Cookies auf Unternehmenswebseiten – Orientierungshilfe der Aufsicht

06. Mai 2019

Die Europäische Datenschutz-Grundverordnung (DS-GVO) stellt Unternehmen weiter vor schwierige Rechtsfragen und Unsicherheiten. Es ist insbesondere nicht immer klar, welche Anforderungen an rechtmäßige Datenverarbeitungen bestehen und in welchem Verhältnis die DS-GVO zu anderen Rechtsvorschriften steht. Die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzbehörden auf Bundes- und Landesebene, hat es sich zum Ziel gemacht, eine einheitliche Anwendung des deutschen und europäischen Datenschutzrechts durch deutsche Aufsichtsbehörden zu gewährleisten. Für Online-Angebote hat die DSK kürzlich eine Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien publiziert, die wichtige Informationen für Unternehmen bietet. Ihre Kernpunkte werden hier in Kürze zusammengefasst.

Keine Anwendbarkeit des Telemediengesetzes

Ausgangspunkt der rechtlichen Fragestellungen in diesem Bereich ist das Telemediengesetz (TMG), das sektorspezifische Datenschutznormen für das Angebot von Online-Services beinhaltet. Die Bundesregierung vertritt die Auffassung, mit dem TMG die Maßgaben aus der sog. ePrivacy-Richtlinie umgesetzt zu haben. Das TMG hat nach Verabschiedung der DS-GVO keine Anpassung an die DS-GVO erfahren. Umstritten ist seither, in welchem Umfang es gilt.

Die DSK geht in ihrer Orientierungshilfe zunächst von einem strikten Anwendungsvorrang der DS-GVO aus, der nur durch speziellere Regelungen oder durch Öffnungsklauseln eingeschränkt werden könne. Eine solche Ausnahmereglung liege im Ergebnis nicht vor. Dazu müsste es sich bei den Datenschutznormen des TMG um die Umsetzung der ePrivacy-Richtlinie handeln. Die Datenschutzvorschriften in §§ 11 ff. TMG wiesen jedoch unüberwindbare Widersprüche zu den Wertungen der ePrivacy-Richtlinie auf. So sei die in § 15 Abs. 3 TMG enthaltende Widerspruchslösung (Opt-Out) nicht mit dem in Art. 5 Abs. 3 ePrivacy-Richtlinie geregelten Einwilligungserfordernis (Opt-In) zur Datenverarbeitung vereinbar. Privatwirtschaftliche Telemediendienstanbieter hätten sich in Deutschland somit vor allem nach den Vorschriften der DS-GVO zu richten.

Rechtsgrundlagen für Werbe-, Tracking- und ähnliche Cookies

Für nichtöffentliche Telemediendienste – insbesondere von Unternehmen und Privatpersonen betriebene Webseiten – kommen als Rechtsgrundlage für den Einsatz von Werbe-, Tracking- und ähnlichen Cookies laut DSK damit nur die Einwilligung, die Vertragserfüllung und die Interessensabwägung (Art 6 Abs. 1 lit. a, b und f DS-GVO) in Betracht. Keine genaueren Ausführungen enthält die Orientierungshilfe dabei in Hinblick darauf, inwieweit der Einsatz von Cookies zur Erfüllung eines bei der Nutzung von Webseiten geschlossenen Vertrages erforderlich sein kann, weil dieser als Rechtsgrundlage für Online-Services auf europäischer Ebene weiterhin kontrovers diskutiert werde. Die kürzlich vom Europäischen Datenschutzausschuss (EDSA) veröffentlichten Guidelines 2/2019 lassen jedoch erahnen, dass dieser Rechtsgrundlage beim Betrieb gewöhnlicher Webseiten keine große Bedeutung zukommt.

Anforderungen an eine Interessenabwägung

Den Schwerpunkt des Berichts legt die DSK auf die Interessenabwägung. Nach dieser Rechtsgrundlage sei dreistufig zu prüfen, ob (1) ein berechtigtes, d.h. im Einklang mit der Rechtsordnung stehendes Interesse des Verantwortlichen oder eines Dritten vorliege, (2) die Datenverarbeitung zur Wahrung der Interessen erforderlich sei und (3) die Interessen der betroffenen Person bei Abwägung mit den berechtigten Interessen nicht überwiegen. Aus Unternehmenssicht sind hier vor allem wirtschaftliche Belange, etwa die Optimierung des Webangebots, Kosteneinsparungen und Reichweitenmessung, maßgeblich. Bei der Abwägung auf dritter Ebene sei insbesondere das Recht auf Schutz personenbezogener Daten zu berücksichtigen. Dabei müssen auch die Ausgestaltung und Wirkungen der Verarbeitung auf die betroffenen Personen oder etwaige Schutzmaßnahmen miteinbezogen werden. Die DSK benennt zur Interessenabwägung im Einzelfall acht Kriterien, die bei der Abwägung berücksichtigt werden sollten, darunter die vernünftigen Erwartungen der Betroffenen, die Art bzw. Sensibilität der verarbeiteten Informationen und der mit der Webseite adressierte Kreis. Wichtig ist dabei festzuhalten, dass nach Ansicht der DSK der Einsatz von Cookies durchaus im Einzelfall auf die Interessenabwägung gestützt werden kann und nicht in jedem Fall eine Einwilligung erforderlich ist.

