Update DSGVO: Wie müssen Sie auf Ihrer Internetseite zukünftg mit Cookies umgehen?
Vorab zur Erläuterung – Was sind Cookies?
Cookies sind kleine Datenpakete, welche auf dem Rechner eines Nutzers erzeugt und im Internetbrowser gespeichert werden, wenn dieser eine bestimmte Website besucht. Ein Cookie ist in seiner ursprünglichen Form eine Textdatei auf einem Computer. Sie enthält typischerweise Daten über besuchte Websites. Der Browser speichert beim Surfen im Internet ohne Aufforderung diese Cookies. In der Regel sind dies Anmeldedaten oder aber auch Informationen über das bisherige Nutzerverhalten (z.B. ein Cookie speichert beispielsweise, was sich in einem Warenkorb befindet oder welche Sprache ausgewählt wurde).
Wie ist die neue Rechtslage nach der Datenschutzgrundverordnung (DSGVO)?
Die bisherige Rechtslage (vor allem nach dem § 15 TMG und die Cookie-Richtlinie 95/46/EG) unterschieden in der datenschutzrechtlichen Handhabung von Cookies zwischen personenbezogenen Cookies und pseudonymisierten Cookies. Mit der Geltung der Datenschutzgrundverordnung (DSGVO) am 25.05.2018 fällt diese Unterscheidung nun weg. Jeglicher Cookie ist ab diesem Zeitpunkt als personenbezogen anzusehen. Dies bedeutet, eine Unterscheidung und Differenzierung nach Personenbezug findet nicht mehr statt (siehe Erwägungsgrund 30 zur DSGVO)!
Eigentlich sagt die DSGVO nur sehr wenig über Cookies. Dieses Schweigen hat auch eigentlich eine Bewandtnis. Die Regelungen zu den Cookies soll in einem getrennten EU-Rechtsakt verankert werden – die ePrivacy-Verordnung (ePV). Beide EU-Rechtsakte – die DSGVO und ePrivacy-Verordnung – sollten ursprünglich gleichzeitig verabschiedet werden. Leider hinkt die Verabschiedung der ePrivacy-Verordnung deutlich hinterher, es kommt zu einer erheblichen Verzögerung. Es entsteht daher also ein „Überbrückungszeitraum“, indem die DSGVO gilt aber noch nicht die ePrivacy-Verordnung. Das Fehlen der konkreten rechtlichen Regelung für Cookies macht derzeit die rechtliche Betrachtung schwer. Es muss auf die Grundsätze der DSGVO zurückgegriffen werden.
Maßgeblich wird in diesem Zeitraum der Art. 6 Abs. 1 lit. f DSGVO. Dieser besagt:
Art. 6 Abs. lit. f DSGVO
„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen …“
Es ist also eine Abwägung zwischen den berechtigen Interessen des Websitebetreibers und den Interessen und Rechten der betroffenen Person notwendig.
Was ist das berechtigte Interesse und wie wirkt sich dies auf Cookies aus?
Ein berechtigtes Interesse ist jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse. Nach Erwägungsgrund 47 zur DSGVO sind insbesondere dabei die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen.
Grundsätzlich kann also davon ausgegangen werden, dass gerade bei üblichen Cookies das Interesse des Websitebetreibers vorzugswürdig sein wird. So ist zumindest der überwiegende Stand der Rechtsgelehrten aktuell. Die ersten Gerichtsentscheidungen dürften hier jedoch für exaktere Klarheit sorgen und sollten daher in den ersten Monaten nach der DSGVO nicht aus dem Blick geraten. Gerade was die Speicherdauer angeht, herrscht große Unsicherheit. Eine Speicherdauer von 30 Jahren oder mehr, sind wohl nur noch sehr schwer zu rechtfertigen. Wir empfehlen daher grundsätzlich die Einstellung der Speicherdauer von Cookies auf 90 Tage zu setzen.
Die Speicherdauer ist auch nur einer der zahlreichen Punkte, die von uns bei einem Website –Check getestet werden. Unsere Vorgehensweise ist dabei stichprobenartig diverse Cookies von Unterseiten der Website auf ihre Dauer und Gültigkeit zu prüfen. Eine Unterscheidung findet durch uns sodann statt im Hinblick auf Session-Cookies und dauerhafte Cookies statt. Ein Session Cookie ist dabei ein Cookie der nur für die aktuelle Browsersitzung – also bis zum schließen des Browsers – gespeichert wird. Ein dauerhafter Cookie hingegen wird nicht bei schließen des Browsers gelöscht. Ein Session-Cookie sollte daher, gerade im Hinblick auf die Speicherzeit – deutlich unproblematischer in seiner rechtlichen Betrachtung sein. Es erfolgt jedoch durch uns immer eine individuelle Abwägung des einzelnen Cookies im Hinblick auf Ihre Belange und den Rechten des betroffenen Nutzers.
Ausblick: Rechtslage nach e-Privacy-Verordnung (ePV)
Zum Schluss noch ein kurzer Ausblick was die wohl dauerhafte Rechtslage sein wird, wenn die ePV kommt. Diese bringt einige Änderungen – soweit die EU-Kommission nicht noch Änderungen am aktuellen Vorschlag nimmt. Es droht gar das komplette Cookie-Verbot ohne Einwilligung. Die bisherigen Cookie-Banner würden mit diesem Schritt also zur Pflicht. Das ganze läuft über dem Schlüsselwort „Privacy by default“ – also eine Browser- und Websiteneinstellung bei der ohne ausdrückliche Nutzereingabe zunächst keine personendaten gespeichert werden dürfen (= Opt-In Regelung).
Es bleibt jedoch spannend, ob die EU und beteiligten Einrichtungen bei dieser harten Gestaltung bleiben werden. Dies würde wohl die Werbe- und Marketingbranche schwer treffen.
Weitere Beiträge zu dem Thema:
Cookie-Richtlinie: Ist eine Einwilligung erforderlich wenn Cookies genutzt werden?
Sie können eine DSGVO-konforme Datenschutzerklärung nicht nur auf unserer Hauptseite www.website-check.de, sondern auch auf www.dsgvo-datenschutzerklaerung.de beauftragen.
