ePrivacy

Auf fast jeder Internetseite poppt heutzutage ein Fenster auf, das darüber informiert, dass die besuchte Website sog. Cookies verwendet und fordert dazu auf, dies zur Kenntnis zu nehmen oder durch einen Klick seine Zustimmung zu erteilen. Wahrscheinlich findet man auf der Website Ihrer Kanzlei auch ein solches Cookie-Banner. Die DSGVO schreibt es schließlich vor. Aber wie nutzt man diese richtig und wie oft habe ich als User heute schon der Nutzung von Cookies zugestimmt? Spätestens ab 2023 müssen sich Internetbetreiber dann auch auf die ePrivacy-VO einstellen. Lesen Sie in diesem Artikel was es damit auf sich hat.

In Erwägungsgrund 20a zur aktuellen Entwurfsfassung der sog. ePrivacy-Verordnung (ePrivacy-VO-E [Stand 13. März 2019]) findet sich hierzu die passende Anmerkung. Danach könnten die Internetnutzer mit den ständigen Anfragen zur Erteilung der Einwilligung zur Nutzung von Cookies überlastet sein, was zu einer „Einwilligungsmüdigkeit“ führen kann. Informationen aus der Einwilligungsanfrage würden nicht mehr gelesen. In letzter Konsequenz werde der durch die Einwilligung gebotene Schutz untergraben.

Aber was sind Cookies?

Ein Cookie ist eine kleine Datei, die vom genutzten Browser z. B. auf der Festplatte eines PCs gespeichert wird, wenn der Nutzer eine Website besucht. Die Datei dient insbesondere der Identifikation des Rechners mittels der Session- bzw. Cookie-ID des Cookies. Der Server der besuchten Website kann nur so zuordnen, welche Interaktionen mit dem anfragenden Rechner auszuführen sind. Hierfür wird das Cookie regelmäßig ausgelesen. Daneben kann ein Cookie andere Informationen enthalten, und beantwortet Fragen wie: Beim Besuch welcher Website wurde er gespeichert? Wie lange soll er gültig sein?

Daten und Privatsphäre – was soll geschützt werden?

Cookies haben sowohl Relevanz für den Datenschutz nach der DSGVO als auch für die bis heute nur im Entwurf vorliegende ePrivacy-VO-E. Zweck der geplanten ePrivacy-VO ist neben dem Schutz personenbezogener Daten speziell im Bereich der elektronischen Kommunikation der Schutz der Privatsphäre, zu der die Endgeräte der Nutzer und alle Informationen im Zusammenhang mit deren Nutzung gehören. Das Speichern eines Cookies auf den Speichermedien eines Endgerätes stellt damit auch einen Eingriff in die Privatsphäre des Nutzers dar.

Datenschutzrechtliche Relevanz

Bereits eine Cookie-ID zählt zu den personenbezogenen Daten. Durch Auslesen der mit dem Cookie gespeicherten Informationen kann das Endgerät eines Nutzers später im Internet wiedererkannt (Tracking) und ein Nutzerprofil erstellt werden. Angereichert mit weiteren Daten, wie den Standortdaten mobiler Endgeräte, entsteht so ein erstaunlich genaues Bewegungsprofil des Nutzers/der Nutzerin. Dieses wird von Werbetreibenden genutzt, um ihm/ihr im Internet individualisierte Werbung zu präsentieren. Die Verarbeitung personenbezogener Daten – auch zum Zweck des Direktmarketings – kann nach Art. 6 Abs. 1 Buchst. f DSGVO bereits durch das berechtigte Interesse, z.B. des Werbetreibenden, gerechtfertigt sein.

Cookies und ePrivacy

Dagegen sieht die ePrivacy-VO-E, ebenso wie die bisherige EU-Cookie-Richtlinie vom 25.11.2009 grds., eine ausdrückliche Einwilligung des Nutzers zur Verwendung von Cookies vor. Die Richtlinie wurde in diesem Punkt jedoch nie ins deutsche Recht aufgenommen. Das deutsche Telemediengesetz fordert lediglich die Möglichkeit zum Widerspruch gegen diese Verarbeitung (Opt-out).

Die ePrivacy-VO-E unterscheidet zwischen der Nutzung von Cookies, die für die Bereitstellung eines vom Endnutzer gewünschten Dienstes einer Website erforderlich sind (technisch notwendige Cookies) und solchen, die für andere Zwecke – z. B. zum Tracking – verwendet werden. Wird ein Cookie gespeichert, um dem Nutzer für die Dauer seines Besuches einer Website die Funktionen der Website zur Verfügung zu stellen, wäre nach der ePrivacy-VO-E keine Einwilligung erforderlich. Ebenso wäre keine Einwilligung erforderlich, wenn der Betreiber einer Website selbst mittels Cookies den Datenverkehr seiner Website misst.

Aktuelle Praxis – Webseitenbetreiber tappen im Dunkeln

Die ePrivacy-VO sollte ursprünglich zeitgleich mit der DSGVO am 25. Mai 2018 in Kraft treten. Aktuell ist jedoch damit zu rechnen, dass sie erst 2022 bzw. 2023 verbindlich anzuwenden sein wird.

In der Zwischenzeit herrscht Chaos auf deutschen Webseiten. Viele Seitenbetreiber vertrauen auf die Rechtfertigung der Verarbeitung durch das Vorliegen ihres berechtigten Interesses und verzichten auf eine ausdrückliche Einwilligung. Andere Seitenbetreiber bitten den Nutzer um ausdrückliche Einwilligung und stellen ihm teilweise noch die Möglichkeit zur Verfügung, diese Einwilligung für die verschiedenen Arten von Cookies gesondert zu erteilen.

Fazit: Ausdrückliche Einwilligung wird Pflicht

Die Frage, wie das Cookie-Banner einer deutschen Website auszusehen hat, bleibt vorerst offen. Naheliegend ist es, sich bereits jetzt auf die zu erwartende, zukünftige Situation einzurichten, auch wenn der Nutzer eine Einwilligung dann verweigern kann und u. U. weniger verwertbare Daten gewonnen werden. Werden nur technisch notwendige Cookies verwendet, stellt sich hingegen die Frage, ob ein Cookie-Banner überhaupt erforderlich ist. Für den Verantwortlichen, der z. B. die Besucher seiner Seiten tracken möchte, wird es jedoch nach Inkrafttreten der ePrivacy-VO keine Möglichkeit mehr geben, auf eine ausdrückliche Einwilligung und umfassende Informationen über die verwendeten Cookies zu verzichten.

Mit dem MkG-Newsletter erhalten Sie alle sechs Ausgaben pro Jahr
pünktlich zur Veröffentlichung per Mail – zu Themen, die Sie weiterbringen:

  • Aktuelle Gesetzesänderungen,
  • Tipps zur optimalen Abrechnung,
  • Karrierechancen, Kanzleiführung u. v. m.