Suchen

Kommentar zur E-Privacy-Verordnung Es tut sich etwas an der Cookie-Front

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Ein neuer Vorschlag für die E-Privacy-Verordnung (ePVO) rüttelt an der notwendigen Einwilligung für Cookies. Doch während die Speicherung von Cookies leichter werden könnte, wollen Browser-Anbieter in Zukunft Drittanbieter-Cookies nicht mehr unterstützen. Doch eigentlich geht es nicht um Cookies oder keine Cookies, es geht um klare Vorgaben und die Information der Betroffenen.

Firmen zum Thema

Ein neuer Entwurf der E-Privacy-Verordnung erkennt ein berechtigtes Interesse am Speichern von Cookies ohne die Einwilligung der Nutzer an.
Ein neuer Entwurf der E-Privacy-Verordnung erkennt ein berechtigtes Interesse am Speichern von Cookies ohne die Einwilligung der Nutzer an.
(Bild: vanillya - stock.adobe.com)

Wir erinnern uns (mit Schrecken): Unzählige E-Mails landeten in den Postfächern und besagten, die Datenschutz-Grundverordnung (DSGVO) verlange eine Einwilligung des Empfängers zum Beispiel für den abonnierten Newsletter, selbst dann, wenn es bereits eine Einwilligung dafür gab. Damals wurde offenkundig von vielen übersehen, dass es mehr als eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt. Dabei führt der Artikel 6 DSGVO (Rechtmäßigkeit der Verarbeitung) diese recht übersichtlich auf.

Im Fall von Cookies kann die Einwilligung des Betroffenen, also des Besuchers einer Website, aber erforderlich sein. Die deutschen Aufsichtsbehörden für den Datenschutz haben nie für alle Cookies eine Einwilligung verlangt, doch für bestimmte Cookies reicht ihnen ein Opt-Out nicht aus. So führt Erwägungsgrund 32 DSGVO explizit aus, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligungen darstellen.

Interessenverbände der Wirtschaft erhoffen sich seit längerem eine Änderung durch die geplante E-Privacy-Verordnung (ePVO). Nun liegt ein neuer Entwurf für die ePVO vor, der bestimmten Interessenvertretern gefallen dürfte.

Berechtigtes Interesse als Grundlage für Cookie-Speicherung

Die kroatische Ratspräsidentschaft der EU hat am 21.02.2020 einen neuen Entwurf für eine E-Privacy-Verordnung veröffentlicht und erkennt hier ein berechtigtes Interesse am Speichern von Cookies ohne die Einwilligung (Cookie Consent) der Nutzer an, weil ein Finanzierungsinteresse der werbefinanzierten Online-Presseveröffentlichungen und audiovisuellen Mediendienste bestehe.

Der neue Entwurf macht also nicht Tür und Tor auf für Cookies, sondern nennt verschiedene Bedingungen und Anwendungsbereiche, wann man Cookies setzen darf, ohne die Einwilligung abzufragen, also ohne Cookie-Banner, die zuerst durch den Nutzer bearbeitet werden müssen. Cookie-Banner sind auch nicht besonders beliebt und oftmals auch nicht wirklich wirksam.

Hierzu besagt der neue Entwurf: Endbenutzer werden häufig aufgefordert, die Speicherung und den Zugriff auf gespeicherte Daten in ihren Endgeräten zu genehmigen, da Tracking-Cookies und ähnliche Tracking-Technologien allgegenwärtig verwendet werden. Infolgedessen können Endbenutzer mit Anfragen zur Einwilligung überlastet sein. Dies kann dazu führen, dass Informationen zur Einwilligungsanfrage nicht mehr gelesen werden und der durch die Einwilligung gebotene Schutz untergraben wird.

Dieser Gedanke ist nicht praxisfern und zeigt, dass Einwilligung allein letztlich keinen ausreichenden Schutz bieten kann. Für den Datenschutz ist mehr erforderlich.

Third-Party-Cookies finden ihr Ende, aber...

Nun gibt es aber eine weitere Entwicklung zur Zukunft der Cookies. Immer mehr Browser (nach Safari auch Firefox und Chrome) planen, zukünftig keine Third-Party-Cookies mehr zuzulassen, von Fristen wie "innerhalb der nächsten zwei Jahre" ist die Rede, so zum Beispiel der Bundesverband Digitale Wirtschaft (BVDW).

Das bedeutet aber natürlich nicht, dass dann die mögliche neue Cookie-Vorgabe aus der geplanten ePVO keine Anwendung mehr finden kann. Die Aufsichtsbehörden für den Datenschutz hatten schon klargestellt, dass Verantwortliche sicherstellen müssen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

Wenn es mit der geplanten ePVO eine neue Rechtsgrundlage geben wird, dann gilt die übertragene Aussage der Aufsichtsbehörden natürlich auch für die Cookie-Alternativen und nicht nur für Cookies. Es muss dann also für alle entsprechenden Verarbeitungstätigkeiten wie Fingerprinting eine Rechtsgrundlage geben, wie „ein berechtigtes Interesse, weil ein Finanzierungsinteresse der werbefinanzierten Online-Presseveröffentlichungen und audiovisuellen Mediendienste besteht.“

Entscheidend bleibt immer die Transparenz und Information

Ob für die Speicherung von Cookies oder die Nutzung von Cookie-Alternativen wie Fingerprinting, in jedem Fall muss der Nutzer genau informiert werden, wie seine Daten genutzt werden. Diese Forderung des Datenschutzes bleibt in jedem Fall. Auch der neue Entwurf der ePVO nennt als Voraussetzung: Dem Endbenutzer wurden klare, präzise und benutzerfreundliche Informationen über die Zwecke der Cookies oder ähnlicher Techniken zur Verfügung gestellt. Zudem muss es eine Widerspruchsmöglichkeit geben.

Datenschutz bedeutet eben nicht, möglichst viele Cookie-Banner klicken zu müssen, sondern er erfordert eine sichere Rechtsgrundlage für die Verarbeitung und eine transparente Datennutzung, die dem Nutzer bewusst ist und mit der er einverstanden ist, zum Beispiel, um werbefinanzierte Online-Inhalte kostenlos nutzen zu können, ohne jedoch zu große Einschnitte in seine Privatsphäre erdulden zu müssen. Je nach Interessenabwägung werden Cookies und Cookie-Alternativen auch nach dem neuen Entwurf der ePVO einwilligungspflichtig sein. So besagt der Entwurf: Nur wenn die Ergebnisse der vom Dienstleister durchgeführten Abwägung zeigen, dass sein berechtigtes Interesse nicht durch die Interessen und die Grundrechte und -freiheiten des Endnutzers außer Kraft gesetzt wird, kann sich der Dienstleister auf diese Rechtsgrundlage stützen, sprich sonst muss die Einwilligung eingeholt werden oder eine andere Rechtsgrundlage bestehen.

(ID:46389044)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research