Zurück zu den Blogbeiträgen

BLOG -

Datenschutzrecht: Sind Cookie-Opt-Ins nun auch in Deutschland verpflichtend?

Seit langem besteht für deutsche Anbieter von Webseiten Unklarheit, ob sie für die Verwendung von Tracking- und Analyse-Cookies und andere Tracking-Mechanismen eine Einwilligung des Nutzers (Opt-In) einholen müssen, etwa durch die Schaltung eines „Cookie-Banners" auf ihrer Webseite. Diese Frage erhält durch den Anwendungsbeginn der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 und einer aktuellen Stellungnahme der deutschen Datenschutzbehörden eine neue Brisanz.

Rechtslage bis zur Anwendbarkeit der DSGVO

Vor Anwendbarkeit der DSGVO richtete sich die Verwendung von Cookies nach dem Telemediengesetz (TMG) und dem Bundesdatenschutzgesetz (BDSG).

Für Tracking- und Analyse-Cookies besteht nach deutschem Datenschutzrecht kein ausdrückliches Einwilligungserfordernis. Der Einsatz solcher Cookies wird in der Regel auf die „Opt-Out"-Ausnahme gemäß § 15 Abs. 3 TMG gestützt. Der deutsche Gesetzgeber hat eine EU-Richtlinie, in der eigentlich ein Einwilligungserfordernis für das Setzen von Cookies vorgesehen ist (Art. 5 Abs. 3 der Richtlinie 2002/58/EG geändert durch die Änderungsrichtlinie 2009/136/EG, „E-Privacy-Richtlinie") bis heute nicht in deutsches Recht umgesetzt. Die Bundesregierung hat sich auf den Standpunkt gestellt, dass eine Umsetzung dieser Richtlinie nicht erforderlich ist, da die bestehenden Regelungen des TMG die E-Privacy-Richtlinie bereits ausreichend abbilden.

Die Erstellung von Nutzungsprofilen unter Einsatz von Cookies ist nach § 15 Abs. 3 TMG für die Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung von Telemedien erlaubt, wenn die Nutzungsprofile unter Verwendung von pseudonymisierten Nutzungsdaten erstellt werden (ohne dass personenbezogene „Klardaten" hinzugespeichert werden) und dem Nutzer ein Widerspruchrecht (Opt-Out) eingeräumt wurde. Die Verwendung von „Cookie-Bannern", in denen über Cookies informiert wird, ist nicht zwingend. Eine Information in der Datenschutzerklärung ist grundsätzlich ausreichend.

Rechtslage nach Anwendbarkeit der DSGVO

Seit dem 25. Mai 2018 ist die DSGVO in allen EU-Mitgliedsstaaten unmittelbar anwendbar. Die DSGVO enthält keine spezifischen Regelungen für den Einsatz von Cookies. Sie ist jedoch für die Verarbeitung von personenbezogenen Daten, die bei der Verwendung von Cookies erhoben werden (z. B. „Online-Kennungen"), anwendbar.

Nicht abschließend geklärt ist allerdings, ob § 15 Abs. 3 TMG neben der DSGVO anwendbar bleibt. In einer kürzlich veröffentlichten Stellungnahme hat die „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder" (DSK) die Position vertreten, dass die datenschutzrechtlichen Vorschriften des TMG, einschließlich § 15 Abs. 3 TMG, neben der DSGVO nicht mehr anwendbar sind (Positionsbestimmung der DSK „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018" vom 26. April 2018).

Folgt man der DSK und geht davon aus, dass § 15 Abs. 3 TMG mit Anwendbarkeit der DSGVO nicht mehr gilt, stellt sich die Frage, auf welcher Rechtsgrundlage nach der DSGVO die Verwendung von Cookies zulässig ist.

Rechtsgrundlage gemäß der DSGVO

Als Rechtsgrundlage kommt insbesondere eine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f) DSGVO in Betracht. Laut Erwägungsgrund 47 zur DSGVO soll „Direktwerbung" ein berechtigtes Interesse von Unternehmen darstellen können. Auch Nutzungsanalyse und Reichweitenmessung dürften grundsätzlich ein berechtigtes Interesse des Webseiten-Anbieters darstellen.

Die DSK vertritt in der oben genannten Stellungnahme die Position, dass die Verwendung von „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen" nicht auf eine Interessenabwägung gestützt werden kann, sondern dafür stets eine informierte Einwilligung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung erforderlich ist. Die Einwilligung muss eingeholt werden, bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden (siehe Ziffer 9 der Stellungnahme).

Aus dem Positionspapier ergibt sich nicht im Detail, warum die Verarbeitung von Daten im Zusammenhang mit der Verwendung von Cookies nicht auf Grundlage einer Interessenabwägung erfolgen können soll. Die DSK begründet ihre Position mit dem „europäischen Rechtsverständnis" zu Art. 5 Abs. 3 der E-Privacy-Richtlinie, wonach eine Einwilligung für das Setzen von Cookies erforderlich ist. Wie oben bereits erwähnt, wurde Art. 5 Abs. 3 der E-Privacy-Richtlinie nicht in deutsches Recht umgesetzt.

Man könnte der DSK nun unterstellen, dass sie das Fehlen einer nationalen Rechtsgrundlage für die Durchsetzung eines Cookie-Opt-Ins mit einer restriktiven Auslegung der DSGVO zu „kompensieren" versucht. Denn bei genauerer Betrachtung ließe sich Online-Tracking unter Verwendung von Cookies durchaus auf eine Interesseabwägung gemäß Art. 6 Abs. 1 lit. f) DSGVO stützen. Die Interessen des Webseitenbetreibers an Webseitenanalyse und Reichweitenmessung dürften die Interessen des Nutzers regelmäßig überwiegen, wenn:

  • die Nutzungsprofile nur unter Verwendung von pseudonymisierten Nutzungsdaten erstellt werden;
  • der Nutzer über die Erstellung der Nutzungsprofile und das Widerspruchsrecht informiert wird;
  • dem Nutzer eine einfache, technische Möglichkeit bereitgestellt wird, das Widerspruchrecht auszuüben und der Nutzer der Erstellung von Nutzungsprofile nicht widerspricht und
  • keine Klardaten dem pseudonymen Nutzungsprofile hinzugefügt werden.

Diese Grundsätze dürften auch für die Durchführung von zielgruppenspezifischer Online-Werbung gelten. Auch das Bestehen des gesetzlichen Widerspruchrechts gegen Direktwerbung bei Erstellung von Nutzungsprofilen spricht grundsätzlich gegen ein generelles Einwilligungsbedürfnis.

Jedenfalls stellt sich die Frage, warum laut DSK pauschal die Interessen des Nutzers überwiegen sollen und daher stets eine Einwilligung des Nutzers erforderlich sein soll.

Wie geht es weiter?

In Anbetracht der eindeutigen Position der DSK zur Erforderlichkeit einer Einwilligung stellt die Einholung eines Opt-In für Cookies für „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen" das rechtssicherste Vorgehen dar.

Die Stellungnahme der DSK (vier Wochen vor Anwendungsbeginn der DSGVO!) hat viel Aufsehen erregt und Kritik von Seiten der Online-Wirtschaft provoziert. Es ist nicht auszuschließen, dass die Datenschutzbehörden zumindest eine gewisse Karenzzeit für die Umstellung auf eine Einwilligungslösung gewähren.

Dr. Johannes Baumann
(Rechtsanwalt)