11
Jun
2018
Internet (iStock_000005558176Small_quadrat)

DSGVO oder TMG – was müssen Unternehmen beim Einsatz von Cookies beachten?

Im Zuge der Reform des EU-weiten Datenschutzrechts hatte der europäische Gesetzgeber ursprünglich geplant, am 25. Mai 2018 neben der EU-Datenschutz-Grundverordnung (DSGVO) auch die ePrivacy-Verordnung einzuführen. Diese soll EU-weit die DSGVO in Hinblick auf die elektronische Kommunikation präzisieren und ergänzen. Wegen politischer Differenzen im Gesetzgebungsverfahren rechnen Experten mittlerweile jedoch nicht damit, dass die ePrivacy Verordnung in nächster Zeit verabschiedet und Geltung erlangen wird.

Für Unternehmen stellt sich aufgrund dieser Verzögerung die Frage, ob sie in Hinblick auf die elektronische Kommunikation trotz des EU-rechtlichen generellen Anwendungsvorrangs der DSGVO weiterhin die Regelungen des deutschen Telemediengesetzes (TMG) beachten müssen. Das TMG bleibt über den 25. Mai 2018 hinaus unverändert in Kraft, da der Gesetzgeber keine Anpassung der Regelung an die DSGVO vorgenommen hat. Zu dieser Frage hat Ende April die Datenschutzkonferenz (DSK), das Beratungsorgan der Datenschutzaufsichtsbehörden in Deutschland, Stellung genommen. Die Stellungnahme können Sie hier abrufen.

Position der Datenschutzkonferenz

Die DSK hält die datenschutzrechtlichen Regelungen in den §§ 12, 13 und 15 TMG mit Geltung der DSGVO für nicht mehr anwendbar. Hierfür spricht nach Ansicht der Datenschutz-Aufsichtsbehörden auch nicht die Regelung in Art. 95 DSGVO, welche als Kollisionsregel zur alten ePrivacy Richtlinie deren Grundsätze weiterhin für anwendbar erklärt. Denn die §§ 12, 13 und 15 TMG seien gerade nicht in Umsetzung der ePrivacy Richtlinie erlassen worden, sondern in Umsetzung der mit Geltung der DSGVO aufgehobenen Datenschutzrichtlinie (95/46/EG). Damit ist für die DSK auch unerheblich, ob die Regelungen im TMG die ePrivacy Richtlinie überhaupt korrekt umgesetzt hatten.

Entsprechend gelten nach Ansicht der Datenschützer künftig auch für Verarbeitungsvorgänge im Bereich der elektronischen Kommunikation ausschließlich die Regeln der DSGVO. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Dienstanbieter von Telemedien soll deshalb nur Artikel 6 Abs. 1 DSGVO in Betracht kommen. Zudem müssten Dienstanbieter künftig auch die Grundsätze aus Art. 5 DSGVO sowie die weiteren Anforderungen der DSGVO einhalten.

Die unmittelbare Geltung der DSGVO auf Verarbeitungen der elektronischen Kommunikation bewirkt nach der Ansicht der DSK, dass beim Einsatz von Tracking-Mechanismen und bei der Erstellung von Nutzerprofilen regelmäßig eine rechtmäßige Einwilligung der betroffenen Personen die einzig verbleibende Rechtfertigungsgrundlage ist. Tracking-Mechanismen wie beispielsweise Cookies machen das Verhalten von betroffenen Personen im Internet nachvollziehbar. Entsprechend müssten Unternehmen nach Auffassung der DSK eine Einwilligung, die den Anforderungen der DSGVO genügt, durch eine eindeutige, bestätigende Handlung einholen, bevor sie beispielsweise Cookies platzieren.

Kritische Bewertung der Position der DSK

Die Stellungnahme der DSK hat weder für Gericht noch für die Aufsichtsbehörden selbst eine rechtliche Bindungswirkung. Dennoch kommt derartigen Positionspapieren eine wichtige faktische Wirkung zu. Gerade bei komplexen Auslegungsfragen greifen Gerichte und Aufsichtsbehörden regelmäßig auf solche Positionspapiere zurück.

Auch wenn man mit der DSK die Verarbeitung personenbezogener Daten durch Anbieter von Telemediendienste künftig ausschließlich nach den Regeln der DSGVO beurteilt, folgt daraus unseres Erachtens nicht zwingend, dass für den Einsatz aller Tracking-Mechanismen künftig stets eine Einwilligung der betroffenen Person notwendig ist. Die DSGVO sieht auch andere Rechtfertigungstatbestände als die Einwilligung vor, beispielsweise zur Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO. Es ist nicht ersichtlich, weshalb der Einsatz von Cookies oder anderen Tracking-Mechanismen nicht unter Umständen auch durch berechtigte Interessen gerechtfertigt sein kann. So sieht beispielsweise der Erwägungsgrund 47 DSGVO selbst eine vergleichsweise eingriffsintensivere Direktwerbung als eine mögliche dem berechtigten Interesse dienende Maßnahme an.

Handlungsempfehlungen für die Praxis

Angesichts der klaren Positionierungen der datenschutzrechtlichen Aufsichtsbehörden ist eine Fortsetzung der bisherigen Praxis unter Berufung auf die Fortgeltung des TMG riskant. Auch wenn das Risiko von Maßnahmen der Aufsichtsbehörde in diesem umstrittenen Bereich eher gering sein sollte, sind rechtliche Schritte (insbesondere Abmahnungen) von Verbraucherverbänden oder Wettbewerbern möglich. Die erste Welle an datenschutzrechtlichen Abmahnungen ist bereits kurz nach Geltung der DSGVO erfolgt und wird wohl nicht die letzte bleiben.

Eine vollständige Abschaltung der Cookies hingegen wäre übertrieben und ist zur Umsetzung der neuen gesetzlichen Vorgaben auch nicht nötig. Um Cookies weiterhin rechtssicher einzusetzen sollten Unternehmen jedoch ein DSGVO-konformes Einwilligungsverfahren (Opt-in) einführen. Dabei sollten Unternehmen auch die Hinweise der EU Datenschutzbehörden zu Einwilligungserklärungen beachten. Insbesondere sollten Unternehmen berücksichtigen, dass eine spezifische Einwilligung regelmäßig nur für spezifische Zwecke erfolgen kann, das heißt, dass Einwilligungen beispielsweise für Cookies zur Marktforschung und Cookies für Performance-Analysen der Internetseite getrennt möglich und getrennt widerruflich sein sollten.