Der europäische Gesetzgeber hat den Entwurf der ePrivacy-VO gerade hinsichtlich der Regelungen zum Tracking intensiv diskutiert und immer wieder überarbeitet. Unter den Begriff des Trackings fallen vor allem das Targeting und Retargeting der Nutzer durch den Einsatz von Cookies zu Werbezwecken.
Benötigt jegliches Tracking zukünftig eine Einwilligung?
Artikel 8 des Entwurfs der ePrivacy-VO vom 10. Februar 2021 bezweckt den Schutz der Endeinrichtungen der Nutzer, das heißt ihrer Smartphones, Computer und sonstigen Endgeräte, und richtet sich an Webseiten- und App-Betreiber.
Nicht jede Datenverarbeitung im Zusammenhang mit der Nutzung von Endeinrichtungen soll einer Einwilligung bedürfen. So sieht der letzte Entwurf der ePrivacy-VO vor, dass etwa technisch notwendige Session-Cookies und Tools zur Reichweitenmessung auch ohne Einwilligung der Nutzer eingesetzt werden dürfen (Artikel 8 Absatz 1 Buchstaben a), c) und d)).
Des Weiteren soll es laut dem aktuellen Entwurfs des EU-Ministerrats zukünftig möglich sein, Datenverarbeitungen im Zusammenhang mit der Nutzung von Endeinrichtungen mittels der Feststellung einer Zweck-Kompatibilität zwischen dem Zweck der ursprünglichen Erhebung der Daten und dem Zweck der beabsichtigten Weiterverarbeitung zu rechtfertigen. In einer diesbezüglich stattfindenden Abwägung sollen gemäß Artikel 8 Absatz 1 Buchstabe g) u.a. berücksichtigt werden:
- (i) ob und welche Zusammenhänge zwischen der ursprünglichen Erhebung der Daten und der beabsichtigten Weiterverarbeitung bestehen,
- (ii) der Kontext, in dem die Daten ursprünglich erhoben wurden, insbesondere die Beziehung zwischen Endnutzer und Provider,
- (iii) die Modalitäten der Erhebung und Weiterverarbeitung, v.a. ob besondere Arten personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO preisgegeben werden könnten,
- (iv) die Konsequenzen der Weiterverarbeitung für den Endnutzer sowie
- (v) der Einsatz möglicher Sicherheitsmechanismen, insbesondere Verschlüsselung oder Pseudonymisierung.
Außerdem dürfte eine solche Weiterverarbeitung lediglich vorgenommen werden, sofern gemäß Artikel 8 Absatz 1 Buchstabe h) sichergestellt ist, dass:
- (i) die Informationen unverzüglich nach Zweckerreichung gelöscht oder anonymisiert werden,
- (ii) ausschließlich pseudonymisierte Informationen weiterverarbeitet werden und
- (iii) die Informationen nicht zur Analyse der Charakteristiken eines Nutzers oder zur Erstellung eines Persönlichkeitsprofils eines Nutzers verwendet werden.
Somit bliebe es auch nach dem Entwurf des EU-Ministerrats dabei, dass das Tracking zu Werbezwecken einer Einwilligung des Nutzers bedürfte – und zwar unabhängig davon, ob dieses über anbietereigene Cookies oder Third-Party-Cookies erfolgt.
Artikel 10 des frühen ersten Entwurfs der ePrivacy-VO verpflichtete Anbieter von Software, die elektronische Kommunikation ermöglichen, also insbesondere Anbieter von Internet-Browsern. Der Nutzer sollte entsprechend dem Grundsatz Privacy-by-Design z.B. über seine Browser-Einstellungen verhindern können, dass Dritte Informationen in der eigenen Endeinrichtung speichern oder solche Informationen verarbeiten (Artikel 10 Absatz 1 des ersten Entwurfs). Eine solche Regelung würde daher insbesondere Third-Party-Cookies betreffen.
Artikel 10 Absatz 2 des ersten Entwurfs der ePrivacy-VO verlangte ferner, dass bei der Installation der Software stets die Einwilligung des Nutzers zum Einsatz von Cookies eingeholt wird. Die einmal getätigte Wahl sollte auch gegenüber Dritten verbindlich sein. Dabei blieb aber unklar, ob der Dritte selbst noch eine Einwilligung einholen können soll und wie sich die Einwilligungen dann zueinander verhalten würden.
Wie bereits vorherige Ratspräsidentschaften votierte auch die portugiesische Ratspräsidentschaft zuletzt für die komplette Streichung des Artikels 10. Stattdessen werden die Softwareanbieter in Erwägungsgrund 20a aber dazu angehalten, den Nutzern jederzeit die Erstellung und Änderung von sog. "Whitelists" in ihrem Browser sowie den Widerruf ihrer Einwilligung zu erleichtern. Einwilligungen der Nutzer, die dieser auf Anfrage des genutzten Dienstes direkt erteilt, sollen solchen Softwareeinstellungen jedoch stets vorgehen und entsprechend berücksichtigt werden.
Wie muss die Einwilligung ausgestaltet sein?
