Anfang 2021 ist das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation bei den Telemedien (TTDSG) in Kraft getreten. Intendiert ist v.a. die Umsetzung der „e-Privacy-RL“ der EU. Daher regelt § 25 TTDSG auch die sog. „Cookies“.
Hiernach ist grundsätzlich die Speicherung von Informationen in Computern, Smartphones oder sonstigen Endgeräten einschließlich IoT-Geräten ebenso wie der Zugriff auf solche Informationen an eine entsprechend transparente Einwilligung des Endnutzers gebunden. Auf den Personenbezug im Sinne des Datenschutzrechts kommt es nicht an. Allerdings muss die Einwilligung den datenschutzrechtlichen Anforderungen – insbesondere Transparenz, Freiwilligkeit, Widerruflichkeit – genügen. Ausnahmen bestehen für technisch notwendige Cookies.
Der bisweilen diskutierte Ausweg der Werbewirtschaft auf alternative Messmethoden dürfte verstellt sein:
- Werden Nutzer auf Webseiten in ihrem dortigen Nutzungsverhalten dadurch mitprotokolliert, dass in der benutzten Website einprogrammierte Skripte mit deren Nutzerabruf direkt in den Browser-Cache des jeweiligen Nutzers geladen werden, so erfassen die durch das Skript gesammelten Informationen nämlich neben den sog. „Header-Informationen“ auch Plugins, Betriebssystem etc. (Auflistung siehe restoreprivacy.com). Aus den abgerufenen Informationen wird ein sog. „Hashwert“ gebildet. Dieser Hashwert bleibt identisch und ist daher zur Weiterverfolgung (individuelles Tracking) des Nutzers geeignet.
- Diese strenge, restriktive Auffassung steht im Einklang mit der Art. 29-Datenschutzgruppe (WP 188) hinsichtlich der Trackbarkeit individueller Nutzer durch die Browserkonfiguration. Bei den trackbaren Skripten handelt es sich daher um Informationen im Sinne des § 25 TTDSG, die auf ein Nutzerendgerät gespeichert werden. Ziel dieser Skripte ist also die Erzeugung eines Hashwerts zur Identifikation, womit das Verfahren inhaltlich wesensgleich der klassischen Cookie-Technologie ist. Skripte mit dieser Zweckrichtung – Erfassung des Nutzerverhaltens – unterliegen damit dem strengen datenschutzrechtlichen Einwilligungserfordernis.
- Da der Begriff der Speicherung im Sinne vom Art. 4 DS-GVO weit zu ziehen ist, dürfte die Abrufbarkeit zur Verhaltenserfassung auf dem Endgerät des Nutzers als weiteres – und letztes – Tatbestandsmerkmal ebenfalls erfüllt sein.
Cookielose Messverfahren unterliegen damit den gleichen Einschränkungen wie die herkömmlichen Cookies. Sachliche Notwendigkeiten werden in aller Regel nicht vorliegen. Denn Webseiten können auch ohne Werbung an den abrufenden Nutzer ausgeliefert werden, und das Einsammeln von Informationen zum Ausspielen von Werbung kann nicht auf ein berechtigtes Interesse an einem werbebezogenen Tracking gestützt werden. Es bleibt – auch bei den jetzt bekannten alternativen Technologien – beim Grundsatz des Einwilligungserfordernisses über einen datenschutzkonformen Cookie Consent Manager (siehe dazu jedoch die Diskussionen um Cookiebot im weiteren Verlauf unserer News)..