Bloggen nur ohne Cookies, sonst Geldstrafe?
|Dieses Blog nutzt Cookies. Ihr wisst schon, diese kleinen Textdateien, die von Webseiten auf eurem Phone oder Laptop gespeichert werden. Einige dienen dazu, euch quer durchs Internet wiederzuerkennen, Interessenprofile über euch anzulegen und euch maßgeschneiderte Werbung anzuzeigen. Andere werden genutzt, um den Warenkorb beim Online-Shop oder Spracheinstellungen für den nächsten Webseitenbesuch zu sichern. Dieses Blog beispielsweise nutzt Cookies dazu, um zu erkennen, welche Artikel im Blog von wie vielen unterschiedlichen Besucherinnen angeklickt werden.
Technisch alles keine Raketenwissenschaft! Juristisch allerdings sind Cookies ein Reizthema: Für die einen sind sie eine technische Selbstverständlichkeit. Für andere sind sie der Keks gewordene Datenschutz-Antichrist. Einigkeit besteht nur darüber, dass vor allem die „Cookie-Banner“ nerven, die auf so ziemlich allen Webseiten um Aufmerksamkeit betteln. Darüber, wann und ob diese Banner überhaupt nötig sind, hauen sich Datenschutz-Juristinnen allerdings seit Langem die Köpfe ein und ein aktuelles Urteil des Gerichtshofs der Europäischen Union („EuGH“) hat nochmal für neuen Zündstoff gesorgt.
Wie bei anderen juristischen Themen mit Folgen für unseren digitalen Alltag möchte ich dieses EuGH-Urteil hier im Blog für Normaluser verständlich aufbereiten. Ich erkläre auch, warum dieses Blog kein Cookie-Zustimm-Banner hat und ob ich aus Angst vor gigantischen Bußgeld-Strafen überhaupt noch ruhig schlafen kann.
Der EuGH und elektronische Privatsphäre
Der EuGH ist zuständig für Unklarheiten über die Auslegung des Europarechts. Wenn Gerichte aus den EU-Mitgliedsstaaten Fragen zum Europarecht haben, dann lege sie diese dem EuGH vor und bearbeiten ihren Fall erst weiter, wenn der EuGH sich geäußert hat. So hat es auch das oberste deutsche Zivilgericht, der Bundesgerichtshof gemacht, als es in einem seiner Fälle um die ePrivacy-Richtlinie ging.
Der deutsche Bundesverband der Verbraucherschützerinnen hatte ein Unternehmen abgemahnt, das Gewinnspiele betreibt. Das Unternehmen hatte im Rahmen eines Online-Gewinnspiels ein Anklickkästchen einfach vorausgefüllt. Mit diesem Kästchen willigten Teilnehmerinnen ein, via Cookies übers Internet verfolgt zu werden und maßgeschneiderte Werbung zu bekommen. Das hielten die Verbraucherschützerinnen für rechtswidrig. Sie hielten die Einwilligung nicht für freiwillig, denn das entsprechende Kästchen war ja ohne Aktivität der Teilnehmerinnen bereits angeklickt.
Der EuGH schaute sich die europäischen Vorgaben an und fällte ein glasklares Urteil: Sofern Cookies nicht zwingend erforderlich sind, braucht man für sie eine Einwilligung. Und da bereits das deutsche Gericht in seinen Fragen an den EuGH davon ausging, dass Tracking-Cookies für eine Gewinnspielteilnahme nicht zwingend erforderlich sind, gab es vom EuGH eine klare Ansage: Es braucht eine ausdrückliche Einwilligung und ein vorausgefülltes Klickkästchen genügt dafür nicht.
Bannerpflicht auch in Deutschland?
Obwohl das Urteil zunächst eindeutig scheint, ist doch unklar, was daraus für in Deutschland betriebene Webseiten folgt. Die Richtlinie, die der EuGH zugrunde legen musste, ist nämlich – wie jede Richtlinie – nicht unmittelbar bei uns anwendbar, sondern muss erst durch ein deutsches Gesetz umgesetzt werden. Das ist zwar so halb auch geschehen, aber eben nur so halb: Statt klar eine Einwilligung zu fordern, steht im deutschen Gesetz nur etwas von einem Widerspruchsrecht.
