25.05.2021 | Datenschutz & IT | ID: 1075541

Wie geht es weiter mit der ePrivacy-Verordnung? – Teil 1

Gastautor Mag. Alexander Koukal, LL.M. erläutert in dieser 3-teiligen Newsletter-Reihe den aktuellen Rechtsstand zur ePrivacy-Verordnung. Was gilt es bezüglich der Einwilligung für Cookies unbedingt zu beachten?

Cookies unbedingt zu beachten?

Die Europäische Kommission hat am 10.01.2017 einen ersten Vorschlag für die Neuregelung des Datenschutzes in der elektronischen Kommunikation vorgelegt. Seitdem diskutieren alle von der Verordnung berührten Interessensgruppen und versuchen, ihre Standpunkte durchzusetzen. Insbesondere stehen einander die Vertreter der Onlinewerbewirtschaft auf der einen und Datenschutzverfechter auf der anderen Seite gegenüber.

Die absehbaren Meinungsunterschiede führten dazu, dass die ePrivacy-Verordnung bis heute nicht in Geltung steht. Mehr als vier Jahre und eine Vielzahl überarbeiteter Versionen später gilt auch heute noch die bisherige europarechtliche Grundlage: die ePrivacy-Richtlinie (RL 2002/58/EG). Sie soll durch die unmittelbar in den Mitgliedstaaten anwendbare Verordnung ersetzt werden. Ursprünglicher Fahrplan dafür war, dass die ePrivacy-Verordnung gemeinsam mit ihrer Schwester, der DSGVO, am 25.05.2018 wirksam wird.

Im Februar 2021 haben sich die EU-Mitgliedstaaten immerhin auf ein Verhandlungsmandat des Rats der Europäischen Union für eine neue Fassung der Vorschriften geeinigt. Der portugiesische Ratsvorsitz legte eine Überarbeitung des Verordnungsentwurfs vor.

Zeit also, wieder einmal einen Blick auf den Diskussionsstand zu Cookies und E-Mail-Werbung zu werfen.

Einwilligung für Cookies – Versuch einer Mittellösung?

Im Gefolge der Entscheidung des EuGH vom 01.10.2019 (C-673/17 – Planet49) haben viele Websitebetreiber ihre Cookiebanner angepasst. Dabei sprach der EuGH im Wesentlichen nur deutlich aus, was bei genauerem Studium der Rechtsvorschriften ohnehin klar sein musste: Wenn eine Einwilligung für das Setzen von Cookies eingeholt wird, dann muss diese von den Usern durch ein aktives Verhalten in Kenntnis der Sachlage erteilt werden. Die vorangehakte Checkbox, der auf „Ja“ gestellte Regler oder ein simples „OK“ auf dem Banner lassen sich seither nicht mehr als „Graubereich“ rechtfertigen.

Die derzeit geltenden rechtlichen Anforderungen an den Einsatz von marketingrelevanten Cookies stellen die Onlinewerbewirtschaft vor ein Dilemma. Wenn Internetnutzer gefragt werden, ob sie ihr Verhalten beobachten lassen wollen, was werden die meisten dann antworten? Gleichzeitig fühlt sich ein bedeutender Anteil der Nutzer durch die allgegenwärtigen, immer größeren Cookiehinweise gestört. Einer im Vorjahr durchgeführten Umfrage unter 1005 Personen im Auftrag des Digitalverbands Bitkom zufolge (Link auf die Umfrage) stellen Cookie-Banner für 46 Prozent eine wichtige Information dar. Auf der anderen Seite zeigten sich ähnlich viele der Befragten (43 Prozent) von den Cookie-Hinweisen genervt. Ein Drittel der Internetnutzer finde Cookie-Banner sogar überflüssig, entsprechende Hinweise in der Datenschutzerklärung einer Website würden jenen Nutzern ausreichen.

Die aktuell bei Websites wie Google, YouTube oder GMX anzutreffende Gestaltung von Cookiehinweisen macht die unbefriedigende Situation deutlich: Die User müssen vor der Nutzung des Angebots großflächig eingeblendete Hinweise lesen und können in den meisten Fällen zwischen „ALLES AKZEPTIEREN“ oder „EINSTELLUNGEN ANPASSEN“ wählen. Es ist nicht unwahrscheinlich, dass viele Nutzer, jedenfalls nach einiger Zeit, den Weg des geringsten Aufwands gehen und einfach „ALLES AKZEPTIEREN“ anklicken anstatt sich mit einer Detailauswahl zu beschäftigen. Das kommt der Werbewirtschaft entgegen, auf der anderen Seite wird das Ziel verfehlt, dass Nutzer auf Basis voller Information eine Entscheidung treffen.

