In einem ADZINE-Webinar, das gemeinsam mit der Consent-Management-Plattform (CMP) Didomi ausgerichtet wurde, beleuchtete Valeria Hoffmann von der Anwaltskanzlei Dentons den rechtlichen Status quo in Bezug aufs Cookiesetzen und die anschließende Datenverarbeitung in Deutschland. Zwar sind nach ihrer Expertise einige Punkte in der Datenschutz-Grundverordnung klar geregelt, andere jedoch Auslegungssache. So muss etwa bei Beginn der Datenverarbeitung immer darauf hingewiesen werden, dass Cookies gesetzt werden, für das Setzen selbst ist aber nicht zwingend eine Einwilligung nötig.

Diesen Spielraum gewährt der Zusatz “Berechtigtes Interesse”. Website-Betreiber dürfen unter bestimmten Umständen bei der Datenverarbeitung damit argumentieren, so Hoffmann. Laut der Anwältin schaut sich die Datenschutzbehörde in einem Streitfall, sollte es soweit kommen, aber jeden einzelnen Cookie genau an und wägt ab, ob er tatsächlich dazu geeignet ist, ein legitimes Ziel des Betreibers zu erreichen. Ein Beispiel: Es wird ein Cookie für das Zählen der Seitenaufrufe ohne Einwilligung gesetzt. Obwohl es eine deutsche, datenschutzfreundlichere Alternative gibt, nutzt der Seitenbetreiber ein US-Tool. Hier sähe die Behörde laut Hoffmann keinen Grund, der das rechtfertigen würde, also auch kein berechtigtes Interesse, dieses Tool einzusetzen. Generell gelte, dass man die Datenverarbeitung auf das notwendige Maß beschränken und immer auch das Interesse des Nutzers – nicht nur des Website-Betreibers – berücksichtigen sollte.

Doch lange müssen die Datenschutzbehörden offenbar nicht mehr abwägen, denn die Rechtsanwältin gab Einblicke in ein “geleaktes” Dokument, das seit ein paar Tagen durch das Netz geistert und ihrer Meinung nach ein authentischer Entwurf der kommenden E-Privacy-Verordnung ist. Diese sollte ursprünglich zusammen mit der DSGVO verabschiedet werden und sie ergänzen, steckt aber immer noch auf EU-Ebene fest. Dem frischen, vermeintlich echten Entwurf fehlt nun ein Paragraph – und zwar eben jener, der das “Berechtigte Interesse” für das Setzen von Cookies umfasst. Dafür wurde die Passage rund um die Erlaubnisse fürs Cookiesetzen eindeutiger formuliert, um die Rechtsgrundlage der Vertragserfüllung (zwischen Unternehmen und Nutzer) klarer zu definieren. So ist nun beispielsweise der Cookie, den der Online-Händler ohne Einwilligung für das Speichern des Warenkorbs setzt, ausdrücklich erlaubt.

Sollte die Verordnung in der Form verabschiedet werden, wird die Einwilligung noch wichtiger, da sie die einfachste und klarste Rechtsgrundlage zum Setzen eines Cookies darstellt, meint die Rechtsexpertin. Außerdem sei hier auch eindeutig, wie die Zustimmung erfolgen muss: ausdrücklich (Opt-in statt Opt-out), informiert, freiwillig (nicht zweckgebunden, also ohne Kopplung), verständlich und einfach widerrufbar. Genau das wird durch die meisten CMPs technologisch abgebildet, auch wenn sich laut Didomis Marketing-Chef Yannig Roth “einige schwarze Schafe” unter den Plattformen befinden. So bereite insbesondere die Umsetzung des TFC 2.0, des globalen Regelwerks zur Einholung von Nutzereinwilligungen, einigen Anbietern noch Schwierigkeiten mit dem dafür zuständigen IAB Europe.

Mit Blick auf die Implementierung der CMPs tickt die Uhr, denn Hoffmann rechnet mit der Verabschiedung der E-Privacy-Verordnung noch 2021, mit deren Inkrafttreten dann 2022/23.