Datenschutz
29.06.2018
Positionspapier

Cookies nur noch mit ­Einwilligung?

Internet CookiesInternet CookiesInternet Cookies
solarseven / shutterstock.com
Mit Inkrafttreten der DSGVO ändert sich die Rechtslage für die Handhabung von Cookies. Demnach dürfen personenbezogene Daten - zu denen auch Cookies zählen - nur noch verarbeitet werden, wenn dies zur Erfüllung eines Vertrags notwendig ist.
Kurz bevor die Datenschutz-Grundverordnung (DSGVO) am 25. Mai endgültig in Kraft getreten ist, hat die Datenschutzkonferenz des Bundes und der Länder (DSK) mit einem Positionspapier für einige Aufregung gesorgt. Nach bisheriger Rechtslage durften Website-Betreiber Cookies pseudonymisiert unter anderem für Werbung und Marktforschung verwenden, solange man den User darüber informierte und dieser nicht in einem Opt-out-Verfahren widersprach. Diese „Erlaubnisnorm“ wird nun aber durch die DSGVO abgelöst.
Laut DSGVO können personenbezogene Daten (in der Regel auch Cookies) verarbeitet werden, wenn dies zur Erfüllung eines Vertrags nötig ist, etwa bei einem Warenkorb-Cookie, bei dem in einer Session die ausgewählten Produkte gespeichert werden, was unmittelbar dem Vertragsverhältnis zwischen Verkäufer und Käufer dient. Cookies können zudem bei „berechtigten Interessen“ des Website-Betreibers verwendet werden (etwa aus Sicherheitsgründen), wobei aber in jedem Einzelfall eine Abwägung der User-Interessen stattfinden muss. Dritte Möglichkeit: die informierte Einwilligung des Users.

Die DSK-Thesen und die Folgen

Die DSK stellte in ihrem Positionspapier vom 26. April nun klar, dass sie bei Cookies mit Tracking-Funktion wie Google Analytics oder Facebook-Pixel stets eine solche informierte Einwilligung für erforderlich hält. Das Einholen dieser Einwilligung kann sich jedoch – etwa bei Facebook-Pixel – äußerst schwierig gestalten, da der Verwender des Cookies häufig gar nicht weiß, welche Daten erhoben oder ausgewertet werden. Eine informierte Einwilligung ist so kaum möglich. Die Ansicht des DSK wird daher heftig kritisiert. Solange jedoch keine Rechtssicherheit herrscht und keine einschlägigen Gerichtsurteile vorliegen, sollte die Verwendung von Tracking-Cookies auf ein Minimum reduziert werden. Zur Risiko­minimierung sollte möglichst für jede Art von Cookie mit Tracking-Mechanismus eine Einwilligung für alle bekannten Funktionen mit Hilfe eines Cookie-Banners eingeholt werden.

mehr zum Thema