"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Einführung

Wie Ihnen sicherlich allen bekannt ist, gilt die EU Datenschutzgrundverordnung
(„DS-GVO“) ab dem 25. Mai 2018. Zeitgleich mit der DS-GVO sollte die ePrivacy-Verordnung (Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation) in Kraft treten, die insbesondere den Einsatz von Cookies regelt. Das Gesetzgebungsverfahren zur ePrivacy-Verordnung verzögert sich jedoch erheblich, so dass voraussichtlich nicht mehr mit einem Inkrafttreten im Jahr 2018 zu rechnen ist. Die DS-GVO selbst enthält keine speziellen Regeln für den Einsatz von Cookies. Vor diesem Hintergrund hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) am 26. April 2018 mit der Frage befasst, welche Regelungen ab dem 25. Mai 2018 für den Einsatz von Cookies gelten und hierzu am 30. April 2018 eine Positionsbestimmung veröffentlicht. Die Positionen der Datenschutzkonferenz werden für die meisten Unternehmen zu unmittelbarem Anpassungsbedarf führen. Wir informieren Sie nachfolgend über die wesentlichen Positionen der Datenschutzkonferenz sowie den sich daraus ergebenden Handlungsbedarf:

Positionen der Datenschutzkonferenz zum Einsatz von Cookies

1.    Für den Einsatz von Cookies und Tracking-Mechanismen gilt ab dem 25. Mai 2018 ausschließlich die DS-GVO. Die Vorschriften im Telemediengesetz (§§ 12, 13, 15 TMG), die bislang bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, herangezogen wurden, können ab dem 25. Mai 2018 nicht mehr angewendet werden.

2.    Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Websitebetreiber kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Das heißt, dass Cookies, nur dann eingesetzt werden dürfen, wenn

  • die betroffene Person, sprich der Websitenutzer, seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat (vgl. Artikel 6 Absatz 1 Buchstabe a) DS-GVO),
  • die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei der Websitenutzer ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage des Websitenutzers erfolgen (vgl. Artikel 6 Absatz 1 Buchstabe b) DS-GVO) oder
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen, also des Websitebetreibers, oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Websitenutzers, die den Schutz personenbezogener Daten erfordern, überwiegen (vgl. Artikel 6 Absatz 1 Buchstabe f) DS-GVO).

3.    Verarbeitungen, die unbedingt erforderlich sind, damit der Websitebetreiber den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DS-GVO (also Vertragsdurchführung oder überwiegendes berechtigtes Interesse) gestützt werden.

4.    Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DS-GVO geprüft werden.

5.    Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

6.    Wichtig zu wissen: Auch eine (dynamische) IP-Adresse ist ein personenbezogenes Datum. Dasselbe gilt für Kundennummern, Bearbeitungsnummern, Transaktionsnummern u.ä.! In all diesen Fällen ist eine der oben aufgezählten Rechtsgrundlagen für die Datenverarbeitung unter Einsatz des Cookies/Trackers erforderlich.

Handlungsbedarf

Das Positionspapier der Datenschutzkonferenz hat keinen bindenden Charakter. Es ist aber sicher davon auszugehen, dass die Datenschutzaufsichtsbehörden der Bundesländer dieses bei Ihren Prüfungen und Entscheidungen als Grundlage nehmen werden. Daneben droht auch das Risiko, dass Wettbewerber oder professionelle „Abmahner“ die Gunst der Stunde nutzen und Unternehmen, die auf ihren Websites Cookies ohne Einwilligung der Nutzer verwenden, abmahnen. Vor diesem Hintergrund ist es zu empfehlen, die Vorgaben des Positionspapiers noch vor dem 25. Mai 2018 zu implementieren.

Es stellt sich daher die Frage, für den Einsatz welcher Cookies eine Einwilligung der Websitebesucher erforderlich ist. Aufgrund einer Stellungnahme der Artikel-29-Datenschutzgruppe, einem unabhängigen Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, lässt sich hier folgende Einteilung vornehmen:

Keine Einwilligung erforderlich

Eine Einwilligung ist zum einen nicht erforderlich für Cookies, die ausschließlich dafür verwendet werden, eine Nachricht über ein elektronisches Kommunikationsnetz zu übertragen. Eine Einwilligung ist weiter nicht erforderlich, wenn (i) ein Cookie technisch erforderlich ist, um dem Nutzer eine bestimmte Funktion zur Verfügung zu stellen (d.h. wenn Cookies deaktiviert sind, ist die Funktion nicht verfügbar) und (ii) die Funktion vom Nutzer ausdrücklich angefordert wurde. Unter die zweite Kategorie fallen insbesondere folgende Cookies:

  • User Input Cookies (Sitzungscookies / Session-ID): Cookies, die insbesondere zum temporären Speichern von Nutzereingaben beim Ausfüllen von mehrseitigen Online-Formularen oder als Warenkorb zum temporären Speichern der vom Nutzer ausgewählten Artikel verwendet werden.
  • Temporäre Authentifizierungs-Cookies: Cookies, die ausschließlich verwendet werden, um einen Nutzer zu identifizieren, nachdem er sich auf einer bestimmten Website oder Bereich einer Website angemeldet hat (z.B. auf einer Online-Banking-Website oder im Mitgliederbereich einer Website). Achtung: Soll allerdings ein dauerhafter Anmelde-Cookie genutzt werden, in dem ein Authentifizierungstoken über mehrere Browsersitzungen hinweg gespeichert wird („Angemeldet bleiben“-Funktion), ist wiederum eine Einwilligung einzuholen, die etwa durch eine separate Checkbox mit Hinweis auf die Nutzung von Cookies, z.B. „Angemeldet bleiben (verwendet Cookies)“ umgesetzt werden kann.
  • Nutzerorientierte Sicherheits-Cookies: Cookies, die z.B. verwendet werden, um wiederholt fehlgeschlagene Anmeldeversuche auf einer Website zu entdecken.
  • Multimedia-Player-Sitzungscookies („Flash-Cookies“): Cookies, die der Speicherung von technischen Daten, die zur Wiedergabe von Video- oder Audio-Inhalten benötigt werden, wie etwa Bildqualität, Verbindungsgeschwindigkeit des Netzwerks und Pufferungsparameter erforderlich sind.
  • Cookies zur Anpassung der Nutzeroberfläche: Cookies zur Speicherung von Nutzerpräferenzen, z.B. zur bevorzugten Sprache oder zu Einstellungen des Nutzers für Online-Suchanfragen (z.B. Anzahl der Ergebnisse pro Seite), sofern solche Cookies nicht länger als einige Stunden über das Ende der Browsersitzung hinaus gültig sind.

Nach Auffassung der Artikel-29-Datenschutzgruppe müssen Cookies, um unter die genannten Ausnahmen zu fallen, zwingend gelöscht werden, sobald sie ihren Zweck erfüllt haben. In der Regel wird es sich daher um temporäre Cookies handeln, die regelmäßig spätestens mit Schließen des Browserfensters gelöscht werden. Nur in Ausnahmefällen ist eine längere Gültigkeitsdauer zulässig, die jedoch (ohne separate Checkbox und Hinweis auf die Verwendung von Cookies) die Dauer einiger Stunden nicht übersteigen darf. So darf z.B. ein Cookie für die Speicherung des Warenkorbs zulässigerweise auch einige Stunden über die Dauer der Browsersitzung hinaus gültig sein, etwa für den Fall, dass der Nutzer den Browser versehentlich schließt.

Wenn ein Cookie mehrere Funktionen erfüllt, fällt er nur dann unter die Ausnahme, wenn alle Funktionen auch für sich genommen ohne Einwilligung zulässig sind. Die Verwendung eines Cookies sowohl für die Speicherung einer Sprachauswahl des Nutzers als auch für personalisierte Werbung wäre damit ohne Einwilligung unzulässig.

Einwilligungspflichtige Cookies

Der Einsatz aller Arten von Cookies, die die oben beschriebenen Kriterien nicht erfüllen, bedürfen demnach einer ausdrücklichen, vorherigen Einwilligung („Opt-In“). Dies gilt insbesondere für folgende Arten von Cookies:

  • Content-Sharing Cookies sozialer Plugins: Cookies, mit denen Websitebetreiber ihren Nutzern ermöglichen, über soziale Netzwerke Informationen auszutauschen.
  • Tracking Cookies sozialer Plugins: Cookies, die dazu eingesetzt werden, die Aktivitäten von Mitgliedern wie auch Nichtmitgliedern mithilfe von Third-Party-Cookies für weitere Zwecke wie etwa verhaltensorientierte Werbung, Analysen oder Marktforschung zu verfolgen.
  • Third-Party-Cookies zu Werbezwecken: Hierzu zählen neben Cookies für die Anzeige interessenbasierter Werbung unter anderem auch Cookies zum Zweck der Protokollierung von Finanzdaten, des Affiliate-Marketing, der Erkennung von Klickbetrug, der Marktforschung und Marktanalyse, der Produktverbesserung, des Frequency Capping (Sicherstellung, dass Online-Zielgruppen nicht zu oft mit ein und demselben Werbemittel konfrontiert werden) und der Fehlerbehebung.
  • First-Party-Analysecookies: Hierunter fallen beispielsweise Analysetools des Websitebetreibers, um die Zahl der Einzelbesucher zu schätzen, die wichtigsten Suchbegriffe, die über Suchmaschinen zu einer Website führen, zu ermitteln oder Navigationsprobleme der Website aufzuspüren.

