Ich weiß, dass ich nichts weiß – Die neue Cookie-Regelung ist da, Rechtsunsicherheiten bleiben
Mit der Einführung der DS-GVO im Jahr 2018 stellten sich von jetzt auf gleich unzählige datenschutzrechtliche Fragen. Besonders intensiv und emotional diskutiert wurde hierbei das Phänomen des sog. Cookie-Banners. Wie müssen sie aussehen? Wann müssen sie gesetzt werden? Gibt es Alternativen?
07.02.2022
Lucia Burkhardt, Wissenschaftliche Mitarbeiterin an der Kölner Forschungsstelle für Medienrecht, TH Köln
Nicht nur Unternehmen hatten damit so ihre Schwierigkeiten, auch Verbraucher:innen klagten, der Datenschutz mache das Internet kaputt. Gut für das Image des Datenschutzes war das sicherlich nicht. Daher ist die Einführung des neuen TTDSG zunächst mal Grund zur Freude. Mit dem neuen Gesetz kam nämlich (endlich) auch eine explizite Regelung für den Einsatz von Cookies bei Websites und Apps, § 25 TTDSG.
Dessen Einführung war lange überfällig. Eine europäische Verpflichtung durch die e-Privacy-RL zum Erlass einer solchen Norm bestand seit ganzen zehn Jahren. Den Verzug hätte der hiesige Gesetzgeber nutzen können, um auf mittlerweile bekannt gewordene Rechtsunsicherheiten, was die praktische Umsetzung der Norm angeht, zu reagieren. Man ging jedoch lieber auf Nummer sicher und übernahm den europäischen Richtlinientext quasi unverändert ins nationale Recht. Zu groß war die Sorge vor einer europarechtswidrigen Umsetzung. Wenn schon zu spät, dann nicht auch noch falsch, war wohl das Motto. Die Praxis freut das nicht. Was genau die neue Reglung nun erlaubt, ist nämlich höchst unklar. Rechtsunsicherheiten bestehen daher nach wie vor viele.
Dreh und Angelpunkt zahlreicher Diskussionen ist die Auslegung der „unbedingten Erforderlichkeit“. Für die Praxis ist die Auslegung des Begriff von elementarer Bedeutung. Ist der Cookie nicht unbedingt erforderlich, müssen Einwilligungen eingeholt werden. Einwilligungen müssen nicht nur dauerhaft gespeichert werden, sondern können auch frei widerrufen werden. Das stellt Webseitenanbieter vor enorme Herausforderungen. Zudem werden Einwilligungen durch das Schreckensgespenst „Cookie-Banner“ eingeholt.
Daher fragen sich nun viele: Welche Datenerhebung ist noch im Sinne des § 25 TTDSG „unbedingt erforderlich“, um den angebotenen Dienst zur Verfügung zu stellen? Dürfen Webseitenbetreiber ohne Zustimmung der Nutzer:innen aggregierte Statistiken über die Nutzer:innen der eigenen Webseite erheben (sog. Reichweitenmessung)? Dürfen Automobilhersteller auf Unfalldaten vernetzter Autos zugreifen, um deren Sicherheitsstandards zu erhöhen? Dürfen Hersteller von IoT-Dienstleistungen ungefragt Softwareupdates durchführen?
Das Einzige, was wir mit Sicherheit wissen, ist, wir wissen nichts. Die letzte Stellungnahme von europäischer Seite stammt aus dem Jahr 2012, wurde also vor einem Jahrzehnt erlassen.[1] Gut jeder weiß, Technik entwickelt sich langsam, da kann man sich ruhig ein bisschen Zeit lassen mit der gesetzlichen Umformung. Stellungnahmen der Aufsichtsbehörden einzelner europäischer Mitgliedstaaten gibt es mittlerweile viele.[2] Jede bewertet die Situation ein bisschen anders.
Für die hiesige Praxis relevant ist natürlich zunächst v.a. die Ansicht der deutschen Aufsichtsbehörden. Da trifft es sich gut, dass sich die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzbehörden des Bundes und der Länder, bereits zu dem Thema geäußert hat.[3] Gott sei Dank stellt die DSK ausdrücklich fest, dass es aus Sicht der Unternehmen „wünschenswert wäre, wenn die Aufsichtsbehörden eine Aussage dazu treffen würden, ob bspw. eine Reichweitenmessung grundsätzlich ohne Einwilligung eingesetzt werden darf“. Da macht sich doch ein bisschen Hoffnung breit. Doch die Enttäuschung folgt stehenden Fußes. „Aus mehreren Gründen finden sich in dieser Orientierungshilfe keine derartigen Aussagen.“ Nachfolgend wird dargelegt: Es ist kompliziert. Der DSK ist zugute zu halten, dass sie damit recht hat. Und immerhin finden sich am Ende der Orientierungshilfe auch einige Kriterien anhand derer die Bestimmung der „unbedingten Erforderlichkeit“ erfolgen kann.
Für die Praxis bedeutet das jedoch weiterhin Unsicherheit. Wer auf Nummer sicher gehen will, holt lieber mal eine Einwilligung zu viel ein. Wer mutiger ist, riskierts und hofft auf eine milde Sanktionspraxis der Aufsichtsbehörden und schnelle gerichtliche Entscheidungen. Bis endgültig Licht ins Dunkel gebracht wird, wird es wohl leider noch ein wenig dauern.
[1] Art. 29-Datenschutzgruppe Stellungnahme 04/2012 zur Ausnahme von Cookies von der
Einwilligungspflicht, WP 194 v. 7.6.2012.
[2] Statt aller AEPD (spanische Datenschutzaufsichtsbehörde), A Guide on the use of cookies; CNIL (französische Datenschutzaufsichtsbehörde) Lignes directrices «cookies et autres traceurs»; ICO (britische Datenschutzaufsichtsbehörde) Guidance on the use of Cookies and similar technologies.
[3] DSK Orientierungshilfe Telemedien 2021.
Februar 2022