Kommt das Ende der Cookie-Banner?
Was der „Digital Omnibus“-Vorschlag der EU-Kommission jetzt für Ihr Unternehmen bedeutet
Die EU-Kommission hat im Rahmen ihres „Digital Omnibus“-Pakets einen Vorschlag vorgelegt, der mitunter die bisherigen Cookie-Regelungen spürbar verändern könnte. Eines der Ziele ist es, die allgegenwärtige Banner Flut zu reduzieren, ohne nach Aussage der Kommission das Datenschutzniveau abzusenken. Was bedeutet das für Unternehmen?
Was wird konkret vorgeschlagen?
Im Kern geht es hinsichtlich der Cookie-Banner um folgende Stellschrauben:
1) Zustimmung zentral statt Banner auf jeder Website
Statt bei jedem Website-Besuch neu zu entscheiden, sollen Nutzer ihre Tracking-Präferenzen künftig einmalig und generell festlegen, zum Beispiel direkt im Browser. Diese Einstellung würde dann zentral gelten und automatisiert auf Websites angewendet werden. Die Unternehmen als Verantwortliche für die Datenverarbeitung sollen dazu verpflichtet werden derartige maschinenlesbare „Consent-Signale“ entsprechend zu akzeptieren umzusetzen.
2) Weniger „Clicks“ erforderlich
Für bestimmte Verarbeitungen, die für den Betrieb und die Verwaltung einer Website erforderlich sind, soll künftig keine Einwilligungsabfrage mehr nötig sein. Damit würde ein Teil dessen, was heute häufig über Banner „abgesichert“ wird, aus der Einwilligungslogik herausfallen. Der Vorschlag sieht hierzu eine sogenannte „Whitelist“ der Ausnahmen vor, wie beispielsweise die Nutzung von Daten zum reinen Zählen der Website Besucher.
Für weiterhin erforderliche Einwilligungen sieht der Vorschlag darüber vor, dass zur Zustimmung oder Ablehnung eine „Single-Click-Lösung“ umgesetzt wird. Viele Unternehmen müssten hierzu ihre Cookie-Banner entsprechend überarbeiten.
Weiterhin sieht der Vorschlag vor, dass wiederholte Abfragen hinsichtlich desselben Verarbeitungszwecks innerhalb von sechs Monaten verboten würden. Eine Einwilligung könnte somit erst frühestens sechs Monate nach der letzten Ablehnung erneut abgefragt werden.
3) Neue Sicht auf „personenbezogene Daten“
Außerdem ist eine Anpassung der Definition personenbezogener Daten vorgesehen. Nicht mehr die bloß theoretische Identifizierbarkeit soll im Mittelpunkt stehen, sondern stärker die Frage, ob Daten tatsächlich aktiv genutzt werden, um eine Person zu identifizieren. Das soll das Surfen erleichtern und zugleich die digitale Wirtschaft entlasten.
Was gilt bis dahin?
Wichtig: Der Vorschlag ist noch nicht beschlossen. Bis zu einer tatsächlichen Änderung bleibt es bei den bekannten Anforderungen. Unternehmen müssen weiterhin sicherstellen, dass für nicht technisch notwendige Cookies bzw. Tracking-Technologien eine tragfähige Rechtsgrundlage besteht (in der Praxis meist die Einwilligung). Ebenso bleibt die Pflicht, transparent über Zwecke und Empfänger zu informieren. Nach der Zielsetzung der Kommission soll es dabei gerade nicht um eine generelle Absenkung des Datenschutzniveaus gehen.
Warum kann das für Unternehmen trotzdem relevant (und herausfordernd) sein?
Aus Unternehmenssicht kann die Reform je nach Ausgestaltung dazu führen, dass insgesamt weniger Einwilligungen erteilt werden. Wenn Betroffene ihre Datenschutzpräferenzen einmal zentral festlegen und diese Entscheidung dann automatisch überall gilt, werden viele voraussichtlich eher eine zurückhaltende Einstellung wählen. Klassische Marketing- und Analyse-Cookies könnten dadurch seltener eine aktive Zustimmung erhalten.
Wie geht es weiter?
Die Neuausgestaltung der Cookie-Regelungen ist lediglich ein Teil des „Digital Omnibus“-Vorschlags der Kommission. Dieser soll dazu dienen, insbesondere hinsichtlich des Einsatzes von KI, digitale Regelungen zu vereinfachen und Innovation zu fördern. Bereits jetzt stößt dieses Gesamtpaket jedoch auf teils scharfe Kritik. Datenschützer fürchten ein Unterlaufen der DSGVO und der digitalen Rechte der Europäer. Ob und in welcher Form die im Vorschlag enthaltenen Cookie-Regelungen Bestand haben, ist daher derzeit offen. Der Vorschlag ist erst der Beginn eines Gesetzgebungsverfahrens, in dem Europäisches Parlament und Rat die Inhalte nun noch intensiv diskutieren und verändern können.
Fazit
Es spricht vieles dafür, dass eine Anpassung der Cookie-Regelungen bevorsteht. Zugleich ist aufgrund der weitreichenden Kritik allerdings zu erwarten, dass der Entwurf im weiteren Verfahren noch umfassend verändert wird. Gerade deshalb sollten Unternehmen die weitere Entwicklung aufmerksam verfolgen, um sich frühzeitig auf neue Anforderungen sowie die damit verbundenen Chancen und Herausforderungen einzustellen und ihren Umgang mit Cookies rechtzeitig anzupassen.
In diesem Blog halten wir Sie über relevante gesetzgeberische Entwicklungen in diesem Bereich auf dem Laufenden und zeigen auf, welche praktischen Konsequenzen sich jeweils für Unternehmen ergeben.
