Wie in unserem Webinar angekündigt, möchten wir mit diesem Blogartikel versuchen Fragen zum Thema Einwilligungen und Cookies zu beantworten, welche offengeblieben sind bzw. aufgeworfen wurden.
Der Inhalt im Überblick
- Rückblick auf das Webinar
- Ausgesuchte Fragen der Webinar-Teilnehmer
- Gilt das Einwilligungserfordernis nur für Cookies oder auch für vergleichbare Technologien?
- Ist bei der Verwendung ausschließlich unbedingt erforderlicher/technisch notwendiger Cookies überhaupt ein Cookie-Banner erforderlich?
- Ist nach dem BGH-Urteil ein legitimes Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für Cookies noch anwendbar?
- Können Webanalyse-Tools (z.B. Matomo) noch als „unbedingt erforderlich/technisch notwendig“ gelten und somit ohne Einwilligung eingesetzt werden?
- Fragen, Fragen, nichts als Fragen
- Vielen Dank!
Rückblick auf das Webinar
Unter dem Titel „Cookiecalypse – Was gilt beim Einsatz von Cookies auf Websites?“, hat die intersoft consulting services AG am 30.07. den Startschuss zu einer Reihe von Webinaren gegeben, über die wir in Zukunft wiederkehrend unser Fachwissen weitergeben möchten.
Inhaltlich sollte das Webinar einerseits über die (rechtlichen) Hintergründe der Notwendigkeit von Einwilligungen über sogenannte Cookie-Banner und mögliche Sanktionen bei Verstößen aufklären. Das Ganze sollte zudem durch zahlreiche Praxisbeispiele von Cookie-Einwilligungslösungen mit Leben gefüllt werden.
Wir haben uns im Vorfeld bereits über zahlreiche Anmeldungen und im Webinar selbst über eine auch tatsächlich rege Teilnahme gefreut. Das zeigt zum einen, dass wir schon heute viele interessierte Leute erreichen, zum anderen aber auch, dass das Thema Cookies und Einwilligungen ein Dauerbrenner ist, der nach der jüngsten Rechtsprechung des BGH wieder an Aktualität gewonnen hat. Das wird sich wohl auch so schnell nicht ändern, da noch viele Fragen offen sind, die geklärt werden wollen.
Ausgesuchte Fragen der Webinar-Teilnehmer
Zahlreiche dieser Fragen haben die Teilnehmer unseres Webinars im Anschluss bzw. während der Veranstaltung gestellt. Viele Fragen wurden auch gleich mehrfach gestellt. Ich versuche im Folgenden einige davon bestmöglich aus meiner Sicht zu beantworten.
Gilt das Einwilligungserfordernis nur für Cookies oder auch für vergleichbare Technologien?
Ich habe es im Webinar bereits angesprochen, möchte es aufgrund der Wichtigkeit aber nochmal betonen. Alles spricht immer nur von Cookies, – auch ich habe mich im Webinar der Einfachheit halber auf diesen Begriff beschränkt – jedoch sind damit auch vergleichbare Technologien, wie das Fingerprinting gemeint.
Es ist zwar korrekt, dass es in den Entscheidungen von EuGH und BGH zu Planet 49 konkret um die Nutzung von Cookies zum Zwecke des Werbe-Tracking ging. Diese hierzu entwickelten Grundsätze sind aber auf andere Technologien übertragbar, da weder die ePrivacy-Richtlinie, noch das TMG explizit von Cookies spricht, sondern der Nutzer durch die Normen allgemein vor Eingriffen in seine Privatsphäre geschützt werden soll (z.B. eben durch geräteübergreifendes Tracking).
Man muss sich hier klarmachen, dass es viele technische Möglichkeiten des Tracking bzw. des Erhebens von Nutzerdaten gibt. Die Nutzung von Cookies ist nur eine davon.
Ist bei der Verwendung ausschließlich unbedingt erforderlicher/technisch notwendiger Cookies überhaupt ein Cookie-Banner erforderlich?
Die Frage wurde häufig gestellt, deshalb antworte ich ganz klar: Es kommt darauf an!
