top of page
Philipp Quiel

Cookies ohne Einwilligung


Sehr geehrte Leserinnen und Leser,

das Urteil des EuGH in der Rechtssache Planet49 wurde von der Datenschutzrechts-Szene schon länger ersehnt. Obwohl der EuGH das letzte Mal erst am 29.07. zur Bestimmung aus Art. 5 Abs. 3 ePrivacyRL geurteilt hat, scheinen Datenschutzrechtler auch nach dem jüngsten Urteil ein Stück weit wie „ein armer Tor, der so schlau ist wie zuvor“.

Entgegen den Aussagen in manch reißerischer Überschrift oder auch innerhalb der Berichterstattung in der Tagesschau hat der EuGH in beiden Fällen NICHT entschieden, dass eine Einwilligung für Cookies erforderlich ist. Der EuGH hat sich zwar dazu geäußert, welche Anforderungen für eine rechtskonforme Einwilligung gelten; allerdings nur für Konstellationen, in denen eine Einwilligung überhaupt erforderlich ist. Da sowohl Art. 5 Abs. 3 der ePrivacy-RL als auch deutsches Recht und auch die DSGVO andere Rechtsgrundlagen kennen, haben Meldungen zur pauschalen Erforderlichkeit einer Einwilligung für Cookies bei mir besonders für Verärgerung gesorgt. Über die (wohl nicht wieder umkehrbare) Verwirrung der Zuschauer und Leser bin ich fast ein wenig traurig.

Das Papier der DSK zum Thema Cookies wird – zu Recht – von einigen Stimmen stark kritisiert. Insbesondere in Hinblick darauf, dass jegliche Einbindung eines Dritten dazu führen soll, dass die Interessenabwägung innerhalb der Erforderlichkeitsprüfung zu Lasten des Verantwortlichen ausfällt. Diese Argumentation empfinde ich als schwer vertretbar. Hingegen positiv ist, dass die DSK der unmittelbaren Anwendbarkeit des Art. 5 Abs. 3 der ePrivacyRL eine Absage erteilt hat. Bestimmungen einer Richtlinie sind schließlich nur dann ausnahmsweise unmittelbar anwendbar, wenn diese hinreichend bestimmt und bedingt sind und dem nationalen Gesetzgeber keinen Umsetzungsspielraum lassen und zusätzlich die nationale Umsetzung der Bestimmungen der Richtlinie nicht erfolgt ist. Auch aus meiner Sicht trifft das kumulativ auf Art. 5 Abs. 3 ePrivacyRL nicht zu.

Anders als die DSK bin ich jedoch davon überzeugt, dass sich Normadressaten weiterhin auf die Bestimmung aus § 15 Abs. 3 TMG berufen können. Denn dem wäre nur dann nicht so, wenn die Norm so offensichtlich unionsrechtswidrig wäre, dass jeder Telemedienanbieter dies sofort erkennen können müsste und die Norm deswegen ausnahmsweise nicht anwenden dürfte. Aus meiner Sicht sprechen die besseren Argumente dafür, dass § 15 Abs. 3 TMG weiterhin anwendbares Recht ist und bei der Verarbeitung von personenbezogenen Daten mittels Cookies auch die Rechtmäßigkeitsvoraussetzungen der DSGVO zu beachten sind.

Festzuhalten bleibt in jedem Fall, dass Cookies grundsätzlich auch ohne Einwilligung gesetzt werden können. Maßgeblich dafür ist der Zweck, zu dem Cookies verwendet werden. Einerseits ist es denkbar, dass Cookies erst bestimmte Funktionen der Webseite ermöglichen (bspw. Warenkorb-Funktion oder Sprache) oder Sicherheitsfunktionen erfüllen. Andererseits werden Cookies und ähnliche Technologien in einigen Konstellationen auch für die Analyse der Webseitennutzung verwendet. Ob für letztgenannte Zwecke eine Einwilligung erforderlich ist, hängt meiner Einschätzung nach davon ab, ob sich die Analyse unter § 15 Abs. 3 TMG subsumieren lässt und wie intensiv in die Rechte der Webseitenbesucher eingegriffen wird.

Es ist jedenfalls Aufgabe des Gesetzgebers eine deutsche Norm anzupassen, die im Konflikt mit unionsrechtlichen Bestimmungen einer Richtlinie steht. Da eine TMG-Novelle bereits unter Verweis auf mögliche Änderungen bei der nationalen Umsetzung von Art. 5 Abs. 3 ePrivacyRL angekündigt wurde und auch ein neuer Entwurf zur ePrivacy-VO vorliegt, bleiben die künftigen Entwicklungen mit Anspannung zu betrachten.

Ich wünsche Ihnen viel Spaß beim Lesen dieses Hefts und sende Ihnen allen herzliche Grüße.

Ihr

Philipp Quiel

(Dieser Text ist als Editorial in der Ausgabe 10 / 2019 des Datenschutz-Berater erschienen)


DSB_aufgeschlagen_streifen.png

Aktuelle Beiträge

Anzeige

Banner_Freund_Online_300x250 (003).jpg
>>  Ihr zuverlässiger Partner für Datenschutz und Datensicherheit
bottom of page