Oktober 2019

Jeder Seitenbesuch im Internet hinterlässt Spuren. Man klickt auf akzeptieren und schon hat man der Speicherung seiner Daten durch Cookies zugestimmt. Bei Bestellungen oder der Inanspruchnahme von Dienstleistungen im Web gibt man persönliche Daten ein und stimmt deren Verwendung im Zusammenhang mit der Bestellabsendung zu.

Möchte man die Einwilligung rückgängig machen, steht man nicht selten vor Schwierigkeiten und findet auf der Website keinen Button, mit dessen Klick man von seinem Widerrufsrecht Gebrauch machen kann.

Mehr zum den Neuerungen im Thema Speicherung von personenbezogenen Daten durch Cookies durch das EuGH.

Widerruf und Widerspruch: Das sind die Unterschiede

Der Unterschied zwischen dem Widerspruchsrecht und dem Widerrufsrecht bezieht sich auf den Zeitraum der Gültigkeit. Weiter handelt es sich bei einem Widerspruch um den Bezug auf eine getroffene Maßnahme oder Handlung, während der Widerruf für eine Vereinbarung gilt (beispielsweise für den Bezug des Newsletters).

Ein Widerruf ist im Regelfall 30 Tage nach der Vereinbarung ohne Angabe von Gründen möglich. Ein Widerspruch erfordert die Definition eines Grundes und bezeichnet nicht die Rücknahme einer Vereinbarung, sondern ein Rechtsmittel. Für die Rückgängigmachung der Datenverarbeitung braucht man im Regelfall das Rechtsmittel Widerspruchsrecht nicht bedienen. Stattdessen kann man sich in der angegebenen Frist auf das Widerrufsrecht berufen.

Der Widerruf der Datenverarbeitung nach aktueller Rechtslage

Trotz gesetzlicher Vorschrift sind die Angaben zum Widerrufsrecht und zum Widerspruchsrecht auf vielen Websites nicht konkret formuliert. Dennoch ist die Zustimmung zur Datenverarbeitung eine Voraussetzung, um beispielsweise einen Verkauf abzuschließen oder eine Dienstleistung zu beauftragen. Im Bundesdatenschutzgesetz gibt es eindeutige Regeln, in welchem Umfang, zu welchem Zweck und für welche Dauer die Datenverarbeitung im Internet erfolgen kann. Für den Verbraucher heißt das, dass er sich auf das Gesetz berufen und die Verarbeitung der persönlichen Daten jederzeit widerrufen kann.

In einigen Fällen kann die Durchsetzung im Widerrufsrecht problematisch werden. Dies ist der Fall, wenn die Daten für einen Vertrag nötig sind und man dem Vertragspartner eine Datenverarbeitung untersagen möchte. Hier sind sowohl Widerrufsrecht als auch Widerspruchsrecht nur möglich, wenn gleichzeitig eine Kündigung der Vertragsvereinbarung erfolgt.

Rein rechtlich hat man als Verbraucher jederzeit die Möglichkeit, sein Widerrufsrecht durchzusetzen und der Verarbeitung persönlicher Daten zu widersprechen. Website-Betreiber sind zur lückenlosen Bereitstellung der Informationen zum Ziel, zum Zweck und zum Umfang der Datenverarbeitung verpflichtet. Sollten derartige Angaben im Impressum und in den AGB fehlen, ist der Vertrag auch ohne Widerruf von Rechtswegen ungültig. Hierbei gilt aber auch zu bedenken, dass man der Verarbeitung persönlicher Daten mit dem Klick auf den entsprechenden Button – seit dem neuen EuGH Urteil vermehrt mit der Absendung des ausgefüllten Formulars und dem Häkchen an entsprechender Stelle –zugestimmt hat.

Widerrufsrecht durchsetzen: Konkrete Aufforderung an den Seitenbetreiber schicken

Cookies, der Verarbeitung von Adress- und Telefondaten sowie sonstiger Informationen stimmt man mit dem Setzen eines Häkchens und einem Klick zu. Schwieriger ist es, wenn man der Datenverarbeitung widersprechen und sein Einverständnis widerrufen möchte. Hierfür gibt es bei den meisten Webseiten keinen Button, den Verbraucher mit einem Klick bedienen und so von ihrem Widerrufsrecht Gebrauch machen können. Eine schriftliche Aufforderung an den Seitenbetreiber empfiehlt sich und muss mit konkreten Forderungen bestückt sein.

Essenziell ist die direkte Formulierung dazu, welche Daten nicht weiter genutzt werden dürfen. Ratsam ist der Hinweis auf Rechtsmittel, wenn die Datenverarbeitung trotz Widerrufsrecht nicht unterlassen wird. Der Widerruf ist als Aufforderung und nicht als Bitte zu formulieren und mit einer Frist zu belegen.

Um die Datenverarbeitung zukünftig zu minimieren und im Internet so wenig wie möglich von sich preiszugeben, ist eine Umstellung des eigenen Surfverhaltens ratsam. Allein die regelmäßige Verlaufsleerung und die Löschung von Cookies mindern die im Internet vorhandene Datenmenge des Einzelnen. Wichtig: Jeder Vertrag muss einen plausiblen und gut sichtbaren Hinweis zum Widerrufsrecht enthalten. Fehlt dieser, hat der Vertrag vor dem Gesetz keine Gültigkeit.

Im Zweifelsfall hilft ein Fachanwalt für Widerspruchsrecht / Widerrufsrecht

Seit 2014 haben sich einige Aspekte im Widerrufsrecht verändert. Die Transparenz in der Datenverarbeitung ist ein essenzieller Bestandteil der AGB. Bei allen Problemen mit dem Widerrufsrecht oder der Umsetzung vom Widerspruchsrecht kann ein spezialisierter Fachanwalt für Internetrecht und Datenschutz helfen. Hinweis: Innerhalb von 30 Tagen braucht ein Widerruf keine Grundangabe.

Für die Vorbeugung gegen einen Trojaner-Virus bleibt vor allem eine professionelle Systemkonfiguration unverzichtbar. Im Ernstfall vermeiden sichere Backups, dass Daten durch Schadsoftware dauerhaft verloren gehen. Außerdem ist es sinnvoll, sich mit Security-Awareness-Schulungen über Erkennungsmerkmale von einem E-Mail-Virus zu informieren.

Nutzung technischer Möglichkeiten zur Vorbeugung gegen einen Trojaner-Virus

Vorbeugende Maßnahmen sind für Unternehmer genauso wie im Privatleben zum Schutz vor einem Trojaner-Virus sehr wichtig. Wer verschiedene Vorkehrungen trifft, verringert die Gefahr eines Schadsoftware-Befalls von Daten und kompletten IT-Systemen entscheidend.

Bei dieser Vorbeugung gegen einen E-Mail-Virus steht zunächst die Konfiguration der Computersysteme im Vordergrund. Arbeitgeber haben hierbei die Möglichkeit, den Zugang zu bestimmten Funktionen sowohl für die eigenen Angestellten als auch für Kunden oder sonstige Besucher einzuschränken.

Manche Firmen nutzen Software-Lösungen, die den Kontakt mit einem Trojaner-Virus durch das Sperren von speziellen Dateitypen vermeiden. Damit wird es für normale PC-Anwender ohne Administratoren-Status oft nahezu unmöglich, einen E-Mail-Virus mit ungewöhnlichen Dateiendungen überhaupt zu öffnen.

Berühmte Schadsoftware verfügt teilweise über Dateieigenschaften, die bei klassischen Büroprogrammen nie erforderlich sind. Dadurch lässt sich ein effektiver Schutz vor einem Trojaner-Virus mit derartigen Eigenschaften häufig ohne Einschränkungen für die beruflichen Aufgaben durchführen.

Darüber hinaus ist es zur Vermeidung von einem E-Mail-Virus manchmal durchaus sinnvoll, den Zugriff auf bestimmte Systembereiche lediglich einem engen Personenkreis anzubieten. Während Mitarbeitern der Zugang zu einzelnen Bestandteilen des Systems verwehrt bleibt, sind die virtuellen Tore für einen Trojaner-Virus in vielen Fällen genauso verschlossen.

Es ist ratsam, Administratoren-Passwörter ausschließlich an zuverlässige Kollegen mit Grundkenntnissen zur IT-Sicherheit und Schadsoftware weiterzugeben. Wer über dieses Grundwissen verfügt, erkennt einen E-Mail-Virus oder potenzielle Gefahren zumeist relativ schnell.

Schutz vor Datendiebstahl durch einen E-Mail-Virus mit Backups

Weil sich der Befall mit einem Trojaner-Virus trotz der Möglichkeiten bei der Vorbeugung nie mit absoluter Sicherheit ausschließen lässt, ist die mehrfache Sicherung wichtiger Daten alternativlos. Denn es gibt Schadsoftware, die gespeicherte Dateien ganz bewusst löscht oder versteckt. Manchmal kommt es sogar vor, dass der Urheber von einem E-Mail-Virus ein Unternehmen durch Datendiebstahl erpressen will.

Hierbei verlangen Kriminelle mit einem Trojaner-Virus für die Wiederherstellung verlorener Unternehmensdaten ein Lösegeld. Tatsächlich ist es aber meistens technisch gar nicht mehr durchführbar, die Dateien zurückzugewinnen. Ein E-Mail-Virus vernichtet die Inhalte der Festplatten häufig unwiderruflich. Betroffene werden daher lediglich ärmer, wenn sie auf die Erpressungsversuche eingehen.

Wer sichere Backups anlegt, bietet einem derartigen Trojaner-Virus kaum Angriffsfläche. Als Speichermedium für wichtige Geschäftsdaten eignen sich hochwertige USB-Sticks oder Festplatten, die nie mit dem Internet verbunden sind. Dabei ist es allerdings beachtenswert, dass bei vielen Produkten insbesondere nach rund zehn Jahren auch ohne E-Mail-Virus ein Datenverlust möglich ist. Alternativ entdecken Unternehmer verschiedene Anbieter, die Backup-Dateien mit einem zuverlässigen Schadsoftware-Schutz auf einem sicheren Server erhalten.

Mit festen Terminen für die regelmäßige Datensicherung begrenzen PC-Besitzer stets den potenziellen Folgeschaden von einem Trojaner-Virus. Geschäftsleute stoßen auf spezielle Sicherheitsprogramme, die einen Computer-Anwender rechtzeitig an das fällige Backup erinnern. Bevor ein E-Mail-Virus zu große Datenmengen vernichten würde, führen diese Anwendungen die Sicherung oft vollkommen automatisch aus. Teilweise ist es lediglich erforderlich, ein Speichermedium anzuschließen und die geplante Sicherungsaktion mit einem Mausklick zu bestätigen.

Einfachere Erkennung von einem Trojaner-Virus durch Security-Awareness-Schulungen

Security-Awareness-Schulungen machen einem Trojaner-Virus das Leben in zahlreichen Fällen ganz besonders schwer. Denn es ist häufig durchaus möglich, einen E-Mail-Virus oder die potenzielle Gefahr vor dem Öffnen eines Anhangs frühzeitig zu erkennen. Das Unwissen der Mitarbeiter in einem Unternehmen ist zumeist die entscheidende Schwachstelle, die zur Verbreitung der Schadsoftware führt. In passenden Kursen veranschaulichen Experten verschiedene Beispiele für einen Trojaner-Virus. Es ist oft sehr einfach, klassische Erkennungszeichen von einem E-Mail-Virus nach wenigen Sekunden zu bemerken.

Vermeintliche PDF-Dateien sind nicht selten ausführbare Schadsoftware mit einer exe-Endung. Zugleich bleiben die Texte von Spam-Mails mit einem Trojaner-Virus in vielen Situationen äußerst verräterisch. Manche Unternehmen erhalten unter anderem angebliche Bewerbungsschreiben, in denen sich ein E-Mail-Virus versteckt. Angestellte lernen in Schulungen, dass der vorschnelle Mausklick auf als Lebenslauf bezeichnete Dateien der Schadsoftware dann die Tür öffnet. Mit einem kurzen Blick auf Dateiendungen und verdächtige Formulierungen lässt sich der Trojaner-Virus hingegen rechtzeitig identifizieren.

Wo besteht wirklich ein berechtigtes Interesse an der Datenverarbeitung? Wo werden Einwilligungen eingeholt, die juristisch gar nicht nötig sind? Um nach der DSGVO zu handeln und die Begrifflichkeit des berechtigten Interesses klar zu definieren, ist ein kleiner Ausflug in die Rechtswissenschaft nötig.

