In unserem letzten Blogbeitrag hatten wir erklärt, was Cookies sind und wofür sie verwendet werden. Als Datenschützer ist hier die nächste Frage, was es bei der Verwendung für Einwilligungen oder Widerspruchsmöglichkeiten benötigt. Dieser Teil ist leider etwas rechts-technischer, denn die Unterscheidungen, die hier berücksichtigt werden müssen, sind leider etwas abstrakter.

Der rechtliche Rahmen für Cookies

Bis vor Kurzem war man davon ausgegangen, dass es zwei Bedingungen für Cookies gibt. Die eine kommt aus der EU Cookie Richtlinie, und die andere aus dem Datenschutz. Laut Cookie Richtlinie müssen Menschen, die Webseiten besuchen (Nutzer) darüber informiert werden, wenn diese Seiten versuchen, Dateien auf deren Computer zu installieren. Außerdem müssen laut dieser Richtlinie Nutzer die Möglichkeit haben, der Speicherung von Cookies zu widersprechen. Das ist im Grunde genommen das, was bis jetzt gelebt wird, nämlich das alle Cookies gleichbehandelt werden.

Die Datenschutzkonferenz, also alle deutschen Datenschutz-Aufsichtsbehörden gemeinsam, ist aber der Meinung, dass noch andere, und strengere Anforderungen aus dem Datenschutz, also DSGVO und BDSG (in Verbindung mit der e-privacy Richtlinie und Telemediengesetz) gelten.

______________________________________________________________________

Achtung:
Diese e-privacy Richtlinie gilt schon lange; was im Moment in Brüssel noch verhandelt wird, ist eine neue e-privacy Verordnung. Der Unterschied zwischen Richtlinien und Verordnungen in der EU wird hier erklärt.

______________________________________________________________________

Diese Anforderungen leiten sich aus der Tatsache ab, dass jede Datenverarbeitung eine spezifische Rechtsgrundlage braucht.

Das „berechtigte Interesse“ für Cookies von Dritten?

Wie schon im ersten Teil erklärt, wurde die weitaus meiste Nutzung von Cookies & Co bisher auf der Grundlage des „berechtigten Interesses“ bezogen. Das heißt, es wurde davon ausgegangen, dass das Unternehmen, welches die Webseite betreibt, ein Interesse daran hat, mehr über seine Seitennutzer zu erfahren, und dass dieses Interesse als gerechtfertigt anerkannt wird.

Dies ist weiterhin theoretisch möglich – allerdings in vielen konkreten Fällen wird dies durch eine Bedingung des berechtigten Interesses verhindert: nämlich der Bedingung, dass die Datenverarbeitung verhältnismäßig, und damit erforderlich sein muss. Diese Bedingung drückt aus, dass wenn ein Zweck auch durch eine weniger riskante oder tiefgreifende Datenverarbeitung erreicht werden kann, dann ist sie eben nicht mehr berechtigt.

Im Fall des Cookies, welches für viele Analysen notwendig ist, gilt, dass die Verwendung zwar rechtmäßig sein kann, aber nur dann, wenn sie keine „unnötigen“ Risiken birgt. Die Datenschutzkonferenz ist der Meinung, dass dies der Fall ist, wenn die Analyse lokal, vom Unternehmen, welches die Webseite stellt, selbst durchgeführt wird. Die Analyse durch z. B. Google stellt nach Ansicht der DSK eine unnötig riskante Variante dar. Sie kann also nicht auf Grundlage des berechtigten Interesses erfolgen, denn diese deckt nur die „vorsichtigste“ Verarbeitung.

Das heißt nicht, dass die Nutzung von z. B. Google Analytics oder Adobe Analytics jetzt verboten ist. Das heißt aber, dass es dafür eine andere Rechtsgrundlage braucht.

Die Einwilligung für Cookies

Für diese andere Rechtsgrundlage kommt eigentlich als einziges die Einwilligung in Frage. Damit man sich darauf berufen kann, muss diese Einwilligung aber auch wirklich eingeholt werden. Das heißt, anders als der bisher meist genutzte Cookie-Banner, muss bei der Einwilligung

• deutlich sein, zu welchen Zwecken die Daten genutzt werden
• deutlich sein, welche Dritten einbezogen werden
• andere Zwecke separat abgefragt werden
• eine Einwilligung nur nach aktiver Zustimmung gewertet werden.

Das heißt, Cookie-Banner müssen separat abfragen, ob Cookies für Analyse, Marketing, Personalisierung usw. gesetzt werden dürfen. Solange der Nutzer nicht durch entsprechendes Anhaken zugestimmt hat, dürfen keine Cookies gesetzt werden.

Was sagt das neue EuGH Urteil im „Fashion-ID“ Fall?

An dieser Stelle wird das Urteil des Europäischen Gerichtshofs (EUGH) wichtig. Obwohl es sich nicht konkret mit Cookies beschäftigt, gibt es doch Hinweise darauf, dass der EuGH die Einschaltung von weiteren Unternehmen eher kritisch sieht. Dieser hat am 29.07.2019 nämlich entschieden, dass ganz ähnliche Grundsätze auch für Facebook Pixel oder ähnliche Einbindungen von Inhalten, die auf Servern von Dritten gelagert werden, gelten.

