu verhalten, wenn er Abmahnungen und Bußgelder nach der DSGVO und der ePrivacy-Verordnung vermeiden will? Die IT-Recht-Kanzlei stellt die bisherige und die künftige Rechtslage im heutigen Gastbeitrag dar.

RECHTSLAGE MIT GELTUNG DER DSGVO

Online-Händler müssen sich darauf einstellen, dass ab 25. Mai 2018 die DSGVO gelten wird. Wird die künftige DSGVO, die in Deutschland unmittelbare Geltung hat, die bisherige deutsche Rechtslage des § 15 Abs. 3 zum Opt-Out Verfahren bei der Verwendung von Cookies aushebeln? Muss dann bei der Verwendung von Cookies die vorherige Einwilligung der Nutzer einholen? Diese Frage wird kontrovers diskutiert.
Wird das künftige DSGVO den datenschutzrechtlichen Regelungen des deutschen Telemediengesetzes (TMG) künftig vorgehen?
Der Anwendungsvorrang der DSGVO vor den datenschutzrechtlichen Regelungen des TMG ist gegeben, da die DSGVO als in Deutschland unmittelbar geltendes Recht, die Erhebung und Verarbeitung von personenbezogenen Daten regelt (s. auch Gola Kommentar, Art 6 Rdr. 30).
Die DSGVO findet auch auf die Verwendung von Cookies Anwendung, da es sich hier um personenbezogene Daten i.S.d Art. 4 Nr. 1 DSGVO handelt. Der Nutzer hinterlässt auf der Webseite Identifikationsmerkmale wie z.B. seine IP-Adresse. Diese Information kann durch den Cookie-Datensatz dem Nutzer zugeordnet werden, s. Erwägungsgrund 30 der DSGVO:

„(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“

Hat dennoch die Regelung des § 15 Abs. 3 TMG zum Opt-Out Verfahren als lex specialis entsprechend Art. 95 DSGVO auch künftig weiterhin Geltung?
Dies wird kontrovers diskutiert. Wie viele Bestimmungen des DSGVO ist auch der Art. 95 alles andere als klar formuliert. Dem Wortlaut des ersten Halbsatzes nach soll „natürlichen (oder juristischen) Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsnetze in der Union keine zusätzlichen Pflichten (auferlegt werden)“. Spezielle datenschutzrechtliche Pflichten der e-Privacy-Richtlinie 2002/58/EG („Cookie-Richtlinie“) oder genauer gesagt, Pflichten, die aus der Umsetzung dieser Richtlinie erwachsen, würden damit jenen der DSGVO vorgehen (s. Kommentar Gola, Art. 95 Rdr. 4 ff). Gilt das auch für § 15 Abs. 3 TMG, der bei Verwendung von Cookies nur die Möglichkeit des Widerspruchs vorsieht?
Hier fangen die Schwierigkeiten an.
Art. 5 Abs. 3 Cookie-Richtlinie, der den Einsatz von Cookies regelt, bezieht sich gerade nicht auf die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste, sondern auf jede Person, die Informationen auf Endgeräte überträgt oder auf diesen Geräten liest (Gola, a.a.O.). Weiterhin ist der zweite wenig verständliche Halbsatz des Art. 95 DSGVO zu berücksichtigen. Demnach gilt der Vorrang der Cookie-Richtlinie oder der Vorschriften zur nationalstaatlichen Umsetzung nur, soweit die natürlichen Personen „besonderen in der Cookie-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel erfolgen“. Zusätzliche Unsicherheit erwächst aus dem Umstand, dass Art. 5 Abs. 3 Cookie-Richtlinie gar nicht in deutsches Recht umgesetzt wurde, da wie oben ausgeführt nach Auffassung der Bundesregierung deutsches Recht bereits vor Inkrafttreten der Cookie-Richtlinie die Frage der Einwilligungspflicht bei Verwendung von Cookies abdeckt. Es besteht daher keine Klarheit darüber, ob § 15 Abs. 3 TMG als Umsetzung der Cookie-Richtlinie den Regelungen der DSGVO vorgeht (s. Gola, Art. 95, Rndr. 18).