Wann Interessen berechtigt und unberechtigt sind

Die Bezeichnung des berechtigten Interesses zur Datenverarbeitung besteht nicht erst seit der Verschärfung der Datenschutzgrundverordnung. Auch vorher war die Begrifflichkeit üblich und sagte genauso wenig aus wie heute. Es ist ein unbestimmter Begriff im Juristendeutsch. Deshalb bestehen ein großer Auslegungsspielraum und reichweitenstarke Interpretationsfreiheit, oder? – Das könnte man meinen, doch die Realität sieht anders aus. Um ein berechtigtes Interesse nachzuweisen, müssen primär drei Voraussetzungen erfüllt werden.

• Die Berechtigung muss beim Datenverarbeiter tatsächlich vorliegen und nachweisbar sein.
• Die Datenverarbeitung ist in Bezug auf das berechtigte Interesse eine zwingende Notwendigkeit.
• Die von der Datenverarbeitung betroffene Person wird in ihren Grundrechten und der Grundfreiheit nicht beeinträchtigt.

Das berechtigte Interesse liegt immer von Seiten des Verantwortlichen vor, der die Daten erhebt und Auskunft zur Weiterverarbeitung gibt. Unberechtigt sind Personen, die diese sensiblen Daten nicht benötigen und sie zu unlauteren, zum Beispiel werblichen, Zwecken verwenden.

Das berechtigte Interesse und die Zulässigkeit

Wenn ein berechtigtes Interesse besteht, geht dieser Umstand nicht automatisch mit der Zulässigkeit der Datenverarbeitung einher. Denn hier ist eine Abwägung nötig, welche maßgeblich über die Relevanz des Interesses in Verbindung mit der Zulässigkeit entscheidet. Anhand eines Beispiels lässt sich die Übereinstimmung des berechtigten Interesses und der Zulässigkeit am besten erläutern:

Ein Kunde beantragt einen Kredit bei der Bank. Die Bank hat ein berechtigtes Interesse daran, sich Informationen über den Antragsteller einzuholen und eine Überprüfung der Angaben im Rahmen der Datenverarbeitung durchzuführen.

Hier ist das Interesse nicht nur berechtigt, sondern die Datenverarbeitung zum Zweck der Kreditentscheidung auch zulässig. Wird der Antragsteller abgelehnt, erlischt automatisch die Berechtigung zur weiteren Nutzung der Daten. Wird der Kredit vergeben, kann die Bank in regelmäßigen Abständen Prüfungen über die Bonität und sonstigen Grundlagen der Kreditvergabe einholen. Dem stimmt der Antragsteller zu, wodurch eine erneute Anforderung der Einwilligung zur Datenverarbeitung unnötig ist.

Nicht zulässig ist die Verarbeitung von Daten außerhalb der Vereinbarung mit dem Kunden. Alle Informationen über den Umfang der Datenverarbeitung müssen dem Vertragspartner aufgezeigt und zur Einwilligung bereitgestellt werden. Wird keine Einwilligung erteilt, dürfen die Daten trotz berechtigtem Interesse nicht verarbeitet werden.

Berechtigtes Interesse im digitalen Zeitalter

Das Internet ist kein rechtsfreier Raum. Und obwohl Menschen online weniger sorgsam mit ihren sensiblen Daten umgehen, so ist die Weiterverarbeitung derer nicht ohne Weiteres zulässig. Nach Einführung der DSGVO sind Webseitenbetreiber dazu verpflichtet, Auskunft über die Datenverarbeitung zu erteilen und selbst beim Setzen von Cookies eine Einwilligung einzuholen. Berechtigtes Interesse im Sinne der unternehmerischen Sicherheit besteht in der Aufforderung zur Akzeptanz der AGB. Wenn ein Kunde in diesem Feld kein Häkchen setzt, kann der Unternehmer den Vertragsabschluss ablehnen.

Dem gegenüber steht die Akzeptanz von Cookies. Der Besucher einer Website hat das Recht, die Verarbeitung seiner für Cookies nötigen Informationen abzulehnen. Das darf nicht zur Folge haben, dass er die Website verlassen muss und kein Angebot mehr sieht. Auch die Differenzierung, welche Cookies erlaubt und untersagt sind, wird bei immer mehr Websites über ein direkt beim Betreten angezeigtes Popup gefordert.

