Wann ist ein Coo­kie “unbe­dingt erforderlich”?

Neue Stel­lung­nah­men der Auf­sichts­be­hör­den in Deutsch­land und Luxemburg

Wel­che Anfor­de­run­gen gel­ten für das Set­zen von Coo­kies auf Web­sei­ten? Die­se schon seit der ePrivacy-Richtlinie viel dis­ku­tier­te und umstrit­te­ne Fra­ge ist durch das Inkraft­tre­ten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in Deutsch­land wie­der ver­stärkt in den Fokus gerückt. Grund­sätz­lich ist für die Ein­wil­li­gung in das Set­zen von Coo­kies zwi­schen “unbe­dingt erfor­der­li­chen” Coo­kies i.S.v. Art. 4 Abs. 3 S. 2 Alt. 2 der ePrivacy-Richtlinie und sons­ti­gen Coo­kies zu unter­schei­den. Wäh­rend bei den unbe­dingt erfor­der­li­chen Coo­kies kei­ne Ein­wil­li­gung erfor­der­lich ist, muss die­se bei allen ande­ren Coo­kies im Vor­feld und unter Ein­hal­tung der dies­be­züg­li­chen Vor­ga­ben der Art. 4 Nr. 11, Art. 7 DSGVO erfolgen.

Eini­ge deut­sche Daten­schutz­auf­sichts­be­hör­den ver­tre­ten in ihren aktu­el­len Stel­lung­nah­men zum Inkraft­tre­ten des TTDSG eine stren­ge Auf­fas­sung und gehen, wie die fol­gen­de Über­sicht zeigt, nur in engen Aus­nah­me­fäl­len davon aus, dass Coo­kies “unbe­dingt erfor­der­lich” sind:

  • Daten­schutz­auf­sicht Ham­burg: “Die Aus­nah­men sind bereits dem Wort­laut nach eng aus­zu­le­gen. So fin­det sich in Abs. 2 Nr. 2 die For­mu­lie­rung “unbe­dingt erfor­der­lich”, was vor dem Hin­ter­grund der Geset­zes­be­grün­dung als tech­ni­sche, nicht jedoch wirt­schaft­li­che Not­wen­dig­keit zu ver­ste­hen ist. Regel­mä­ßig wer­den daher die Reich­wei­ten­mes­sung, das Nut­zer­tracking für Wer­be­zwe­cke usw. für die Zur­ver­fü­gung­stel­lung eines Tele­me­di­en­diens­tes nicht unbe­dingt erfor­der­lich und daher nach dem TTDSG ein­wil­li­gungs­pflich­tig sein.”
  • Daten­schutz­auf­sicht Sach­sen: “Aus­nah­men von die­sem Ein­wil­li­gungs­er­for­der­nis sind eng begrenzt auf eine unbe­ding­te Erfor­der­lich­keit, damit der Anbie­ter einen vom Nut­zer aus­drück­lich gewünsch­ten Tele­me­di­en­dienst zur Ver­fü­gung stel­len kann.”
  • Daten­schutz­auf­sicht Ber­lin: “Einer Ein­wil­li­gung bedarf es aus­nahms­wei­se nur dann nicht, wenn die Spei­che­rung von und der Zugriff auf Infor­ma­tio­nen in den End­ge­rä­ten unbe­dingt erfor­der­lich sind, damit ein von den Nut­zen­den aus­drück­lich gewünsch­ter Tele­me­di­en­dienst zur Ver­fü­gung gestellt wer­den kann. Das ist zum Bei­spiel der Fall bei einem Coo­kie, der dazu dient, Arti­kel eines Online-Shops in einem Waren­korb zu speichern.”
  • Daten­schutz­auf­sicht Nie­der­sach­sen: “Für Anbie­ter von Tele­me­di­en gibt es eine Aus­nah­me­re­ge­lung in § 25 Abs. 2 Nr. 2 TTDSG. […] Da es sich um eine Aus­nah­me­re­ge­lung han­delt, ist grund­sätz­lich von einem engen Ver­ständ­nis aus­zu­ge­hen, so dass es nur weni­ge Coo­kies und Dritt­diens­te geben wird, die ohne eine Ein­wil­li­gung auf der Web­sei­te ein­ge­setzt wer­den können.”
  • Daten­schutz­auf­sicht Nordrhein-Westfalen: “Die Ein­wil­li­gung rich­tet sich nach den Regeln der Datenschutz-Grundverordnung. Aus­nah­men von die­ser Ein­wil­li­gung sind aber im § 25 Abs. 2 TTDSG ent­hal­ten. Aus­ge­nom­men sind danach rein funk­tio­nel­le Coo­kies, etwa Warenkorb-Cookies oder Sys­te­me zur Betrugsprävention.”

