Datenschutzrechtliche Einwilligung bei Cookie-Alternativen?

Wichtigste Punkte

EuGH entschied, dass Cookies nur mit ausdrücklicher Zustimmung gespeichert werden dürfen.
Alternativen wie Device Fingerprinting nutzen eine Vielzahl von Daten für Nutzerwiedererkennung.
Techniken wie Device Fingerprinting sind möglicherweise rechtlich problematisch ohne Zustimmung des Nutzers.
Artikel 5 III der EU-Richtlinie 2009/136/EG erfordert Nutzerinformation und Zustimmung.
Diese Technologien unterliegen möglicherweise nicht den gleichen Einschränkungen wie Cookies.
Anbieter von Onlineshops sollten auf Device Fingerprinting achten, um rechtliche Risiken zu vermeiden.
Technologie sollte nur mit klarer Aufklärung und Zustimmung im eingeloggten Bereich eingesetzt werden.

Der EuGH hat letztes Jahr entschieden, dass zahlreiche Arten von Cookies ausdrücklich vom Nutzer genehmigt werden müssen, bevor diese auf dem PC des Nutzers gespeichert werden dürfen. Gilt dies auch für Alternativen?

Offiziell hat der Europäische Gerichtshof letztes Jahr nur zu den üblichen Cookies entschieden (siehe u.a. meinen Beitrag hier). Schon lange arbeiten aber vor allem Anbieter von Werbenetzwerken und sonstige Dienstleister an Technologien, die es überflüssig machen, dass Textdateien auf den Rechnern von Nutzern gespeichert und später wieder ausgelesen werden. Vielmehr wird beim sogenannten „Device Fingerprinting“ der Umstand genutzt, dass beim Besuchen einer Webseite viel mehr Daten ausgelesen werden können, als nur die IP-Adresse des Nutzers. Kombiniert man Dinge wie Bildschirmauflösung, Zeitpunkt des Besuches, Art und Weise des Surfverhaltens und viele weitere Aspekte statistisch miteinander, kann sehr zuverlässig ein Nutzer wiedererkannt werden, ohne das Dinge wie Namen oder IP-Adresse gespeichert werden müssen. Dies funktioniert teilweise sogar geräteübergreifend.

Kann man diese Technologie also problemlos nutzen, um z.B. Nutzungsstatistiken zu erstellen oder seinen Onlineshop zu steuern, da keine Cookies im klassischen Sinne gesetzt werden?

Das wäre wohl problematisch denn Artikel 5 III der EU-Richtlinie 2002/58/EG in der Fassung der EU-Richtlinie 2009/136/EG lautet wie folgt.

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Die im Rahmen von elektronischen Fingerabdrücken gesammelten Daten sind ja bereits auf dem PC bzw. Gerät des Nutzers vorhanden bzw. können oder diesen ausgelesen werden. Die Norm gilt also also wohl auch für diese Techniken.

Zwar gibt es dazu noch kein konkretes Urteil. Die Nutzung, ohne vorhergehende Aufklärung des Nutzers und das Einholen von dessen Zustimmung, wäre jedoch juristisch ein großes Risiko.

Das gilt besonders, weil diese Techniken nicht nur noch schlechter durch den Nutzer erkennbar sind, sondern vielfach sogar nicht einmal den Einschränkungen von regulären Cookies unterliegen. Anders als Text-Cookies sind viele von diesen Techniken beispielsweise seitenübergreifend nutzbar. Ein Nutzer auf Seite A kann also auf Seite B wiedererkannt werden und diesem beispielsweise entsprechende Angebote unterbreitet oder gar Preise flexibel angepasst werden. Der Eingriff ist in die Rechte des Nutzers ist damit noch deutlich größer.

Anbieter von Onlineshops sollten daher besonders aufpassen. Anders als bei Cookies wird von den Anbietern der Onlineshopsoftware oder auch von Plugins nicht auf die Nutzung von „Device Fingerprinting“ hingewiesen, oftmals aus dem Grund, weil es den Entwickler selbst an Problembewusstsein fehlt. Auch die gängigen Plugins, die Cookie-Banner anzeigen und dem EuGH-Urteil entsprechen sollen, kennen meiner Meinung nach noch keine Optionen, um den Nutzer entsprechend aufzuklären bzw. dynamisch derartige Funktionen Ein- bzw. Auszuschalten. Es kann also schnell passieren, dass man ohne große Unrechtsbewusstsein ein entsprechendes Plugin einsetzt und sich, ohne es zu ahnen, in eine Abmahnfalle begibt.

Einsetzen kann man diese Technologie wohl nur in einem eingeloggten Bereich und mit klarer Aufklärung und Zustimmung des Nutzers. Dies sollte natürlich nur mit Hilfe anwaltlicher Beratung erfolgen.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: Beratung Datenschutz Datenschutzrecht Information IP-Adresse KI Software