Gegen das – „Dark Patterns“ genannte – Design vieler Cookiehinweise, bei der Anbieter andere Optionen als das generelle Akzeptieren von Marketingcookies bewusst umständlich machen und eine echte Auswahl zwischen „Ja“ und „Nein“ für die Nutzer erschweren, geht aktuell die Organisation noyb.eu vor (siehe dazu noyb setzt dem Cookie-Banner-Wahnsinn ein Ende). Sie analysiert die Cookiebanner von Websites und verschickt bei einer ihrer Meinung nach rechtswidrigen Gestaltung Aufforderungsschreiben. Für den Fall, dass die betroffenen Unternehmen ihre Banner nicht abändern, hat noyb Beschwerden bei der jeweils zuständigen Behörde angekündigt. Mehr als 500 solcher Aufforderungsschreiben soll es bereits geben.

Eine Auflösung der aktuellen Situation erhoffen sich alle Seiten von der ePrivacy-Verordnung. Die Vorstellungen dazu gehen allerdings weit auseinander. Nachdem die bisherigen Entwürfe der Verordnung keine Einigung unter den beteiligten Interessensgruppen gefunden hatten, versuchte die kroatische Ratspräsidentschaft im ersten Halbjahr 2020 einen neuen Anlauf, der als Gegenbewegung des Pendels bezeichnet werden konnte.

Als „Lösung“ schwebte dem Kompromissentwurf aus März 2020 ein neuer Ansatz vor: Wohl deshalb, weil die Einwilligung zu Marketingcookies schwierig zu bekommen ist, sollten auch solche Cookies (mit Einschränkungen) durch das „berechtigte Interesse“ der Websitebetreiber ganz ohne eine Einwilligung gesetzt werden können.

Onlinemarketing als „berechtigtes Interesse“?

Als „berechtigte Interessen“ schlug der damalige Entwurf ausdrücklich die Interessen der Betreiber von gänzlich oder überwiegend werbefinanzierten Webangeboten vor, also Plattformen, die ohne eine direkte Geldleistung konsumiert werden können, etwa Onlinezeitungen oder audiovisuelle Mediendienste.

Es war absehbar, dass dieser Vorstoß Proteste unter Verfechtern der ePrivacy hervorrufen würde. Die deutsche Ratspräsidentschaft versuchte sich im November 2020 an einer Überarbeitung, die wieder einen Schritt in die Gegenrichtung machte. Alle Klauseln, die – relativ pauschal – die Speicherung von Daten auf den Endgeräten aus einem „berechtigten Interesse“ erlauben sollten, wurden aus dem Entwurf der ePrivacy-Verordnung gestrichen. Der neue Verordnungsentwurf sah statt einer weiten Ermächtigung für das Setzen von Cookies aus berechtigtem Interesse eine Liste aus eng umschriebenen, konkreten Fällen vor.

Daran knüpft der jüngste Entwurf der portugiesischen Ratspräsidentschaft vom 10.02.2021 an – sein Text ist hier abrufbar.

Der Entwurf sieht einen Katalog enger Ausnahmen vor, bei denen der Anbieter für das Setzen von Cookies auf den Endgeräten keine Einwilligung des Nutzers benötigt, darunter:

• Technische Notwendigkeit, um eine spezifisch durch den Endnutzer gewünschte Dienstleistung erbringen zu können
• Messung des Webpublikums – diese darf auch durch einen im Namen des Websitebetreibers beauftragten Dritten (z.B. den Anbieter von Webanalysetools) oder mehrere Dritte gemeinsam erfolgen, welche dann als Auftragsverarbeiter oder gemeinsame Verantwortliche mit dem Websitebetreiber handeln
• Aufrechterhaltung oder Wiederherstellung der Sicherheit des Dienstes oder der Endgeräte, Betrugsprävention oder technische Fehlersuche
• Notwendigkeit für Software-Updates (unter explizit genannten Bedingungen)

Der Entwurf will also etwa den Einsatz von Trackingcookies privilegieren, sofern diese „ausschließlich“ für die Messung des Webpublikums verwendet werden – und nicht etwa auch, um Profile der Websitebesucher für Werbezwecke zu erstellen.

