Neue EU-Vorschriften – Cookies und Datenschutz auf Websites

Ein Gastbeitrag von Rechtsanwalt Rolf Lüpke

Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz in der EU. Das neue EU-Datenschutzrecht wird sich aber auch auf viele Schweizer Firmen auswirken, wenn sie in der EU Handel betreiben oder mit dortigen Firmen Personendaten austauschen. Die EU-Datenschutzverordnung sieht damit eine räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder vor. Die DSGVO soll selbst dann gelten, wenn ausländische Firmen ohne EU-Niederlassung Daten von EU-Bürgern verarbeiten, um diesen in der EU Waren oder Dienstleistungen anzubieten, oder wenn die Datenverarbeitung der Beobachtung von Unionsbürgern dient (Art. 3 Abs. 2 DSGVO). Firmen, die in der Schweiz Daten von europäischen Kunden bearbeiten, müssen daher künftig – neben dem schweizerischen Datenschutzrecht – auch die EU-Datenschutzverordnung einhalten, selbst wenn sie in der EU keine Präsenz haben.

Halten sich die Unternehmen nicht an die neue DSGVO, riskieren sie empfindliche Bussgelder von bis zu 20 Millionen Euro bzw. 4% ihres jährlichen Umsatzes. Zusätzlich riskieren sie, wenn sie sich nicht regelkonform verhalten, von ihren Konkurrenten abgemahnt und damit in kostspielige Gerichtsverfahren hineingezogen zu werden.

Aktuell befindet sich auch das bestehende Schweizer Datenschutzgesetz (DSG) in Revision. Es ist sehr wahrscheinlich, dass es an die DSGVO angepasst bzw. die DSGVO komplett übernommen wird, um grenzüberschreitende Geschäfte zwischen Firmen in der Schweiz und der EU nicht zu stark zu beeinträchtigen.

Personenbezogene Daten fallen beispielsweise schon an, wenn Sie auf Ihrer Website das Verhalten von Nutzern mittels Google Analytics tracken, einen Newsletter anbieten oder Werbung auf sozialen Netzwerken wie z. Bsp. Facebook schalten. In diesem Zusammenhang spielen sog. „Cookies“ eine grosse Rolle.

Cookies

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Die kleinen Dateien, die temporär im Webbrowser des Endgeräts eines Nutzers abgelegt werden, halten Informationen für den Dienstanbieter bereit. Dabei kann es sich um den Betreiber der Webseite handeln oder um den Service eines Dritten. Um bestimmte Werte zu messen oder den Nutzer wieder zu erkennen, werden die erfassten Werte ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP-Adresse des Nutzers, beinhalten. Auf diese Weise kann eine Analyse der Seitennutzung erstellt, der Warenkorb eines Nutzers für eine bestimmte Zeit auch ohne Login gemerkt oder verhaltensbasierte Werbung ausgespielt werden.

Rechtliche Zulässigkeit des Einsatzes von Cookies

Die Zulässigkeit des Einsatzes von Cookies hängt davon ab, welche Informationen gespeichert werden. Sind personenbezogene Daten unverändert enthalten, wie zum Beispiel die IP-Adresse in ungekürzter Form, ist das Erstellen und Auswerten des Cookies nur unter bestimmten Bedingungen zulässig.
Für pseudonymisierte, personenbezogene Daten sehen die meisten nationalen Datenschutzgesetze (z. Bsp. in Schweiz Art. 13 Datenschutzgesetz oder in Deutschland in § 15 Abs. 3 Telemediengesetz) Erleichterungen vor. Diese Daten dürfen zur Erstellung von Nutzungsprofilen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Webangebots erhoben und ausgewertet werden, soweit der Betroffene nicht widerspricht. Diese gesetzliche Privilegierung pseudonymisierter Daten dient aktuell als Grundlage für den Einsatz der meisten Cookies.

Einsatz von Cookies unter der neuen DSGVO

Mit Wirksamwerden der DSGVO am 25. Mai 2018 werden die bisherigen datenschutzrelevanten Regelungen in der EU keine Anwendung mehr finden. Gleichzeitig hält die DSGVO keine entsprechende Ausnahmeregelung für pseudonymisierte Daten bereit und auch keine ausdrückliche Regelung speziell für Cookies. Wie bereits erwähnt, wird sich die DSGVO ab dem genannten Datum auch in der Schweiz auswirken.

Zunächst ist aber festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der DSGVO fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer „Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“ zugeordnet werden können. Cookies enthalten regelmässig Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird.