Hinsichtlich der Ausgestaltung der Einwilligung verweist die ePrivacy-VO weitgehend auf die Vorgaben der DSGVO. Damit werden hohe Anforderungen an eine Einwilligung gestellt. Diese muss freiwillig, für einen bestimmten Zweck, in Kenntnis der Sachlage und unmissverständlich abgegeben werden sowie so einfach widerrufen werden können, wie sie erteilt wurde (s. hierzu auch das Working Paper 259 der Artikel-29-Datenschutzgruppe Rev. 01).
Mit Blick auf die im Entwurf der ePrivacy-VO (Stand heute) vorgesehenen Regelungen zum Schutz der auf Endgeräten gespeicherten Informationen werden allerdings zwei Erleichterungen diskutiert: Zum einen sollen Nutzer die Einwilligung, soweit technisch machbar, auch durch Software-Einstellungen in Browsern und vergleichbarer Software ausdrücken können. Die Anforderungen der DSGVO an eine Einwilligung sollen damit gleichwohl nicht abgeschwächt werden. Zum anderen soll der Verantwortliche, wenn er nicht in der Lage ist, die jeweils betroffene Person zu identifizieren, die Einwilligung mittels technischer Protokolldaten nachweisen können.
Was gilt in der Übergangszeit? TMG? TTDSG?
Bis zu dem EuGH-Urteil vom 1. Oktober 2019 (Planet49 – Rs. C-673/17) und dem BGH-Urteil vom 28. Mai 2020 (Cookie-Einwilligung II – I ZR 7/16) wurden unterschiedliche Auffassungen etwa zur Rechtmäßigkeit des Website-Trackings und der anwendbaren Regelungen vertreten. Umstritten war zuvor insbesondere die Anwendbarkeit des TMG neben der DSGVO.
Bis zum Inkrafttreten der ePrivacy-VO ist auf Bundesebene seit dem 1. Dezember 2021 das TTDSG (Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien) für das Setzen von Cookies einschlägig. Hier informieren wir Sie über die während dieser Übergangszeit geltenden Vorschriften:
Übergangszeit bis zum Inkrafttreten der ePrivacy-VO
Die Übergangszeit und das TTDSG
TTDSG part I: Telekommunikationsdatenschutz 2.0?
Der Beitrag widmet sich den wesentlichen Neuerungen des TTDSG im Bereich...
Was gilt für das Offline-Tracking?
Die ePrivacy-VO will auch das bisher nicht explizit geregelte Offline-Tracking einschränken. Darunter fällt die Nutzung von Daten, die von Geräten wie Smartphones zu Zwecken der Netzwerkkonnektivität ausgesandt werden. Solche Daten fallen notwendigerweise bei Funkstandards wie WLAN oder Bluetooth an, damit Geräte Verbindungen zueinander aufbauen und aufrechterhalten können.
Diese Signale können auch genutzt werden, um Geräte und damit mittelbar auch deren Nutzer zu (re)identifizieren, innerhalb der Reichweite eines Netzwerkes zu orten und zu verfolgen. In Erwägungsgrund 25 der ePrivacy-VO wird konstatiert, dass solche Daten auch für einschneidendere Zwecke als für bloße statistische Erhebungen genutzt werden könnten, beispielsweise für die Wiedererkennung eines Gerätes (und damit wahrscheinlich auch dessen Besitzers) oder das Zusenden personalisierter Nachrichten an Endgerätebenutzer.
Der Entwurf der Kommission zur ePrivacy-VO sah noch vor, die Erhebung solcher Daten zu verbieten, sofern diese nicht ausschließlich der Herstellung einer Verbindung dienten und auf diese begrenzt waren; alternativ konnte auch ein Hinweis nach Artikel 13 DSGVO erfolgen und dem Betroffenen mitgeteilt werden, wie er die Erhebung verhindern oder auf ein Minimum beschränken könne.
Der Vorschlag des Parlaments und auch der aktuelle Ratsentwurf sehen demgegenüber zwar neben der Information über die Erhebung eine Einwilligung des Nutzers vor. Sie gestatten es alternativ aber, Daten zu erheben, die nur für statistische Zwecke verarbeitet werden und nach Erfüllung ihres Zweckes anonymisiert oder gelöscht werden. Hierfür ist den Nutzern eine Widerspruchsmöglichkeit einzuräumen, durch die das Funktionieren der Endeinrichtungen nicht beeinträchtigt werden darf. Unklar ist, ob diese Anforderung technisch umsetzbar ist.
Verbot von Cookie-Walls auf Webseiten?
Einer der strittigsten Punkte innerhalb des Trilog-Verfahrens zur ePrivacy-VO wird ein mögliches Verbot sogenannter Tracking-Walls, auch Cookie-Walls genannt, sein.
