In der aktuellen Ausgabe der Zeitschrift für Datenschutzrecht hat Dr. Diana Ettig gemeinsam mit ihrem Co-Autor einen neuen Aufsatz zum rechtskonformen Einsatz von Cookies veröffentlicht. Der Beitrag befasst sich zum einen mit aktuellen Entscheidungen der Gerichte – insbesondere dem Vorlagebeschluss des Bundesgerichtshofs vom 5. Oktober 2017 – sowie den aktuellen Bestrebungen des europäischen Gesetzgebers zur Überarbeitung der sogenannten Cookie-Richtlinie im Rahmen der ePrivicay-Verordnung. Aufgrund des redaktionellen Vorlaufs noch nicht berücksichtigt ist allerdings das Positionspapier der deutschen Aufsichtsbehörden vom 26. April 2018. Darin hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) statuiert, dass es beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen einer vorherigen Einwilligung bedarf. Das bedeute, dass eine informierte Einwilligung im Sinne der DS-GVO in Form einer Erklärung oder sonstigen bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d.h. bevor beispielsweise ein Cookie platziert wird. Eine detaillierte Interessenabwägung, welche diese Auffassung stützen würde, ist dem Papier nicht zu entnehmen. Stattdessen verweisen die Datenschutzbehörden lediglich darauf, dass ihre Auffassung im Einklang mit dem europäischen Rechtsverständnis zu Art. 5 Abs. 3 der ePrivacy-Richtlinie steht, wonach für die Zulässigkeit der Speicherung von Cookies eine Einwilligung erforderlich ist.
Diese Auffassung der Datenschutzbehörden vermag weder dogmatisch noch inhaltlich zu überzeugen. Zwar ist zutreffend, dass die ePrivacy-Richtlinie bereits seit 2009 ein Einwilligungserfordernis vorsieht. Allerdings handelt es sich bei der ePrivacy-Richtlinie und der DS-GVO um zwei völlig verschiedene Gesetzeswerke, welche unterschiedliche Schutzgegenstände haben. Bei der DS-GVO geht es um den Schutz personenbezogener Daten, bei der ePrivacy-Richtlinie um den Schutz der elektronischen Kommunikation – unabhängig von einem Personenbezug. Vor diesem Hintergrund wurden die Regelungsgegenstände der ePrivacy-Richtlinie auch nicht mit in die DS-GVO aufgenommen, sondern sollen weiterhin Gegenstand einer eigenen gesetzlichen Regelung, der ePrivacy-Verordnung sein. Die DS-GVO und die ePrivacy-Richtlinie stehen mithin unabhängig nebeneinander. Es wäre daher bereits dogmatisch äußerst bedenklich, die in der ePrivacy-Richtlinie getroffene Interessenabwägung einfach auf das Datenschutzrecht zu übertragen. Dies gilt umso mehr als die entsprechende Regelung in der ePrivacy-Richtlinie ohnehin auf dem Prüfstand steht und sowohl Kommission als auch Parlament zukünftig die Speicherung von Cookies zum Zwecke der Webanalyse auch ohne Einwilligung als zulässig einstufen wollen.
Darüber hinaus sprechen auch verschiedene inhaltliche Überlegungen gegen die viel zu pauschale Aussage der Datenschutzbehörden: (1) Wenn schon die Direktwerbung als berechtigtes Interesse in Erwägungsgrund 47 der DS-GVO ausdrücklich vorgesehen ist, so muss dies erst recht für die Web- und Marketinganalyse gelten, welche lediglich eine Vorstufe mit deutlich geringerer Eingriffsintensität darstellt. (2) Sowohl für die Direktwerbung als auch sogar für das Profiling ist in Art. 21 Abs. 2 DS-GVO explizit ein Widerspruchsrecht vorgesehen. Diese Regelung würde schlicht keinen Sinn ergeben, wenn diese Maßnahmen nur mit Einwilligung zulässig wären. (3) Anders als noch 2009 sind die Nutzer heute aufgrund der Cookie-Banner mit der Funktion von Cookies sowie den darauf aufbauenden Mechanismen von Webanalyse und Conversion Tracking vertraut. Der Nutzer rechnet mit Webtracking beim Besuch von Websites. Gerade vor diesem Hintergrund sieht auch der Entwurf für die ePrivacy-VO ganz klar eine reine Informationslösung für das Tracking vor. Auch dies spricht für eine Zulässigkeit auf Grundlage des berechtigten Interesses. Gerade vor dem Hintergrund dieser aktuellen Entwicklung wäre es völlig absurd, nunmehr über den Umweg der DS-GVO die Cookie-Richtlinie in deutsches Recht umzusetzen, die offensichtlich überholt ist. Im Ergebnis sprechen daher gute Gründe für eine Rechtfertigung über Art. 6 Abs. 1 S. 1 Buchst. a) DS-GVO und gegen die Auffassung der deutschen Datenschutzbehörden. Für die Betreiber von Websites bleibt daher zu hoffen, dass hier entweder der europäische Gesetzgeber mit der ePrivacy-Verordnung oder der Europäische Gerichtshof in dem angesprochenen Vorlageverfahren aus Deutschland schnell für Rechtssicherheit sorgt.