22. Juni 2018 von Bastian Winter
Die Datenschutzgrundverordnung sorgt weiter für Verunsicherung. Auch Behörden sind sich über deren Reichweite nicht sicher, wie sich bei der Datenschutzkonferenz im April zeigte.
Die Datenschutzbehörden des Bundes und der Länder treffen sich regelmäßig zur sogenannten Datenschutzkonferenz (DSK), um die einheitliche Anwendung der Datenschutzgesetze in den Bundesländern sicherzustellen. Doch was die obersten staatlichen Datenschützer vergangene Woche in Düsseldorf beschlossen haben, überrascht viele Experten: Künftig soll es nach dem Willen der Behörden nötig sein, dass Webseitenbetreiber vor dem Setzen von Cookies die ausdrückliche Einwilligung des Nutzers samt bestätigender Handlung (z.B. Opt-In-Klick) einholen. So heißt es in dem Beschlusspapier:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden. […] Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein ‚Opt-in‘ […].“
Das Problem hat seine Wurzeln im Telemediengesetz (TMG). Dieses sollte eigentlich der Umsetzung der sogenannten ePrivacy-Richtlinie dienen. Ob das tatsächlich der Fall ist, ist seit Jahren umstritten – und in diesem Streit liegt nun das Problem. Art. 95 DSGVO regelt nämlich, dass die DSGVO neue Pflichten im Hinblick auf ePrivacy nur auferlegt, wenn es nicht schon nationale Gesetze gibt, die der Umsetzung der Richtlinie dienen. Das heißt also, dass es auf den genannten Streit maßgeblich ankommt: Wenn das TMG die ePrivacy-Richtlinie umsetzt, gilt es auch neben der DSGVO einfach weiter und in Sachen Cookies ändert sich nichts (jedenfalls bis die neue ePrivacy-Verordnung kommt). Wenn die Richtlinie durch das TMG aber nicht umgesetzt wurde, gelten ab dem 25. Mai die Pflichten der DSGVO und damit die – nach dem Willen der DSK – erhöhten Anforderungen an den Einsatz von Cookies.
Diese Unsicherheit will die DSK wohl nun beseitigen und schlägt sich in das Lager derer, die im TMG die ePrivacy-Richtlinie nicht vollständig umgesetzt sehen. In der Positionsbestimmung heißt es dazu:
„Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen – da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen – demgemäß dem Anwendungsvorrang der DSGVO.“
Fraglich ist, ob der DSK die Tragweite ihrer Positionsbestimmung vollständig bewusst war und wenn ja, warum sie diese neuen Anforderungen nicht einmal vier Wochen vor Umsetzung ankündigt. Das führt nun nämlich zwangsweise dazu, dass ein Großteil der betroffenen Seitenbetreiber nicht mehr rechtzeitig reagieren kann, was Abmahnkanzleien freuen dürfte. Denn: Ein Verstoß gegen die DSGVO und damit auch gegen die neuartige Cookie-Regelung ist wohl nach dem Gesetz über den unlauteren Wettbewerb (UWG) kostenpflichtig abmahnbar.
Die Rechtmäßigkeit dieser Abmahnungen lässt sich selbstverständlich gerichtlich überprüfen, da das Positionspapier der DSK keine rechtliche Bindungswirkung hat. Man muss sich jedoch vor Augen halten, dass die Auslegung der DSK wohl eine starke Argumentationsgrundlage darstellt, auf die sich Abmahnanwälte zunächst berufen können. Letztlich wird es also darauf ankommen, ob auch die deutschen Gerichte die Auffassung der DSK teilen, dass das TMG nicht die ePrivacy-Richtlinie umsetzt. Kritik dafür muss sich die DSK jedenfalls in zweifacher Hinsicht gefallen lassen. Erstens kann es nicht angehen, dass die staatlichen Datenschützer mit einer vermeintlich kleinen Entscheidung die Argumentationsgrundlage für Abmahnungen in unvorhersehbarem Ausmaß liefern und das – zweitens – ohne den Betroffenen eine realistische Chance einzuräumen, rechtzeitig nachzubessern.
Zusammenfassend bedeutet die Position der DSK, dass Unternehmen ihre Webseiten nicht einmal vier Wochen vor der Anwendung der DSGVO erneut auf den Prüfstand stellen und gegebenenfalls überarbeiten lassen müssen, wenn sie das Risiko einer kostenpflichtigen Abmahnung vermeiden wollen. Das bringt die Betreiber vieler Webseiten in Bedrängnis. Sie müssen nun umgehend dafür sorgen, dass ohne die ausdrückliche Einwilligung des Seitenbesuchers keine Cookies auf dessen Computer und keine Daten über den Nutzer auf dem Server gespeichert werden. Technisch gesehen eine Herausforderung, der sicherlich der Großteil der Unternehmen nicht ohne Weiteres gewachsen sein dürfte, vor allem wenn nicht gleich ein hauseigener Programmierer greifbar ist.
Denn „ausdrückliche Einwilligung“ bedeutet, dass es nicht mehr ausreichend ist, wenn der Seitenbesucher über ein Pop-Up-Banner informiert wird, dass auf der Webseite Cookies verwendet werden und daraufhin die Seite weiter nutzt. Dies würde nur eine schlüssige, eine konkludente, Einwilligung darstellen, aber keine „ausdrückliche“. Vielmehr müsste der Seitenbesucher gefragt werden, ob er der Verwendung von Cookies zustimmt und explizit einen Button anklicken, bevor auch nur der erste Cookie gesetzt wird. (bw)