Cookies, zu Deutsch: Kekschen, sind kleine Textdateien. Sie werden von den einzelnen Websites, die man besucht hat, im Browser des Rechners abgelegt. Cookies speichern Informationen wie z. B. die bevorzugte Sprache oder andere persönliche Seiteneinstellungen, aber auch, für welche Produkte man sich interessiert hat, wenn man eine Online-Shop besucht.
(1) Zweck dieser Cookies ist hauptsächlich die Bequemlichkeit. Wenn man auf einer Seite ist, will man Dinge wie die Sprache etc. nicht immer aufs Neue einstellen. Gezieltes Marketing ist ein weiterer, immer wichtiger werdender Zweck, gerade bei Online-Shops. Dass sich die Seite meine Präferenzen merkt, ist meistens angenehm. Dazu gehört auch z. B., dass man seine Login-Daten nicht jedes Mal erneut angeben muss, sondern die Seite sie automatisch ausfüllt. IdR kommt, immer wenn man eine neue Seite das erste Mal öffnet, ein kleines Fenster zu den Cookies, die man annehmen oder ablehnen kann. Diese Einwilligung war von der Cookie-Richtlinie vorgesehen.
(2) Die Europäische Cookie-RL
Aus rechtlicher Sicht gibt es eine klare Grundlage für Cookies: Die Europäische Union hat 2009 die Richtlinie 2009/136/EG herausgegeben. Diese Cookie-RL ist eine Änderungsrichtlinie zur „E-Privacy-RL“ von 2002 (RL 2002/58/EG). Sie regelt den Schutz personenbezogener Daten im Internet. Konkret geht es dabei um Art 5 Abs 3 RL 2002/58/EG. In Österreich ist diese EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 idF BGBl I 2011/102 umgesetzt und seit 22.11.2011 in Kraft.
- 96 (3) TKG sagt auszugsweise Folgendes:
„…Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat…“
Die hier angesprochene Information betrifft die Pflicht zur Aufklärung der Nutzer, welche Daten ermittelt, verarbeitet und übermittelt werden, also die Information selber ist kein Cookie. Sondern die ermittelten, verarbeiteten und übermittelten Daten sind ein Cookie. Ein Cookie ist eine Textdatei, die der Server (also die Website) auf Ihren Computer schickt. Wenn Sie die Seite dann wieder aufmachen, schickt Ihr Computer diese Textdatei wieder zurück an die Seite. So kann die Website Sie wiedererkennen und weiß, was Sie letztes Mal alles gemacht haben.
Die Informationspflicht bezieht sich nun darauf, dass Ihnen gesagt wird, welche Informationen in dieser Textdatei (dh Cookie) quasi vorhanden sein werden.
- Bei der Nutzung von Cookies, die personenbezogene Daten speichern, herrscht eine Informations- und Zustimmungspflicht. Zur Datenermittlung ist also die aktive Einwilligung des Websites-Besuchers notwendig.
Demnach ist also der Einsatz von Cookies nur dann zulässig, wenn:
- Der User vorab im Detail informiert wird,
- vor dem Einsatz von Cookies seine Zustimmung vorliegt und
- die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.
(3) Cookies in der DSGVO
Cookies werden nur ein einziges Mal in den 88 Seiten dieser Verordnung erwähnt, jedoch wirken sich diese wenigen Zeilen erheblich auf die Konformitätsvorgaben von Cookies auf Ihrer Webseite aus (ErwG 30):
„Natürliche Personen sind ggf. mit Online-Identifikatoren verknüpft, […] nämlich etwa Internet-Protokoll-Adressen, Cookie-Identifikatoren oder anderen Kennzeichen […]. Auf diesen werden ggf. Spuren hinterlassen, die - insbesondere in der Kombination mit einzigartigen Identifikatoren und anderen von den Servern empfangenen Daten - zur Erstellung von Profilen der natürlichen Personen und zu deren Identifikation genutzt werden.“
Einfacher gesagt: Wenn durch Cookies Personen identifiziert werden können, handelt es sich um personengebundene Daten.
(4) Wo ist nun die Regelung über Cookies zu finden?
Seit dem Inkrafttreten der DSGVO wird man auf fast allen Webseiten als Nutzer ständig mit Bannern konfrontiert, die eine Einwilligung für die Verwendung von Cookies haben wollen. Schon vor der DSGVO gab es zwar eine Regelung für die rechtskonforme Verwendung von Cookies (E-Privacy-RL und TKG).
Insbesondere Art 5 Abs 3 der E-Privacy-Richtlinie verweist bei der Verwendung von Cookies auf die datenschutzrechtliche Einwilligung. Da nun aber die DSGVO strengere Voraussetzungen für die Einwilligung in die Verarbeitung von personenbezogenen Daten vorsieht, hat sich durch die DSGVO in der Thematik der Cookie-Verwendung dieser Punkt geändert.
Die erwähnte datenschutzrechtliche Einwilligung wird in Art 4 Z 11 DSGVO geregelt. Demnach liegt eine rechtskonforme Einwilligung dann vor, wenn sie
- freiwillig,
- für den bestimmten Fall
- in informierter Weise und
- unmissverständlich
- in Form einer Erklärung oder
- einer sonstigen eindeutigen bestätigenden Handlung
erteilt wurde.