Beim EUGH ging es konkret um den „Like“-Button von Facebook. Die gleichen Prinzipien treffen aber auf weitere Bereiche zu. Im Urteil ging es ganz generell darum, dass nicht alles, was dem Nutzer auf einer Webseite angezeigt wird, auch vom Webserver des Seitenbetreibers kommt. Manche Inhalte werden stattdessen von anderen Seiten geladen, was aber der Nutzer nicht sehen kann. Dies ist so beim Like-Button, aber bei manchen Schriftarten, Bildern, meist bei Videos und oft bei Karten und Anfahrtsskizzen.

Außerdem ging es darum, dass der Vorgang des Ladens einer Webseite eigentlich ein Datenaustausch ist: Der Nutzer gibt Informationen über seinen Standort, sein Betriebssystem, seine Geräte und seine Einstellungen an den Webserver, wofür der Webserver dann die Inhalte so zurückschickt, dass der Computer des Nutzers sie wie vorgesehen darstellen kann. Viele dieser Nutzerinformationen sind sehr technischer Natur. Allerdings können damit trotzdem Rückschlüsse über die Person gezogen werden – was auch getan wird.

Der Knackpunkt ist, dass diese anderen Seiten, von denen Inhalte auch geladen werden, genauso wie der eigentliche Webserver diese Nutzerinformationen erhalten, also eine Webseite Informationen an Dritte weitergibt, wenn solche Inhalte eingebunden sind.

Eine solche Weitergabe ist eine Verarbeitungstätigkeit – und als solche braucht Sie eine Rechtsgrundlage. Auch hier wird gerne das „berechtigte Interesse“ genannt. Der Gerichtshof hat aber deutlich gemacht, dass es hier zwar Interessen gibt (an gezielterem Marketing und höheren Gewinnen im Fall des Pixel), dass diese aber nicht unbedingt „berechtigt“ sind. Die Gewinnoptimierung ist kein Interesse, dem sich die Rechte und Freiheiten von Nutzern unterordnen müssen.

Stattdessen braucht es, wie bei vielen Cookies, eine Einwilligung. Und genauso wie für Cookies muss diese Einwilligung eingeholt werden, bevor Inhalte von weiteren Severn geladen werden.

Beauftragung als Unterschied zur Cookie Handhabung

Es gibt hier aber einen wichtigen Unterschied zum Cookie-Fall wie oben beschrieben. Eine echte „Weitergabe“ findet nämlich nur statt, wenn es sich beim Empfänger der Daten nicht um ein Unternehmen handelt, welches Daten im Auftrag verarbeitet. Eine „Weitergabe“ erfolgt immer an ein Unternehmen, welches die Daten eigenverantwortlich weiterverarbeitet.

An dieser Stelle gibt es zwei mögliche Fälle: entweder der Webseitenbetreiber hat die Inhalte selbst auf einen anderen Server gestellt, oder hat sonst eine Auftragsverarbeitung mit dem Betreiber des anderen Servers vereinbart. Das ist z. B. häufig der Fall bei Bildern, die gerne extern liegen, um die Seite schneller zu machen und häufig auch bei Schriften. Dies ist aber generell nicht der Fall bei Facebook und anderen Sozialen Medien – und auch nicht bei allen Siegeln oder anderen „Pixeln“, die auf Webseiten eingebunden sein können.

Bei einer Auftragsverarbeitung ändert sich der Verantwortliche nicht. Der ursprüngliche Seitenbetreiber bestimmt immer noch darüber, welche Daten wie verarbeitet werden. Ohne Auftragsverarbeitung hat er darauf aber keinen Einfluss.

Der EuGH hat nichts dazu gesagt, wie genau es aussehen würde, falls die Daten an einen Auftragsverarbeiter übermittelt werden. Die Argumentation im „Fashion-ID“ Fall greift dann nicht – aber eine solche Situation wäre sehr ähnlich zur Situation der Analyse Cookies. Insofern muss eigentlich davon ausgegangen werden, dass zumindest die DSK auch dem Einsatz von Pixeln, Schriften, o. ä. mit Auftragsverarbeitern ohne Einwilligung kritisch gegenüber steht.

Fazit

Um sicher zu sein, dass die Webseite datenschutzkonform ist, muss sowohl das Cookie-Banner geändert werden, als auch, bei einer Weiterleitung zu anderen Anbietern, vorher eine Einwilligung vom Nutzer eingeholt werden.

Wenn diese Einwilligung dann nicht gegeben wird, dürfen auch keine weiteren Inhalte nachgeladen werden und weder ein Tracking- noch ein Analyse-Tool aktiv werden.

Cookie-Abfragen müssen vor dem Besuch der Webseite geschaltet werden, die Einwilligung von Weiterleitungen kann auch durch Klicken auf entsprechende Icons auf der Webseite erfolgen – solange dem Nutzer klar ist, dass dieses Klicken zu einer „Fremdseite“ führt.

Wie dies technisch umgesetzt werden kann, werden wir im dritten Teil unserer Reihe behandeln.