Cookies und Cookie-Banner auf Website – Ausblick auf 2023

STATUS QUO COOKIES

Unter Cookies versteht man kleine Dateien, die auf den Endgeräten der Websitebesucher:innen abgelegt werden. Dabei kann in der Datei ein persönlicher Identifier gespeichert werden, der eine Re-Identifizierung der betroffenen Person ermöglicht. Dies ist notwendig, um mittels Session- Cookies Websites technisch darzustellen, oder mittels persistenten Cookies Nutzer:innen wiederzuerkennen. Durch die Identifier kann so das Nutzer:innenverhalten analysiert und ausgewertet werden.

„Cookies und insbesondere das Einwilligungsmanagement über Cookie-Banner wird auch 2023 für Websitebetreiber:innen ein komplexes Thema bleiben“

Die gesetzliche Grundlage finden Cookies seit Dezember 2021 in § 25 TTDSG und – soweit die Cookies personenbezogene Daten verarbeiten – wie bisher in der DSGVO. Nach dem der BGH¹Urt. v. 28.05.2020, I ZR 7/16. festgestellt hat, dass die bisherige Regelung in § 15 Abs. 3 TMG nicht den Vorgaben der ePrivacy-Richtlinie entsprächen, wurde der Wortlaut des Art. 5 Abs. 3 ePrivacy-Richtlinie fast wortgleich in § 25 TTDSG übernommen. Seit dem gilt nun, dass Cookies bzw. Informationen auf einem Endgerät gespeichert oder ausgelesen werden dürfen, soweit die Nutzer:innen dem zugestimmt haben (§ 25 Abs. 1 S. 1 TTDSG), oder das Speichern bzw. das Auslesen erforderlich ist, um einen gewünschten Dienst zur Verfügung zu stellen (§ 25 Abs. 2 Nr. 2 TTDSG). Zusätzlich müssen, soweit vom Cookie personenbezogene Daten verarbeitet werden, die Vorgaben der DSGVO beachtet werden.

UMSETZUNG DER RECHTLICHEN VORGABEN

Zur Umsetzung der Vorgaben des TTDSG und der DSGVO bieten sich sogenannte Cookie-Banner an, über die Einwilligungen verwaltet werden können. Unabhängig davon, welcher Anbieter ausgewählt wird, ist wichtig, dass das Managementsystem technisch einwandfrei implementiert ist. Das heißt, die jeweiligen Cookies dürfen tatsächlich nur gesetzt werden, soweit entsprechende Einwilligungen vorliegen. Daneben müssen die Texte des Einwilligungssystems die gesetzlichen Anforderungen an eine Einwilligung erfüllen. Diskutiert wird bei der Umsetzung von Einwilligungssystemen besonders, ob sogenannte Dark Patterns verwendet werden dürfen.
Unter Dark Patterns versteht man das Drängen der Nutzer:innen zu einer bestimmten, für die Website- Betreiber:innen positiven Handlung. Im Falle von Einwilligungsmanagementsystemen ist dies regelmäßig das Drängen des Nutzers, eine möglichst umfassende Einwilligung abzugeben. Die DKS hat in ihrer Orientierungshilfe zum TTDSG vom 20.12.2021²Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien, S. 14, abrufbar unter https://www.datenschutzkonferenz-online.de/ media/oh/20211220_oh_telemedien.pdf. erklärt, dass eine eindeutige Handlung und damit eine Einwilligung nur gegeben ist, wenn Schaltflächen mit „gleichwertigen Kommunikationseffekten“ angeboten werden. Dies bedeutet, dass neben dem „Zustimmen“-Button ein in der grafischen Gestaltung gleichwertiger „Ablehn“-Button angeboten werden muss. Ein grundsätzliches Verbot von Dark Patterns kann jedoch nicht angenommen werden³LfD Niedersachen, Handreichung „Datenschutzkonforme Einwilligung auf Webseiten“ vom 25.11.2020, S. 7, abrufbar unter https://lfd.niedersachsen. de/startseite/themen/internet/datenschutzkonforme-einwilligungen-aufwebseiten- anforderungen-an-consent-layer-194906.html., vielmehr kommt es auf eine Gesamtbetrachtung der Einwilligungslösung an. Es muss konkret geprüft werden, ob die gewählte Gestaltung den User zu stark zu einer bestimmten Handlung drängt.
Ein Dark Pattern liegt vor, soweit auf dem First-Layer keine „Ablehn“-Möglichkeit angeboten wird. In der Praxis werden häufig sogenannte Second-Layer-Lösungen genutzt, bei denen auf dem First-Layer die Einwilligung eingeholt und erst auf dem Second-Layer eine detaillierte Information über die verwendeten Tools und der „Ablehn“-Button bereitgehalten wird. Auch wenn bisher noch keine Bußgelder bekannt sind, die wegen einer fehlenden „Ablehn“-Möglichkeit auf dem First-Layer verhängt worden sind, bringt diese Gestaltung ein hohes Risiko mit sich.⁴Schneider/Assion, § 25 TTDSG, Rn. 30.

ALTERNATIVEN ZUR ANALYSE MITTELS COOKIES

Anbieter von Tracking-Tools versuchen die strengen Einwilligungsvorgaben von § 25 TTDSG zu umgehen, indem sie ihre Tools als „cookieless“ bezeichnen. Dabei ist zu beachten, dass „cookieless“-Tracking aufgrund der technikneutralen Formulierung dennoch unter den Anwendungsbereich des § 25 Abs. 1 TTDSG fallen kann. Auch wenn § 25 TTDSG meistens im Zusammenhang mit Cookies diskutiert wird, ist der Anwendungsbereich in keiner Weise auf Cookies beschränkt. Vielmehr sind alle Technologien umfasst, die Informationen aus den Endgeräten auslesen oder speichern. Soweit die Technologie nicht als unbedingt erforderliche nach § 25 Abs. 2 Nr. 2 TTDSG gilt, muss damit dennoch eine Einwilligung eingeholt werden, unabhängig davon, ob tatsächlich „klassische“ Cookies genutzt werden, oder auf Pixel, Web-Beacons oder Speicherung im Local Storage zurückgegriffen wird.
Immer häufiger wird dabei serverside-tracking bzw. tagging genutzt. Bei serverseitigen Lösungen kommuniziert das im Browser eingebundene Cookie nicht direkt mit dem Server des Providers, sondern es wird ein Container auf (eigenen) Servern zwischengeschaltet. Somit kann kontrolliert werden, welche Daten tatsächlich an Dritte übermittelt werden. Teilweise werden unter serverside- Tracking aber auch Tracking-Lösungen verstanden, die komplett auf eigenen Servern gehostet werden und keine Daten an Dritte weiterleiten. Auch wenn derartige Lösungen eine bessere Kontrolle über die Daten bieten, entbinden sie nur in Ausnahmefälle von dem Einwilligungserfordernis nach § 25 Abs. 1 S. 1 TTDSG. Auch weiterhin werden zunächst Informationen auf dem Endgerät gespeichert oder von dort ausgelesen, so dass der Anwendungsbereich von § 25 TTDSG grundsätzlich eröffnet ist. Nur bei einfachen Tracking-Maßnahmen wird man argumentieren können, dass die Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG greift und das Auslesen unbedingt erforderlich ist, um einen vom User gewünschten Dienst anzubieten. Eine derartige Möglichkeit hat die DSK bei einfachen A/B-Testings angedeutet⁵Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien, S. 22, abrufbar unter https://www.datenschutzkonferenz-online.de/ media/oh/20211220_oh_telemedien.pdf..

STAND: GOOGLE ANALYTICS UND DRITTLANDTRANSFER

Soweit Tools auf der eigenen Website genutzt werden, handelt es sich meistens um amerikanische Tools. Der Marktführer bleibt – auch nach unzähligen Entscheidungen von EU-Datenschutzbehörden – Google Analytics. Dabei wird die ausufernde Verarbeitung von personenbezogenen Daten und der Drittlandtransfer in die USA kritisiert. Soweit Daten in die USA übermittelt werden, müssen die zusätzlichen Bedingungen von Art. 44 ff. DSGVO erfüllt werden. Aktuell wird in Ermangelung eines Angemessenheitsentschlusses für die USA in den meisten Fällen ein Rückgriff auf Standardvertragsklauseln erfolgen. So stützt auch Google die Übermittlung der Daten auf derartige Klauseln. Die aktuellen Standardvertragsklauseln wurden von der EU-Kommission im Sommer 2021 verabschiedet. Zu beachten ist, dass die Umsetzungsfrist der „alten“ Standardvertragsklauseln am 27. Dezember 2022 ausläuft. Bis dahin müssen alle Übermittlungen auf die neuen Standardvertragsklauseln umgestellt werden.

„Abhilfe für Übermittlungen in die USA soll zukünftig ein neues Abkommen schaffen“

Die Standardvertragsklauseln stellen aber kein zuverlässiges Mittel für eine Übermittlung dar. So muss der Datenexporteur sicherstellen, dass die in den Standardvertragsklauseln vereinbarten Regelungen tatsächlich auch gelebt und eingehalten werden. Abhilfe für Übermittlungen in die USA soll zukünftig ein neues Abkommen schaffen. Der EU-US Data Privacy Framework soll mittels eines Angemessenheitsbeschluss nach Art. 45 Abs. 1 DSGVO einen sicheren Datentransfer von personenbezogenen Daten gewährleisten und wird für März 2023 erwartet. Erste Inhalte wurden durch die Executive Order von US-Präsident Biden bekannt.⁶FAQ der EU-Kommission kann hier abgerufen werden: https://ec.europa. eu/commission/presscorner/detail/en/QANDA_22_6045. So soll es eine unabhängige Stelle mit Ermittlungsbefugnissen geben, an die sich EU-Bürger bei Verstößen gegen ihre Rechte wenden können. NGOs haben schon angekündigt den Angemessenheitsbeschluss kritisch zu prüfen und gegebenenfalls Verfahren vor dem EuGH zu starten.

AUSBLICK

Nachdem verschiedene europäische Datenschutzbehörden mit Verfahren insbesondere gegen Google Analytics vorgelegt haben, ist zu erwarten, dass es auch in Deutschland erste Entscheidungen zu Cookie-basierten Analyse-Tools geben wird. Für Website-Betreiber:innen wird 2023 aber nicht nur komplexer werden. Die kürzlich veröffentlichte Executive Order von Präsident Biden lässt auf einen Angemessenheitsbeschluss für die USA hoffen. Ein derartiger Beschluss vereinfacht den Datentransfer zwischen der USA und der EU immens und bringt – soweit er nicht wieder durch den EuGH für nichtig erklärt wird – Rechtssicherheit für einen großen Problemkreis beim Einsatz von Cookies auf der eigenen Website. Angekündigt wurde der Beschluss zumindest für März 2023.