DSGVO: Rechtsgrundlagen und Funktionsweisen von Cookie-Hinweisen

Tracking

Inhaltsverzeichnis

Die gute Stimmung wurde jedoch kurz vor dem Startschuss der DSGVO im April 2018 durch ein Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) jäh beendet. In dem Papier, das sich mit den rechtlichen Anforderungen an das Tracking von Nutzern auf Websites beschäftigt, positionieren sich die Datenschützer eindeutig: "Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, und bei der Erstellung von Nutzerprofilen." Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von Werbetrackern müsse daher vorab eine informierte Einwilligung eingeholt werden. Nur wenn der Einsatz von Cookies unbedingt erforderlich sei, um dem Nutzer den angefragten Online-Service zur Verfügung stellen zu können, soll man sich auf andere Rechtsgrundlagen berufen können.

Mitte April 2019 legte die DSK ergänzend eine „Orientierungshilfe für Anbieter von Telemedien“ vor, in der sie ihre Position ausführlicher darlegt und begründet. Bei „Tracking“ handle es sich um „Datenverarbeitungen zur – in der Regel Website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern“.

Die Aussagen der DSK sind zwar nicht rechtlich bindend, machen jedoch deutlich, wie die Datenschutzbehörden das neue europäische Recht auslegen und anwenden werden. Bei Verstößen drohen hier Geldbußen.

Auch seitens der großen Internetunternehmen wird Druck gemacht. Wer etwa Googles Werbe- und Measurement-Produkte, Google Maps, YouTube oder reCAPTCHA auf der eigenen Website nutzt, muss der "Richtlinie zur Einwilligung der Nutzer in der EU" zustimmen. Diese fordert von Website-Betreibern, dass sie von Endnutzern eine Einwilligung für den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen einholen und dieses auch dokumentieren. Auch Facebook empfiehlt für das Facebook-Pixel – ein Analysetool, mit dem man die Effektivität eigener Werbung messen kann – eine Opt-In-Lösung. Anstatt die angebotenen Dienste datenschutzfreundlicher zu gestalten, wird die Verantwortung gerade von Seiten der Internetgiganten offenbar lieber auf die einzelnen Website-Betreiber abgewälzt.

Zwar lassen sich nach wie vor gute Argumente dafür finden, dass Analysewerkzeuge und Tracking-Funktionen auf der Website ohne Zustimmung auf Grundlage berechtigter Interessen genutzt werden können. Wer jedoch keinen Ärger mit den Datenschutzbehörden bekommen möchte oder einer vertraglichen Verpflichtung unterliegt, sollte sich lieber mit der Einwilligungslösung anfreunden.

Eine rechtsverbindliche Vorgabe, wie ein Cookie-Hinweis auszusehen hat, gibt es nicht. Eine wirksame Einwilligung setzt jedenfalls voraus, dass der Website-Besucher tatsächlich die Wahl haben muss, zu entscheiden, ob er Cookies zulassen will oder nicht. Er muss folglich das Setzen von nicht zwingend erforderlichen Cookies auch ablehnen können. Etliche Hinweise verdecken jedoch in Form eines großen Layers fast die gesamten Inhalte einer Website und bieten lediglich die Möglichkeit, mittels eines einzelnen OK-Buttons Cookies zu akzeptieren. Ohne Einwilligung kann man die Website somit nicht nutzen. In solchen Fällen gilt die Einwilligung nicht als freiwillig erteilt und ist daher unwirksam.

Auf der Website derStandard.at können die Verbraucher entscheiden, ob sie zur Nutzung der Seite mit ihren personenbezogenen Daten oder mit Geld bezahlen wollen.

Die Diskussion um Cookies lässt Website-Betreiber kreativ werden. Die österreichische Tageszeitung "Der Standard" stellt die Nutzer ihres Onlineportals beispielsweise vor die Wahl: Entweder sie willigen in die Verwendung von Cookies zu Analyse- und Werbezwecken ein oder sie schließen ein kostenpflichtiges Abo ab und können die Website ohne zustimmungspflichtige Cookies nutzen. Die örtlich zuständige Datenschutzbehörde sieht in diesem Fall das Kriterium der Freiwilligkeit erfüllt. Da das Abo nicht unverhältnismäßig teuer ist, sei es eine echte Alternative. Soweit für den Nutzer keine der beiden Möglichkeiten in Betracht kommt, könne er auch auf andere Informationsangebote zurückgreifen.

Häufig liest man Sätze wie "Durch die Nutzung der Website erklären Sie sich mit der Verwendung von Cookies einverstanden". Derartige Formulierungen dürften den Anforderungen der Datenschutzbehörden nicht genügen, denn diese fordern laut des zitierten DSK-Papiers eine "Erklärung oder sonstige eindeutig bestätigende Handlung".

Derzeit etablieren sich Einwilligungsmodelle, bei denen der Nutzer die Möglichkeit hat, neben der pauschalen Zustimmung oder Ablehnung, einzelne oder bestimmte Kategorien von Cookies an- beziehungsweise abzuwählen.

Eine entsprechende Erklärung kann nur abgeben, wer hinreichend über den Einsatz von Cookies informiert wird. Ein Banner, der aus Platzgründen zunächst rudimentär darauf hinweist, für welche Zwecke Cookies genutzt werden und dass ein Widerrufsrecht besteht, kann das Thema nur anreißen. Ein Link zur Datenschutzerklärung oder einer gesonderten Cookie-Policy, in der alle Pflichtinformationen sowie Ausführungen zu den verwendeten Cookies enthalten sind, ist daher verpflichtend.

Nicht selten ist zu beobachten, dass zwar ein, den Kriterien einer wirksamen Einwilligung entsprechender Cookie-Banner vorhanden ist, beim Besuch der Website jedoch im Hintergrund bereits Cookies in den Browser geladen werden, obwohl der Nutzer dem noch nicht zugestimmt hat. Dabei wird außer Acht gelassen, dass eine vorherige Einwilligung eingeholt werden muss und nicht eine nachträgliche Genehmigung. Ein rechtlich einwandfreier Einwilligungstext nützt wenig, wenn eine entsprechende technische Umsetzung nicht erfolgt.

Wer denkt, mit der DSGVO hätte man nun eine beständige Rechtslage in Bezug auf Cookies, liegt daneben. Denn der nächste große Wurf der EU ist schon im Anmarsch: die ePrivacy-Verordnung. Diese sollte eigentlich zeitgleich mit der DSGVO und den Bereich der elektronischen Kommunikation neu regeln. Derzeit berät man sich noch über den aktuellen Entwurf, der deutlich strengere Regeln im Zusammenhang mit Cookies vorsieht. Voraussichtlich wird die Verordnung nicht vor 2020 in Kraft treten und mit einer zweijährigen Übergangsfrist erst 2022 anwendbar sein. Bis dahin muss man sich mit der DSGVO begnügen. (cbo)