Fakt ist, dass bei unbedingt erforderlichen Cookies keine Einwilligung notwendig ist. Also fallen die für eine „informierte“ Einwilligung nötigen Informationen grundsätzlich weg. Es ist aber nie ganz ausgeschlossen, dass die technisch erforderlichen Cookies eben auch dazu führen, dass personenbezogene Daten erhoben werden (wenn auch nur vorübergehend). Dies ist zumindest der Fall, wenn bspw. die IP-Adresse erhoben wird oder Session-Cookies, die Login-Daten speichern, genutzt werden. Damit trifft den Webseitenbetreiber auch die Infopflicht aus Art. 13 DSGVO und er muss „zum Zeitpunkt der Erhebung der Daten“ darüber informieren. Dies kann dann eigentlich nur über ein Cookie-Banner mit einem Hinweis auf die Nutzung von Cookies und einen Verweis auf weitergehende Hinweise geschehen.
Sollte man ausschließen können, dass personenbezogenen Daten durch die technisch erforderlichen Cookies erhoben werden, kann man auch auf ein Banner verzichten. Das wird aber nur in den seltensten Fällen einschlägig sein. Daher kann ich den kompletten Verzicht auf ein Banner nur schwer empfehlen. In diesen Fällen genügt auch ein unauffälliges Banner mit einem kurzen Hinweis und Verweis (per Link) auf weitere Informationen ohne das große Tamtam der Consent-Management-Tools.
Ist nach dem BGH-Urteil ein legitimes Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für Cookies noch anwendbar?
Die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO für den Einsatz von Cookies kommt nur noch in ganz bestimmten Fällen zum Tragen. Rechtlicher Anknüpfungspunkt, um eine Einwilligung zu umgehen, ist nämlich in erster Linie Art. 5 Abs. 3 ePrivacy-Richtlinie, welcher besagt:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Nur, wenn Cookies und vergleichbare Technologien als „unbedingt erforderlich“ gelten, können diese ohne Einwilligung genutzt werden. Und dies unabhängig davon, ob personenbezogene Daten vorliegen oder nicht. Falls personenbezogene Daten im Spiel sind, gilt daneben auch die DSGVO und es muss eine entsprechende Rechtsgrundlage vorliegen. Man kann davon ausgehen, dass immer dann auch ein „berechtigtes Interesse“ vorliegt, wenn man zu dem Ergebnis kommt, dass Cookies „unbedingt erforderlich“ sind. Sind sie das nicht, kann wohl auch kein „berechtigtes Interesse“ gegeben sein.
Können Webanalyse-Tools (z.B. Matomo) noch als „unbedingt erforderlich/technisch notwendig“ gelten und somit ohne Einwilligung eingesetzt werden?
Auch diese Frage brennt vielen Webseitenbetreibern auf den Nägeln.
Auch, wenn ich diese Auslegung nicht gänzlich ausschließen möchte, halte ich sie dennoch für sehr sportlich. Denn Hand aufs Herz: Natürlich kann ein Webseitenbetreiber ganz grundsätzlich seine Website auch ohne Analyse-Tool zur Verfügung stellen. Es dient lediglich der Optimierung.
Auch lässt die EuGH/BGH-Rechtsprechung hier nur wenig Spielraum. Auch der Wortlaut des § 15 Abs.3 TMG, der ja durch das BGH-Urteil zu Planet 49 nun richtlinienkonform ausgelegt werden soll, spricht ausdrücklich von
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen,…“ [wenn eingewilligt wurde, Anm. d. Verf.]
Nutzungsprofile bei Verwendung von Pseudonymen werden die meisten Analysetools wohl nutzen. Hier bleibt aber noch abzuwarten, wie sich die Rechtsmeinungen (v.a. auch der Behörden) dahingehend entwickeln werden, ob der Wortlaut des TMG hier ausschlaggebend ist oder doch ausschließlich der noch weitergehende Anwendungsbereich der ePrivacy-Richtlinie. Damit wäre es noch schwieriger reine Analysetools als „unbedingt erforderlich“ anzusehen.
Zum jetzigen Zeitpunkt erscheint maximal die Nutzung von Analysetools ohne Einwilligung denkbar, die keine Profile erstellen und im Grunde völlig anonymisiert (nicht pseudonymisiert) arbeiten. Das wird nur auf wenige Tools zutreffen. Auch hier wird man die weitere technische wie rechtliche Entwicklung abwarten müssen, um Klarheit zu haben. Bis dahin würde ich empfehlen möglichst auf den Einsatz von Analysetools ohne Einwilligung zu verzichten.
