Cookies: Das gilt unter der DSGVO

So ziemlich jeder Online-Händler nutzt sie, doch manche wissen noch nicht mal um Ihre Existenz: Cookies.  Sie spielen im E-Commerce eine große Rolle – ob nun als technisches Mittel für die Merkfunktion von Sprache und Warenkorb oder zur Webseitenanalyse. Ab Mai 2018 reformiert die Datenschutzgrundverordnung das deutsche Datenschutzrecht. Wir zeigen Ihnen daher, ob und wann Sie als Online-Händler Cookies setzen dürfen.

Was sind überhaupt Cookies?

Cookies sind kleine Textdateien, die auf dem Endgerät des Nutzers gespeichert werden und die bestimmte Einstellungen und Daten zum Austausch mit dem Shopsystem über den Browser speichern. Einige Cookies werden nach Ende der Browser-Sitzung (also nach Schließen des Browsers), wieder gelöscht. Hierbei handelt es sich um sogenannte Sitzungs-Cookies. Andere, sogenannte persistente Cookies verbleiben auf dem Endgerät und ermöglichen es dem Shop, den Browser beim nächsten Besuch wiederzuerkennen.

Tipp: Wenn Sie wissen möchten, welche Cookies Ihr eigener Shop setzt, können Sie Ihre Cookies löschen und anschließend Ihren eigenen Shop besuchen (bei Mozilla Firefox funktioniert dies z.B. über Einstellungen -> Datenschutz & Sicherheit).

Gilt die DSGVO für Cookies?

Zunächst ist festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer

„Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“

zugeordnet werden kann. Dies ist eine weitergehende Definition, als sie das bis Mai geltende Bundesdatenschutzgesetz (BDSG) sie noch enthält.

Cookies enthalten regelmäßig jedenfalls Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird.

Wann dürfen Cookies unter der DSGVO gesetzt?

Auch unter der DSGVO gilt ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich nicht zulässig ist, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt.

Hiernach ist eine Datenverarbeitung grundsätzlich zulässig, wenn der Betroffene eingewilligt hat. Für Cookies ist dies aber in der Regel nicht praktikabel, da eine Einwilligung vor dem Setzen der Cookies eingeholt werden müsste. (Achtung: Ein Cookiebanner, wie sie häufig in Shops zu finden sind, kann keine datenschutzrechtliche Einwilligung ersetzen!)

Gemäß Art. 6 Abs. 1 f) DSGVO ist eine Verarbeitung personenbezogener Daten aber auch dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Es kommt also auf eine Interessenabwägung im Einzelfall an.

Durchführung der Abwägung für den Einzelfall

Ob die Interessen des Online-Händlers am Einsatz des Cookies die schützenswerten Interessen der Betroffenen überwiegen, ist mittels einer dreistufigen Prüfung zu beantworten

1. Gibt es ein berechtigtes Interesse des Online-Händlers?

Dies können rechtliche, wirtschaftliche oder ideelle Interessen sein.

2. Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?

Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

3. Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?

Hierbei sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen (z.B. dem Online-Händler) beruhen, zu berücksichtigen (Erwägungsgrund 47). Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.

Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 f) DSGVO gerechtfertigt sein könnte.

Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen: Werden nur pseudonymisierte personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Online-Händlers ebenfalls in die Waagschale geworfen werden.

Wann überwiegen Ihre Interessen?

Bei einem Cookie, das der Nutzerfreundlichkeit des Online-Shops dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitenbesucher regelmäßig überwiegen. Hierunter können z.B. eine Merkfunktion für Spracheinstellungen oder den Warenkorb fallen. Auch ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung gerechtfertigt werden. Hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten ebenfalls überwiegen.

Banner_DSGVO

Fazit

Unter der DSGVO ist eine Einzelfallabwägung für die gesetzten Cookies vorzunehmen. Online-Händler sollten sich daher bis Mai mit der Frage beschäftigen, ob eine Rechtfertigung der von ihnen gesetzten Cookies über Art. 6 Abs. 1 f) DSGVO erfolgen kann.

Doch auch in Zukunft wird es nicht langweilig: Die EU arbeitet zurzeit an einer e-Privacy-Verordnung, welche die rechtlichen Rahmenbedingungen für Cookies neu regeln soll. Hier ist der Zeitpunkt des Inkrafttretens aber noch unklar. Wir halten Sie hierzu selbstverständlich auf dem Laufenden.

Über die Autorin


Madeleine Pilous ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Im Rahmen ihrer Tätigkeit betreute sie den Audit-Prozess deutscher und österreichischer Key Accounts und setzt sich seit vielen Jahren intensiv mit den für Online-Shops relevanten Rechtsgebieten, insbesondere dem Fernabsatz- und E-Commerce-Recht auseinander. Sie ist Blog-Autorin, an größeren Beratungsprojekten v.a. zum Bestellprozess-Relaunch von Online-Shops beteiligt und betreut die Trusted Shops Abmahnschutzpakete.

 

14.03.18

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies