§ 4 Rechtsgrundlagen der Verarbeitung / b) Rechtliche Beurteilung

Rz. 79

Die rechtliche Einordnung von Cookies ist seit ihrem Bestehen vor allem in datenschutzrechtlicher Hinsicht höchst umstritten. Indem Einstellungen, Präferenzen und Aktionen eines Nutzers erfasst und gespeichert werden können, lässt sich leicht ein regelrechtes Nutzerprofil erstellen, welches das Verhalten und die "Vorlieben" des jeweiligen Kunden erfasst. Die Gefahr des "gläsernen Kunden" liegt offen auf der Hand. Dies wird bedenklich, wenn gleichzeitig der Name oder ähnliche personenbezogene Daten, die der Identifizierung der Person dienen können, mitgespeichert werden. Zu denken ist hier vornehmlich an die IP-Adressen, deren Einordnung als ein personenbezogenes Datum über viele Jahre hinweg äußerst streitig war.^[119] Mit Urt. v. 19.10.2016 hat der EuGH^[120] den Streit um den Personenbezug von IP-Adressen endgültig beendet und sich klar dafür ausgesprochen, dass auch dynamische IP-Adressen als personenbezogene Daten anzusehen sind.

Rz. 80

Ein Sonderfall kann nur dann bestehen, wenn IP-Adressen unter bestimmten Umständen aus verschiedenen technischen und organisatorischen Gründen keine Identifizierung des Nutzers gestatten. Ein Beispiel dafür sind IP-Adressen, die an Computern in einem Internet-Café zugewiesen sind, in dem keine Identifizierung der Kunden gefordert wird. Es könnte argumentiert werden, dass die für die Nutzung von Computer X während eines bestimmten Zeitraumes erfassten Daten keine Identifizierung des Nutzers unter Einsatz vernünftiger Mittel gestatten und daher nicht als personenbezogene Daten anzusehen sind. Hier ist jedoch anzumerken, dass die Internet-Diensteanbieter höchstwahrscheinlich nicht wissen, ob eine bestimmte IP-Adresse die Identifizierung ermöglicht oder nicht, und daher die mit dieser IP-Adresse verknüpften Daten genauso verarbeiten wie die Informationen, die mit den IP-Adressen von ordnungsgemäß registrierten und bestimmbaren Nutzern verknüpft sind. Wenn der Internet-Diensteanbieter also nicht mit absoluter Sicherheit erkennen kann, dass die Daten zu nicht bestimmbaren Benutzern gehören, muss er sicherheitshalber alle IP-Informationen wie personenbezogene Daten behandeln.

Rz. 81

Auch wenn die Identifizierung eines Nutzers, der über einen Internet-Diensteanbieter (Provider) ins Internet geht und dort eine dynamische IP-Adresse erhält, schwieriger als bei "statischen" IP-Adressen ist, stellen auch dynamische IP-Adressen personenbezogene Daten dar. Soweit die Verwendung von Cookies mit der Erhebung bestimmter personenbezogener Daten verbunden ist, ist unter Geltung der DSGVO auch hier entweder eine konkrete Einwilligung des Nutzers in die Verwendung der Cookies oder aber eine gesetzliche Erlaubnis notwendig.

[119] Zur früheren Rechtslage: Gola, in: Gola/Schomerus (Hrsg.), BDSG, 10. Aufl. 2010, § 3 Rn 10; ausführlich auch Kazemi/Leopold, Datenschutzrecht in der anwaltlichen Beratung § 3 Rn 278 ff.

[120] EuGH, Urt. v. 19.10.2016 – C-582/14, MMR 2016, 842.

aa) Einwilligung anhand der Browser-Einstellungen des jeweiligen Nutzers

Rz. 82

Zahlreiche Internetseiten können nur dann umfassend genutzt werden, wenn der Nutzer in seinen Browser-Einstellungen das Setzen von Cookies ausdrücklich zulässt. Daher sehen alle zur Darstellung von Internetinhalten verwendeten Browser Einstellungen für Cookies vor. Der Nutzer kann das Setzen von Cookies generell verbieten, teilweise erlauben bzw. vollumfänglich gestatten.

Rz. 83

Es ließe sich also argumentieren, dass von einer (zumindest konkludenten) Einwilligung des Nutzers in die Platzierung eines Cookies ausgegangen werden könnte, wenn der Browser eines Nutzers nicht so eingestellt ist, dass er Cookies ablehnt. Gegen eine solche Argumentation spricht jedoch die Datenschutzrichtlinie, die zwar darauf hinweist, dass die Einwilligung des Nutzers auch über die Handhabung der entsprechenden Einstellung eines Browsers oder einer anderen Anwendung erteilt werden kann; dies jedoch nur dann, "wenn es technisch durchführbar und wirksam ist".

Rz. 84

Gerade in Bezug auf das Wirksamkeitskriterium sind Zweifel angebracht. Wie bereits erörtert, erfordert eine Einwilligung in datenschutzrechtlicher Hinsicht eine bewusste und informierte Entscheidung des jeweiligen Betroffenen. Ob man vor diesem Hintergrund einfach davon ausgehen kann, dass eine betroffene Person ihre Einwilligung gegeben hat, nur weil sie einen Browser oder eine andere Anwendung erworben/verwendet hat, die die Sammlung und Verarbeitung von Informationen standardmäßig ermöglicht, ist fraglich. Dem durchschnittlichen Internetnutzer werden die Möglichkeiten, die Cookies in Bezug auf die Verfolgung seines Internet-Surf-Verhaltens, die Zwecke der Verfolgung usw. schon gar nicht bewusst sein. Auch werden zahlreiche Nutzer überhaupt nicht wissen, wie Cookies mit Hilfe von Browser-Einstellungen abgelehnt werden können. Es ist also eher nicht davon auszugehen, dass die Untätigkeit einer betroffenen Person, die den Browser nicht so eingestellt hat, dass er Cookies ablehnt, generell keinen klaren und eindeutigen Hinweis auf ihre Wünsche darstellt. Dies auch, weil die meisten Bro...