Fragen, Fragen, nichts als Fragen
Dies war nur ein kurzer Auszug aus den am häufigsten gestellten Fragen. Bitte haben Sie Nachsicht, wenn an dieser Stelle nicht alle Fragen beantwortet werden können. Auf Fragen in den Kommentaren zum Artikel versuchen wir natürlich auch so gut es geht einzugehen. Ansonsten verfolgen Sie gerne weiter unseren Blog, wo das Thema Cookies und Einwilligungen mit Sicherheit auch in Zukunft eine Rolle spielen wird.
Wenn Sie eine individuelle Beratung für den datenschutzkonformen Einsatz von Cookies benötigen, sprechen Sie uns gerne an.
Vielen Dank!
An dieser Stelle noch ein herzliches Dankeschön vom gesamten Dr. Datenschutz-Team und mir persönlich für Ihr reges Interesse an unserem Angebot und für Ihr wirklich erfreuliches Feedback zu unserem Webinar. Es wird nicht das Letzte gewesen sein. Das haben Sie jetzt davon!
Die Kernfrage ist am Ende des Tages wie die Aufsichtsbehörden damit umgehen. Aktuell sieht es so aus, als wenn alles weiter so bleibt. Es passiert das gleiche, wie in den letzten 25 Jahren im Internet: nichts. (siehe https://datenschutz-zwecklos.de/blog/2020/08/weiter-datenschutz-anarchie-im-internet-der-hamburger-aufsichtsbehoerde-sei-dank/)
Die einzige Hoffnung, die Millionen Betroffene noch haben, um zu ihrem Recht zu kommen sind Wettbewerbsklagen. Mir sind bereits zwei bekannt und ich würde mich freuen, wenn Abmahnanwälte sich nun der Sache annehmen, um das illegale Treiben im Netz endlich abzustellen. Anders wird es die Wirtschaft nicht begreifen!
Wie beurteilen Sie Lösungen wie etracker Analytics, wenn im Standard keine Cookies und ähnliche Technologien eingesetzt werden? Es werden auch keine Daten aus dem Endgerät ausgelesen, sondern nur minimale Daten aus dem User Agent sowie der gekürzten IP-Adresse zusammen mit dem Tagesdatum gehasht verwendet, um Interaktionen einem Besuch (Session) zuzuordnen. Aufgrund der Beschränkung auf den Besuch (bzw. expliziter zeitlicher Limitierung) ist keine Bildung von Nutzerprofilen möglich. Es ist somit ausgeschlossen, dass Einzelpersonen verknüpft werden können. Auch dient es nicht dem „Zweck der Verarbeitung für die Bereitstellung personalisierter Inhalte und Werbung, d. h. zur direkten Kommunikation mit einer bestimmten Person“, sondern der aggregierten statistischen Auswertung der Website-Nutzung.
Wie oben im Artikel bereits angesprochen, lassen sich Analysetools momentan nur rechtssicher ohne Einwilligung einsetzen, wenn man sie als „unbedingt erforderlich“ iSd ePrivacy-Richtlinie ansieht. Mit der von Ihnen beschriebenen technischen Vorgehensweise mag man u.U. aus dem Wortlaut des § 15 Abs. 3 TMG herausfallen, nicht jedoch aus dem Anwendungsbereich der ePrivacy-Richtlinie, da auch IP-Adressen und Browserdaten erhoben werden. Zudem bleibt abzuwarten wieviel in Zukunft in den § 15 Abs. 3 TMG hineingelesen werden wird, da er richtlinienkonform ausgelegt werden muss.
Ob man datenminimierend und streng pseudonym arbeitende Analysetools zur rein statistischen Auswertung der Website als „unbedingt erforderlich“ einordnen kann, ist Auslegungssache und nur mit einer sehr extensiven Auslegung noch ggf. vertretbar. Den Wertungen der Urteile von EuGH und BGH sowie Wortlaut und Schutzzweck der ePrivacy-Richtlinie widerspricht diese Auslegung eher.
Zitat: „Sollte man ausschließen können, dass keine personenbezogenen Daten durch die technisch erforderlichen Cookies erhoben werden, kann man auch auf ein Banner verzichten.“
Ist diese Aussage durch die doppelte Verneinung so nicht falsch? Müsste doch heißen: „Sollte man ausschließen können, dass () personenbezogenen Daten durch die technisch erforderlichen Cookies erhoben werden, kann man auch auf ein Banner verzichten.“
Da haben Sie absolut recht. Ein kleiner Fehler mit allerdings großer inhaltlicher Wirkung. Vielen Dank für das aufmerksame Lesen des Artikels und den Hinweis! Wir haben das im Text angepasst.