Neue EU-Vorschriften – Cookies und Datenschutz auf Websites
Ein Gastbeitrag von Rechtsanwalt Rolf Lüpke
Grundsätzlich gilt die DSGVO für Datenbearbeitungen durch Unternehmen oder Niederlassungen mit Sitz in der EU. Das neue EU-Datenschutzrecht wird sich aber auch auf viele Schweizer Firmen auswirken, wenn sie in der EU Handel betreiben oder mit dortigen Firmen Personendaten austauschen. Die EU-Datenschutzverordnung sieht damit eine räumliche Ausdehnung des europäischen Datenschutzrechts auf Nicht-EU-Länder vor. Die DSGVO soll selbst dann gelten, wenn ausländische Firmen ohne EU-Niederlassung Daten von EU-Bürgern verarbeiten, um diesen in der EU Waren oder Dienstleistungen anzubieten, oder wenn die Datenverarbeitung der Beobachtung von Unionsbürgern dient (Art. 3 Abs. 2 DSGVO). Firmen, die in der Schweiz Daten von europäischen Kunden bearbeiten, müssen daher künftig – neben dem schweizerischen Datenschutzrecht – auch die EU-Datenschutzverordnung einhalten, selbst wenn sie in der EU keine Präsenz haben.
Halten sich die Unternehmen nicht an die neue DSGVO, riskieren sie empfindliche Bussgelder von bis zu 20 Millionen Euro bzw. 4% ihres jährlichen Umsatzes. Zusätzlich riskieren sie, wenn sie sich nicht regelkonform verhalten, von ihren Konkurrenten abgemahnt und damit in kostspielige Gerichtsverfahren hineingezogen zu werden.
Aktuell befindet sich auch das bestehende Schweizer Datenschutzgesetz (DSG) in Revision. Es ist sehr wahrscheinlich, dass es an die DSGVO angepasst bzw. die DSGVO komplett übernommen wird, um grenzüberschreitende Geschäfte zwischen Firmen in der Schweiz und der EU nicht zu stark zu beeinträchtigen.
Personenbezogene Daten fallen beispielsweise schon an, wenn Sie auf Ihrer Website das Verhalten von Nutzern mittels Google Analytics tracken, einen Newsletter anbieten oder Werbung auf sozialen Netzwerken wie z. Bsp. Facebook schalten. In diesem Zusammenhang spielen sog. „Cookies“ eine grosse Rolle.
Cookies
Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Die kleinen Dateien, die temporär im Webbrowser des Endgeräts eines Nutzers abgelegt werden, halten Informationen für den Dienstanbieter bereit. Dabei kann es sich um den Betreiber der Webseite handeln oder um den Service eines Dritten. Um bestimmte Werte zu messen oder den Nutzer wieder zu erkennen, werden die erfassten Werte ausgelesen. Diese Informationen können statistische, aber auch personenbezogene Daten, wie zum Beispiel die IP-Adresse des Nutzers, beinhalten. Auf diese Weise kann eine Analyse der Seitennutzung erstellt, der Warenkorb eines Nutzers für eine bestimmte Zeit auch ohne Login gemerkt oder verhaltensbasierte Werbung ausgespielt werden.
Rechtliche Zulässigkeit des Einsatzes von Cookies
Die Zulässigkeit des Einsatzes von Cookies hängt davon ab, welche Informationen gespeichert werden. Sind personenbezogene Daten unverändert enthalten, wie zum Beispiel die IP-Adresse in ungekürzter Form, ist das Erstellen und Auswerten des Cookies nur unter bestimmten Bedingungen zulässig.
Für pseudonymisierte, personenbezogene Daten sehen die meisten nationalen Datenschutzgesetze (z. Bsp. in Schweiz Art. 13 Datenschutzgesetz oder in Deutschland in § 15 Abs. 3 Telemediengesetz) Erleichterungen vor. Diese Daten dürfen zur Erstellung von Nutzungsprofilen zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Webangebots erhoben und ausgewertet werden, soweit der Betroffene nicht widerspricht. Diese gesetzliche Privilegierung pseudonymisierter Daten dient aktuell als Grundlage für den Einsatz der meisten Cookies.
Einsatz von Cookies unter der neuen DSGVO
Mit Wirksamwerden der DSGVO am 25. Mai 2018 werden die bisherigen datenschutzrelevanten Regelungen in der EU keine Anwendung mehr finden. Gleichzeitig hält die DSGVO keine entsprechende Ausnahmeregelung für pseudonymisierte Daten bereit und auch keine ausdrückliche Regelung speziell für Cookies. Wie bereits erwähnt, wird sich die DSGVO ab dem genannten Datum auch in der Schweiz auswirken.
