Seit der EuGH-Entscheidung vom 01.10.2019 hat sich (wie von mir auf LTO im Vorfeld des Urteils prognostiziert) das Erscheinungsbild vieler Webseiten verändert. Wo zuvor entweder gar keine oder lediglich „wegzuklickende“ Cookie-Hinweise eingeblendet wurden, finden sich heute regelrechte Text- und Buttonwüsten, die den eigentlichen Webseiteninhalt erst nach teils mehreren Klicks preisgeben (wie etwa in unserem Beispielbild von der Hilton-Webseite).

Was einst 2009 – und somit vielleicht nicht in der Steinzeit, aber bestenfalls im Internetmittelalter – zum Schutz von Verbrauchern gut gedacht war, wird mittlerweile von den meisten Nutzern nur noch als störend wahrgenommen. Den eigentlichen Zweck – dem Nutzer eine informierte Wahlmöglichkeit zu geben – verfehlt diese Gestaltung bei weitem. Denn wie Studien zeigen, interessieren sich die meisten Nutzer nicht ansatzweise für die dargebotenen Texte. Die meisten Nutzer ignorieren anscheinend den Cookie-Banner.

Langsam versteht es auch die EU

So langsam scheint sich diese Erkenntnis auch bei der EU breit zu machen. Die kroatische Ratspräsidentschaft hat nun einen Versuch unternommen, die gescheiterten Gespräche zur ePrivacy-Verordnung wiederzubeleben. In einem Vorschlag an das Europäische Parlament und den Rat findet sich nun erstmals ein für den Datenschutztrend der letzten Jahre fast schon revolutionärer Ansatz, nämlich das Setzen von Cookies in bestimmten Fällen auch ohne Einwilligung des Nutzers zuzulassen. Grund hierfür ist explizit die oben erwähnte Zielverfehlung, wie man Erwägungsgrund 20a des Entwurfes entnehmen kann:

“End-users are often requested to provide consent to the storage and access to stored data in their terminal equipment, due to the ubiquitous use of tracking cookies and similar tracking technologies. As a result, end-users may be overloaded with requests to provide consent. This can lead to a situation where consent request information is no longer read and the protection offered by consent is undermined.”

Cookies auf Basis berechtigter Interessen

Der Entwurf sieht daher Art. 6b Abs. 1 lit. e sowie Art. 8 Abs. 1 lit. g vor, die – vergleichbar Art. 6 Abs. 1 lit. f DSGVO – eine Verarbeitung der Metadaten und Cookies auf Basis berechtigter Interessen gestatten sollen. Zu den berechtigen Interessen heißt es in dem Entwurf u.a.:

“A legitimate interest could also be relied upon by a service provider whose website content or services are accessible without direct monetary payment and wholly or mainly financed by advertising […].”

Noch nicht der große Wurf

Wenngleich der Entwurf in die richtige Richtung weist, handelt es sich (leider) noch nicht um den großen Wurf. Denn zugleich wird in dem Entwurf dargestellt, dass sich ein Anbieter nicht auf berechtigtes Interesse berufen können soll, wenn die Cookies dazu verwendet werden, die Art oder Eigenschaften eines Endnutzers zu bestimmen oder ein individuelles Profil eines Endnutzers zu erstellen. Solche Verarbeitungsvorgänge würden „ernsthaft in das Privatleben eines Endnutzers eingreifen“, worunter der Vorschlag bereits Segmentierungszwecke oder die Erstellung von Schlussfolgerungen bezüglich seines Privatlebens fasst.

Wenn es bei diesem Ansatz bliebe, wäre allerdings für Marketing-Cookies wenig gewonnen, denn praktisch jedes Cookie in diesem Bereich dient auf die eine oder andere Weise dazu, Kundengruppen zu segmentieren und Werbung auf Basis des Nutzerverhaltens auszuspielen. Somit würden solche Use Cases immer zu einem gewissen Teil „Schlussfolgerungen bezüglich des Privatlebens“ beinhalten. Wenn in solchen Fällen die Interessenabwägung immer gegen das Setzen von Cookies ausfällt, bliebe es bei dem strengen und unpraktikablen Einwilligungserfordernis. Der EU-Gesetzgeber ist somit dringend aufgerufen, hier weiter nachzubessern.