Einsatz von Cookies – Einwilligung, Widerspruch, berechtigtes Interesse?

Eine Einwilligung ist gemäß den Aufsichtsbehörden weiterhin grundsätzlich erforderlich - teilweise sollen aber Ausnahmen möglich sein.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte Ende April 2018 eine knappe Positionsbestimmung bzgl. der (Nicht-)Anwendbarkeit des Telemediengesetzes (TMG) und stellte darin fest, dass die Regelungen des TMG ab dem 25.05.2018 nicht mehr anwendbar sein würden. Wir hatten seinerzeit hier darüber berichtet. Dies hätte nach Auffassung der DSK unter anderem zur Folge, dass beim Einsatz von Tracking-Mechanismen auf Webseiten (z.B. Matomo, Google Analytics) die etablierte Widerspruchslösung gegen die bereits stattfindende Verarbeitung (sog. Opt-Out), die nach dem TMG ausreichend wäre, den gesetzlichen Anforderungen der DS-GVO nicht mehr genügen würde. Damit forderte die DSK eine ausdrückliche Einwilligung des Nutzers vor Beginn der Verarbeitung (sog. Opt-In).  

Die Positionsbestimmung der DSK enthielt einen Hinweis darauf, dass das Dokument unter Berücksichtigung der aktuellen Entwicklungen auf der europäischen Ebene fortgeschrieben werde. Nach knapp einem Jahr veröffentlichte die DSK nun eine Orientierungshilfe, in der sie ihre Feststellungen, die sie in der Positionsbestimmung gemacht hat, grundsätzlich bestätigt und präzisiert.

Was sagt die Orientierungshilfe konkret?

Soweit es um die Rechtmäßigkeit der Verarbeitung geht und diese sich – wie regelmäßig der Fall – aus Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse des Verantwortlichen) ergeben soll, stellt die DSK Kriterien auf, die im Rahmen der Interessenabwägung zu berücksichtigen wären. Bei der näheren Betrachtung der Orientierungshilfe fällt auf, dass die DSK beim Einsatz von Tracking-Mechanismen die Einwilligung nicht mehr kategorisch als die einzig mögliche Rechtsgrundlage für deren Nutzung sieht. In der Positionsbestimmung hieß es in Punkt 9 noch:

„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung im Sinne der DS-GVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, also bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

In der aktuellen Orientierungshilfe wird jedoch nicht mehr nur auf eine Einwilligung abgestellt, sondern am Beispiel des Einsatzes eines sogenannten Tracking-Pixels gezeigt, wie eine Interessenabwägung durchzuführen wäre. Im Ergebnis kommt die DSK bei ihrem Beispiel zum Ergebnis, dass die Abwägung der Interessen im konkreten Einzelfall ergibt, dass die Interessen der betroffenen Person überwiegen, so dass der Einsatz des Tracking-Pixels ohne eine Einwilligung nicht zulässig wäre. Tendenziell lautet also der Tenor der Orientierungshilfe, dass eine Interessenabwägung eher zugunsten eines Nutzers und nicht des Verantwortlichen ausfallen dürfte. Sie zeigt aber auch, dass je nach Einzelfall grundsätzlich auch ein anderes Ergebnis möglich wäre. Ergänzend versucht der Landesbeauftragte für den Datenschutz und die Informationssicherheit Baden-Württemberg (LfDI Baden-Württemberg) in seinen „FAQ zu Cookies und Tracking“ den durch die DSK behandelten Beispielfall weiter zu präzisieren und erörtert in der Nr. 1 seiner FAQ, wann der Einsatz der Werkzeuge zur Reichweitenanalyse ohne Einwilligung der Nutzer verwendet werden darf. Nach seinem Verständnis ist die Einschätzung der DSK so aufzufassen, dass eine Reichweitenanalyse dann ohne eine Einwilligung zulässig wäre, „wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird“, so dass beispielsweise beim Einsatz rein lokal installierter Analysewerkzeuge (z.B. Matomo) keine Einwilligung seitens der Nutzer erforderlich wäre.

Fazit

Die Tatsache, dass von der DSK anstatt einer Einwilligung nun auch das berechtigte Interesse für den Einsatz von Tracking-Mechanismen zumindest grundsätzlich als mögliche Rechtsgrundlage genannt wird, dürfte die Verantwortlichen mehr verunsichern, als für die erhoffte Klarheit und mehr Orientierung sorgen. Die Ergänzung des LfDI Baden-Württemberg sorgt auch nicht für mehr Sicherheit, denn wenn der Einsatz von (lokal installierten) Analysetools ohne Einwilligung grundsätzlich zulässig sein soll und eine zulässige Verarbeitung gemäß Art. 28 DS-GVO  grundsätzlich in Auftrag gegeben werden kann, ist nicht klar, warum dann der Rückgriff auf Dienste Dritter (z.B. Google Analytics), mit denen zur Legitimation der Datenübermittlung ein Auftragsverarbeitungsvertrag geschlossen wird, ohne Einwilligung nicht möglich sein sollte. In diesem Zusammenhang wird darauf hingewiesen, dass bereits die Einschätzung der DSK bzgl. der (Nicht-)Anwendbarkeit des TMG in der Fachliteratur auf Kritik stößt (vgl. zuletzt Schwartmann in RDV 2019, S. 51).

Für die Praxis bedeutet dies, dass der Einsatz von Analysewerkzeugen unter Verwendung der Opt-Out-Lösung weiterhin mit dem Risiko behaftet sein wird, dass die Aufsichtsbehörden ausgehend von ihrem Verständnis der Rechtslage, entsprechende Verarbeitungsprozesse als nicht zulässig erachten könnten. Verantwortliche, die lokale Analysetools wie z.B. Matomo einsetzen, könnten sich aktuell ggf. auf die Stellungnahme des LfDI Baden-Württemberg berufen, gehen damit allerdings ein Risiko ein. Dies gilt insbesondere, wenn für den jeweiligen Verantwortlichen eine andere Aufsichtsbehörde zuständig ist.

Sie möchten Ihren Internetauftritt datenschutzkonform gestalten? Sprechen Sie uns an, wir unterstützen Sie gerne!