Zunächst ist aber festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der DSGVO fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer „Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“ zugeordnet werden können. Cookies enthalten regelmässig Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird.
Grundsatz des Verbots mit Erlaubnisvorbehalt
Es bleibt wie bisher bei dem Grundsatz des Verbots mit Erlaubnisvorbehalt auch nach der DSGVO: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt.
Einwilligung des Benutzers nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO
Nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO ist eine dieser Bedingungen das Vorliegen einer vorherigen Einwilligung des Betroffenen.
„Durch Nutzung dieser Webseite stimmen Sie der Verwendung von Cookies für Analysen, personalisierte Inhalte und Werbung zu.“
„Weitere Informationen über Cookies finden Sie in unserer Datenschutzerklärung.“
Vorteil dieser Lösung ist für Sie als Webseitenbetreiber, dass Sie aus rechtlicher Sicht die Vorgaben der DSGVO einhalten und keinerlei rechtliches Risiko eingehen. Nachteil ist, dass diese Möglichkeit sowohl für den Betreiber als auch den Nutzer der Webseite wenig praktikabel ist, da beide in der Handhabung der Webseite stark eingeschränkt werden. Das kann auch der europäische Gesetzgeber nicht gewollt haben. Es stellt sich damit die Frage, ob es zukünftig die Möglichkeit gibt, Cookies ohne vorherige spezielle Einwilligung des Nutzers einzusetzen?
Zulässigkeit des Einsatzes von Cookies zur Wahrung der berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 Satz 1 Buchst. f ) DSGVO
Die Lösung bietet Art. 6 Abs. 1 Satz 1 Buchst. f ) DSGVO für die zulässige Verarbeitung von personenbezogenen Daten und damit auch für Cookies. Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Es kommt also auf eine Interessenabwägung im Einzelfall an.
Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:
- Gibt es ein berechtigtes Interesse des Betreibers der Webseite?
Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige, rechtliche, wirtschaftliche oder ideelle Interesse. - Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind. - Überwiegen die Interessen der Betroffenen am Schutz ihrer Daten dem Interesse des Betreibers der Webseite?
Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Betreiber als Verantwortlicher der Webseite beruhen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise vorhersehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.
Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen. Werden nur pseudonymisierte, personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Betreibers der Webseite ebenfalls in die Waagschale geworfen werden.
Beispiele
Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Betreibers der Webseite am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?
- Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Betreibers der Webseite die Schutzinteressen der Webseitenbesucher regelmässig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.Bsp. die UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
- Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f ) DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Webseitenbetreibers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.
Es ist also eine Abwägung zwischen den berechtigten Interessen des Webseitenbetreibers und den Interessen oder Grundrechten des Webseitennutzers vorzunehmen. Der Betreiber der Webseite kann als berechtigte Interessen in sehr allgemeiner Weise seine wirtschaftlichen, rechtlichen und ideellen Interessen geltend machen. Dies schliesst die Verwendung von Cookies jeglicher Art, auch von Drittpartei-Cookies ein. Ist die Verarbeitung der Daten mit Hilfe von Cookies zur Erreichung der Interessen des Webseitenbetreibers erforderlich (Art. 5 DSGVO), dann muss geprüft werden, ob überwiegende Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dem entgegenstehen. Ein bloßes Tangieren der Rechte des Betroffenen reicht dabei nicht aus.
Fazit
Im Ergebnis bringt die Datenschutzgrundverordnung bezüglich der Zulässigkeit des Einsatzes von Cookies keine 180°-Drehung. Zwar entfallen künftig die Rechtsgrundlagen, über die heute der Grossteil der Cookies eingesetzt wird.
- Art. 6 Abs. 1 lit. f ) DSGVO muss ausdrücklich als Rechtmässigkeitsgrund benannt werden.
- Es liegen berechtigte wirtschaftliche, rechtliche oder ideelle Interessen des Webseitenbetreibers vor.
- Die Anwendung von Cookies ist zur Erreichung dieser Interessen erforderlich.
- Überwiegende Interessen des Betroffenen stehen der Anwendung von Cookies nicht entgegen.
Im Internet finden sich eine Vielzahl von Mustern für eine Datenschutzerklärung zum Download bereit. Ein Muster einer Datenschutzerklärung finden Sie zum Beispiel hier.