Tracking: Wann dürfen Marketing-Cookies gesetzt werden?

In der medialen und politischen Landschaft, genauso wie bei vielen Internetnutzern im beruflichen oder privaten Umfeld werden die berühmt-berüchtigten "Cookie-Banner" zunehmend genervt diskutiert. Der Sinn dieser Banner kann mit guten Gründen in Zweifel gezogen werden. Eine juristische Einordnung.
Bei automatisiert generierten "Cookie-Einordnungen" kommt es häufig zu nicht zuordenbaren Cookies. (© Imago)

Von Till Gerhardt, Senior Associate bei Osborne Clarke

Kaum ein Internetnutzer nimmt sich wirklich die Zeit, die Datenverarbeitungen hinter einem „Cookie-Banner“ nachzuvollziehen und auf diese Weise eine wirklich autonome und informierte Entscheidung im Hinblick auf seine Wünsche zu treffen. Hinzu kommt, dass viele „Cookie-Banner“ schlecht gestaltet sind und den Nutzer – ob beabsichtigt oder nicht – durch unklare Formulierungen und versteckte Ablehnungsmöglichkeiten („Nudging“) zu einer bestimmten Entscheidung drängen. Symptomatisch sind in diesem Zusammenhang auch die (oft automatisiert generierten und dadurch besonders fehleranfälligen) „Cookie-Walls“, in denen Nutzer lange Einträge mit unverständlichen Cookie-Beschreibungen herunterscrollen können. Der datenschutzrechtliche Nutzen dieses Vorgehens erscheint sehr fragwürdig.

Neues Gesetz der Bundesregierung tritt 2021 in Kraft

Der deutsche Gesetzgeber hat nun ein neues Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien („TTDSG“) geschaffen, das voraussichtlich im Dezember 2021 in Kraft treten wird und Teile des bestehenden Telemediengesetzes („TMG“) ablösen wird. Als Kern der künftigen „Cookie-Regelung“ wird die bislang ohnehin schon bestehende Rechtslage in Gesetzestext gegossen.

Grob zusammengefasst dürfen Cookies, die nicht lediglich „technisch notwendig“ sind, um den jeweiligen Dienst auszuführen (also beispielsweise die aufgerufene Webseite anzuzeigen), nur noch mit einer Einwilligung des Nutzers gesetzt und ausgelesen werden. Dies betrifft insbesondere – aber bei weitem nicht nur – „Marketing-Cookies“, die im Rahmen von Werbe-Netzwerken eingesetzt werden und mit denen Nutzer über verschiedene Websites und Geräte re-identifiziert werden, um personalisierte Werbung auszuspielen.

Datenschutz-Aufseher gewähren bisher einigen Spielraum

Eine der interessantesten Fragen in diesem Zusammenhang betrifft die Einordnung von Cookies als „technisch notwendig“. Hierzu äußern sich Datenschutz-Aufsichtsbehörden teilweise erstaunlich liberal, was einigen Spielraum für den Einsatz von Cookies auch ohne eine Einwilligung offenhält.

Diese Regel besteht im Übrigen bereits schon. Das TTDSG schreibt lediglich eine sehr weitgehende und unter Juristen teilweise kritisierte Rechtsprechung des Bundesgerichtshofs (BGH) fest. Der BGH hatte die Cookie-Regelung im deutschen TMG „gerettet“, indem er den eigentlich europarechtswidrigen Wortlaut des Gesetzes (der eine „Opt-Out“-Lösung zuließ) so interpretierte, dass er der Vorgabe der europäischen „ePrivacy-Richtlinie“ doch noch entsprach und nunmehr als „Opt-In“-Erfordernis umgedeutet wurde. Damit das Gesetz jedoch auch für den Rechtsanwender klar und deutlich den Anordnungen des Europarechts und des BGH entspricht, hat der deutsche Gesetzgeber nunmehr den Wortlaut des Gesetzes „nachgezogen“. Hierdurch wird schlicht Rechtssicherheit geschaffen, was zu begrüßen ist.

Gesetz gilt auch für neue Cookie-Alternativen

Die Neuregelung hat teilweise von politischer Seite Kritik erfahren, sie ziele lediglich auf Cookies und damit auf eine längst veraltete Technik aus den 80er und 90er Jahren. Tatsächlich regelt das Gesetz nicht nur den Einsatz von Cookies, sondern technologieneutral „die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“. Unter diese Regelung fallen also auch alternative Technologien wie beispielsweise „Local Storage“. Die Verengung der Diskussion auf Cookies rührt daher, dass die Technologie zwar nicht neu, aber nach wie vor deutlich weiter verbreitet ist als ihre Alternativen.

Diskutieren lässt sich in diesem Zusammenhang allenfalls, ob das „Device-“ bzw. „Browser-Fingerprinting“ unter das Einwilligungserfordernis fällt. Hierbei werden stark vereinfacht ausgedrückt Informationen, die ohnehin zur Anzeige der angefragten Webseite erhoben werden, analysiert, um einen Nutzer auf anderen Webseiten wieder zu identifizieren, auf diese Weise Profile zu bilden und wiederum personalisierte Werbung auszuspielen. Durch die Kombination verschiedener Merkmale (etwa bestimmte Hardware oder Software-Versionen, Spracheinstellungen etc.) wird dabei ein nahezu einzigartiger „digitaler Fingerabdruck“ generiert, ohne dass Daten auf dem Endgerät abgelegt oder gesondert Informationen aus dem Gerät ausgelesen werden müssen.

Datenschutzeinstellungen zentral verwalten

Recht kurzfristig in das Gesetz geschafft hat es dann doch noch eine wirkliche Neuregelung: Der Gesetzgeber führt ein Verfahren zur Anerkennung sogenannter „Dienste zur Einwilligungsverwaltung“ ein (im internationalen Kontext diskutiert unter dem Namen „Personal Information Management Systems“, „PIMS“). Diese Dienste gehen auf eine Empfehlung der von der Bundesregierung eingesetzten Datenethikkommission zurück. Nutzer sollen dabei an zentraler Stelle die Möglichkeit erhalten, ihre Datenschutzeinstellungen zu verwalten, ohne dies für jeden digitalen Dienst und jede Webseite einzeln festlegen zu müssen.

Kritisiert wird hieran teilweise, dass damit die Anbieter dieser Dienste in die unmittelbare Nutzerbeziehung eingreifen und gleichsam zwischengeschaltet werden. Letztlich ist anzunehmen, dass die praktische Bedeutung dieser PIMS jedenfalls zunächst eher gering sein wird. Nach Inkrafttreten des TTDSG soll die Bundesregierung zunächst eine Rechtsverordnung erlassen, mit der die Anforderungen an PIMS spezifiziert werden. In einem weiteren Schritt muss dann das Anerkennungsverfahren durchlaufen werden – unter anderem müssen die Anbieter unabhängig sein und die Anforderungen an die Datensicherheit gewährleisten; außerdem dürfen sie die erhobenen Daten nicht für eigene Zwecke weiterverwenden –, bevor die Dienste dann tatsächlich flächendeckend zum Einsatz kommen und durch Betreiber digitaler Dienste berücksichtigt werden müssen.

Eigene Cookie-Banner auf Compliance überprüfen

Auf europäischer Ebene läuft zudem parallel das Gesetzgebungsverfahren zur sogenannten „ePrivacy-Verordnung“, welche die bestehende ePrivacy-Richtlinie ersetzen soll. Sobald diese Verordnung in Kraft tritt, ist davon auszugehen, dass das TTDSG obsolet wird und insofern lediglich als Übergangsgesetz in Erinnerung bleiben wird. Da sich der Gesetzgebungsprozess auf europäischer Ebene jedoch bereits seit einigen Jahren hinzieht, ist eine seriöse Prognose insoweit aktuell kaum möglich.

Für Webseitenbetreiber und Anbieter anderer digitaler Dienste ergibt sich aus der gesetzlichen Neuregelung jedenfalls zunächst einmal kein akuter zusätzlicher Handlungsbedarf. Gut vorstellbar ist jedoch, dass Datenschutz-Aufsichtsbehörden angesichts der nunmehr auch von ihrem Wortlaut eindeutigen Regelung zum Einsatz von Cookies künftig weniger „Kulanz“ walten lassen und Webseiten und andere digitale Dienste kritischer prüfen werden. Vor diesem Hintergrund ist es sinnvoll, sich beispielsweise das eigene Cookie-Banner einmal genauer anzusehen und auf seine Compliance überprüfen zu lassen.

Bei automatisiert generierten „Cookie-Einordnungen“ kommt es zudem häufig zu nicht zuordenbaren Cookies. Ein solcher Zustand sollte besonders zügig beendet werden, entweder durch Zuordnung oder Abschalten des Cookies. Sinnvoll kann es sein, die eingesetzten Cookies zudem darauf zu überprüfen, ob sie teilweise als „technisch notwendig“ eingeordnet werden können und eine Einwilligung damit nicht erlässlich wird.

Till Gerhardt ist Senior Associate bei Osborne Clarke. (Foto: privat)

Vita: Dr. Till Gerhardt ist Anwalt für Datenschutzrecht bei der Kanzlei Osborne Clarke in Hamburg. Zu den Arbeitsschwerpunkten des 37-Jährigen zählt alles rund um Datenschutz-Compliance, mit besonderem Fokus an der Gestaltung von Hinweisgeber-Systemen, komplexen Datenanalysen und Online-Tracking.