Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: Verwendung von Cookies

Cookies sind kleine Dateien, die normalerweise völlig harmlos sind und das Navigieren auf einer Seite erleichtern. Wenn Internetnutzer sich durch Cookies gestört fühlen, dann liegt das weniger an den Zwergdateien selbst, als an den sogenannten Cookiebannern, die spätestens seit dem 25. Mai 2018, dem Tag, an dem die Datenschutz-Grundverordnung (DSGVO) gültig wurde, auf nahezu jeder Homepage erscheinen. Dabei hat die DSGVO in puncto Cookies die Rechtslage gar nicht verändert. Die DSGVO sagt zu diesem Thema nichts. Der Einsatz der Minidateien sollte durch die e-Privacy-Verordnung geregelt werden, deren Verabschiedung zeitgleich zur Datenschutz-Grundverordnung geplant war, die aber bis heute nur im Entwurf vorliegt. Es gilt deshalb weiterhin die E-Privacy-Richtlinie 2009/136/EG aus dem Jahr 2009, die aber in Deutschland nicht umgesetzt worden ist, weil die Bundesregierung die Auffassung vertrat, dass der herrschende Ordnungsrahmen den Vorgaben der sogenannten Cookie-Richtlinie bereits genügte.

Cookie-Richtlinie und Telemediengesetz

Grundsätzlich lag die Bundesregierung mit dieser Einschätzung wohl richtig, nur nicht bei den Cookies. Die E-Privacy-Richtlinie verlangt die Einwilligung des Nutzers, andernfalls darf eine Webseite keine Cookies auf dem Rechner eines Besuchers speichern. Gemäß § 15 Abs. 3 Telemediengesetz (TMG) reicht es dagegen, den Nutzer nur zu unterrichten, damit dieser installierte Dateien entfernen und die Seite künftig meiden kann, so er sich durch die Cookies gestört fühlt. Die Richtlinie sah also ein sogenanntes Opt-in Modell vor, das TMG begnügt sich dagegen mit einem Opt-out Modell. Trotz dieser Diskrepanz wurde die Rechtslage in Deutschland von der EU-Kommission als richtlinienkonform bewertet. Wer seine Homepage von Deutschland aus betreibt darf also davon ausgehen, dass er nicht gegen geltendes Recht verstößt, wenn er lediglich die Vorgaben des TMG beachtet.

Wie wird das Opt-out Modell richtig umgesetzt?

In Deutschland gilt das Opt-out-Modell nach herrschender Auffassung derzeit noch als legal, heftig diskutiert wird aber über die korrekte Umsetzung. Strittig ist dabei insbesondere die Frage, ob ein Cookie-Hinweis beim Öffnen der Homepage, zwingend erforderlich ist oder ob es genügt, wenn der Nutzer im Rahmen der Datenschutzerklärung über den Einsatz von Cookies informiert wird. Aufgrund der unsicheren Rechtslage waren Abmahnungen wegen einer fehlenden Cookiefahne bisher nicht attraktiv, aus diesem Grund gibt es auch noch keine Gerichtsurteile zu diesem Thema. Vor Inkrafttreten der e-Privacy-Verordnung, mit der frühestens 2019 zu rechnen ist, wird sich an dieser Sachlage wohl auch nichts ändern.

Fazit

Unternehmer, die ihre Webseite von Deutschland aus betreiben, haben derzeit wohl kaum etwas zu befürchten, wenn sie auf eine Cookie-Fahne verzichten. Sofern Cookies verwendet werden, müssen die Nutzer über diesen Umstand aber mindestens in der Datenschutzerklärung der Webseite hierüber unterrichtet werden. Mit Inkrafttreten der e-Privacy-Verordnung wird sich die Rechtslage mit hoher Wahrscheinlichkeit ändern. Derzeit ist davon auszugehen, dass künftig in der gesamten EU das Opt-in-Modell verbindlich vorgeschrieben sein wird. Eine Verwendung von Cookies ohne Einwilligung des Nutzers ist also keine zukunftsfähige Lösung. Wer jetzt noch kein Cookie-Banner installiert hat, sollte beim Nachrüsten seiner Homepage am besten gleich dafür sorgen, dass die Opt-in-Variante realisiert wird. Das senkt die Kosten und vermeidet Stress und Panik in letzter Minute, wie das bei der Umsetzung der Datenschutz-Grundverordnung oft der Fall war.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO
Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com