Nun muss man nicht Jura studieren, um zu verstehen, dass „Ja“ zu sagen nicht das gleiche ist, wie nicht „Nein“ zu sagen. Trotzdem beharrt die deutsche Bundesregierung seit eh und je darauf, dass beides doch irgendwie das gleiche sei und meint, die Richtlinie hinreichend umgesetzt zu haben. Die deutschen Datenschutzaufsichtsbehörden sehen das allerdings anders und gehen genauso lange schon davon aus, dass die Richtlinie in Deutschland eben nicht ausreichend umgesetzt ist.
Das Ergebnis für Blogs ist Folgendes: Die deutschen Aufsichtsbehörden können die Einhaltung der ePrivacy-Richtlinie nicht (zB über Bußgelder) erzwingen, denn sie müssten dafür eine Richtlinie anwenden, deren Umsetzung Deutschland verschlafen hat. Da Bloggerinnen aber für die Untätigkeit des deutschen Staates nichts können, dürfen staatliche Behörden auf der Basis einer fehlenden Umsetzung natürlich auch nicht gegen Unternehmen und Privatleute vorgehen.
Was nach „knapp davon gekommen“ klingt, ist im Ergebnis aber nicht wirklich ein Vorteil. Statt aus der ePrivacy-Richtlinie folgen die rechtlichen Vorgaben für den Einsatz von Cookies in Deutschland nämlich aus den allgemeinen Vorgaben der Datenschutz-Grundverordnung (DSGVO), die als Verordnung unmittelbar in Deutschland anwendbar ist. Die sagt zwar zu Cookies nix, wohl aber dazu, wann man personenbeziehbare Daten verarbeiten darf. Da Cookies meist über Umwege einer Person zugeordnet werden können, heißt das: Entweder die Person willigt ein oder es gibt eine gesetzliche Rechtfertigung für die Datenverarbeitung. Die Datenschutzaufsichten meinen nun, dass die DSGVO für Werbetracking via Cookies keine gesetzliche Erlaubnis enthält und verlangen – ihr ahnt es – eine Einwilligung. Im Ergebnis kommt es also aufs Gleiche hinaus.
Warum dieses Blog trotzdem kein Cookie-Banner hat
Halten wir also fest: Dieses Blog nutzt Cookies zur Messung eures Klickverhaltens und merkt mit deren Hilfe, welche Artikel wie oft gelesen werden. Das nennt man Reichweitenanalyse. Dazu nutzen wir hier ein Tool namens Matomo. Die Ergebnisse und Statistiken veröffentlichen wir auch jedes Jahr in unseren Rückblick-Artikeln. Das ist zwar alles ziemlich harmlos, aber eben nicht zwingend erforderlich. Laut europäischem Recht und EuGH bräuchten wir also eigentlich eure Einwilligung, wenn wir für unsere Reicheweitenmessung Cookies auf eurem Smartphone oder Tablet speichern und dann auslesen wollen.
Wie ich aber auch erklärt habe, hat diese Richtlinie – jedenfalls bis zur Umsetzung in Deutschland – keine Auswirkungen auf deutsche Blogs. Stattdessen gilt derzeit noch die DSGVO. Und die ist, jedenfalls nach Ansicht der Aufsichtsbehörden, zumindest bei Reichweitenmessung etwas flexibler. Solange man anhand der Reichweitenmessung nämlich keine personenbeziehbaren Profile erstellt und mit denen dann personalisierte Werbung ausliefert, erlaubt die DSGVO nach ihrer Auffassung den Einsatz von Reichweitenanalyse Tools. Aus diesem Grund findet ihr bisher auf diesem Blog auch kein Cookie-Banner, sondern „nur“ eine Widerspruchsmöglichkeit in der Datenschutzerklärung.
