Cookie und Webtracking nur mit Einwilligung – Was wäre wenn

Fachbeitrag

Ab dem 25. Mai 2018 stehen wesentliche Änderungen im Datenschutz an. Cookie und Webtracking könnten nur noch mit ausdrücklicher Einwilligung der Nutzer möglich sein. Das Ob, Wie und Warum wird diskutiert, aber klare Antworten werden nicht geliefert. Wir beleuchten den rechtlichen Hintergrund.

Übergangszeit bis zur ePrivacy-Verordnung

Die ePrivacy-Verordnung sollte zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und die Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) in der Fassung von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie) und das Telemediengesetz (TMG) ablösen. Das wird zum Mai 2018 nicht passieren, da die ePrivacy-Verordnung noch im Entwurfsstadium steckt.

Das TMG enthält eine umfassende Regelung zu Webtracking für deutsche Anbieter. Es erlaubt derzeit das Erstellen pseudonymer und anonymer Nutzerprofile sofern der Nutzer dem nicht widersprich (sog. Widerspruchslösung), während es die Erstellung personenbezogener Profile von einer Einwilligung abhängig macht.

In diesem Artikel geht es nicht um die ePrivacy-Verordnung, sondern um den Umgang mit Cookies und Webtracking in der Übergangszeit bis die ePrivacy-Verordnung wirkt.

Die Argumentationskette

Zurzeit geht man teilweise davon aus, dass ohne ePrivacy-Verordnung das TMG neben der DSGVO (Art. 95 DSGVO i.V.m. Erwägungsgrund 173) gilt, da die Normen des TMG die nationale Umsetzung der ePrivacy-Richtlinie darstellen. Diese Ansicht zieht Erwägungsgrund 25 der ePrivacy-Richtlinie, bzw. Erwägungsgrund 66 der Cookie-Richtlinie heran.

Folgt man einen alternativen Ansatz, könnte man folgendes sagen:

Neben der DSGVO gilt das TMG nach anderer Ansicht nicht weiter. Zwar dient § 15 Abs. 3 TMG der Umsetzung der ePrivacy-Richtlinie, hat die Richtlinie aber gerade nicht korrekt umgesetzt. Dies ergibt sich daraus, dass das TMG eine Opt-Out-Lösung präsentiert während die Richtlinie eine Opt-In-Lösung fordert.

Auch kann die Richtlinie nicht unmittelbar als Rechtsgrundlage herangezogen werden, da eine Richtlinie ihrer Natur nach einer Umsetzung in nationales Recht bedarf (Art. 288 AEUV). Denkbar wäre eine richtlinienkonforme Auslegung des § 15 TMG, was hier bereits schwierig ist, weil sie eine komplette Umdeutung des TMG bedeuten würde. Das ginge im Rahmen einer Auslegung m.E. zu weit. Im Ergebnis verstößt § 15 Abs. 3 TMG gegen die europarechtlichen Vorgaben.

Lösung nach DSGVO

Übrig bleibt also die DSGVO. Die DSGVO ist im Gegensatz zu einer Richtlinie direkt anwendbar und bedarf keiner Umsetzung, eben weil sie eine Verordnung ist. Die DSGVO ist anwendbar, wenn bei Cookies und Webtracking pseudonymisierte Daten verarbeitet werden. Anders als anonyme Daten, fallen pseudonymisierte Daten unter die DSGVO.

So weit so gut.

Aus oben genannter Überlegung wird als Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 47 S. 7 herangezogen. Demnach hat die Verarbeitung zur  Wahrung der berechtigten Interessen des Verantwortlichen erforderlich zu sein und im Rahmen einer Interessenabwägung dürfen die Interessen des Betroffenen nicht überwiegen. Aus dem Erwägungsgrund 47 ergibt sich, dass die Verarbeitung zum Zwecke der Direktwerbung ein solches berechtigtes Interesse betrachtet werden kann. Der Fall ist scheinbar klar: Als Rechtsgrundlage kann das berechtigte Interesse herangezogen werden. Eine Widerspruchslösung genügt.

Ein alternativer Ansatz

Was aber passiert, wenn diese Argumentation nicht ausreicht? Wie oben beschrieben, gibt das europäische Recht ein Einwilligungserfordernis für Webtracking vor. Die Einwilligung muss nach diesen Vorgaben aktiv erfolgen und eine Opt-Out-Lösung genügt nicht.

Folgt man einem alternativen Ansatz, wäre das Einholen einer Einwilligung erforderlich. Die Anforderungen an eine Einwilligung sind nach der DSGVO hoch (vgl. Art. 7 DSGVO). Und u.a. dürfte die Einhaltung der Informationspflichten sein – der Cookie Banner würde statt eines mehr oder weniger diskreten Banners nunmehr die gesamte Seite ausfüllen.

Zudem dürfen Daten erst nach der aktiven Einwilligung verarbeitet werden. Konkret bedeutet dies zweierlei. Zum einen, dass eine Einwilligung aktiv erteilt werden müsste – eine konkludente Einwilligung durch Weitersurfen reicht nicht. Zum anderen, das technisch unterbunden wird müsste, dass überhaupt Daten vor einer Einwilligung erhoben werden.

Dieser Ansatz wird von den deutschen Datenschutzaufsichtsbehörden vertreten.

Noch ist nichts sicher

Die hier dargestellte Argumentation ist durchaus vertretbar. Abzuwarten bleibt, wie sich diese Thematik entwickelt und welche Ansicht sich auf europäischer Ebene durchsetzt. Überhaupt bleibt abzuwarten, wie sich die Diskussion rund um die ePrivacy-Verordnung entwickelt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing / Werbung

2 Kommentare zu diesem Beitrag

  1. Es sind jetzt noch zwei Tage bis zum Inkrafttreten der neuen Regeln, bisher habe ich jedoch nur in hömöopathischen Mengen beobachtet, dass ich dem Einsatz von Tracking Cookies widersprechen kann (egal ob Opt-In oder Opt-Out). Bedeutet das, dass jetzt der Abmahn Wahnsinn beginnt? Oder gibt es Gründe, die es mir als Website Betreiber legal erlauben, auch ohne Einwilligung des Nutzers solche Daten zu verarbeiten?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.