Neues aus der Handelswelt
Mit Forschung und Beratung erfolgreich im Handeln
#Verstehen
#Planen
#Machen
#Teilen
Expertise für Handel im digitalen Zeitalter
Menu
Studien und Marktdaten zum Kauf / Download
Studien
Daten
Spannende Projekte aus der IFH Welt
DIe EVENTS DES IFH KÖLN
17. November 2021

Das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien soll die bereichsspezifischen Datenschutzregelungen aus dem Telekommunikationsgesetz und dem Telemediengesetz in einem Gesetz bündeln. Hier wurden jetzt auch die Regelungen zu den Cookies angepasst. ECC CLUB Mitglied Rechtsanwalt Rolf Becker informiert über die Auswirkungen auf Cookie-Banner & Co.

Bereits 2019 hatte das Planet49-Urteil des Europäischen Gerichtshof (EuGH, Urt. v. 01.10.2019, Az. C-673/17) erkennen lassen, dass die deutsche Regelung im Telemediengesetz zur Profilbildung im Zusammenhang mit Cookies nicht ausreichend zur europäischen sog. Cookie-Richtlinie angepasst war. Die Europarichter entschieden, dass Cookies nach Art. 5 Abs. 3 ePrivacy-RL (RL 2002/58/EG) einwilligungsbedürftig sind. Das gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nur anonyme Daten. Schon die Beanspruchung von Platz auf dem Gerät der Besucher:innen bedarf deren Einverständnis. Werden personenbezogene Daten verarbeitet, kann dann auch hierfür eine Einwilligung notwendig sein. Die Einwilligung ist nur wirksam, wenn ein:e Nutzer:in aktiv zustimmen kann. In Folge verstärkte sich der Einsatz von Consent-Tools und Cookie-Bannern.

Die schon recht alte Regelung in der Richtlinie greift der neue § 25 Abs. 1 des TTDSG zum „Schutz der Privatsphäre bei Endeinrichtungen“ auf und lehnt sich an deren Wortlaut an. Zwei Varianten (Speicherung auf Endgerät und Zugriff auf bereits gespeicherte Informationen) werden der Einwilligung unterworfen:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung  gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.“

Die aufgeführte Verordnung ist die Datenschutzgrundverordnung (DSGVO), die eine informierte Einwilligung für Datenverarbeitungen fordert.

Cookie-Banner damit notwendig

Damit bringt diese neue Regelung keine Änderung der Rechtslage, die zu einem Anwachsen von Einwilligungslösungen auf den Webseiten führte. Consent-Management-Tools mit ausführlichen Texten zu den einzelnen Tools unter Nennung der die Daten empfangenen Stelle, der Art der erhobenen Daten, der Dauer der Verarbeitung, die Angabe der Empfänger mit Belehrungen und Risikounterrichtungen (natürlich in deutscher Sprache) sind nach dem heutigen Stand der Technik die richtige Wahl, wenn Cookies eingesetzt werden und darüber komplexe Datenerhebungen mit entsprechenden Nutzungen und Weitergaben stattfinden. Gerade wegen der Komplexität der Folgeverarbeitungen und dem dynamischen Einsatz von Cookies sind die Tools noch lange nicht perfekt.

Ausnahme notwendige Cookies

Die Ausnahmen von der Einwilligungspflicht sind ebenfalls die gleichen geblieben. Keine Einwilligung ist nach dem neuen § 25 Abs. 2 TTDSG erforderlich,

  1. „1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist …“

Deutlich praxisrelevanter sind die berühmten „notwendigen Cookies“:

  1. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

In der Praxis klaffen die Ansichten, wann ein Cookie notwendig ist und wann nicht, weit auseinander. Die Datenschutzbehörden vertreten hierzu eine recht enge Sichtweise. Die Einordnung etwa des Google-Tag-Managers als notwendig soll danach nicht möglich sein. Auch Cookies für Payment-Services, die zu früh gesetzt werden, akzeptieren die Behörden nicht. Um zu den notwendigen Cookies zählen zu können, müssen die Services erst angefordert werden und dann zwingend notwendig sein, um dem nachkommen zu können. Das sind dann z.B. die bekannten Cookies zur Speicherung des Warenkorbs. Statistische Zwecke wurden, anders als ursprünglich angedacht, nicht vom Gesetz freigezeichnet. Marketingzwecke werden erst recht nicht hierunter fallen.

Ein Setzen von Cookies ohne Einwilligung kann teuer werden. Das Gesetz sieht eine Geldbuße von bis zu 300.000 EUR für Verletzungshandlungen vor (vgl. § 28 TTDSG).

Anerkannte Dienste zur Einwilligungsverwaltung

Die Einwilligungsbanner stören nicht nur die Nutzer:innen, sondern auch den Gesetzgeber. Die Abfrage vielfacher komplexer Einwilligungen im Stakkato dürfte zudem den Nutzer:innen nicht wirklich ihre Selbstbestimmung zurückgeben. Deshalb sollen nach dem Willen des Gesetzgebers künftig „neutrale Dienste“ die Einwilligungen verwalten. Diese Dienste sollen vorab genehmigt werden.

Eine Rechtsverordnung wird künftig die technischen Einzelheiten klären. Ob das gelingen wird, ist fraglich. Danach sollen die Browser so ausgestaltet werden, dass sie die Einstellungen der Endnutzerinnen und Endnutzer, die bei den Diensten hinterlegt werden, befolgen (§ 26 TTDSG). Hat eine Person festgelegt, dass sie der Datenverarbeitung zu Marketingzwecken zustimmt oder die Zustimmung verweigert, dann wird dies nach dem Plan des Gesetzgebers künftig automatisch berücksichtigt. Die Abfrage der Einstellungen im Personal Information Management System (PIMS) des Dienstes kann auch über den Webseitenbetreiber beim Dienst erfolgen. Hier könnten die Consent-Tools eine automatische Abfrage vornehmen.

Fazit:

Nichts Neues an der Cookie-Front. Es ist noch vollkommen unklar, ob die neuen Dienste technisch einwandfrei und fehlerlos liefern können. Cookie-Scanner funktionieren heute jedenfalls nicht fehlerlos. Wer soll im Fall eines technischen Fehlers haften? Wie soll etwa ein Webseitenbetreiber nachweisen, wie die Einstellung an einem bestimmten Tag für eine bestimmte Uhrzeit aussah? Eine Lösung bei dem Einsatz US-amerikanischer Dienstleister ist ohne Privacy Shield Nachfolger damit auch nicht in Sicht.

Man kann jetzt schon sagen, dass der neue Lösungsweg steinig sein wird und ob es ein Königsweg wird, muss bezweifelt werden. Leider ist z.B. die generelle Erlaubnis der Nutzung für statistische Tools nicht aufgenommen worden. Das hätte die Sachlage bereits deutlich entspannt. Damit müssen nach wie vor die Lösungen zusammen mit der qualifizierten Rechtsberatung gesucht werden.

ÜBER DEN AUTOR

Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen. 

RA Becker auf Twitter: http://twitter.com/rolfbecker   

Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.

PRESSEHINWEISE

Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!

Newsletter handel im fokus

Holen Sie sich die neueste Forschungserkenntnisse und aktuelle Themen, Trends und Hintergründe rund um Einzel-, Großhandel und E-Commerce wöchentlich in Ihr Postfach.
cartmagnifiermenu