Was aber passiert, wenn die Richtlinie doch irgendwann umgesetzt wird und die Flexibilität der DSGVO durch die starre Regelung der ePrivacy-Richtlinie ersetzt wird? Nun, dann bleibt uns hier im Blog nur zu pokern. Denn einerseits könnte man dann eben doch darüber streiten, ob Reichweitenanalysen für Blogs nicht doch erforderlich sind. Und andererseits wartet am Horizont bereits die Nachfolgeregelung der ePrivacy-Richtlinie, die jedenfalls die Reichweitenanalyse gesetztlich erlauben wird. Aktuell jedenfalls schlafe ich noch gut und bin recht zuversichtlich, dass DeathMetalMods.de erstmal kein Bußgeldbescheid bekommen wird, weil ein Cookie-Banner fehlt.
Übrigens: Wer das alles juristisch gründlich aufbereitet nachlesen will, schaut in den von u.a. mir veröffentlichten Fachaufsatz in der Zeitschrift Computer & Recht oder liest den tollen Blogbeitrag der Rechtsänwältin Nina Diercks zum Thema.
Bye!
Update
Zwischenzeitlich gibt es sowohl vom EuGH als auch vom BGH neue Rechtsprechung. Dieser Beitrag ist also nur noch bedingt aktuell. Kurz gesagt: Aktuell spricht vieles dafür, dass Cookies ohne Einwilligung nur noch selten möglich sind. Ich prüfe derzeit, ob ich meine Reichweitenmessung allein mit einer Widerspruchslösung fortsetzen kann und werde den Artikel gegebenenfalls aktualisieren.
Ich bin Malte, der Chefredakteur hier bei DeathMetalMods.de. Ich bin beruflich als Jurist tätig und lebe in diesem Blog meine Lust an Technik, digitaler Welt und Gadgets aus. Ich schreibe hier die meisten Artikel und organisiere die Arbeiten im Hintergrund. Ihr findet mich auch privat bei Mastodon und Twitter.
Hallo Malte,
danke für den Artikel. Ich glaube aber, dass viele LeserInnen hier in die Irre geführt werden. Reichweitenmessung sehen die deutschen Aufsichtsbehörden zwar nicht als zwingend erforderlich an, aber zumindest als berechtigtes Interesse (somit nicht einwilligungsbedürftig). Der Knackpunkt ist aber eher die Interessensabwägung wonach Matomo wohl zulässig wäre, das viel weiter verbreitete Tool Google Analytics aber unzulässig (bzw. einwilligungsbedürftig) ist. Die DSK argumentiert, dass Du zwar ein berechtigtes Interesse an der Reichweitenmessung hast, aber dennoch kein Recht dazu hast, dafür ein Tool von Google zu verwenden, die damit ggf. Werbeprofile mit dem Nutzungsverhalten Deiner User anlegen (könnten). Ist das so richtig wiedergegeben? Wenn ja, besteht sehr wohl Handlungsbedarf für alle, die GA zur Reichweitenmessung einsetzen…
Moin Leser,
danke für den Kommentar.
Ich bin nicht sicher, ob wir uns letztlich nicht sogar einig sind?
Google Analytics ist nur dann unzulässig, wenn man es nutzt, um Profile zu erstellen („Tracking“). Dass das nur mit Einwilligung geht, habe ich ja klar gesagt.
Als reines Reichweitentool ist es hingegen zulässig, wenn man gewisse Vorgaben beachtet. Nach Ansicht einiger Aufsichtsbehörden kann Google Analytics diese zwar aktuell nicht erfüllen, aber das ändert nichts daran, dass Google Analytics rein zur Reichweitenmessung theoretisch möglich wäre … es liegt eben daran, wie man das Tool konfiguriert. Matomo macht das out-of-the-box besser, Google hingegen scheint sich aktuell das Recht raus zu nehmen, die Daten der Reichweitenmessung auch zu eigenen Zwecken zu nutzen. Sobald Google das Klarheit schafft und bei Google Analytics wieder klar zwischen Reichweitenmessung und darüber hinausgehendem Tracking differenziert, sollte das aber rechtlich geklärt sein.
Gruß
Malte
Hey tolle Info! Wie sieht es denn aus wenn man mit dem Bloggen Geld verdienen möchte, benötigt man dort Impressum oder Cookie banner? LG