DSGVO: Viele Cookies nicht mehr einsetzbar
Die Verwendung von Cookies ist bislang in der ePrivacy-Richtlinie geregelt. Die ePrivacy-Richtlinie legt fest, dass bestimmte Cookies stets einer Einwilligung bedürfen. Dieser Teil der ePrivacy-Richtlinie (Art. 5 Abs. 3 ePrivacy-Richtlinie) wurde in Deutschland nicht (ausdrücklich) umgesetzt und fand bisher auch nicht aufgrund einer unmittelbaren Wirkung der Richtlinie Anwendung, da eine horizontale unmittelbare Wirkung der ePrivacy-Richtlinie ausscheidet. Soweit durch die ePrivacy-Richtlinie (bzw. die nationale Umsetzung dieser Richtlinie) nichts anderes geregelt ist, kommen die Vorschriften der DSGVO zur Anwendung (Art. 95 DSGVO). Genau hier setzen auch die bisherigen Diskussionen zur Rechtmäßigkeit von Cookies an: Da die ePrivay-Richtlinie in Deutschland weder umgesetzt wurde, noch unmittelbar Anwendung findet, existiert in Deutschland keine ausdrückliche Regelung. Da ab dem 25.05.2018 maßgeblich die DSGVO gilt, kam als Rechtmäßigkeitsgrundlage neben der Einwilligung daher insbesondere das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO für den Einsatz von Cookies in Betracht. Dieser Auffassung stellen sich die Datenschutzbehörden nun jedoch entgegen. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) gaben am Donnerstag eine Stellungnahme hierzu raus. Nach Auffassung der DSK komme es für die Beurteilung der Rechtmäßigkeit des Einsatzes von Cookies maßgeblich auf das Vorhandensein einer Einwilligung im Sinne der DSGVO an. Soweit Tracking-Mechanismen zum Einsatz kommen, bedürfe es stets einer vollinformierten vorherigen Einwilligung. Die DSK führt aus, dass diese Auffassung im Einklang mit dem europäischen Rechtsverständnis stehe. Im überwiegenden Teil der EU-Mitgliedstaaten wurde danach die ePrivacy-Richtlinie bereits vollständig (inkl. des Einwilligungs-Erfordernisses) in nationales Recht umgesetzt, oder die jeweiligen Aufsichtsbehörden fordern schon heute ein entsprechendes „Opt-in“. Um künftig einen einheitlichen Vollzug europäischen Datenschutzrechts gewährleisten zu können, dürfe dies in Deutschland nicht anders behandelt werden. Zusammengefasst: • Der Einsatz von Cookies kann auf die Rechtmäßigkeitsgrundlagen Art. 6 Abs. 1 lit. b (z.B. zur Erfüllung eines Vertrages) und lit. f (berechtigtes Interesse an der Verarbeitung) DSGVO gestützt werden, soweit die Verarbeitung unbedingt erforderlich ist, um den Dienst zur Verfügung zu stellen. • Sofern Tracking-Mechanismen eingesetzt oder Nutzerprofile erstellt werden, fordert die DSK stets eine umfassende Einwilligung der betroffenen Person gem. der DSGVO. Dazu RA Christian Solmecke: „Die jetzige Beurteilung der Aufsichtsbehörden kommt spät. Für Webseiten Betreiber bleibt jetzt nur noch wenig Zeit, ihre Technologie entsprechend umzugestalten. Das Hauptproblem besteht darin, dass Cookies in der Regel nur noch gesetzt werden dürfen, wenn der Nutzer VORHER umfassend über die Funktionsweise des Cookies informiert worden ist und sich damit einverstanden erklärt hat. Im Umkehrschluss darf natürlich kein Cookie gesetzt werden, sofern der Nutzer sich nicht damit einverstanden erklärt hat. Ein weiteres maßgebliches Problem ist, dass es gerade bei Analysediensten wie Google Analytics nicht möglich ist, eine vollinformierte transparente Einwilligung einzuholen, da nicht abschließend bekannt ist, welche personenbezogenen Daten von diesen Diensten genau verarbeitet werden. Problematisch an der Sichtweise der DSK ist ebenfalls, dass nun für Cookies, die nicht unbedingt zum Betrieb der Internetseite notwendig sind, einzelne Einwilligungen eingeholt werden müssen. Eine globale Einwilligung dürfte nicht ausreichen. Verantwortlichen ist jetzt zu raten, möglichst nur noch solche Cookies einzusetzen, die zwangsläufig für den Betrieb der Seite notwendig sind oder für die es möglicherweise ein berechtigtes Interesse geben kann. Bezogen auf solche Cookies reicht auch in Zukunft ein einfacher Datenschutzhinweis, für sämtliche anderen Cookies muss die explizite Einwilligung erteilt werden. Dummerweise wird auch das nur eine Übergangslösung für die Verantwortlichen sein. Eine endgültige Regelung zum Thema Cookies soll die ePrivacy Verordnung liefern, die die ePrivacy-Richtlinie eigentlich schon zum 25. Mai 2018 ablösen sollte. Aufgrund von Diskussionen im EU-Parlament kam es dann jedoch zu Verzögerungen, so dass mit dem Inkrafttreten einer ausverhandelten ePrivacy-Verordnung, die dann endgültig Aufschluss über die Verwendung von Cookies gibt, erst im Jahr 2019 zu rechnen ist. Bis dahin bleibt Verantwortlöichen nichts anderes übrig, als sich auf brüchiges Eis zu begeben, sofern sie noch Cookies einsetzen wollen.“