Unter der neuen ePrivacy-VO wird eine Verwendung von Tracking-Cookies nur mit Zustimmung der Nutzer möglich sein. Für die Webseitenbetreiber ist es daher naheliegend, die Nutzung ihrer Webseite davon abhängig zu machen, dass der Nutzer dem Tracking seines Nutzungsverhaltens zustimmt. Realisiert wird diese Zugangssperre durch eine Cookie-Wall. Diese verweigert den Zugriff auf die Webseite, wenn der Nutzer der Verwendung von Cookies für Trackingzwecke wie z.B. Ad-Targeting nicht zustimmt.
Die Entwürfe der Kommission und des Ministerrats von Anfang 2017 enthielten keine gesonderten Regelungen für Tracking bzw. Cookie-Walls. Anders der Entwurf des Europäischen Parlaments vom 26. Oktober 2017: Dieser forderte in Artikel 8 Absatz 1 Ziffer 1 Buchstabe b) und Erwägungsgrund 22 erstmals ein explizites Verbot dieser Praxis.
Der Ministerrat ist dieser Anregung des Parlaments bislang nur eingeschränkt gefolgt: Der Entwurf der finnischen Ratspräsidentschaft vom 26. Juli 2019 versuchte, wie auch der Vorentwurf vom Februar 2019, in Erwägungsgrund 20, einen Kompromiss zwischen den Interessen der Webseitenbetreiber einerseits und den Interessen der Nutzer andererseits zu finden. Danach sollte es im Regelfall zulässig sein, den Zugang zu kostenlosen Inhalten auf einer Webseite von der Zustimmung der Nutzer zur Verwendung von Tracking-Cookies abhängig zu machen. Dies sollte insbesondere dann gelten, wenn der Nutzer die Wahl zwischen zwei vergleichbaren Angeboten hat, von denen eines keine Zustimmung zum Tracking erfordert. Etwas anderes sollte dort gelten, wo die Nutzer mit Blick auf die Nutzung bestimmter, alternativloser Dienstleistungen („certain services“) keine Wahl haben, ob sie der Verwendung von Tracking-Cookies zustimmen. Als Beispiel wurden Dienstleistungen öffentlicher Behörden genannt.
Laut Beobachtern des Brüsseler Politikbetriebs soll sich die deutsche Bundesregierung sogar dafür einsetzen, dass Cookie-Walls ausdrücklich erlaubt werden. Verbraucherschützer kritisieren dies als Umgehung des Koppelungsverbots nach Artikel 7 Absatz 4 DSGVO.
Der Entwurf der kroatischen Ratspräsidentschaft vom 21. Februar 2020 rückte von den finnischen Vorschlägen ab und sah in Erwägungsgrund 20 keine Privilegierung von Tracking bzw. Cookie-Walls mehr vor. Dafür fand sich im kroatischen Entwurf in Erwägungsgrund 21b der Hinweis, dass sich solche Diensteanbieter bei der Verwendung von Cookies auf berechtigte Interessen berufen können, die eine kostenlos zugängliche, werbefinanzierte Website betreiben, die zur öffentlichen Meinungsbildung beiträgt. Als Beispiel werden "Online-Zeitungen" genannt. Es ist nicht ganz klar, was dieser Versuch, den Interessen der Verlage Rechnung zu tragen, wert ist. Denn zum einen heißt es in Erwägungsgrund 21b, dass der Nutzer die Nutzung von Cookies auch in diesen Fällen "akzeptieren" müsse ("has accepted such use"). Der Unterschied zu einer Einwilligung ist nicht klar. Zudem wird der Einsatz von Cookies zu Zwecken des Profilings ("to build an individual profile of an end-user") ausdrücklich von dieser Privilegierung ausgenommen. Hier soll auch weiterhin eine Einwilligung erforderlich sein. Dasselbe soll gelten, wenn besondere Kategorien von Daten gemäß Artikel 9 Absatz 1 DSGVO verarbeitet werden. Ähnliche Überlegungen stellen die Erwägungsgründe 20 bis 21b des Entwurfs der deutschen Ratspräsidentschaft vom 4. November 2020 sowie des Entwurfs der portugiesischen Ratspräsidentschaft vom 5. Januar 2021 und die Version des EU-Ministerrats vom 10. Februar 2021 an. Der letzte Entwurf sieht in Erwägungsgrund 20aaaa vor, dass der Zugang zu einer Website von der Einwilligung in den Einsatz von Cookies für weitere Zwecke abhängig gemacht werden kann, sofern dem Nutzer die Auswahl zwischen einem Angebot mit der Verwendung von Cookies oder einem gleichwertigen Angebot des gleichen Anbieters, welches bei fehlender Einwilligung in die Nutzung von zusätzlichen Cookies z.B. kostenpflichtig ist, treffen kann.
Die unterschiedlichen Auffassungen der deutschen Regierung, der Kommission und des Ministerrats einerseits und des Parlaments andererseits zur Cookie-Wall stehen sinnbildlich für die unterschiedlichen Interessen, die in Brüssel derzeit um Einfluss ringen. Es bleibt abzuwarten, ob sich beim Thema Cookie-Wall am Ende die Verlage und Digitalunternehmen oder aber die Verbraucher- und Datenschützer durchsetzen werden.
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.