Da die ePrivacy-Richtlinie eine euro­päi­sche Har­mo­ni­sie­rung dar­stellt, sind bei der Beur­tei­lung der Erfor­der­lich­keit eines Coo­kies jedoch nicht nur die Stel­lung­nah­men der deut­schen Daten­schutz­auf­sichts­be­hör­den und die für Anfang 2022 ange­kün­dig­te Emp­feh­lung der Daten­schutz­kon­fe­renz für Unter­neh­men von Inter­es­se, son­dern auch die Ein­schät­zung ande­rer euro­päi­scher Auf­sichts­be­hör­den, wie bei­spiels­wei­se der spa­ni­schen (PDF), der fran­zö­si­schen (PDF) oder auch der iri­schen (PDF) Aufsichtsbehörde.

Zu den Auf­sichts­be­hör­den, die hier­zu eine Ein­schät­zung abge­ge­ben haben, reiht sich nun­mehr auch die luxem­bur­gi­sche Daten­schutz­auf­sichts­be­hör­de ein: In ihrem kürz­lich ver­öf­fent­lich­ten Leit­fa­den zu Coo­kies und ande­ren Tra­ckern (PDF) gibt die Com­mis­si­on natio­na­le pour la pro­tec­tion des don­nées (CNPD) neben prak­ti­schen Hin­wei­sen zur Infor­ma­ti­on von Web­sei­ten­be­su­chern und zur Gestal­tung von Cookie-Bannern und Consent-Managern auch eine Stel­lung­nah­me zur Erfor­der­lich­keit einer vor­he­ri­gen Ein­wil­li­gung für das Set­zen der Coo­kies ab. Ihre Ein­schät­zung weicht dabei teils erheb­lich von der “deut­schen Linie” ab.

Leit­li­ni­en der CNPD zur Erfor­der­lich­keit einer Einwilligung

Nach Auf­fas­sung der CNPD kön­nen die fol­gen­den Coo­kies als „unbe­dingt erfor­der­lich“ ange­se­hen werden:

  • Spei­che­rung der Cookie-Auswahl durch den Nutzer.
  • Authen­ti­fi­zie­rung des Nut­zers, sofern das Coo­kie nur die­sem Zweck dient. Dies wird nach Auf­fas­sung der CNIL jedoch bei der gro­ßen Mehr­heit der Coo­kies in sozia­len Netz­wer­ken nicht der Fall sein.
  • Coo­kies zur Erin­ne­rung an die in den Waren­korb geleg­ten Artikel.
  • Coo­kies, wel­che der Spei­che­rung von Ant­wor­ten in einem Kon­takt­for­mu­lar dienen.
  • Coo­kies, wel­che dem Strea­men von Inhal­ten die­nen, sofern der Nut­zer sei­nen aus­drück­li­chen Wil­len bekun­det hat, auf die Inhal­te zugrei­fen zu wollen.
  • Coo­kies zur Per­so­na­li­sie­rung von Diens­ten, wie bei­spiels­wei­se Ansichts­ein­stel­lun­gen oder eine Sprach­ein­stel­lung. Die Per­so­na­li­sie­rung von Wer­bung fällt jedoch nicht in die­se Kategorie.
  • Coo­kies, die zu Sicher­heits­zwe­cken ein­ge­setzt wer­den, sofern die­se aus­schließ­lich Sicher­heits­zwe­cken und aus­schließ­lich dem Betrei­ber der Web­sei­te oder Anwen­dung die­nen. –    Coo­kies, die sta­tis­ti­schen Zwe­cken die­nen, sofern der Betrei­ber der Web­sei­te nach­weist, dass die Ver­wen­dung von bestimm­ten Analyse-Cookies für die Bereit­stel­lung des Diens­tes erfor­der­lich ist, bei­spiels­wei­se weil sie für die Aus­wer­tung der Ser­ver­ka­pa­zi­tä­ten benö­tigt wer­den oder um Pro­ble­me in der Bedie­nung auf­zu­de­cken. Dazu müs­sen die Coo­kies nach Auf­fas­sung der CNPD min­des­tens fol­gen­de Vor­aus­set­zun­gen erfüllen:

1. Die Coo­kies dür­fen nicht an Drit­te wei­ter­ge­ge­ben oder mit ande­ren Daten ver­bun­den werden.

2. Die Coo­kies dür­fen außer­dem weder eine umfas­sen­de Auf­zeich­nung der Nut­zung einer Sei­te noch eine web­sei­ten­über­grei­fen­de Auf­zeich­nung ermöglichen.