HINWEIS FÜR DIE PRAXIS

Es ist daher besser, nicht auf die weiterbestehende Vorrangigkeit des § 15 Abs. 3 TMG zu vertrauen.
Die Regelungen der DSGVO zur Verwendung von Cookies
Die DSGVo regelt zwar nicht ausdrücklich die Verwendung von Cookies als pseudodynamisierte Daten. Das heißt aber nicht, dass die DSBVO hier keine Anwendung findet. Wie bereits oben ausgeführt, sind Cookies personenbezogene Daten i.S.d. Legaldefinition des Art 4 Nr. DSGVO. Nach dem DSGVO gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt bei Verarbeitung von Daten. In Art 6 DSGVO als zentrale Vorschrift sind abschließend alle Rechtmäßigkeitsgründe für die Verarbeitung von personenbezogen Daten geregelt.
Eine große Bedeutung wird für die Frage der Verwendung von Cookies Art. 6 Abs. 1 lit f DSGVO als Rechtmäßigkeitsgrund zukommen, demnach u.a. auch Cookies ohne vorherige Einwilligung des Betroffenen unter bestimmten Voraussetzungen verwendet werden können.
Art. 6 Abs. lit f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen ….
Es ist also eine Abwägung zwischen den berechtigen Interessen des Online-Händlers und den Interessen oder Grundrechte der betroffenen Person vorzunehmen.
Der Online-Händler kann als berechtigte Interessen in sehr allgemeiner Weise seine wirtschaftlichen, rechtlichen und ideellen Interessen geltend machen (s. Gola, Art. 6 Rdnr. 51) . Dies schließt die Verwendung von Cookies jeglicher Art, auch von Drittpartei-Cookies ein. Ist die Verarbeitung der Daten mit Hilfe von Cookies zur Erreichung der Interessen des Online-Händlers erforderlich (Art. 5 DSGVO), dann muss geprüft werden, ob überwiegende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem entgegenstehen. Ein bloßes Tangieren der Rechte des Betroffenen reicht dabei nicht aus (s. Gola a.a.O, Rdnr. 52). Dies sind äußerst vag Abwägungsmaßstäbe, die auch durch den in Erwägungsgrund 47 genannten Grundsatz „der vernünftigen Erwartungshaltung des Betroffenen“ kaum konturiert werden. Es wird von der künftigen Rechtsprechung des EuGHs abhängen, ob konkrete Kriterien für diese Interessenabwägung gefunden werden können.

FAZIT FÜR DIE PRAXIS

1. Auch wenn § 15 Abs. 3 TMG für die Frage der Verwendung von Cookies in Zukunft nicht mehr angewendet werden kann, so bleibt im Ergebnis alles weitgehend beim Alten. Der Online-Händler kann auf der Grundlage des allgemeinen Erlaubnistatbestands des Art. 6 Abs. 1, lit f Cookies verwenden, ohne die vorherige Einwilligung des Nutzers einzuholen. Dies bezieht auch Cookies von Drittparteien ein. Das sehr vage Abwägungsgebot dieser Vorschrift gibt jedenfalls dem Online-Händler einen weiten Spielraum.
Allerdings müssen in der künftigen Datenschutzerklärung des Online-Händlers bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO ausdrücklich bejaht werden:
Art. 6 Abs. 1 lit f DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden
Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Händlers vor
Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich.
Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.
Die IT-Recht Kanzlei wird für ihre Mandanten eine Datenschutzerklärung gemäß DSGVO ausarbeiten, die dies berücksichtigt.
2. Es bleibt bei der bisherigen Empfehlung der IT-Recht Kanzlei
Um ein Abmahnungsrisiko zu minimieren und (theoretisch) mögliche Schritte von Google wegen Verletzung seiner Nutzungsbedingungen zu vermeiden, empfiehlt die IT-Recht Kanzlei gleichwohl weiterhin, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und ihn darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird (s. diesen Beitrag der IT-Recht Kanzlei)

RECHTSLAGE MIT KÜNFTIGER GELTUNG DER EPRIVACY VERORDNUNG

Ursprünglich sollte die e-Privacy-Verordnung zum Schutz vor ungewolltem Tracking und zur Verwendung von Cookies im Mai 2018 in Kraft treten. Auf Anfrage hat das Bundeswirtschaftsministerium nun mitgeteilt, dass sich die EU-Mitgliedstaaten wohl erst im Frühjahr 2018 auf eine gemeinsame Verhandlungsposition einigen können. Die jetzigen Schwierigkeiten einer Regierungsbildung in Deutschland werden eine solche Einigung sicher nicht erleichtern. Es sind noch eine Unzahl von Punkten zwischen EU-Parlament, EU-Kommission und Ministerrat zu klären. Vor diesem Hintergrund ist es zurzeit wenig sinnvoll, über die Auswirkungen dieses Verordnungsentwurfs zu spekulieren.
Den vollständigen Artikel finden Sie auf den Seiten der IT Recht Kanzlei.