Suchen

Datenschutz: Liebesgrüße aus Dänemark – Cookies reloaded

| Autor / Redakteur: Wolf-Henning Hammer / Martina Eicher

Bisher ist Dänemark vor allen Dingen als Urlaubsland bekannt, weniger als Nabel des Datenschutzes und voraussichtlich wird sich daran in absehbarer Zukunft nicht viel ändern. Dennoch sorgte die dänische Datenschutzaufsicht (Datatilsynet) kürzlich für Aufsehen, als sie sich nach einer Beschwerde mit dem Cookiebanner auf den Webseiten des dänischen metereologischen Instituts auseinandersetzen musste.

Firmen zum Thema

Analysen und Interpretationen aktueller Gerichtsurteile rund um das Thema motorisiertes Zweirad – aktuell für Sie aufbereitet und interpretiert.
Analysen und Interpretationen aktueller Gerichtsurteile rund um das Thema motorisiertes Zweirad – aktuell für Sie aufbereitet und interpretiert.
(Bild: Vogel Communications Group)

Gegenstand der Beschwerde war, dass zunächst nur ein Banner mit den Buttons „OK“ und „Cookie Einstellungen“ angezeigt wurde. Eine Aus- oder Abwahl der voreingestellten Cookies erhielt der Besucher der Webseite nur, wenn er den Button „Cookie Einstellungen“ betätigte. Die Datatilsynet wertete dies als Verstoß gegen das Datenschutzrecht und das meterologische Institut änderte seine Seite.

Nun ist Dänemark zwar nicht Deutschland und die Zuständigkeit der Datatilsynet reicht nur bis zur Grenze. Die Entscheidung könnte aber durchaus eine Vorreiterrolle haben. Wer auf seinem Cookiebanner nur einen Text wie „Diese Website verwendet Cookies. Durch die Nutzung unserer Services erklären Sie Ihr Einverständnis dazu, dass wir Cookies setzen“ und einen Button mit der Aufschrift “ Akzeptieren“ bereit hält, sollte spätestens jetzt aufwachen.

Was sind Cookies und wozu dienen sie?

Cookies sind automatisch erstellte Textdateien, die der Browser beim Besuch einer Webseite auf dem Endgerät speichert. Ob dies ein Laptop, Tablet, Smartphone o. ä. ist, spielt keine Rolle. Im besten Fall dienen die Cookies lediglich der Sicherung oder Verbesserung der Funktionalität der Website (notwendige oder essentielle Cookies) oder der Erhöhung des Benutzerkomforts (Funktionale und Performance-Cookies). Überwiegend werden die Cookies allerdings für Benutzeranalysen oder zum Zwecke gezielter Werbung (Marketing-Cookies) eingesetzt. Die Cookies können entweder vom Betreiber der Website selber sowie von anderen Unternehmen (z.B. Google) stammen. Im letzten Fall spricht man von Third Party-Cookies. Wer jemals in einer Fahrzeugbörse nach einem Motorrad gesucht hat und anschließend auf allen möglichen Seiten zweiradbezogene Angebote erhalten hat, kennt die Auswirkungen dieser Cookies.

Dass sich mit den gewonnenen Informationen individuelle Nutzerprofile erstellen und vermarkten lassen, ohne dass der Benutzer etwas davon weiß, sei nur am Rande erwähnt.

Automatisch und fest dürfen übrigens nur notwendige bzw. essentielle Cookies gesetzt werden, da sie für den Betrieb der Website zwingend erforderlich sind.

Wie ist die Rechtslage?

§ 15 Abs. 3 Telemediengesetz (TMG) gestattet den Betreibern von Websites zwar für Zwecke der Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Websiten Nutzungsprofile zu erstellen, sofern der Nutzer nicht widerspricht (Opt out). Die Norm wird gerne zitiert, wenn es um voraktivierte Cookies geht. Die Bestimmungen der DS-GVO vorgehen. Zudem hat der EuGH in seiner Entscheidung zu Planet 49 am 01.10.2019 deutlich gemacht, dass vorangekreuzte Kästchen und Passivität des Webseitenbesuchers nicht ausreichen, um den Einsatz nicht notwendiger Cookies zu rechtfertigen. Erforderlich ist und bleibt aktive Einwilligung (opt in), im Sinne von Art. Art. 6 Abs. 1 Satz 1 lit.a, i.V.m. Art. 7 DS-GVO.

Dieser Grundsatz ist übrigens nicht neu. Die Artikel-29-Datenschutzgruppe hatte, lange vor dem Wirksamwerden der DS-GVO, bereits 2013 in ihrem Working Paper 208 klar darauf hingewiesen, dass die Einbindung von Analysetools von Drittanbietern (z.B. Google Analytics, Facebook-Pixel, etc.) nur nach vorheriger - ausdrücklich und auf informierter Grundlage erteilter - Einwilligung zulässig ist.

Die Datenschutzkonferenz hatte dies in ihrer Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019 ebenfalls betont.

Automatisch und fest dürfen daher nur notwendige bzw. essentielle Cookies gesetzt werden, da sie für den Betrieb der Website zwingend erforderlich sind. Alle anderen Cookies bedürfen der aktiven Einwilligung des Besuchers der Webseite.

Wie geht es weiter?

Die Entscheidung der Datatilsynet enthält viele bekannte Elemente.

Der Grundsatz, „Dass derjenige, der personenbezogene Daten für mehrere Zwecke verarbeiten möchte, den betroffenen Personen die Möglichkeit dazu geben muss, in informierter Weise darüber zu entscheiden, welcher Verarbeitung sie zustimmen und welche sie ablehnen, ist nicht neu.“

Auch der Grundsatz, dass Cookie-Informationen in einer einfachen, leicht verständlichen und leicht zugänglichen Form bereitgestellt werden müssen, ist keine umwerfende Neuigkeit.

In Deutschland genügt es zwar, wenn der Besucher der Website seine Zustimmung bezogen auf den jeweiligen Zweck der eingesetzten Cookies geben kann. Aktuell reicht es aus, wenn die dahinter stehenden Unternehmen sowie der Zweck und die Laufzeit der Cookies in der Datenschutzerklärung benannt und verlinkt sind. Die Datatilsynet fordert hier, dass bereits das Banner die Erläuterungen und Verlinkungen enthalten muss. Soweit, dass Cookies einzeln ausgewählt werden müssen, geht sie nicht.

Was ist zu tun?

Diejenigen, deren Cookiebanner sich bereits jetzt nicht auf eine generelle Einwilligung beschränken, können aufatmen. Wo Cookies bereits vorangekreuzt oder keine dezidierte Auswahl möglich ist, sollte dies umgehend geändert werden.

Warum dies so ist, zeigt nicht zuletzt der aktuelle Newsletter des rheinland-pfälzischen Landesdatenschutzbeauftragen vom 21.02.2020. Dort heißt es wörtlich: „Der LfDI hat in einer Reihe von Verfahren eine Anweisung an Webseitenbetreiber erlassen. Hierin wird gefordert, die Webseite so umzustellen, dass die Übermittlung von Nutzungsdaten an andere Anbieter nur aufgrund informierter und ausdrücklicher Einwilligung der Webseitennutzer durchgeführt wird. Insbesondere geht es hier um die Nutzung der Dienste von Google Analytics und Google Remarketing. In einem ersten Gerichtsverfahren zu einer solchen Anweisung hat der Webseitenbetreiber nunmehr auf die Nutzung von Google Analytics verzichtet. Das VG Mainz hat die Anwendbarkeit von Art. 6 DS-GVO auf diese Fallkonstellation bestätigt und die Ausführungen zum überwiegenden Interesse der Nutzer als grundsätzlich überzeugend gewürdigt. Weitere Verfahren zu diesem Thema sind anhängig.“

Unser Autor ist Rechtsanwalt Dr. Wolf-Henning Hammer, ETL-Kanzlei Voigt Rechtsanwalts GmbH, Dortmund

(ID:46398991)