Adzine Top-Stories per Newsletter
ADTECH

Aufwind für Consent-Management – E-Privacy ohne Berechtigtes Interesse?

29. October 2020 (apr)
Bild:  Tingey Injury Law Firm – Unsplash

Derzeit stützen sich viele Website-Betreiber auf das sogenannte “Berechtigte Interesse”, um User-Daten per Cookie zu erheben und weiterzuverarbeiten. Diese Rechtsgrundlage zum Tracking der User und Personalisierung der Inhalte zu nutzen, ist jedoch schwammig, denn die geltende DSGVO und das Telemediengesetz liefern keine eindeutige Definition für den Begriff. In der Folge wägen Institutionen wie die Datenschutzbehörde momentan häufig noch ab, ob ein Interesse berechtigt ist oder eben nicht. Dieses Vorgehen neigt sich jedoch dem Ende entgegen, denn scheinbar ist die Passage, die das “Berechtigte Interesse” in dem Zusammenhang legitimiert, im aktuellsten Entwurf der E-Privacy-Verordnung gestrichen worden.

In einem ADZINE-Webinar, das gemeinsam mit der Consent-Management-Plattform (CMP) Didomi ausgerichtet wurde, beleuchtete Valeria Hoffmann von der Anwaltskanzlei Dentons den rechtlichen Status quo in Bezug aufs Cookiesetzen und die anschließende Datenverarbeitung in Deutschland. Zwar sind nach ihrer Expertise einige Punkte in der Datenschutz-Grundverordnung klar geregelt, andere jedoch Auslegungssache. So muss etwa bei Beginn der Datenverarbeitung immer darauf hingewiesen werden, dass Cookies gesetzt werden, für das Setzen selbst ist aber nicht zwingend eine Einwilligung nötig.

Bild: Dentons Valeria Hoffmann, Dentons

Diesen Spielraum gewährt der Zusatz “Berechtigtes Interesse”. Website-Betreiber dürfen unter bestimmten Umständen bei der Datenverarbeitung damit argumentieren, so Hoffmann. Laut der Anwältin schaut sich die Datenschutzbehörde in einem Streitfall, sollte es soweit kommen, aber jeden einzelnen Cookie genau an und wägt ab, ob er tatsächlich dazu geeignet ist, ein legitimes Ziel des Betreibers zu erreichen. Ein Beispiel: Es wird ein Cookie für das Zählen der Seitenaufrufe ohne Einwilligung gesetzt. Obwohl es eine deutsche, datenschutzfreundlichere Alternative gibt, nutzt der Seitenbetreiber ein US-Tool. Hier sähe die Behörde laut Hoffmann keinen Grund, der das rechtfertigen würde, also auch kein berechtigtes Interesse, dieses Tool einzusetzen. Generell gelte, dass man die Datenverarbeitung auf das notwendige Maß beschränken und immer auch das Interesse des Nutzers – nicht nur des Website-Betreibers – berücksichtigen sollte.

Fällt das “Berechtigte Interesse” in der E-Privacy weg?

Doch lange müssen die Datenschutzbehörden offenbar nicht mehr abwägen, denn die Rechtsanwältin gab Einblicke in ein “geleaktes” Dokument, das seit ein paar Tagen durch das Netz geistert und ihrer Meinung nach ein authentischer Entwurf der kommenden E-Privacy-Verordnung ist. Diese sollte ursprünglich zusammen mit der DSGVO verabschiedet werden und sie ergänzen, steckt aber immer noch auf EU-Ebene fest. Dem frischen, vermeintlich echten Entwurf fehlt nun ein Paragraph – und zwar eben jener, der das “Berechtigte Interesse” für das Setzen von Cookies umfasst. Dafür wurde die Passage rund um die Erlaubnisse fürs Cookiesetzen eindeutiger formuliert, um die Rechtsgrundlage der Vertragserfüllung (zwischen Unternehmen und Nutzer) klarer zu definieren. So ist nun beispielsweise der Cookie, den der Online-Händler ohne Einwilligung für das Speichern des Warenkorbs setzt, ausdrücklich erlaubt.

Sollte die Verordnung in der Form verabschiedet werden, wird die Einwilligung noch wichtiger, da sie die einfachste und klarste Rechtsgrundlage zum Setzen eines Cookies darstellt, meint die Rechtsexpertin. Außerdem sei hier auch eindeutig, wie die Zustimmung erfolgen muss: ausdrücklich (Opt-in statt Opt-out), informiert, freiwillig (nicht zweckgebunden, also ohne Kopplung), verständlich und einfach widerrufbar. Genau das wird durch die meisten CMPs technologisch abgebildet, auch wenn sich laut Didomis Marketing-Chef Yannig Roth “einige schwarze Schafe” unter den Plattformen befinden. So bereite insbesondere die Umsetzung des TFC 2.0, des globalen Regelwerks zur Einholung von Nutzereinwilligungen, einigen Anbietern noch Schwierigkeiten mit dem dafür zuständigen IAB Europe.

Mit Blick auf die Implementierung der CMPs tickt die Uhr, denn Hoffmann rechnet mit der Verabschiedung der E-Privacy-Verordnung noch 2021, mit deren Inkrafttreten dann 2022/23.

Tech Finder Unternehmen im Artikel

EVENT-TIPP ADZINE Live - Edition #3 - Supply-Path-Optimierung - Auf die Perspektive kommt es an! am 15. December 2020, 11:00 - 12:30 Uhr