Grundsatz des Verbots mit Erlaubnisvorbehalt

Es bleibt wie bisher bei dem Grundsatz des Verbots mit Erlaubnisvorbehalt auch nach der DSGVO: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt.

Einwilligung des Benutzers nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO

Nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO ist eine dieser Bedingungen das Vorliegen einer vorherigen Einwilligung des Betroffenen.

In der Praxis holt man als Webseitenbetreiber die Einwilligung der Nutzer ein, indem sie beim Aufrufen der Webseite per Pop-Up-Fenster über die Verwendung von Cookies auf der Seite informiert und aufgefordert werden, durch Klicken auf einen Button in deren Einsatz einzuwilligen. Ein Textbeispiel kann folgendermassen lauten:

„Durch Nutzung dieser Webseite stimmen Sie der Verwendung von Cookies für Analysen, personalisierte Inhalte und Werbung zu.“
„Weitere Informationen über Cookies finden Sie in unserer Datenschutzerklärung.“

Vorteil dieser Lösung ist für Sie als Webseitenbetreiber, dass Sie aus rechtlicher Sicht die Vorgaben der DSGVO einhalten und keinerlei rechtliches Risiko eingehen. Nachteil ist, dass diese Möglichkeit sowohl für den Betreiber als auch den Nutzer der Webseite wenig praktikabel ist, da beide in der Handhabung der Webseite stark eingeschränkt werden. Das kann auch der europäische Gesetzgeber nicht gewollt haben. Es stellt sich damit die Frage, ob es zukünftig die Möglichkeit gibt, Cookies ohne vorherige spezielle Einwilligung des Nutzers einzusetzen?

Zulässigkeit des Einsatzes von Cookies zur Wahrung der berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 Satz 1 Buchst. f ) DSGVO

Die Lösung bietet Art. 6 Abs. 1 Satz 1 Buchst. f ) DSGVO für die zulässige Verarbeitung von personenbezogenen Daten und damit auch für Cookies. Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Es kommt also auf eine Interessenabwägung im Einzelfall an.

Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:

Gibt es ein berechtigtes Interesse des Betreibers der Webseite?
Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige, rechtliche, wirtschaftliche oder ideelle Interesse.
Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.
Überwiegen die Interessen der Betroffenen am Schutz ihrer Daten dem Interesse des Betreibers der Webseite?
Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Betreiber als Verantwortlicher der Webseite beruhen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise vorhersehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.

Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen. Werden nur pseudonymisierte, personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Betreibers der Webseite ebenfalls in die Waagschale geworfen werden.

Beispiele

Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Betreibers der Webseite am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?

Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Betreibers der Webseite die Schutzinteressen der Webseitenbesucher regelmässig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.Bsp. die UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.

Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f ) DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Webseitenbetreibers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.

Es ist also eine Abwägung zwischen den berechtigten Interessen des Webseitenbetreibers und den Interessen oder Grundrechten des Webseitennutzers vorzunehmen. Der Betreiber der Webseite kann als berechtigte Interessen in sehr allgemeiner Weise seine wirtschaftlichen, rechtlichen und ideellen Interessen geltend machen. Dies schliesst die Verwendung von Cookies jeglicher Art, auch von Drittpartei-Cookies ein. Ist die Verarbeitung der Daten mit Hilfe von Cookies zur Erreichung der Interessen des Webseitenbetreibers erforderlich (Art. 5 DSGVO), dann muss geprüft werden, ob überwiegende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem entgegenstehen. Ein bloßes Tangieren der Rechte des Betroffenen reicht dabei nicht aus.

Dies sind alles sehr unbestimmte Abwägungsmassstäbe, die auch durch den in Erwägungsgrund 47 genannten Grundsatz „der vernünftigen Erwartungshaltung des Betroffenen“ kaum schärfer umrissen werden. Es wird daher von der künftigen Rechtsprechung des EuGH‘ s abhängen, ob konkrete Kriterien für diese Interessenabwägung gefunden werden können.

Fazit

Im Ergebnis bringt die Datenschutzgrundverordnung bezüglich der Zulässigkeit des Einsatzes von Cookies keine 180°-Drehung. Zwar entfallen künftig die Rechtsgrundlagen, über die heute der Grossteil der Cookies eingesetzt wird.

Nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO kann die vorherige Einwilligung des Betroffenen vor dem Benutzen der Webseite eingeholt werden. Damit hat der Betreiber der Webseite die notwendige Rechtssicherheit, den rechtlichen Anforderungen der DSGVO an den Einsatz von Cookies zu genügen.

