Neueste Beiträge
Archive
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Muss der Online-Händler die Nutzer seiner Webseite nicht nur über die Verwendung von Cookies informieren, sondern beim Aufrufen der Webseite deren ausdrückliche Einwilligung einholen? Dies war schon bei der bisherigen Rechtslage unklar. Die Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 angewendet werden muss, macht die rechtliche Situation noch verwirrender. Vollends undurchsichtig wird die Lage auf Grund der künftigen ePrivacy-Verordnung, die den Einsatz von Cookies regeln soll. Wie hat sich der Online-Händler hier künftig zu verhalten, wenn er Abmahnungen und Bußgelder nach der DSGVO und der ePrivacy-Verordnung vermeiden will? Die IT-Recht-Kanzlei stellt die bisherige und die künftige Rechtslage im heutigen Gastbeitrag dar.
RECHTSLAGE MIT GELTUNG DER DSGVO
Online-Händler müssen sich darauf einstellen, dass ab 25. Mai 2018 die DSGVO gelten wird. Wird die künftige DSGVO, die in Deutschland unmittelbare Geltung hat, die bisherige deutsche Rechtslage des § 15 Abs. 3 zum Opt-Out Verfahren bei der Verwendung von Cookies aushebeln? Muss dann bei der Verwendung von Cookies die vorherige Einwilligung der Nutzer einholen? Diese Frage wird kontrovers diskutiert.
Wird das künftige DSGVO den datenschutzrechtlichen Regelungen des deutschen Telemediengesetzes (TMG) künftig vorgehen?
Der Anwendungsvorrang der DSGVO vor den datenschutzrechtlichen Regelungen des TMG ist gegeben, da die DSGVO als in Deutschland unmittelbar geltendes Recht, die Erhebung und Verarbeitung von personenbezogenen Daten regelt (s. auch Gola Kommentar, Art 6 Rdr. 30).
Die DSGVO findet auch auf die Verwendung von Cookies Anwendung, da es sich hier um personenbezogene Daten i.S.d Art. 4 Nr. 1 DSGVO handelt. Der Nutzer hinterlässt auf der Webseite Identifikationsmerkmale wie z.B. seine IP-Adresse. Diese Information kann durch den Cookie-Datensatz dem Nutzer zugeordnet werden, s. Erwägungsgrund 30 der DSGVO:
„(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“
Hat dennoch die Regelung des § 15 Abs. 3 TMG zum Opt-Out Verfahren als lex specialis entsprechend Art. 95 DSGVO auch künftig weiterhin Geltung?
Dies wird kontrovers diskutiert. Wie viele Bestimmungen des DSGVO ist auch der Art. 95 alles andere als klar formuliert. Dem Wortlaut des ersten Halbsatzes nach soll „natürlichen (oder juristischen) Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsnetze in der Union keine zusätzlichen Pflichten (auferlegt werden)“. Spezielle datenschutzrechtliche Pflichten der e-Privacy-Richtlinie 2002/58/EG („Cookie-Richtlinie“) oder genauer gesagt, Pflichten, die aus der Umsetzung dieser Richtlinie erwachsen, würden damit jenen der DSGVO vorgehen (s. Kommentar Gola, Art. 95 Rdr. 4 ff). Gilt das auch für § 15 Abs. 3 TMG, der bei Verwendung von Cookies nur die Möglichkeit des Widerspruchs vorsieht?
Hier fangen die Schwierigkeiten an.
Art. 5 Abs. 3 Cookie-Richtlinie, der den Einsatz von Cookies regelt, bezieht sich gerade nicht auf die Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste, sondern auf jede Person, die Informationen auf Endgeräte überträgt oder auf diesen Geräten liest (Gola, a.a.O.). Weiterhin ist der zweite wenig verständliche Halbsatz des Art. 95 DSGVO zu berücksichtigen. Demnach gilt der Vorrang der Cookie-Richtlinie oder der Vorschriften zur nationalstaatlichen Umsetzung nur, soweit die natürlichen Personen „besonderen in der Cookie-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel erfolgen“. Zusätzliche Unsicherheit erwächst aus dem Umstand, dass Art. 5 Abs. 3 Cookie-Richtlinie gar nicht in deutsches Recht umgesetzt wurde, da wie oben ausgeführt nach Auffassung der Bundesregierung deutsches Recht bereits vor Inkrafttreten der Cookie-Richtlinie die Frage der Einwilligungspflicht bei Verwendung von Cookies abdeckt. Es besteht daher keine Klarheit darüber, ob § 15 Abs. 3 TMG als Umsetzung der Cookie-Richtlinie den Regelungen der DSGVO vorgeht (s. Gola, Art. 95, Rndr. 18).
HINWEIS FÜR DIE PRAXIS
Es ist daher besser, nicht auf die weiterbestehende Vorrangigkeit des § 15 Abs. 3 TMG zu vertrauen.
