§ 4 Rechtsgrundlagen der Verarbeitung / 5. Kontrollüberlegungen aus der Richtlinie 2002/58/EG

Rz. 111

Die vorstehenden Ausführungen sind unter Berücksichtigung der – auch unter Geltung der DSGVO weiterhin anwendbaren^[131] – Richtlinie 2002/58/EG zu kontrollieren. Unter dem 25.11.2009 haben das Europäische Parlament und der Rat der Europäischen Union mit der Richtlinie 2009/136/EG weitreichende Änderungen dieser Richtlinie beschlossen, die am 19.12.2009 in Kraft getreten sind. Insbesondere die Änderungen in Art. 5 Abs. 3 RiL 2002/58/EG sind in Bezug auf die Verwendung von Cookies von Bedeutung. Hier heißt es:

Rz. 112

Zitat

"Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen und der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."

Rz. 113

Dies hat weitreichende Folgen in Bezug auf die Verwendung von Cookies. Zahlreiche Autoren, unter ihnen beispielsweise der Bundesdatenschutzbeauftragte Schaar,^[132] sehen in der – bisher wenig beachteten Neuregelung des Art. 5 Abs. 3 RiL 2002/58/EG das "Ende der Cookies". Auch wenn in vorgenanntem Richtlinientext der Begriff des Cookies nicht explizit genannt ist, ist unschwer zu erkennen, dass genau diese von der Neuregelung umfasst sein sollen.

Rz. 114

Das hier normierte Opt-In-Erfordernis gilt nur dann nicht, wenn der alleinige Zweck die Durchführung oder Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies "unbedingt erforderlich" ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Es stellt sich die Frage, ob neben den – mit Blick auf Art. 5 Abs. 3 RiL 2002/58/EG sicherlich ohne Einwilligung des Betroffenen unzulässigen – Permanent- und Flash-Cookies auch ein Ende der Session-Cookies vorgegeben ist. Eine restriktive Auslegung des Richtlinientextes könnte dahingehen, dass auch für die Installation und Verwendung der Session-Cookies zwingend eine Einwilligung des Nutzers erforderlich ist. Somit weicht der Richtlinientext ("unbedingt erforderlich") von den bisherigen Überlegungen ab, die lediglich von der "Erforderlichkeit", nicht jedoch von der "unbedingten Erforderlichkeit" ausgehen. Soweit diese – wie im geschilderten Warenkorbfall (Rdn 87) – zwingend notwendig sind, um eine bestimmte Funktionalität zu ermöglichen, mag die "unbedingte Erforderlichkeit" gegeben sein. In allen anderen Fällen, in denen die Verwendung der Session-Cookies "nur" Erleichterung der Nutzung und damit der Bequemlichkeit des Nutzers dient, könnte generell eine konkrete – auf die Verwendung des Session-Cookies – gerichtete Einwilligung des Nutzers gefordert werden.

Rz. 115

Ob dies tatsächlich der Fall ist, erscheint fraglich. Schaar^[133] geht davon aus, dass "bei solchen Cookies eine Einwilligung entbehrlich ist, die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen". Schaar interpretiert dies so, "dass für das Setzen von Session-Cookies – jedenfalls im Regelfall – auch weiterhin keine Einwilligung gegeben werden muss. Diese Differenzierung zwischen für die Dienstleistung notwendigen und solchen Cookies, die zur Profilbildung verwendet werden, entspreche der Systematik des Datenschutzrechtes, sodass davon auszugehen sei, dass jedenfalls die Verwendung von Session-Cookies regelmäßig als zulässig angesehen werden muss.^[134] Unter Berücksichtigung der Rechtsprechung der neueren Rechtsprechung des EuGH bleibt in allen anderen Fällen die Möglichkeit bestehen, die Verwendung ggf. über die berechtigte Interessenwahrnehmung im Sinne des Art. 6 Abs. 1 lit. f) DSGVO zu rechtfertigen. Ist dies nicht möglich, ergibt sich zwingend das Erfordernis der Einwilligung des Nutzers in ihre Verwendung."

[131] Art. 95 DSGVO.

[132] Abrufbar unter: https://www.bfdi.bund.de/bfdi_forum/showthread.php?1144-Cookies-ade-!

[133] Wie eben: https://www.bfdi.bund.de/bfdi_forum/showthread.php?1144-Cookies-ade-!.

[134] In diesem Sinne auch Art. 29-Datenschutzgruppe, Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht vom 7.6.2012, WP 194, S. 7–9, abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_de.pdf.