In den vergangenen Monaten haben sich viele Gerichte und Datenschutzbehörden in Europa mit dem Einsatz von Cookies befasst. Es ergingen zahlreiche Urteile, die den Einsatz bestimmter Cookies oder Cookie-Lösungen verboten. Im Markt herrscht Verwirrung und die Betreiber von Websites und andere Beteiligte, wie beispielsweise der Adtech-Markt, fragen sich, was nun zu tun ist.

Die Entscheidungen und Urteile beziehen sich zwar oft auf Sachverhalte, die in der Vergangenheit liegen und heute wahrscheinlich anders bewertet würden. Dennoch ist die Situation aus datenschutzrechtlicher Sicht ernst und insbesondere Betreiber von Internetangeboten – Websites, Apps, Newsletter, Fanpages – sind dazu angehalten, kritisch zu prüfen, welche Cookies und ähnlichen Tools sie einsetzen.

In der aktuellen Diskussion geht es darum, dass die Persönlichkeitsrechte von Nutzern von Internetangeboten besser geschützt werden sollen. Den Nutzern ist oftmals nicht klar, dass und wie ihr Verhalten beim Surfen im Internet beobachtet und ausgewertet wird. Es geht hier um den Einsatz von Cookies im klassischen Sinne, aber auch von anderen ähnlichen Technologien, wie Pixel auf Websites oder in Newslettern oder Datenzugriffsberechtigungen in Apps, die gezielt eingesetzt werden, um Nutzerverhalten zu beobachten – im Folgenden wird hierfür zusammengefasst der Begriff Cookies verwendet.

Einfacher und datenschutzrechtlich nicht ganz so problematisch ist die Auswertung von Daten, die im Normalbetrieb ohnehin anfallen, etwa Serverlogs oder auch SDK, und die für Statistikzwecke zweitverwertet werden. Ganz eindeutig ist die Situation hier nicht, was auch daran liegt, dass sich ständig neue Technologien entwickeln und Behörden und Gerichte üblicherweise ein paar Jahre hinter neuen technologischen Entwicklungen herhinken.

Schon seit einigen Jahren versuchen Datenschutzbehörden und Gerichte, den Einsatz von Cookies und das Adtech-Universum zu verstehen und datenschutzrechtlich zu bewerten. Das Hauptproblem, das von den Behörden regelmäßig identifiziert wird, ist die fehlende Transparenz.

Das bedeutet vor allem, dass den Nutzern von Internetangeboten nach Behördenansicht nicht klar erklärt wird, welche Cookies auf dem Internetangebot eingesetzt werden und wie das den jeweiligen Nutzer betrifft. Zum Beispiel fehlen in den Cookiebannern oft Informationen dazu, welche Daten die jeweilige Technologie für welchen Zweck verarbeitet. Apps haben oft gar keinen Cookiebanner. Bei Newslettern wird oft nicht informiert, dass der Versender Rückmeldung bekommt, ob ein Newsletter gelesen wurde. Auf Social Media haben Fanpage-Betreiber selbst oft keine Kenntnis davon, welche Tracking-Technologien das Netzwerk auf den Fanpages einsetzt.

Zweites Hauptproblem ist die Übermittlung von durch Cookies gewonnenen Daten an Anbieter oder andere Beteiligte außerhalb Europas. Das ist regelmäßig dann der Fall, wenn die jeweilige Cookie-Lösung von einem US-Anbieter wie Google Analytics oder Facebook Pixel zur Verfügung gestellt wird oder die Daten für Real-Time-Bidding weltweit geteilt werden, damit Werbung platziert werden kann. Derartige Datenübermittlungen in das nichteuropäische Ausland sind seit den beiden Entscheidungen des EuGH nur unter besonderen Voraussetzungen möglich.

Du möchtest auch nach dem Umstieg auf Google Analytics 4 die besten KPI erzielen? Mit unserem Deep Dive werden deine Trackingstrategien zukunftssicher!

In jüngster Zeit haben Datenschutzbehörden und, in der Überprüfung dieser Entscheidungen, auch Gerichte, bestimmte Cookie-Technologien und auch Anbieter von Cookie-Einwilligungslösungen (CMP) untersucht. Beispielsweise haben die Datenschutz-Behörden in Österreich und Frankreich Google Analytics geprüft und – in der Version von 2020 – für unzulässig gehalten. Die belgische Datenschutzbehörde hat das TCF-2.0-Framework geprüft und auch hier erhebliche datenschutzrechtliche Mängel festgestellt. In Deutschland gab es zahlreiche Stellungnahmen zum Einsatz von Cookies, vor allem auch aufgrund des erst jüngst in Kraft getretenen TTDSG (Telekommunikations- und Telemediengesetz). Dazu kommt die viel zitierte Entscheidung des Verwaltungsgerichts Wiesbaden zu Cookiebots, die mittlerweile aber wieder aufgehoben wurde. Das VG Wiesbaden hatte Ende 2021 den Einsatz dieser Cookie-Einwilligungslösung wegen Datentransfers in die USA für unzulässig gehalten.

Allen Entscheidungen ist gemeinsam, dass sie aufgrund der langen Verfahrensdauer Sachverhalte zum Gegenstand haben, die bereits in der Vergangenheit liegen. Beispielsweise hat Google seit 2020 einige Änderungen implementiert, die den Einsatz von Google Analytics heute kommunikationsfreundlicher machen. Im Cookiebot-Fall haben Verfahrenshindernisse zur Aufhebung der Entscheidung geführt. Inhaltlich wurde hier das Fehlen einer Auftragsverarbeitungsvereinbarung gerügt, die wohl heute im Standardfall vorhanden sein sollte. Viele dieser Entscheidungen sind auch noch nicht letztinstanzlich, sie werden also möglicherweise, wie die Cookiebot-Entscheidung, noch aufgehoben oder abgeändert.

Die Situation ist nicht einfach für Anbieter von Internetangeboten und auch nicht für die anderen Beteiligten im Adtech-Markt.

Anbieter von Internetangeboten sollten auf jeden Fall genau prüfen, welche Cookie-Technologie sie bei ihrem Angebot einsetzen. Bei der Auswahl der Cookie-Technologie sollten Anbieter prüfen, ob sie vergleichbare Technologien in „datensparsamen“ Varianten und möglicherweise auch von europäischen Anbietern einsetzen können. Sollte Letzteres nicht möglich sein, ist mit dem nicht-europäischen Anbieter eng zusammenzuarbeiten, um die Bedenken in Zusammenhang mit den internationalen Datenübermittlungen auszuräumen. Für das Thema internationale Datenübermittlungen, zumindest im Verhältnis mit den USA, kann derzeit hoffnungsvoll auf das Trans-Atlantic Data Privacy Framework geblickt werden, das Ende März 2022 in den Grundzügen verabschiedet wurde und möglicherweise noch dieses Jahr in Kraft treten könnte.

Jedenfalls müssen Anbieter von Internetangeboten darauf achten, dass sie ihren Nutzern die eingesetzten Cookies nachvollziehbar und vollständig erklären und die Nutzer um deren Zustimmung zum Einsatz des jeweiligen Cookies bitten. Diese Zustimmung ist im Regelfall bei allen Cookies einzuholen, die nicht technisch zwingend notwendig sind. Die weiteren Entwicklungen sind im Fluss. Anbieter von Internetangeboten sollten auf jeden Fall Gerichts- und Behördenentscheidungen beobachten und sich auch nach neuen cookieähnlichen Technologien umsehen, die möglicherweise ähnliche Ergebnisse erzielen, datenschutzrechtlich aber weniger bedenklich sind.