Eine unendliche Geschichte …
… ist seit Oktober 2019 um eine Facette reicher: Zeitgleich mit der EU Datenschutz-Grundverordnung (DSGVO) sollte im Mai 2018 auch eine Neufassung der EU e-Privacy Richtlinie in Kraft treten, die den elektronischen Datenverkehr hinsichtlich Cookies, Newslettern etc und der Privatsphäre der Nutzer*innen auf ein zeitgemäßes Niveau bringen sollte. Aufgrund verschiedenster Interessen kam die neue Richtlinie bisher nicht zustande.
Die Umsetzung der alten Richtlinie wurde bislang in jedem Land anders gehandhabt, in Zusammenschau mit der DSGVO gab – und gibt – es nach wie vor unterschiediche Interpretationen, vor allem auch zum Thema ‚Cookies‘.
Auch der BGH war sich nicht sicher
Der deutsche Bundesgerichtshof (BGH) legte also aus einem Anlassfall heraus dem Europäischen Gerichtshof (EUGH) einige grundlegende Fragen zu Cookies und Einwilligungen vor, die Antwort des EUGH hat fürs erste eine Klärung der bisher unklaren Rechtslage dazu gebracht:
Cookies dürfen NICHT ohne vorherige, aktive und informierte Einwilligung des Nutzers/der Nutzerin gesetzt werden! Die bisher auf den meisten Websites verwendeten Cookie-Consent-Lösungen (‚Durch die Weiternutzung der Website stimmen Sie der Verwendung von Cookies zu‘) reichen nicht aus. Auch die Hinweise auf entsprechende Browser-Einstellungen (Cookies blockieren) oder Opt-Out-Möglichkeiten einzelner Dienste, die in den Datenschutzerklärungen ‚versteckt‘ worden waren, wurden vom EUGH als unzulässig verworfen.
Ausnahmen bestehen nur für die Setzung von essentiellen Cookies (ohne deren Einsatz wesentliche Funktionen der Website nicht zur Verfügung stehen, zb der Warenkorb in Onlineshops).
Was bedeutet nun ‚vorherige – aktive – informierte‘ Einwilligung?
Vorherige Einwilligung: Beim Aufruf einer Website dürfen vorerst keinerlei Cookies gesetzt werden, erst muss eine Auswahl-Option zur Verfügung gestellt werden – stimme ich der Verwendung von Cookies zu oder nicht? Diese Einwilligung muss auch selektiv möglich sein, dh dass man einzelnen Gruppen von Cookies zustimmt, anderen Gruppen aber nicht, zb Zustimmung zu Tracking- oder Performance-Cookies, aber keine Einwilligung zu Marketing-Cookies.
Aktive Einwilligung: Es darf keine Checkbox vorausgefüllt sein, wo man ein Häkchen erst wegklicken müsste, wenn man der jeweiligen Cookie-Gruppe nicht zustimmt. (Genau dieser Punkt war im deutschen Anlassfall ausschlaggebend für die Verurteilung des Website-Betreibers.) Die Nutzerin/Der Nutzer muss aktiv die Checkbox anhaken oder auf einen Einwilligungs-Button klicken.
Informierte Einwilligung: Es muss über alle Cookies informiert werden, die gesetzt werden sollen – eine Gruppierung ist sinnvoll, soll aber nicht zum ‚Verstecken‘ unbeliebter Namen genutzt werden. Das Anbieten eines Links zu einer Cookie-Infoseite sollte ausreichen, man muss nicht die gesamte Info in der Cookie-Consent-Box einbauen.
Diese Informationen müssen zum jeweiligen Cookie den Zweck des Cookies und die Dauer der Speicherung enthalten.
Bei Third Pary Cookies (die Daten an Drittfirmen übertragen) ist die Nennung der jeweiligen Drittfirma erforderlich.
Auch über aus Sicht der Website-Betreiber essentielle Cookies muss in der Cookie-Infoseite informiert werden, diese sollten auch in der Cookie-Consent-Box genannt werden, man kann sie aber nicht abwählen (zb Hakerl ausgegraut oä).
Browser sperren von sich aus das Setzen von Third-Party-Cookies
Browser-Anbieterfirmen liegt die Privatsphäre und der Schutz der personenbezogenen Daten der Nutzer*innen – nach eigenen Aussagen – verstärkt am Herzen. Daher geben nach Safari mittlerweile auch Chrome und Firefox an, dass sie in nächster Zukunft keine Third-Party-Cookies mehr zulassen werden. Auf diese Browser-Vordefinition wird auch die Einwilligung der User, die in einem Cookie-Consent gegeben wird, wahrscheinlich keinen Einfluss haben. Da die Datensammlung und das Anlegen von möglichst umfassenden ‚Kund*innen-Profilen‘ für das Marketing im Netz essentiell sind, wird bereits an Nachfolge-Technologien für Cookies gearbeitet, wie zb Zählpixel, Fingerprints etc.
Es zeigt sich damit wieder, dass die rechtliche ‚Ordnung‘ der Technologien massiv langsamer ist als neue Funktionen entstehen.
Entwurf für eine neue EU-ePrivacy-Richtlinie durch die kroatische EU-Ratspräsidentschaft im Februar 2020
Nachdem sich mittlerweile bereits die achte(!) EU Ratspräsidentschaft mit dem Thema befasst, gibt es noch immer keine neue Richtlinie. Im ersten Halbjahr 2020 führt Kroatien den EU-Ratsvorsitz und will jetzt einen neuen Entwurf einer entsprechenden Verordnung auf den Weg bringen – der Entwurf wurde am 21.2.2020 veröffentlicht und muss jetzt durch die EU Institutionen begutachtet und anschließend – bei Annahme des Entwurfs – durch die nationalen Parlamente ‚ratifiziert‘ werden.
Bisher gibt es erst einige Kommentare zu diesem Entwurf, der eine sehr liberale Sicht des Datenschutzes abbilden soll:
So soll das berechtige (legitime) Interesse der Anbieterschaft massiv gestärkt werden und die Abwägung, ob die Interessen des Anbieters oder die Datenschutz-Interessen der betroffenen Personen überwiegen, soll vom Anbieter selber getroffen werden.
Der Entwurf wurde als ‚Parodie eines bauernschlauen Lobbyisten-Texts‘ bezeichnet…..