Empfehlung

Einholung der Einwilligung über Pop-Up / Banner

Es bietet sich an, die Einwilligung in die Nutzung von Cookies über ein Pop-Up oder Banner (ggf. über einem ansonsten ausgegrauten Bildschirm) einzuholen. Die bislang häufig gewählte Gestaltung über ein Pop-Up/Banner mit einer „Opt-Out“-Lösung (etwa mit folgendem Text: „Wenn Sie diese Website weiter besuchen, stimmen Sie der Verwendung von Cookies zu“) genügt unter der DS-GVO nicht mehr. Wichtig sind bei der Gestaltung künftig drei Punkte:

  • Es darf nicht möglich sein, die Website zu nutzen, bevor der Nutzer eine Entscheidung über die Zulassung von einwilligungspflichtigen Cookies getroffen hat.
  • Der Nutzer muss die Möglichkeit haben, die Website zu nutzen, ohne dass er der Zulassung von einwilligungspflichtigen Cookies zustimmt.
  • Die Cookies dürfen zum Zeitpunkt des Aufrufs der Website noch nicht aktiv sein. Nachdem der Nutzer seine Entscheidung über die Zulassung einwilligungspflichtiger Cookies getroffen hat, muss die Website also (ggf. mit den zugelassenen Cookies) neu geladen werden.

Es gibt verschiedene, zum Teil kostenlose Tools und Lösungen, mit denen Sie auf Ihrer Website eine Funktion implementieren können, um die Zustimmung zur Verwendung einwilligungspflichtiger Cookies einzuholen. Wir können Ihnen keine Empfehlung für eine bestimmte Lösung geben. Die nachfolgende Liste ist lediglich eine Auswahl der am Markt erhältlichen Tools und Lösungen:

Diese Tools bieten unterschiedliche Konfigurationsmöglichkeiten. Bei einigen davon können Nutzer auswählen, welche Cookies von Ihrer Website sie zulassen möchten. So könnten Sie Websitenutzern beispielsweise die Option bieten, Werbecookies zu blockieren. Hierbei ist aus technischer Sicht jedoch Folgendes zu beachten:

Über die Tools werden die Cookies auf Ihrer Website nicht automatisch gesteuert. Es sind einige Schritte erforderlich, um z.B. die Werbe-Tags auf Ihren Seiten an die verwendete Lösung anzupassen. Erst dann ist sichergestellt, dass die Vorgaben Ihrer Nutzer eingehalten werden. Alle Anbieter stellen entsprechende Anleitungen oder Supportservices bereit. Wenn Sie diese notwendigen Schritte nicht für alle Tags auf Ihren Seiten ausführen, besteht die Gefahr, dass Nutzer fälschlicherweise annehmen, sie hätten Werbe-Cookies deaktiviert. Tatsächlich werden diese Cookies jedoch weiterhin verwendet. Testen Sie daher sorgfältig jede Implementierung dieser Tools auf Ihrer eigenen Website.

Formulierungsvorschlag

Der Text, im Pop-Up oder Banner, mit dem Sie die Kunden um Erteilung Ihrer Einwilligung bitten, unterscheidet sich danach, welche Art von Cookies Sie einsetzen. Der nachfolgende Text muss daher UNBEDINGT individuell an Ihre Situation angepasst werden.

„Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit Ihrem Klick auf die Schaltfläche „Cookies zulassen“ willigen Sie ein, dass wir die in unserer Datenschutzerklärung genannten Cookies in der dort beschriebenen Art und Weise nutzen.“

In dem Einwilligungstext muss die Datenschutzerklärung verlinkt sein oder diese als Pop-Up angezeigt werden (idealerweise mit einem automatischen „Sprung“ zu den Cookie-Beschreibungen). Wichtig ist, dass die Datenschutzerklärung erreichbar sein muss, ohne dass der Nutzer zuvor Cookies akzeptiert.

Fazit und Ausblick

Das Positionspapier der Datenschutzkonferenz kommt gerade einmal gut drei Wochen vor Inkrafttreten der DS-GVO und damit zur absoluten Unzeit. Während die Unternehmen vielfach noch mitten in der Umsetzung der Anforderungen der DS-GVO sind, bringt das Positionspapier weiteren Anpassungsbedarf für die meisten Websitebetreiber. Es ist jedoch zu erwarten, dass dies noch nicht das Ende der Entwicklung ist. Zu Recht wird beispielsweise auch von der Artikel 29 Datenschutzgruppe darauf hingewiesen, dass die Flut von Einwilligungsentscheidungen, die Internetnutzer treffen müssen, häufig dazu führt, dass diese Einwilligungen erteilen, ohne die dahinterstehenden Bedingungen gelesen zu haben. Die Tendenz im Gesetzgebungsverfahren zur ePrivacy-Verordnung geht daher gerade dahin, die Einstellungen zu Cookies über die Browsereinstellungen vorzunehmen, so dass diese einheitlich für alle Websites gelten.


Sollten Sie bezüglich dieses Newsletters Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Verena Hechenblaikner, LL.M.
Dr. Katrin Stadler
Stephanie G. Hartung

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.