Grundsätzlich besteht nie ein berechtigtes Interesse, wenn die Datenverarbeitung zu kriminellen, strafrechtlich verfolgbaren oder werblichen Zwecken eingesetzt werden soll.

Zuwiderhandlungen im Datenschutz sind strafbar

Wer trotz fehlender Einwilligung mit Kundendaten arbeitet, verletzt die Privatsphäre der jeweiligen Person und kann strafrechtlich belangt werden. Umso wichtiger ist es, auf die Datenverarbeitung ausführlich und in allen Bereichen aufmerksam zu machen. Eine alleinige Anmerkung, dass die Daten gespeichert werden, ist nicht ausreichend.

Vielmehr ist es notwendig, sein berechtigtes Interesse mit der Angabe zum Grund der Datenverarbeitung UND zu den gespeicherten Daten zu begründen. Berechtigt sind nur Interessen, die einen wirtschaftlichen oder ideellen Zweck verfolgen und im aufgezeigten Rahmen erfolgen. Verstöße gegen die DSGVO sind kein Kavaliersdelikt und ziehen daher empfindliche Strafen wie beispielsweise Geldbußen und Rechtsprechungen nach sich.

Hier haben wir weitere Tipps, wie Sie Fehler, die zum Datenschutzverstoß führen, vermeiden.

Ein EuGH Urteil mit weitreichenden Auswirkungen?

In Sachen Tracking und Cookies sorgt ein neues EuGH Urteil –„Planet 49“ für viel Aufregung bei Betreibern von Webseiten. Grundsätzlich geht es im EuGH-Urteil darum, in welcher Form die Einwilligung von Nutzern erfolgen muss, wenn es um die Verwendung von Tracking Cookies geht. Hier setzt das EuGH-Urteil klare Grenzen. So erweitert es die Rechte von Verbrauchern im Sinne eines umfassenderen Schutzes vor der ungewollten Übermittlung persönlicher Informationen.

Dennoch vorab: Nicht für jedes Cookie benötigen Sie eine Einwilligung des Nutzers.

Insgesamt liest sich das Urteil so, als gehe der EuGH davon aus, dass für jedes nicht unbedingt notwendige Cookie eine Einwilligung des Nutzers notwendig sei.

Zu beachten ist aber, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ ist, hierüber wird derzeit ein reger Diskurs geführt. Auch keine Stellung genommen hat der EuGH zu der Frage, ob das Setzen von Cookies in Deutschland auch auf Grundlage anderer Rechtsgrundlagen erfolgen kann, z.B. Art. 6 Abs. 1 S.1 lit. f. DSGVO.

Hiernach hatte der BGH im konkreten Fall ebenfalls nicht gefragt. Auch hier findet ein Diskurs statt. Einige Aufsichtsbehörden haben dazu bereits Stellung bezogen, jedoch handelt es sich hierbei zunächst um Rechtsmeinung. Rechtssicherheit gibt es erst, wenn diesbezüglich Recht gesprochen worden ist.

Es ist nicht verwunderlich, dass das oben angeführte EuGH Urteil aus einem Verfahren stammt, dass seinen Anfang 2014 am Landgericht Frankfurt am Main nahm. Dass es überhaupt so weit kommen konnte, liegt vor allem an der mangelnden Initiative des deutschen Gesetzgebers.

Dieser hätte die bereits seit 2009 geltende Cookie Richtlinie der Europäischen Union längst in deutsches Recht umsetzen müssen. Diese Richtlinie sieht bereits seit mehr als zehn Jahren zwingend ein Opt-In Verfahren für die Verwendung von Tracking Cookies vor. Die Bundesregierung war jedoch der Auffassung, dass den Anforderungen der Cookie Richtlinie bereits durch das Telemediengesetz (TMG) genüge getan worden war.