Das heißt, dass der Einsatz von Cookies nur erfolgen kann, wenn der Nutzer eine den oben angeführten Voraussetzungen entsprechende Einwilligung erteilt hat. Da die Einwilligung nur in informierter Weise erteilt werden kann, muss der Benutzer darüber informiert werden
- welche Daten erhoben und
- in welchen Cookies diese wie lange gespeichert werden.
Ergo ist eine Cookie-Verwendung nur dann rechtskonform, wenn der Nutzer die Möglichkeit hat, selbst in aufgeklärter Weise die Einstellungen zur Verwendung von Cookies verändern und jederzeit in einfacher Form widerrufen kann.
Von besonderem Interesse ist hier die Entscheidung der DSB vom 30.11.2018. Denn bis dahin war man der Meinung, dass dem Nutzer auch bei Ablehnung von Cookies Zugriff auf die Website und deren Funktionen gewährt werden muss, da sonst die Einwilligung nicht freiwillig erteilt ist. Jedoch hat die DSB wie folgt entschieden:
(5) Kommentar zur Entscheidung DSB-D122.931/0003-DSB/2018 vom 30.11.2018
Im Bescheid vom 30.11.2018 hatte sich die Datenschutzbehörde mit der DSGVO-konformen Ausgestaltung von Cookies zu befassen.
In der an die Datenschutzbehörde herangetragenen Beschwerde wurde behauptet, dass das Recht auf Widerspruch durch ein Medienunternehmen, das ein Onlinemedium betreibt, verletzt wurde. Dabei brachte der Beschwerdeführer zusammengefasst vor, dass die Website der Beschwerdegegnerin nur noch gegen Bezahlung genutzt werden könne, sobald man die Zustimmung zu „Marketing-Cookies“ widerrufe. Das heißt, dass die kostenlose Nutzung der Website zwingend mit der Zustimmung zu den „Marketing-Cookies“ verbunden war. Somit könne die Zustimmung nicht den Erfordernissen der Freiwilligkeit der DSGVO entsprechen.
Denn gemäß Art. 7 DSGVO muss eine Einwilligung freiwillig erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt sein, obwohl die Einwilligung zur Erfüllung dieses Vertrags nicht erforderlich ist. Unfreiwillig ist eine Einwilligung dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist. Ein anderer Rechtsgrund, beispielsweise die Notwendigkeit zur Erfüllung der Dienstleistung, würde auch nicht vorliegen, da das Tracking von personenbezogenen Daten nicht notwendig sei, weil die Beschwerdegegnerin eine Bezahlvariante anbiete, die ohne dieses Tracking auskomme.
Die Betreiberin der Webseite brachte vor, dass sie ein datenschutzbewusstes Online-Produkt, nämlich die bereits obenerwähnte Bezahlvariante, entwickelt hat. Hier würden ausschließlich technisch notwendige Cookies gesetzt werden. Grundsätzlich sei der Widerspruch zu Werbemaßnahmen gemäß Art 21 DSGVO auf der Webseite möglich und führe lediglich dazu, dass die Webseite nicht mehr vollumfänglich kostenfrei genutzt werden könne.
Das Erfordernis der Freiwilligkeit einer Einwilligung könne nicht dazu führen, dass Medienunternehmen ihre Dienstleistungen kostenfrei zur Verfügung stellen müssten. Im Rahmen der Preisgestaltung sei darauf geachtet worden, dass das kostenpflichtige Abo für jedermann leistbar bleibe und es nicht zum Hindernis für eine werbe- und trackingfreie Nutzung des Online-Angebots werde.
Die Datenschutzbehörde musste nun in erster Linie sich damit auseinandersetzen, was denn ein „die Freiwilligkeit verhindernder Nachteil“ ist. Hierfür wurde das Ergebnis der ehemaligen Art. 29-Datenschutzgruppe, die sich bereits mit möglichen die Freiwilligkeit verhindernden Nachteilen auseinandergesetzt hat, herangezogen:
Ein solcher Nachteil sei laut Datenschutzbehörde dann gegeben, wenn das Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht. Ferner sollte der Verantwortliche nachweisen, dass die betroffene Person eine echte oder freie Wahl hatte, ob sie einwilligt oder nicht (vgl. Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, WP 259, rev. 01, S. 12; vgl. auch ErwGr 42 DSGVO).
Im gegenständlichen Fall ist es jedoch die erste Konsequenz der Verweigerung der Einwilligung die, dass die betroffene Person ein kostenpflichtiges Abo abschließen kann. Auch die Preisgestaltung des kostenpflichtigen Abos stellt keine unverhältnismäßig teure Alternative dar. Die zweite Konsequenz bei Nichtabgabe einer Einwilligung besteht darin, dass die betroffene Person die Webpage der Beschwerdegegnerin nicht in Anspruch nimmt und auf ein alternatives Informationsangebot zurückgreift.
Somit stellte die Datenschutzbehörde bei Nichtabgabe einer Einwilligung bei weitem keinen wesentlichen Nachteil und auch keine beträchtlich nachteiligen Folgen fest.
RAA Mag.a Hatice Özcoban, Wien, 13.05./19.07.2019