Wer sich an der praktischen Handhabung seiner Webseite durch den Einsatz eines Banners mit Button stört, dem bietet Art. 6 Abs. 1 Satz 1 lit. f ) DSGVO eine vielseitig einsetzbare Alternative, die keine ausdrückliche Einwilligung durch einen Banner mehr notwendig macht.

Die Vorschrift ist allerdings kein Freifahrtschein. Eine Interessenabwägung sollte immer objektiv und gewissenhaft durchgeführt werden, bevor der Cookie gesetzt wird. Beginnen Sie daher schon heute, die Rechtmässigkeit der von Ihnen eingesetzten Cookies unter der DSGVO zu überprüfen.

Gleichzeitig ist das jederzeitige Widerspruchsrecht der Betroffenen aus Art. 21 DSGVO zu beachten und entsprechend einzuräumen. Nach Art. 21 DSGVO kann der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen. Das Widerspruchsrecht nach Art. 21 DSGVO richtet sich gegen die Datenverarbeitung, die rechtmässig erfolgt. Es gilt auch jederzeit, wenn der Betroffene vorher in die Datenverarbeitung eingewilligt hat.

Das Widerspruchsrecht ist so ausgestaltet, dass sich der Betroffene selbst an die verantwortliche Stelle des Webseitenbetreibers wenden und der Datenverarbeitung aktiv widersprechen muss. Damit der Betroffene von seinem ihm jederzeit zustehenden Widerspruchsrecht weiss, besteht für die verantwortliche Stelle nach Art. 21 Abs. 4 DSGVO die Pflicht, den Betroffenen auf das Widerspruchsrecht hinzuweisen. Werden die Daten von vornherein rechtswidrig verarbeitet, steht dem Betroffenen das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäss Art. 77 DSGVO zur Verfügung.

Wer es bisher nicht schon getan hat, sollte in diesem Zusammenhang eine Datenschutzerklärung auf seiner Webseite veröffentlichen und u.a. auf das Widerspruchsrecht der Betroffenen hinweisen sowie eine Kontaktadresse benennen. Dort sollte auch ein Verantwortlicher für den Datenschutz in seinem Unternehmen angegeben werden.

In dieser Datenschutzerklärung des Webseitenbetreibers müssen dann auch bei jeder Verwendung von Cookies die Voraussetzungen des Art. 6 Abs. 1 lit. f ) DSGVO ausdrücklich bejaht werden:

Art. 6 Abs. 1 lit. f ) DSGVO muss ausdrücklich als Rechtmässigkeitsgrund benannt werden.
Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Webseitenbetreibers vor.
Die Anwendung von Cookies ist zur Erreichung dieser Interessen erforderlich.
Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.

Im Internet finden sich eine Vielzahl von Mustern für eine Datenschutzerklärung zum Download bereit. Ein Muster einer Datenschutzerklärung finden Sie zum Beispiel hier.

Das Verwenden eines Musters erspart aber nicht im Einzelfall die Prüfung und Anpassung auf die Bedürfnisse des Webseitenseitenbetreibers. Vielleicht versendet der Betreiber der Webseite einen Newsletter, ist von seiner Seite aus mit sozialen Netzwerken verlinkt oder betreibt einen Webshop und erhebt zu diesem Zweck neben Cookies weitere persönliche Daten seiner Webseitennutzer. Auch für diese Daten muss eine Einwilligung beim Nutzer eingeholt werden bzw. eine Interessenabwägung nach Art. 6 Abs. 1 lit. f ) DSGVO erfolgen. Zusätzlich muss hierüber in der Datenschutzerklärung auf der Webseite informiert werden.

Es sei abschliessend noch darauf hingewiesen, dass sich dieser Beitrag ausschliesslich auf die rechtliche Zulässigkeit der Verwendung von Cookies nach der DSGVO bezieht. Für die Verwendung weiterer persönlicher Daten der Webseitennutzer sieht die DSGVO zusätzliche Informationspflichten der Webseitenbetreiber, Rechte der Betroffenen auf Löschung ihrer Daten sowie in bestimmten Fällen die Pflicht für Schweizer Unternehmen zur Benennung eines ständigen Vertreters in der EU nach Art. 27 DSGVO vor.

Rechtsanwalt Rolf Lüpke steht Ihnen bei Fragen zur Umsetzung der rechtlichen Anforderungen der DSGVO gerne zur Verfügung.