• § 15 TMG stellt jedoch nicht auf die explizite Einwilligung durch Nutzer ab. Er setzt für die Erhebung und Verwendung personenbezogener Daten stattdessen lediglich eine entsprechende Erforderlichkeit voraus. Dieser unbestimmte Rechtsbegriff lässt sich in beliebiger Form füllen und erweitern. Genau dies geschah im Fall des Unternehmens Planet49. Bei dessen Angebot im Internet war das Einwilligungshäkchen in die Verwendung von Tracking Cookies sowie im Hinblick auf die Verwendung weiterer persönlicher Daten bereits gesetzt.

Um der Verwendung zu widersprechen, hätten Nutzer daher das Häkchen aktiv löschen müssen. Diese Praxis entsprach dem deutschen Telemediengesetz. Sie widersprach aber der Cookie Richtlinie der Europäischen Union, welche genau diese Art der Verwendung von Tracking Cookies unterbinden soll. Seit in Kraft treten der Datenschutzgrundverordnung, ist die „Cookie-Richtlinie“ im Übrigen nicht mehr relevant, da außer Kraft gesetzt. Das Urteil bezieht sich demnach in weiten Teilen auf das nicht mehr geltende Recht.

Tatsächlich enthält das EuGH Urteil Antworten auf mehrere Fragen, mit Bedeutung für die DSGVO, die der BGH dem EuGH zu Beantwortung vorgelegt hat:

Frage 1: Liegt eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL) vor, wenn diese durch ein vorab gesetztes Häkchen erfolgt, dass der Nutzer zur Verweigerung abklicken muss?

Frage 2: Gilt das zu 1. gesagte auch im Zusammenhang mit der Datenschutzgrundverordnung?

Frage 3: Ist bei den abgerufenen und den gespeicherten Daten zwischen personenbezogenen Daten und anderen Daten zu unterscheiden?

Frage 4: Welche Informationen müssen dem Nutzer vom Anbieter mitgeteilt werden um den Informationspflichten aus Art. 5 Abs.3 ePrivacy-RL nachzukommen?

Frage 1 und 2 hat der EuGH ganz klar mit Nein! beantwortet. Das Erklären einer Einwilligung erfordert ein aktives Handeln, ein Unterlassen reicht hierfür nicht aus. Für die DSGVO, die von sich aus bereits ein aktives Handeln für die Einwilligung fordert, gilt das gleiche. Etwas anderes war auch nicht zu erwarten.

Zusammenfassend zeichnet sich eine klare Richtung ab, auf die der EuGH zusteuert. Vereinfacht gesprochen geht der EuGH davon aus, dass im konkreten Fall die Verwendung von Tracking Cookies von einer klaren und eindeutigen Einwilligung durch den Verbraucher abhängig gemacht werden musste. Dies gilt im Übrigen unabhängig davon, ob die Tracking Cookies zur Speicherung persönlicher Daten genutzt werden oder in anonymer Form verwendet werden, womit auch Frage 3 beantwortet wurde. Es ist nicht zwischen anonymisierter oder nicht anonymisierter Verarbeitung zu unterscheiden.

Bezüglich der Frage 4 hat der EuGH dankenswerterweise weit ausgeholt und beantwortet, welche Informationen der Verantwortliche dem Betroffenen zur Verfügung stellen muss. Dies sind:

1. Identität des Verantwortlichen
2. Zweckbestimmungen der Verarbeitung
3. weitere Informationen z.B. Empfänger der Daten, oder Kategorien von Empfängern

Dies entspricht auch den Vorgaben aus Art. 13 DSGVO.

Rechtliche Auswirkungen für deutsche Unternehmen

Entsprechend betrifft das EuGH-Urteil faktisch alle nicht unbedingt notwendigen Cookies, die im Rahmen des Online Marketings und auch Online Handels vermehrt Verwendung finden.

Setzt man solcherlei Cookies auf Grundalge einer Einwilligung ein, sollte man also vor Setzen des Cookies und der damit einhergehenden Datenverarbeitung eine eindeutige Einwilligung durch Kunden und Besucher der eigenen Seiten einholen.

Der EuGH hat, da der BGH nicht danach gefragt hat, nicht beantwortet, wann ein Cookie ein sogenanntes unbedingt erforderliches Cookies ist, das unproblematisch auch ohne eine Einwilligung des Nutzers gesetzt werden darf. Dies wird die Diskussion weiter anfachen, welches Cookie nun in welcher Konstellation als unbedingt erforderlich angesehen werden kann. So ist z.B. ein Warenkorb Cookie dazu geeignet den Benutzer „zu tracken“.

Ohne dieses Cookie wäre aber der Betrieb eines Online-Shops nahezu unmöglich. Auch ist fraglich ob ein Cookie zum Einblenden eines konkreten Werbeinhalts auf einem redaktionell betriebenen Nachrichtenportal zur Finanzierung unbedingt erforderlich ist, wenn dieses vollständig werbefinanziert ist.

Auch nicht beantwortet hat der EuGH, in welchem Umfang z.B. anonymisierte Tracking Cookies im Rahmen eines berechtigen Interesses, gem. Art.6 Abs.1 S.1 lit. f DSGVO eingesetzt werden dürfen. Gerade wenn aber das gesamte Geschäftsmodell eines Seiten-Betreibers werbefinanziert funktioniert, dürften einige gewichtige Gründe für das Überwiegen seines Geschäftsinteresses sprechen.

Denkbar wäre hier z.B. das Interesse einer Online-Redaktion oder eines reinen Affiliate-Marketers. Gerade wenn die Daten anonymisiert verarbeitet werden, ist die Eingriffsintensität gegenüber dem Geschäftsinteresse sicherlich als „geringer“ zu bewerten. Dies vor allem im Lichte der Meinungs- und Berufsausübungsfreiheit.

Praktische Konsequenzen des Urteils zu Cookies

Das EuGH Urteil dürfte dazu führen, dass der deutsche Gesetzgeber seine Bemühungen im Hinblick auf eine Anpassung des nationalen Datenschutzrechts im Sinnes des Bundesdatenschutzgesetzes verstärken dürfte.

Wer sicher gehen will, der wird in Zukunft auf die Einwilligung setzen müssen, sofern sein Geschäftsmodell ihm dies erlaubt. Hinsichtlich der notwendigen Einwilligung in die Verwendung von Tracking Cookies sind mehrere technische Ansätze möglich. Folgende Kriterien sollten die verwendeten Content Tools in jedem Fall erfüllen:

• Die Einwilligung muss durch den Nutzer aktiv gegeben werden (kein vorab gesetztes Häkchen).
• Vor Erteilung der Einwilligung müssen sämtliche Cookies geblockt sein.
• Jede Cookie-Art bedarf einer eigenen Einwilligungsbox.
• Das Consent Tool muss in der Datenschutzerklärung mit aufgeführt und erläutert sein.

Durch die Datenschutzgrundverordnung (DSGVO) hat die Europäische Union im Frühling 2018 für frischen Wind in Sachen Datenschutz gesorgt. Ursprünglich plante man die gesetzlichen Änderungen auf noch breiterer Basis. Doch die e-Privacy Verordnung, die eigentlich zeitgleich mit der DSGVO in Kraft treten sollte, befindet sich noch immer im Gesetzgebungsverfahren. Es ist jedoch damit zu rechnen, dass die e-Privacy-Verordnung im Jahr 2020 Gesetzeskraft erlangt. Daher macht es Sinn, sich bereits jetzt näher mit ihren Bestimmungen auseinanderzusetzen.

Gründe für die Einführung der e-Privacy-Verordnung

Bei der e-Privacy-Verordnung handelt es sich dem Grunde nach um ein Gesetz, das die Vorgaben der DSGVO spezifiziert. Dabei geht es vor allem um die Stärkung der Grundrechte nach der DSGVO sowohl für natürliche als auch juristische Personen. Diese sind nach Auffassung der Europäischen Union durch die bisherige e-Privacy-Richtlinie nicht ausreichend geschützt. Sowohl das Telemediengesetz (TMG) als auch das Telekommunikationsgesetz (TKG) fußen auf dieser Richtlinie. Daher stehen auch für den deutschen Rechtsraum zahlreiche neue gesetzliche Vorgaben an.

Die Notwendigkeit für rechtliche Neuerungen besteht aufgrund der Tatsache, dass sich bei der Kommunikation über Medien in den letzten Jahrzehnten starke Veränderungen ergeben haben. Andere Techniken lösen in immer stärkerem Maße klassische Kommunikationsmittel wie etwa das Telefon ab. Für die älteren Kommunikationsformen bestehen klare gesetzliche Vorgaben, wie etwa die grundgesetzliche Verankerung des Post- und Fernmeldegeheimnisses. Zeitgleich hat man moderne Formen der Kommunikation bislang jedoch nicht in gleicher Weise abgesichert.