Anforderungen an eine Einwilligung

Die Einholung einer Einwilligung empfiehlt sich laut DSK für jene Datenverarbeitungsvorgänge, die nicht auf die Interessenabwägung gestützt werden können. Dies ist nach der DSK jedenfalls dann erforderlich, wenn Nutzerdaten webseitenübergreifend zusammengeführt und ausgewertet werden, insbesondere beim Einsatz externer Analysetools.

Einwilligungen haben selbstbestimmt, informiert und eindeutig zu erfolgen. Hieran fehle es jedenfalls dann, wenn die Erbringung einer Dienstleistung an die datenschutzrechtliche Einwilligung gekoppelt werde. Ein Webseitenbesuch müsse auch dann möglich sein, wenn sich der Nutzer gegen das Setzen von Cookies entscheide. Daneben müsse die betroffene Person detailliert und präzise wie möglich über die Datenverarbeitungsvorgänge informiert werden. Weiter müsse der Betroffene die Möglichkeit haben, seine Zustimmung für Cookies, die verschiedene Sachverhalte betreffen, gesondert zu erklären. Dem Nutzer muss ferner die Möglichkeit eines Widerrufs gegeben werden, der ebenso leicht wie die Einwilligung erklärt werden kann.

Wann sind Cookie-Banner erforderlich?

Bei sogenannten „Cookie-Bannern“ handelt es sich um großflächige Hinweise beim erstmaligen Abruf von Webseiten, in denen der Nutzer über den Cookie-Einsatz hingewiesen wird. In ihrer Orientierungshilfe vertritt die DSK die Auffassung, Unternehmen sollten Cookie-Banner nur dann einsetzen, wenn tatsächlich eine Einwilligung erforderlich sei. Zudem habe der Banner alle einwilligungsbedürftigen Verarbeitungsvorgänge samt Beteiligten und deren Funktion aufzulisten. Die Einwilligung könne etwa durch aktives Setzen von Häkchen erfolgen, wohingegen konkludente Verhaltensweisen, z.B. die Weiterbenutzung der Webseite, nicht genügten. Insbesondere reiche ein Cookie-Banner, das über die Cookie-Setzung aufklärt und durch Nutzer weggeklickt werden kann, nicht, wenn die Nutzer keine Möglichkeit erhielten, das Setzen einwilligungsbedürftiger Cookies abzulehnen. Solange keine Einwilligung des Betroffenen vorliege, müssten alle einwilligungsbedürftigen Verarbeitungsvorgänge blockiert werden. 

Fazit

Die Orientierungshilfe bietet einen Überblick über mögliche Erlaubnistatbestände bei der Nutzung von Cookies. Positiv ist, dass die DSK Klarheit zu ihrer Auffassung hinsichtlich der Nicht-Geltung des TMG und der möglichen Rechtsgrundlagen geschaffen hat. Ebenfalls positiv ist es, dass sie Kriterien für die Interessenabwägung aufgestellt hat und somit versucht hat, Unternehmen konkrete Maßgaben an die Hand zu geben (auch wenn die Kriterien so vage sind, dass sie in der Praxis nur bedingt Mehrwert stiften). Bedauerlich – wenngleich nicht überraschend – ist, dass die DSK keine klareren Worte zur Geltung der Rechtsgrundlage der Vertragserfüllung gefunden hat.

Teile diesen Beitrag auf

Autoren des Blogbeitrags

Dr. Jan-Peter Ohrtmann

Dr. Jan-Peter Ohrtmann

IP, IT, Commercial

Tel.: +49 211 981-2572

Dr. Alexander  Golland

Dr. Alexander  Golland

IP, IT, Commercial

Tel.: +49 211 981-2007

Ansprechpartner

Dr. Jan-Peter Ohrtmann

IP, IT, Commercial

Tel.: +49 211 981-2572