Ein Blog von Mareike Gehrmann, Fachanwältin für IT-Recht
Cookies werden auf so gut wie jeder Website benutzt. Sie werden auf dem Computer des Website-Users gespeichert und erlauben es dem Cookie-Verwender den Website-User wiederzuerkennen und auf ihn zugeschnittene personalisierte Werbung zu schalten.
Die Verwendung von Cookies – soweit nicht zum Betrieb der Website erforderlich – ist nach der EU-Datenschutzgrundverordnung (DSGVO) regelmäßig nur mit einer Einwilligung des Website-Users möglich. Statt dem sog. „Opt-In“-Verfahren, bei dem der Website-User aktiv eine Erklärung, z.B. durch Ankreuzen eines Kästchens, abgeben muss, wurde in Deutschland dennoch lange die sog. „Opt-Out“-Lösung genutzt (z.B. durch Entfernen eines Kreuzchens).
Im Oktober 2019 entschied der Europäische Gerichtshof (Az. C-673/17) letztendlich, dass für das Einholen einer datenschutzrechtlichen Einwilligung bei Cookies eine aktive „Willensbekundung“ erforderlich ist.
Die Entscheidung des Europäische Gerichtshofs führt in Deutschland nun zu Folgefragen, unter anderem nämlich, ob die Nutzung sog. „Cookie-Walls“ datenschutzrechtlich zulässig ist. Eine Cookie-Wall ist eine Möglichkeit für Websites, Usern den Zugriff zu verweigern, wenn sie nicht mit allen auf dieser Website vorhandenen Cookies und Trackern einverstanden sind. Das Modell ist für die Website-Betreiber besonders attraktiv. Fraglich ist nur, ob dies rechtmäßig ist.
Niederlande erneut Vorreiter
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens „AP“) hat sich bereits vor einem Jahr mit dem Thema „Cookie-Walls“ auseinandergesetzt. So äußerte sie sich bereits im März 2019 dazu, dass eine Kopplung von Tracking Cookies und Website-Nutzung nicht mit der DSGVO vereinbar sei und eine Einwilligung dann eben nicht mehr „freiwillig“, wie von der DSGVO gefordert, sei. Die Ansicht stieß auf Zustimmung aus Großbritannien und Frankreich. Damit positioniert sich die Niederlande klar gegen die Nutzung von Cookie-Walls und für die Verschärfung der Anforderungen an eine Einwilligung.
Lange schwiegen die deutschen Datenschutzbehörden oder äußerten sich nur rudimentär zu dem Thema. Die deutsche Regierung hingegen schien bislang die Tendenz zu haben, sich für die Legalisierung von Cookie-Walls einsetzen zu wollen.
Am 7. Mai 2020 positionierte sich der Bundesdatenschutzbeauftragte nun klar und deutlich und folgt damit dem europäischen Meinungsbild. Demnach werden Cookie-Walls vom Bundesdatenschutzbeauftragten als unzulässig angesehen. Eine Ausnahme besteht lediglich dann, „wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.“ Es kann somit erwartet werden, dass die anderen deutschen Datenschutzbehörden sich dieser Ansicht anschließen.
ePrivacy-Verordnung als Lösung?
Die sich im Entwurf befindliche ePrivacy-Verordnung könnte die Lösung des Problems mit sich bringen. Ursprünglich sollte sie mit Wirksamwerden der DSGVO am 25.05.2018 in Kraft treten, jedoch haben sich die EU-Mitgliedstaaten bis heute nicht auf einen gemeinsamen Gesetzesentwurf einigen können. Seit Januar 2017 werden Vorschläge von der EU-Kommission und dem Europäischen Rat hin und her gespielt und jedes Mal aufs Neue verworfen.
Zuletzt wurde der Entwurf der finnischen Ratspräsidentschaft mit 14 Gegenstimmen im November 2019 abgelehnt. Erst am 21. Februar 2020 wurde von der neuen kroatischen Präsidentschaft ein Vorschlag eingereicht, der weitreichende Änderungen beinhaltet. Insbesondere soll Art. 6 der ePrivacy-Verordnung verschärft werden. Die Datenverarbeitung elektronischer Kommunikationsdaten soll nur dann zugelassen werden, wenn es für die Übermittlung der Kommunikation unbedingt notwendig ist oder zur Sicherstellung der IT-Sicherheit oder Einhaltung gesetzlicher Pflichten. Art. 8 der ePrivacy-Verordnung soll hingegen gänzlich gestrichen werden. Er befasste sich mit der Zulässigkeit des Trackings von Endgeräten. Dies sollte in Ausnahmefällen zulässig sein. Die Ratspräsidentschaft entschied sich nun gegen die Aufnahme von Ausnahmen. Dazu äußerte sich der IAB Europe, ein internationaler Wirtschaftsverband der Onlinewerbungsbranche, bereits kritisch in einem Brief an die EU-Mitgliedstaaten.
Die ePrivacy-Verordnung wäre ein guter Ansatz, um eine einheitliche Lösung zu der Frage nach der Nutzung von Cookie-Walls zu erreichen. Jedoch scheint ein Ende der Verhandlungen noch nicht in Sicht und die angesetzte Übergangsfrist würde ein Wirksamwerden erst zwei Jahre nach in Kraft treten ermöglichen. Es bleibt abzuwarten, welcher Ansatz sich europaweit durchsetzen wird.
Über die Autorin
Mareike Gehrmann ist Salary Partnerin bei Taylor Wessing. Als Fachanwältin für IT-Recht leitet sie Mandanten durch den Wandel der Digitalisierung. Sie verfügt über eine ausgewiesene Expertise im IT-Vertrags- und Datenschutzrecht und berät vor allem zu KI, Datenschutz und Cyber Security. Hierbei arbeitet sie grenzüberschreitend mit dem niederländischen Team von Taylor Wessing zusammen und betreut niederländische Unternehmen vor allem beim Eintritt in den deutschen Markt.
