Wohin mit den Cookies?
Cookies werden mittlerweile auf jeder Website genutzt - doch wie müssen Website-Betreiber*innen eigentlich über diese aufklären? Jeder kennt das meist nervige Zustimmen (oder Ablehnen) von Cookies auf diversen Websites, bevor man sich dessen Inhalt widmen kann. Der Europäische Gesetzgeber hat sich mit diesem Thema bereits beschäftigt und dabei eine nicht unwichtige Lücke offengelassen: lediglich datenverarbeitende Cookies unterfallen keinem Einwilligungsvorbehalt und müssen auch nicht in der Datenschutzerklärung aufgeführt werden. In folgender Analyse soll die Rechtslage ein wenig verdeutlicht, und die praktischen Schlüsse für Betreiber*innen von Websites gezogen werden.
Sogenannte „Cookies“ sind allen bekannt, die meisten von uns begegnen ihnen täglich mehrere Male. Sie speichern technische als auch persönliche Daten und sollen so die Funktionalität der Website sicherstellen und so bei weiteren Besuchen Zeit einsparen. So gut wie jede Website verwendet sie. Ohne sie können z.B. einfache Abläufe, wie das verwenden eines Warenkorbes beim Online-Shopping, nicht mehr funktionieren. Doch was ist mit solchen Cookies, die persönliche Daten der Nutzer*innen speichern, also Name und Anschrift etwa? Und inwieweit müssen Website-Betreiber über die Nutzung unterschiedlicher Cookies aufklären – und wo?
Der Europäische Gesetzgeber hat mit der E-Privacy-Richtlinie versucht, dieses Problem zu lösen. Diese verweist unter anderem auf die Datenschutzgrundverordnung (DSGVO). Bezüglich der Einwilligung von Nutzer*innen bei Cookies mit persönlichen Daten, müssen diese ausdrücklich ihre Einwilligung erteilen. Dies geschieht meist durch ein kleines Banner. Dieshat auch der BGH bereits bestätigt. Problematisch ist nur, dass eine Richtlinie ohne Umsetzungsakt des nationalen Gesetzgebers keine Wirkung entfalten kann, und ein solcher eben nur für genannten Einwilligungsvorbehalt bei personenbezogenen Daten besteht. Die Richtlinie hilft also nicht weiter.
In Frage kommt noch die Anwendung des § 13 I Telemediengesetz, der eine solche nationale Regelung darstellen könnte. Jedoch wird dieser nach einhelliger Meinung von der DSGVO verdrängt, da letztere als EU-Recht das TMG in diesem spezifischen Bereich verdrängt, also eine speziellere Regelung darstellt. Nach der DSGVO gibt es eine Informationspflicht für lediglich datenverarbeitende Cookies. Dem steht unter anderem der Wortlaut des Art. 13 DSGVO als auch deren Auslegung nach Sinn und Zweck entgegen.
Was heißt das alles für Websitebetreiber? Datenverarbeitende Cookies müssen nicht in die Datenschutzerklärung und sind dort auch nicht ideal aufgehoben, denn sie überladen diese schnell und mach das Lesen für die Nutzer*innen weniger attraktiv (Transparenzgebot). Jedoch ist es auch keine Pflicht, über diese Cookies überhaupt aufzuklären. Trifft man als Betreiber jedoch die Entscheidung, dies zu tun, so sind sie wohl am besten im Cookie-Banner aufgehoben. Eine Neuregelung bzgl. datenverarbeitender Cookies durch den Europäischen Gesetzgeber ist nicht abzusehen.
Micki, 31. August 2022
Kurze Ergänzug, der deutsche Gesetzgeber hat das Cookiuproblem erkannt und arbeitet angeblich an einer benutzerfreudlichen Regelung.