Viele Webseitenbetreiber setzen Cookies auf Ihren Webseiten ein, was bislang aufgrund gesetzlicher Vorschriften des Telemediengesetzes (TMG) auch möglich ist. Doch mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) drohen neue Probleme.
Die Datenschutzkonferenz (DSK), die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder haben am 26.04.2018 ein Positionspapier veröffentlicht.
In diesem Papier geht die DSK auf die Problematik zwischen DSGVO, ePrivacy-Richtlinie und ePrivacy-Verordnung und deren Auswirkung ein.
Hintergrund ePrivacy und DSGVO
Die ePrivacy-Verordnung sollte die bisherige ePrivacy-Richtlinie ersetzen und die DSGVO im Hinblick auf elektronische Kommunikation präzisieren und ergänzen. Eigentlich hätte die ePrivacy-Verordnung mit der DSGVO in Kraft treten sollen. Allerdings steckt die ePrivacy-Verordnung noch im Gesetzgebungsverfahren fest. Vor Ende 2018, eher wohl 2019 ist mit der ePrivacy-Verordnung nicht mehr zu rechnen. Dies führt zu Ungewissheiten in der Rechtsanwendung.
Papier der DSK zu Cookies nach der DSGVO
Die DSK vertritt vor diesem Hintergrund die Auffassung, dass die für Cookies relevanten Vorschriften im TMG nach Inkrafttreten der DSGVO keine Anwendung mehr finden. Daher könnten diese Vorschriften auch nicht mehr als Rechtsgrundlage für den Einsatz von Cookies oder anderen Trackingmechanismen genutzt werden.
Der Einsatz von Cookies bedarf daher einer Rechtsgrundlage in der DSGVO. Als Möglichkeiten nennt die DSK ausdrücklich Cookies die unmittelbar erforderlich sind um den jeweiligen Dienst, welchen die betroffene Person nutzen möchte, verfügbar zu machen. Auch könne es Fälle geben, bei denen der Einsatz von Cookies im Rahmen einer Interessenabwägung zu Gunsten des Einsatzes solcher Cookies ausfällt.
Die DSK hält aber für Cookies, die das Verhalten betroffener Personen im Internet nachvollziehbar machen oder der Erstellung von Nutzerprofilen dienen, eine vorherige informierte Einwilligung des Nutzers für erforderlich.
Was bedeutet das nun?
Nach der Auffassung der DSK dürften Cookies nach der DSGVO künftig nur nach vorheriger informierter Einwilligung der Nutzer gesetzt werden. Diese Auffassung hätte weitreichende Konsequenzen für Webseitenbetreiber zur Folge, da diese sich stets um eine Einwilligung mit all ihren Anforderungen bemühen müssten und alte Cookies nicht weitergenutzt werden dürften.
Die Auffassung der DSK stößt jedoch vielfach auf Kritik und letztlich ist diese Auffassung auch nicht bindend, sondern eben nur eine Position. Tatsächlich spricht viel dafür, dass Cookies auch ohne Einwilligung eingesetzt werden dürfen, da es auch andere Rechtsgrundlagen für deren Einsatz nach der DSGVO gibt, wie die DSK selbst aufführt.
Allerdings bleibt für betroffene Unternehmen das Risiko, dass die Datenschutzbehörden unter Verweis auf das Positionspapier dies künftig anders sehen werden. Will man diesen möglichen Auseinandersetzungen gänzlich aus dem Weg gehen, bleibt nur auf den Einsatz von Cookies gänzlich zu verzichten oder aber Einwilligungen vorab einzuholen.