Unter engen Voraussetzungen sollen Daten auch zu anderen Zwecken weiterverarbeitet werden dürfen, als sie ursprünglich erhoben worden sind. Der Entwurf verlangt, wie schon bisher, einen prominent platzierten Hinweis, der über die Art der Datenerfassung, den Zweck, den Verantwortlichen und die in Artikel 13 der DSGVO genannten Punkte informiert. Dieser Vorgabe wird weiterhin durch einen Cookiehinweis und eine korrespondierende Datenschutzerklärung des Webauftritts bzw der App zu entsprechen sein.

Grundsätzlich sollen also Marketingcookies auch nach dem portugiesischen Entwurf einer Einwilligung des Endnutzers auf Basis einer ausreichenden Information bedürfen. Auch rein oder überwiegend werbefinanzierte Webangebote können sich nicht auf eine (im kroatischen Entwurf eingeführte und danach wieder entfernte) Rechtfertigung mit dem „berechtigten Interesse“ stützen und ohne Einwilligung der User auskommen. Für diese Services schwebt dem Entwurf wie schon bisher die Möglichkeit von Cookie-Walls vor: Nutzer können derart zwischen einer kostenpflichtigen Variante ohne Marketingcookies und einer werbefinanzierten Variante mit Marketingcookies wählen.

Allerdings versucht sich der jüngste Entwurf an einer Mittellösung: Cookies sollen auch dann ohne Einwilligung gesetzt werden können, wenn dies unbedingt erforderlich ist, um einen spezifisch vom Nutzer gewünschten Dienst erbringen zu können. Derartige Rechtfertigungsgründe waren bislang eher auf eine technische Notwendigkeit beschränkt und betrafen etwa Session Cookies des Content Management Systems. In Erwägungsgrund 21aa zum Entwurf wird die Türe nun „leicht geöffnet“, indem es dort heißt, unter diesen Fall der „Notwendigkeit“ könnten auch journalistische Dienste fallen, die sich gänzlich oder teilweise über Onlinewerbung finanzieren. Das ist ein durchaus neuer Ansatz, wenn auch zaghafter als jener, der Betreibern von werbefinanzierten Onlineangeboten ein „berechtigtes Interesse“ am Setzen von Cookies attestiert hatte. Es wird spannend zu sehen, ob sich die kommende Ratspräsidentschaft für eine deutlichere Ausnahme entscheidet oder ob dieser Schritt zur Stützung von werbefinanzierten Angeboten im Netz wieder rückgängig gemacht wird. Die aktuelle Formulierung von Erwägungsgrund 21aa – nur dort, nicht im eigentlichen Verordnungstext wird auf die journalistischen Angebote Bezug genommen – lässt vieles offen.

Die strengen Anforderungen an eine Einwilligung, wie sie in der DSGVO niedergelegt sind, bleiben auch im Bereich der Cookies erhalten. Für den Anbieter lässt sich freilich nicht immer feststellen, welche Person ein Endgerät benutzt und auf „Cookies akzeptieren“ klickt. Um diese Schwierigkeit zu berücksichtigen, sieht der Entwurf vor, dass es für den Anbieter in solchen Fällen ausreicht, nachzuweisen, dass die Einwilligung vom betreffenden Endgerät aus erteilt worden ist.

Zu den Cookie-Walls siehe in Teil 2 dieser Reihe.

Autor

Mag. Alexander Koukal LL.M. ist Rechtsanwalt und Partner von Höhne, In der Maur & Partner, Wien. Nach dem Studium der Rechtswissenschaften in Wien (Mag. iur. 2001) absolvierte er den Universitätslehrgang für Informationsrecht und Rechtsinformation an der Universität Wien (LL.M. 2003). Seine Arbeitsschwerpunkte umfassen Medienrecht, IT-Recht und E-Commerce, Datenschutz, Urheber-, Marken- und Wettbewerbsrecht, Rundfunkrecht und Vereinsrecht.