11.11.2021 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Schon im Jahr 2019 hatte das Urteil des Europäischen Gerichtshof (EuGH, Urt. v. 01.10.2019, Az. C-673/17, Planet49) deutlich gemacht, dass die deutsche Regelung im Telemediengesetz zur Profilbildung im Zusammenhang mit Cookies nicht ausreichend ausgestaltet war bzw. – so viele Stimmen – nicht rechtskonform mit der Cookie-Richtlinie war. Cookies sind nach Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) einwilligungsbedürftig, egal ob personenbezogene Daten verarbeitet werden oder nur anonyme Daten. Werden personenbezogene Daten verarbeitet, kann dann auch hierfür eine Einwilligung notwendig sein. Die Einwilligung ist nur wirksam, wenn ein Nutzer aktiv zustimmen kann.
Dies greift der neue § 25 Abs. 1 des TTDSG zum „Schutz der Privatsphäre bei Endeinrichtungen“ auf und lehnt sich an den Wortlaut der Cookie-Richtlinie an. Zwei Varianten (Speicherung auf Endgerät und Zugriff auf bereits gespeicherte Informationen) werden der Einwilligung unterworfen:
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“
Die aufgeführte Verordnung ist die Datenschutzgrundverordnung (DSGVO), die eine informierte Einwilligung für Datenverarbeitungen fordert.
Damit bringt diese neue Regelung keine Änderung der ohnehin in den Monaten nach dem EuGH-Urteil angenommenen Rechtslage, die zu einem Anwachsen von Einwilligungslösungen auf den Webseiten führte. Consentmanagement-Tools mit ausführlichen Texten zu den einzelnen Tools unter Nennung der die Daten empfangenen Stelle, der Art der erhobenen Daten, der Dauer der Verarbeitung, mit Belehrungen und Risikounterrichtungen sind nach dem heutigen Stand der Technik die richtige Wahl, wenn über Cookies komplexe Datenerhebungen stattfinden. Dabei sind mit diesen Tools noch lange nicht alle komplexen Folgeverarbeitungen abbildbar.
Die Ausnahmen von der Einwilligungspflicht sind auch der Cookie-Richtlinie entnommen. Keine Einwilligung ist nach § 25 Abs. 2 TTDSG erforderlich,
1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist …
Deutlich praxisrelevanter sind die berühmten „notwendigen Cookies“:
2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Ein Setzen von Cookies ohne Einwilligung kann teuer werden. Das Gesetz bringt eine Geldbuße bis zu 300.000 EUR auf das Tablett (vgl. § 28 TTDSG).
In den Augen vieler Nutzer wird mit den Einwilligungsbannnern das Internet „kaputt“ gemacht. Die Abfrage vielfacher komplexer Einwilligungen im Stakkato dürfte nicht wirklich den Nutzern ihre Selbstbestimmung zurückgeben. Dem soll ein neuer Ansatz entgegenwirken. Neue neutrale Dienste sollen die Einwilligungen verwalten. Die Dienste sollen genehmigt werden.
Über eine Rechtsverordnung sollen die technischen Einzelheiten geklärt werden. Danach sollen die Browser so ausgestaltet werden, dass sie die Einstellungen der Endnutzer, die bei den Diensten hinterlegt werden, befolgen (§ 26 TTDSG). Hat eine Person festgelegt, dass sie der Datenverarbeitung zu Marketing-Zwecken zustimmt oder die Zustimmung verweigert, dann wird dies automatisch berücksichtigt. Die Abfrage der Einstellungen im Personal Information Management System (PIMS) des Dienstes kann auch über den Webseitenbetreiber beim Dienst erfolgen. Hier könnten die Consenttools eine automatische Abfrage vornehmen.
Nichts wirklich Neues an der Cookie-Front. Es ist noch vollkommen unklar, ob das technisch einwandfrei und fehlerlos passieren kann. Cookie-Scanner funktionieren jedenfalls heute nicht fehlerlos. Wer soll im Fall eines technischen Fehlers haften? Wie soll etwa ein Webseitenbetreiber nachweisen, wie die Einstellung an einem bestimmten Tag um eine bestimmte Uhrzeit aussah? Was bedeutet das für die Probleme mit US-amerikanischen Unternehmen?
Man kann jetzt schon sagen, dass dieser Lösungsweg steinig sein wird und ob es ein Königsweg wird, muss bezweifelt werden. Leider ist z.B. die generelle Erlaubnis der Nutzung für statistische Tools nicht aufgenommen worden. Das würde die Sachlage schon etwas entspannen.
Bild: fancycrave1 (Pixabay, Pixabay License)
X
