Das Thema Cookies ist weiterhin in Bewegung. Neben den vielen Neuerungen der letzten Jahre, von der Einführung der Datenschutz-Folgenabschätzung (DSFA) bis zu den verschiedenen Urteilen des BGH und EuGH, sind für Unternehmen vor allem zwei Entwicklungen relevant: Der neue Entwurf für das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) auf nationaler und der EU-Ratsentwurf für die ePrivacy-Verordnung auf europäischer Ebene. In diesem Beitrag geben wir Ihnen einen Überblick über die Vorgaben für den Einsatz von Cookies und andere Tools sowie den aktuellen Stand zum TTDSG und der ePrivacy-Verordnung.
Worauf muss geachtet werden beim Einsatz von Cookies?
Zentral für die Verwendung von Cookies ist Art. 5 Abs. 3 ePrivacy-Richtlinie. Die Bestimmung sieht eine Einwilligungspflicht vor, wenn in einem Endgerät Informationen gespeichert oder auf Informationen des Endgeräts zugegriffen wird. Diese Regelung gilt unabhängig von der verwendeten Technologie und kommt daher nicht nur für Cookies, sondern zum Beispiel auch für Tracking Web Storage (Local / Session Storage), Pixel, Tags oder Fingerprints zum Tragen. Eine Ausnahme wird nur in den Fällen zugelassen, in denen die Speicherung oder der Zugriff unbedingt (technisch) erforderlich ist, um den Dienst bereitzustellen. Wichtig ist zudem § 15 Abs. 3 TMG, der nach der europarechtskonformen Auslegung des BGH für die Erstellung von Nutzungsprofilen für Werbung oder Marktforschung eine Einwilligung fordert (BGH, „Planet49“, Az. I ZR 7/16). Darüber hinaus werden durch die Verwendung von Cookies häufig personenbezogene Daten verarbeitet. Dann müssen die Anforderungen der DSGVO umgesetzt und die Verarbeitungsvorgänge auf eine Rechtsgrundlage nach Art. 6 DSGVO gestützt werden. Des Weiteren muss die Einwilligung den Vorgaben der DSGVO genügen, also vor allem aktiv, freiwillig und informiert erteilt werden. Für Cookies bedeutet das konkret, dass die freiwillige und aktive Zustimmung durch ein Opt-In-Verfahren gewährleistet und Informationen über die Funktionsdauer der Cookies und Zugriffe von Dritten bereitgestellt werden müssen (EuGH, „Planet 49“, Az. C-673/17). Im Rahmen der Freiwilligkeit ist insbesondere darauf zu achten, dass keine Cookie-Walls eingesetzt werden sollten. Zudem ist es wichtig, die Nutzer über die Umstände der Datenverarbeitung umfassend zu informieren, also vor allem über die Rechtsgrundlagen, die Zwecke der Datenverarbeitungen sowie Übermittlungen an Dritte oder ins Ausland.
Wie immer, wenn personenbezogene Daten außerhalb des EWR übermittelt werden, sind auch bei Cookies die Anforderungen für Drittstaatenübermittlungen und vor allem das EuGH-Urteil „Schrems II“ (Az. C-311/18) relevant. Wichtig ist dafür unter anderem die Wahl der richtigen Rechtsgrundlage. Hier kann die Übermittlung, beispielsweise mittels Angemessenheitsbeschluss oder Standardvertragsklausel, möglich sein. Gegebenenfalls müssen zusätzliche Schutzmaßnahmen für die personenbezogenen Daten ergriffen werden. Nähere Informationen zu Datenübermittlungen ins Nicht-EWR-Ausland finden Sie auch im FAQ zu Schrems II unserer Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte.
Wann sollte eine Einwilligung eingeholt werden?
Die Einwilligungspflicht gilt für alle Tools, die nicht unbedingt erforderlich sind. Eine genaue und gesetzlich festgelegte Abgrenzung gibt es jedoch nicht, weshalb in jedem Einzelfall eine gesonderte Abwägung und eine Risikobewertung vorgenommen werden müssen. Beispiele, in denen eine Einwilligung regelmäßig nicht erforderlich ist, sind etwa Funktionen eines Webshops und des Warenkorbs zur Bestell- und Zahlungsabwicklung. Auch Login-, Registrierungs- und Authentifizierungsfunktionen, Spracheinstellung oder Sicherheitsmaßnahmen können in der Regel ohne Einwilligung vorgenommen werden. Auf eine Einwilligungspflicht sollten sich Unternehmen in den Fällen einstellen, in denen Nutzungsanalysen durch Drittanbieter oder seiten- und geräteübergreifende Analysen wie Cross-Site-Targeting, Cross-Device-Targeting und Re-Targeting eingesetzt werden. Ebenfalls dürfte eine Einwilligung verpflichtend sein, wenn personalisierte Werbung oder Bewegungsprofile erstellt werden.
Wenn Google Analytics verwendet wird, sollte ebenfalls eine Einwilligung eingeholt werden. Auch mit der Einwilligung ist es sinnvoll, zusätzlich die Datenschutzeinstellungen zu prüfen und die Datenfreigaben an Google zu deaktivieren. Darüber hinaus ist für die Einbindung von YouTube-Inhalten in aller Regel eine Einwilligung erforderlich, da Daten zu Werbezwecken verarbeitet und in die USA übermittelt werden. Eine Alternative stellt die Verlinkung auf das Video statt einer Einbindung dar. Datenverarbeitungen in großem Umfang und die Übermittlung in die USA erfolgen zudem bei Google reCAPTCHA. Hier kann neben der Einwilligung die Nutzung gegebenenfalls auch auf die Erforderlichkeit für die Erfüllung eines Vertrags oder die Durchführung vorvertraglicher Maßnahmen gestützt werden, etwa im Rahmen der Registrierung, eines Kontaktformulars oder der Anmeldung.
Wie sollte die Einwilligung eingeholt werden?
Grundsätzlich muss die Einwilligung wie eingangs erwähnt nach den Vorgaben der DSGVO erfolgen. Unternehmen sollten daher darauf achten, dass sie freiwillig, informiert und aktiv durch ein Opt-In-Verfahren eingeholt wird. Zudem ist sie jederzeit widerrufbar. Wenn eine Einwilligung nach Art. 7 DSGVO und Art. 5 Abs. 3 ePrivacy-RL eingeholt werden muss, sollte für permanent aktive Tools (vor allem für Analyse, Tracking und Marketing) zu diesem Zweck ein Cookie-Banner eingesetzt werden. Für die zusätzliche Einbindung von Tools wie Videos und Karten externer Anbieter oder Social- und Login-Plugins empfiehlt sich die Einwilligung mittels Overlay, das als gesondertes Banner über den Bereich des jeweiligen Tools gelegt werden kann. Damit ist es möglich, speziell für dieses Tool eine informierte Einwilligung des Nutzers einzuholen. Wenn für die informierte Einwilligung wie bei technisch erforderlichen Tools nicht verpflichtend ist, reicht eine Information über den Einsatz in der Datenschutzerklärung aus. Das Banner oder Overlay sollte alle relevanten Informationen beinhalten. Zu diesen gehören die Art und die Zwecke der Datenverarbeitung, die Möglichkeit der Ablehnung und der jederzeitigen Widerrufbarkeit sowie Datenübermittlungen an Dritte und ins Nicht-EWR-Ausland. Zudem sollten für den Nutzer die Freiwilligkeit klargestellt und Links zu weiteren Informationen, zum Beispiel in der Datenschutzerklärung, bereitgestellt werden.
Mehr zum Thema Cookies
Whitepaper: Cookie-Banner – Leitfaden zur sachgerechten Umsetzung
ePrivacy-Verordnung: EU-Rat einigt sich auf einen Entwurf
Cookies & Einwilligungspflicht: Ratgeber nach BGH-Urteil
Was gibt es zum Thema Cookies sonst zu beachten?
Webseitenbetreiber sollten darauf achten, dass das bloße Scrollen des Nutzers auf der Webseite nicht als Einwilligung angenommen wird, da dies nicht den Anforderungen einer aktiv, per „Opt-In“ erteilten Einwilligung genügt. Des Weiteren sollten keine Cookie-Walls eingesetzt werden. Der Europäische Datenschutzausschuss hat in seinen Leitlinien 05/2020 Cookie-Walls als unzulässig erachtet, da anderenfalls die Freiwilligkeit der Einwilligung nicht mehr gewahrt werden könne. Eine Ausnahme besteht nur dann, wenn gleichwertige alternative Zugangsmöglichkeiten zum Webangebot bestehen. Die Aufsichtsbehörde Niedersachsen hält insofern sogenannte Pay-Walls für zulässig. Während eine Pay-Wall Angebote von einer Bezahlung abhängig macht, also eine Cookie-freie Variante gegen Bezahlung anbietet, hat eine Cookie-Wall zur Folge, dass eine Webseite erst nach der Zustimmung zum Cookie-Einsatz aufgerufen werden kann.
Darüber hinaus sollte die Auswirkung für den Nutzer, wenn er auf einen Button oder Link klickt, deutlich sein. Die entsprechenden Informationen sollten auf dem Banner daher vollständig und gut verständlich aufgeführt sein. Des Weiteren ist das sogenannte Nudging, bei dem durch eine bestimmte Banner-Gestaltung der Nutzer in seiner Entscheidung gelenkt werden soll, nicht grundsätzlich unzulässig. Es sollte aber nicht zu kompliziert sein, die Einwilligung nicht zu erteilen. Im Ergebnis sollte die Zustimmung genauso einfach sein wie die Ablehnung bzw. die Ablehnung sollte sich für den Nutzer nicht schwieriger gestalten als die Zustimmung. Auch mehrfache erneute Nachfragen nach einer Ablehnung sollten unterbleiben.