3. Die Coo­kies dür­fen aus­schließ­lich dem Betrei­ber der Web­sei­te zur Erstel­lung anony­mer Sta­tis­ti­ken dienen.

Hin­ge­gen zäh­len nach Ansicht der CNPD fol­gen­de Coo­kies zu den nicht unbe­dingt erfor­der­li­chen Coo­kies, die eine vor­he­ri­ge Ein­wil­li­gung erfordern:

  • Coo­kies, wel­che einer gerä­te­über­grei­fen­den Nach­ver­fol­gung des Nut­zers dienen.
  • Coo­kies, wel­che der Erstel­lung eines Nut­zer­pro­fils die­nen, bei­spiels­wei­se indem die Inter­es­sen des Nut­zers gesam­melt werden.
  • Coo­kies wel­che der Per­so­na­li­sie­rung von Wer­bung dienen.
  • Coo­kies, die der Geo­lo­ka­li­sie­rung des Nut­zers dienen.
  • Social-Media-Plugins, wie bei­spiels­wei­se ein „Gefällt mir“-Button, sofern das Plugin auf die Nut­zung von Coo­kies ange­wie­sen ist.

Bemer­kens­wert ist unter ande­rem die Auf­fas­sung der CNPD zu den Social-Media-Plugins, da die Art.-29-Datenschutzgruppe und eini­ge sich dar­an ori­en­tie­ren­de Daten­schutz­auf­sichts­be­hör­den wie die spa­ni­sche, die bel­gi­sche oder die grie­chi­sche Auf­sichts­be­hör­de die­se Ein­schrän­kung nicht erwäh­nen. Zudem ist inter­es­sant, dass die CNPD Analyse-Cookies unter den oben genann­ten Vor­aus­set­zun­gen für unbe­dingt erfor­der­lich und damit nicht ein­wil­li­gungs­pflich­tig ansieht. Bezüg­lich der erfor­der­li­chen Ein­wil­li­gung selbst hebt die CNPD beson­ders die Anfor­de­run­gen für die vor­he­ri­ge Infor­ma­ti­on des Nut­zers her­vor, wel­che an den Art. 12 und 13 DSGVO zu mes­sen ist. 

Zukünf­ti­ge Rege­lung durch EU-Verordnung

Die teil­wei­se unter­schied­li­chen Auf­fas­sun­gen der jewei­li­gen Daten­schutz­auf­sichts­be­hör­den beru­hen zu einem nicht uner­heb­li­chen Teil auf den jewei­li­gen natio­na­len Umset­zun­gen der ePrivacy-Richtlinie (PDF) in den ver­schie­de­nen Mit­glied­staa­ten der EU. Dies hat auch die Euro­päi­sche Kom­mis­si­on erkannt und bereits 2017 einen Vor­schlag für eine ePrivacy-Verordnung (PDF) vor­ge­stellt. Nach eini­ger Kri­tik und jah­re­lan­gem Tau­zie­hen zwi­schen den Mit­glied­staa­ten soll der aktu­el­le Ent­wurf nun bereit für den Tri­log zwi­schen Euro­päi­scher Kom­mis­si­on, dem Rat der Euro­päi­schen Uni­on und dem Euro­päi­schen Par­la­ment sein.

Auch die CNPD äußert in ihren Leit­li­ni­en die Hoff­nung, dass die­se Ver­ord­nung zu einer bes­se­ren Über­ein­stim­mung der Vor­ga­ben für Coo­kies mit den Rege­lun­gen der DSGVO füh­ren wird und die Unter­schie­de in der Aus­le­gung oder Umset­zung zwi­schen den Mit­glied­staa­ten und den jewei­li­gen natio­na­len Behör­den besei­tigt werden.

Fazit

Bis zu einer ein­heit­li­chen Rege­lung durch die ePrivacy-Verordnung wird noch eini­ge Zeit ver­ge­hen. Im Hin­blick auf die zahl­rei­chen Stel­lung­nah­men und die Viel­zahl an Auf­fas­sun­gen ist es für die Betrei­ber von Web­sei­ten wich­tig, die Auf­fas­sun­gen der jewei­li­gen natio­na­len Auf­sichts­be­hör­den zu ken­nen und die­se umzu­set­zen. Dies umso mehr, da Coo­kies im Fokus der Daten­schutz­auf­sichts­be­hör­den blei­ben. Bei der Fra­ge, ob eine Ein­wil­li­gung erfor­der­lich ist oder nicht, spricht jedoch viel dafür, auch die Stel­lung­nah­men ande­rer euro­päi­scher Auf­sichts­be­hör­den zu berück­sich­ti­gen. Schließ­lich kann es nicht zulas­ten von Unter­neh­men gehen, wenn eine euro­päi­sche Richt­li­nie statt zu einer Har­mo­ni­sie­rung zu einer Zer­split­te­rung der recht­li­chen Anfor­de­run­gen an die Ein­wil­li­gung bei Coo­kies führt. Vor die­sem Hin­ter­grund wäre auch eine stär­ke­re Abstim­mung der zustän­di­gen Auf­sichts­be­hör­den in Euro­pa wünschenswert.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.