Der Schutz privater Daten

Eine solche Sicherung ist jedoch notwendig, da Nutzer über die verschiedenen Plattformen zahllose private Informationen austauschen, die zum Teil intimen Charakter haben. Die e-Privacy-Verordnung soll in diesem Zusammenhang dafür sorgen, dass Privates privat bleibt und ein Zugriff auf diese Daten nur in rechtlich klar umgrenzten Ausnahmefällen möglich ist.

Vor allem aber legt die e-Privacy-Verordnung fest, unter welchen Bedingungen die Verarbeitung elektronischer Kommunikationsdaten zu erfolgen hat und welche Bedingungen Dienstleister in diesem Bereich zu erfüllen haben. Dabei ging es dem europäischen Gesetzgeber vor allem darum, das Regelwerk am aktuellen Stand der Technik auszurichten.

Was sich durch die e-Privacy-Verordnung ändert

Doch um welche Fälle geht es bei den gesetzlichen Neuerungen konkret? Ein wichtiges Beispiel hierfür bildet das Tracken des Onlineverhaltens von Usern. Diese Technik stellt bei Abfassung der alten e-Privacy-Richtlinie noch kein Problem dar. Derzeit ist es jedoch so, dass sowohl Suchmaschinen als auch die sozialen Plattformen des Web 2.0 immer feinere Routinen entwickeln, um aus dem Onlineverhalten von Nutzern Rückschlüsse zu ziehen.

Dies betrifft vor allen Dingen den Bereich der personalisierten Werbung. Je genauer hier gearbeitet wird, desto mehr Daten wurden erfasst und verarbeitet. Diese Vorgehensweise, die zum viel beschworenen gläsernen Konsumenten führt, unterliegt bislang keinem ausreichenden Maß an gesetzlicher Kontrolle. Da der Eingriff in persönliche Bereiche gleichzeitig massiv ist, führt bereits an diesem Punkt kein Weg an einer neuen e-Privacy-Verordnung vorbei.

Nicht immer dürfen Daten gespeichert werden

Wie der bei der DSGVO geht es auch bei der e-Privacy-Verordnung vor allem darum, die Rechte von Verbrauchern zu stärken. Diese sollen selber darüber entscheiden können, welche ihrer Daten gespeichert und verwertet werden dürfen.

Entsprechend setzt die e-Privacy-Verordnung bei der Speicherung wie auch der Verarbeitung von persönlichen Daten durch Kommunikationsdienstleister klare neue Grenzen. Dabei ist es egal, ob die personenbezogenen Daten in der Cloud gespeichert werden oder lokal auf einem Server.

Analog zu den Bestimmungen der DSGVO sieht deshalb auch die e-Privacy-Verordnung ein „Recht auf Vergessenwerden“ im Wege der Löschung privater Daten vor. Außerdem dürfen Dienstleister private Daten nur dann zu Analysezwecken verwenden, wenn der Nutzer hierfür im Vorhinein eine Erlaubnis erteilt hat. In diesem Zusammenhang dürfen Anbieter die Nutzung bestimmter Web-Inhalte nicht von einer solchen Einwilligung abhängig machen (Kopplungsverbot). Außerdem hat man im Rahmen der e-Privacy-Verordnung bei der elektronischen Direktwerbung klarere Grenzen gesetzt.

Fazit

Für Unternehmen bedeutet die e-Privacy-Verordnung, dass die Nutzung privater Daten von Kunden zusätzlichen Einschränkungen unterworfen wird. Da die Erstellung von Persönlichkeitsprofilen und die direkte Kontaktaufnahme erschwert werden, werden sich fundamentale Änderungen beim elektronischen Marketing ergeben. Da einzelne Mitgliedsländer Vorbehalte gegenüber der e-Privacy-Verordnung geäußert haben, ist diese bisher nicht in Kraft getreten. Dies wird aller Voraussicht nach jedoch im Laufe des Jahres 2020 geschehen.