Weiterhin auf dem Weg zum TTDSG und zur ePrivacy-Verordnung
Update zum TTDSG:
Am 20. Mai 2021 hat der Bundestag das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) beschlossen. Informationen zum aktuellen Stand finden Sie hier.
Um die unterschiedlichen Datenschutzregelungen aus dem TMG und dem TKG in einem Gesetz zusammenzufassen und einheitliche Vorgaben für den Einsatz von Cookies und ähnlicher Technologien zu schaffen, hat die Bundesregierung am 10.02.2021 einen Gesetzentwurf für das TTDSG vorgestellt. Für Cookies ist vor allem § 24 TTDSG relevant. Die Bestimmung sieht eine Einwilligungspflicht für den Einsatz von Cookies und aller anderen vergleichbaren Technologien vor, die Informationen in der Endeinrichtung des Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen. Der Begriff der Endeinrichtung ist ausdrücklich technologieneutral gefasst und umfasst laut Gesetzesbegründung neben klassischen Endgeräten wie Smartphones und Notebooks auch Gegenstände des „internet of things“. Sollte das TTDSG nach dem aktuellen Stand verabschiedet werden, wird die Rechtsprechung des BGH gesetzlich verankert und es bleibt im Rahmen der Einwilligung grundsätzlich bei der bisherigen Rechtslage.
In diesem Jahr ist darüber hinaus wieder Bewegung in den bereits seit Jahren andauernden Prozess der ePrivacy-Verordnung gekommen. Sie würde im Gegensatz zur e-Privacy-Richtlinie in der gesamten EU unmittelbar gelten und daher für mehr Rechtsklarheit sorgen. Der Rat der EU hat sich ebenfalls am 10.02.2021 auf den Entwurf der portugiesischen Ratspräsidentschaft geeinigt. Nach dem Entwurf soll die Möglichkeit, Cookie-Walls zur Wahl zwischen Tracking und Bezahl-Abo zuzulassen, gesetzlich festgelegt werden. Zudem sollen der Zugriff auf oder die Speicherung von Informationen auf einem Endgerät, insbesondere für die Bereitstellung elektronischer Kommunikationsdienste, vom Nutzer gewünschter Dienste, zur Zielgruppen-Messung, zu Sicherheitszwecken und zur Verhinderung von Betrug und technischen Fehlern ohne Einwilligung zulässig sein. Schließlich sollen Speicherung und Zugriff bereits dann erlaubt sein, wenn eine zulässige Zweckänderung vorliegt. Welche Regelungen es in die endgültige Version schaffen und wo noch Anpassungen vorgenommen werden, ist zum jetzigen Zeitpunkt allerdings noch nicht abzusehen.
Fazit
Die Bestrebungen zur Vereinheitlichung der Rechtslage und zur Klärung der vielen Einzelheiten kommen zwar Schritt für Schritt voran, doch nach wie vor ergeben sich die rechtlichen Vorgaben aus unterschiedlichen Gesetzen und Gerichtsurteilen und die Rechtsentwicklung im Bereich Cookies ist noch nicht abgeschlossen. Unternehmen sollten daher die aktuelle Lage weiterhin aufmerksam verfolgen. Das TTDSG wurde am 26.03.2021 im Bundesrat beraten und dürfte die nächste anstehende Neuerung sein. Sollte die ePrivacy-Verordnung verabschiedet werden, würde sie sowohl die ePrivacy-Richtlinie als auch das TTDSG ablösen. Der Entwurf wird allerdings erst noch mit dem EU-Parlament und der Kommission diskutiert, weitere Anpassungen sind zu erwarten. Zudem ist davon auszugehen, dass für die ePrivacy-Verordnung eine zweijährige Übergangsphase vereinbart wird. Der Prozess dürfte also noch einige Zeit andauern. Über Neuigkeiten rund um das Thema Cookies informieren wir Sie selbstverständlich an dieser Stelle und gerne in der digitalen Sprechstunde von Schürmann Rosenthal Dreyer Rechtsanwälte oder einem unserer Frühstücks-Workshops.
-
Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS
Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
-
Google Analytics in der EU: So gelingt der datenschutzkonforme Einsatz
Was Sie bei der Nutzung beachten müssen, und wie Sie Google Analytics dennoch rechtssicher auf ihrer Webseite einbinden können, stellen wir Ihnen im Folgenden dar.
-
Unsere Top 10 – Die meistgelesenen Blogartikel des Jahres 2021
Unser Jahresrückblick 2021: Welche Themen haben Sie am meisten in unserem Blog interessiert? Finden Sie es in unserer Auflistung heraus.