Die Regelungen der DSGVO zur Verwendung von Cookies
Die DSGVo regelt zwar nicht ausdrücklich die Verwendung von Cookies als pseudodynamisierte Daten. Das heißt aber nicht, dass die DSBVO hier keine Anwendung findet. Wie bereits oben ausgeführt, sind Cookies personenbezogene Daten i.S.d. Legaldefinition des Art 4 Nr. DSGVO. Nach dem DSGVO gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt bei Verarbeitung von Daten. In Art 6 DSGVO als zentrale Vorschrift sind abschließend alle Rechtmäßigkeitsgründe für die Verarbeitung von personenbezogen Daten geregelt.
Eine große Bedeutung wird für die Frage der Verwendung von Cookies Art. 6 Abs. 1 lit f DSGVO als Rechtmäßigkeitsgrund zukommen, demnach u.a. auch Cookies ohne vorherige Einwilligung des Betroffenen unter bestimmten Voraussetzungen verwendet werden können.
Art. 6 Abs. lit f DSGVO
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen ….
Es ist also eine Abwägung zwischen den berechtigen Interessen des Online-Händlers und den Interessen oder Grundrechte der betroffenen Person vorzunehmen.
Der Online-Händler kann als berechtigte Interessen in sehr allgemeiner Weise seine wirtschaftlichen, rechtlichen und ideellen Interessen geltend machen (s. Gola, Art. 6 Rdnr. 51) . Dies schließt die Verwendung von Cookies jeglicher Art, auch von Drittpartei-Cookies ein. Ist die Verarbeitung der Daten mit Hilfe von Cookies zur Erreichung der Interessen des Online-Händlers erforderlich (Art. 5 DSGVO), dann muss geprüft werden, ob überwiegende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem entgegenstehen. Ein bloßes Tangieren der Rechte des Betroffenen reicht dabei nicht aus (s. Gola a.a.O, Rdnr. 52). Dies sind äußerst vag Abwägungsmaßstäbe, die auch durch den in Erwägungsgrund 47 genannten Grundsatz „der vernünftigen Erwartungshaltung des Betroffenen“ kaum konturiert werden. Es wird von der künftigen Rechtsprechung des EuGHs abhängen, ob konkrete Kriterien für diese Interessenabwägung gefunden werden können.
FAZIT FÜR DIE PRAXIS
1. Auch wenn § 15 Abs. 3 TMG für die Frage der Verwendung von Cookies in Zukunft nicht mehr angewendet werden kann, so bleibt im Ergebnis alles weitgehend beim Alten. Der Online-Händler kann auf der Grundlage des allgemeinen Erlaubnistatbestands des Art. 6 Abs. 1, lit f Cookies verwenden, ohne die vorherige Einwilligung des Nutzers einzuholen. Dies bezieht auch Cookies von Drittparteien ein. Das sehr vage Abwägungsgebot dieser Vorschrift gibt jedenfalls dem Online-Händler einen weiten Spielraum.
Allerdings müssen in der künftigen Datenschutzerklärung des Online-Händlers bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit f DSGVO ausdrücklich bejaht werden:
Art. 6 Abs. 1 lit f DSGVO muss ausdrücklich als Rechtmäßigkeitsgrund benannt werden
Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Händlers vor
Die Anwendung von Cookies sind zur Erreichung dieser Interessen erforderlich.
Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.
Die IT-Recht Kanzlei wird für ihre Mandanten eine Datenschutzerklärung gemäß DSGVO ausarbeiten, die dies berücksichtigt.
2. Es bleibt bei der bisherigen Empfehlung der IT-Recht Kanzlei
Um ein Abmahnungsrisiko zu minimieren und (theoretisch) mögliche Schritte von Google wegen Verletzung seiner Nutzungsbedingungen zu vermeiden, empfiehlt die IT-Recht Kanzlei gleichwohl weiterhin, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und ihn darüber zu informieren, dass bei weiterem Besuch der Webseite von der Einwilligung des Nutzers in die Verwendung von Cookies ausgegangen wird (s. diesen Beitrag der IT-Recht Kanzlei)
RECHTSLAGE MIT KÜNFTIGER GELTUNG DER EPRIVACY VERORDNUNG
Ursprünglich sollte die e-Privacy-Verordnung zum Schutz vor ungewolltem Tracking und zur Verwendung von Cookies im Mai 2018 in Kraft treten. Auf Anfrage hat das Bundeswirtschaftsministerium nun mitgeteilt, dass sich die EU-Mitgliedstaaten wohl erst im Frühjahr 2018 auf eine gemeinsame Verhandlungsposition einigen können. Die jetzigen Schwierigkeiten einer Regierungsbildung in Deutschland werden eine solche Einigung sicher nicht erleichtern. Es sind noch eine Unzahl von Punkten zwischen EU-Parlament, EU-Kommission und Ministerrat zu klären. Vor diesem Hintergrund ist es zurzeit wenig sinnvoll, über die Auswirkungen dieses Verordnungsentwurfs zu spekulieren.
Den vollständigen Artikel finden Sie auf den Seiten der IT Recht Kanzlei.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz