Kein „berechtigtes Interesse“ mehr für Cookies.
Die weit überwiegende Anzahl von Beschwerden im Bereich Internet betrifft den Einsatz diverser Tracking-Tools auf Webseiten. Sehr häufig werden Tools eingesetzt, bei denen unter dem Schlagwort „Reichweitenmessung“ über die reine Reichweitenmessung einer Webseite hinaus die Nutzerdaten an eine Vielzahl von Dritten weitergegeben werden und letztlich zu Zwecken der Profilbildung verwendet werden. In der Praxis werden hierzu meist „Cookies“ eingesetzt, deren rechtliche Bewertung in der Vergangenheit nicht immer eindeutig möglich war.
Aufgrund der fehlenden nationalen Umsetzung von Art. 5 Abs. 3 der ePrivacy- Richtlinie 2009/136/EG wurde das Setzen von Cookies in der Vergangenheit oftmals auf die Rechtsgrundlage des berechtigten Interesses Art. 6 Abs. 1 lit. f DSGVO gestützt. Dies ist seit 01.12.2021 nun nicht mehr möglich, da zu diesem Zeitpunkt das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Kraft getreten ist. Dieses setzt nun die europäischen Vorgaben in nationales Recht um und regelt in § 25 die „Integrität von Endeinrichtungen“ und damit das Setzen von Cookies. Danach ist das Setzen von Cookies in der Regel einwilligungspflichtig, es sei denn eine der in Absatz 2 genannten Ausnahmen ist einschlägig.
Es muss daher zwischen dem Setzen der Cookies und der nachfolgenden Verarbeitung der daraus gewonnenen personenbezogenen Daten, z.B. Cookie-ID differenziert werden. Ersteres richtet sich nun ausschließlich nach § 25 TTDSG, während letzteres – wie bisher – der DSGVO unterliegt. In den Fällen, in denen bereits vor Geltung des TTDSG eine Einwilligung nach DSGVO erforderlich war, beispielsweise bei Marketingcookies, ändert sich daher nur die Rechtsgrundlage für das Setzen der Cookies.
Größere Auswirkungen hat die neue Regelung auf Cookies, die bisher auf die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO gestützt wurden, da diese nun für das Setzen der Cookies, nicht mehr angewendet werden kann. Es ist daher zu prüfen ist, ob eine der in § 25 Abs. 2 TTDSG genannten Ausnahmen einschlägig ist. Relevant ist hier vor allem Nr. 2, welche eine Ausnahme von der Einwilligungspflicht vorsieht, wenn dies unbedingt erforderlich ist um den vom Nutzer gewünschten Dienst zur Verfügung zu stellen.
Unter die Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG können daher beispielsweise Cookies fallen, die erforderlich sind um Chatbots, Kartendienste oder vergleichbare Dienste einzusetzen, jedoch nur und erst dann, wenn dies von Nutzer:innen ausdrücklich gewünscht ist. Ausdrücklich gewünscht ist ein Dienst dann, wenn Nutzer:innen selbst etwas unternommen haben, um den Dienst in klar definiertem Umfang anzufordern, z.B. für Warenkorb-Cookies durch Klick auf „Zum Warenkorb hinzufügen“ (Artikel29-Datenschutzgruppe Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, WP 194 v. 07.06.2012, S. 3.).
Vom Nutzerwunsch umfasst können zudem auch Cookies sein, welche dazu dienen, eine fehlerfreie Auslieferung der Webseite zu gewährleisten und Navigationsproblemen vorzubeugen. Hierfür kann sich, unter engen Voraussetzungen eine reine Reichweitenmessung eignen, insbesondere dürfen in diesem Fall keine Daten an Dritte übermittelt werden oder ein webseitenübergreifendes Tracking erfolgen. Der Einsatz von Cookies zu weitgehenden Analyse- und Marketingzwecken kann jedoch nicht als unbedingt erforderlich angesehen werden, selbst wenn dies der Finanzierung der Webseite Unter die Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG können daher beispielsweise Cookies fallen, die erforderlich sind um Chatbots, Kartendienste oder vergleichbare Dienste einzusetzen, jedoch nur und erst dann, wenn dies von Nutzer:innen ausdrücklich gewünscht ist. Ausdrücklich gewünscht ist ein Dienst dann, wenn Nutzer:innen selbst etwas unternommen haben, um den Dienst in klar definiertem Umfang anzufordern, z.B. für Warenkorb-Cookies durch Klick auf „Zum Warenkorb hinzufügen“ (Artikel29-Datenschutzgruppe Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht, WP 194 v. 07.06.2012, S. 3.). Vom Nutzerwunsch umfasst können zudem auch Cookies sein, welche dazu dienen, eine fehlerfreie Auslieferung der Webseite zu gewährleisten und Navigationsproblemen vorzubeugen. Hierfür kann sich, unter engen Voraussetzungen eine reine Reichweitenmessung eignen, insbesondere dürfen in diesem Fall keine Daten an Dritte übermittelt werden oder ein webseitenübergreifendes Tracking erfolgen. Der Einsatz von Cookies zu weitgehenden Analyse- und Marketingzwecken kann jedoch nicht als unbedingt erforderlich angesehen werden, selbst wenn dies der Finanzierung der Webseitedient und unterliegt daher im Allgemeinen der Einwilligungspflicht nach § 25 Abs. 1 TTDSG und im Hinblick auf die nachfolgende Verarbeitung Art. 6 Abs. 1 lit. a DSGVO.
Für ein besseres Verständnis hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder daher am 20.12.2021 die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks