Cookies und DSGVO

Cookies, zu Deutsch: Kekschen, sind kleine Textdateien. Sie werden von den einzelnen Websites, die man besucht hat, im Browser des Rechners abgelegt. Cookies speichern Informationen wie z. B. die bevorzugte Sprache oder andere persönliche Seiteneinstellungen, aber auch, für welche Produkte man sich interessiert hat, wenn man eine Online-Shop besucht.

(1) Zweck dieser Cookies ist hauptsächlich die Bequemlichkeit. Wenn man auf einer Seite ist, will man Dinge wie die Sprache etc. nicht immer aufs Neue einstellen. Gezieltes Marketing ist ein weiterer, immer wichtiger werdender Zweck, gerade bei Online-Shops. Dass sich die Seite meine Präferenzen merkt, ist meistens angenehm. Dazu gehört auch z. B., dass man seine Login-Daten nicht jedes Mal erneut angeben muss, sondern die Seite sie automatisch ausfüllt. IdR kommt, immer wenn man eine neue Seite das erste Mal öffnet, ein kleines Fenster zu den Cookies, die man annehmen oder ablehnen kann. Diese Einwilligung war von der Cookie-Richtlinie vorgesehen.

Die Europäische Cookie-RL

Aus rechtlicher Sicht gibt es eine klare Grundlage für Cookies: Die Europäische Union hat 2009 die Richtlinie 2009/136/EG herausgegeben. Diese Cookie-RL ist eine Änderungsrichtlinie zur „E-Privacy-RL“ von 2002 (RL 2002/58/EG). Sie regelt den Schutz personenbezogener Daten im Internet. Konkret geht es dabei um Art 5 Abs 3 RL 2002/58/EG. In Österreich ist diese EU-Richtlinie im Telekommunikationsgesetz § 96 Abs. 3 idF BGBl I 2011/102 umgesetzt und seit 22.11.2011 in Kraft.

  • 96 (3) TKG sagt auszugsweise Folgendes:

„…Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat…“

Die hier angesprochene Information betrifft die Pflicht zur Aufklärung der Nutzer, welche Daten ermittelt, verarbeitet und übermittelt werden, also die Information selber ist kein Cookie. Sondern die ermittelten, verarbeiteten und übermittelten Daten sind ein Cookie. Ein Cookie ist eine Textdatei, die der Server (also die Website) auf Ihren Computer schickt. Wenn Sie die Seite dann wieder aufmachen, schickt Ihr Computer diese Textdatei wieder zurück an die Seite. So kann die Website Sie wiedererkennen und weiß, was Sie letztes Mal alles gemacht haben.

Die Informationspflicht bezieht sich nun darauf, dass Ihnen gesagt wird, welche Informationen in dieser Textdatei (dh Cookie) quasi vorhanden sein werden.

  • Bei der Nutzung von Cookies, die personenbezogene Daten speichern, herrscht eine Informations- und Zustimmungspflicht. Zur Datenermittlung ist also die aktive Einwilligung des Websites-Besuchers notwendig.

Demnach ist also der Einsatz von Cookies nur dann zulässig, wenn:

  • Der User vorab im Detail informiert wird,
  • vor dem Einsatz von Cookies seine Zustimmung vorliegt und
  • die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde. 

Cookies in der DSGVO

Cookies werden nur ein einziges Mal in den 88 Seiten dieser Verordnung erwähnt, jedoch wirken sich diese wenigen Zeilen erheblich auf die Konformitätsvorgaben von Cookies auf Ihrer Webseite aus (ErwG 30):

„Natürliche Personen sind ggf. mit Online-Identifikatoren verknüpft, […] nämlich etwa Internet-Protokoll-Adressen, Cookie-Identifikatoren oder anderen Kennzeichen […]. Auf diesen werden ggf. Spuren hinterlassen, die - insbesondere in der Kombination mit einzigartigen Identifikatoren und anderen von den Servern empfangenen Daten - zur Erstellung von Profilen der natürlichen Personen und zu deren Identifikation genutzt werden.“

Einfacher gesagt: Wenn durch Cookies Personen identifiziert werden können, handelt es sich um personengebundene Daten.

DSGVO-konforme Cookies

Webseitenbetreiber handeln nur konform, wenn sie ihre Datenverarbeitungsverfahren überprüfen und darauf achten, dass personengebundene Daten gemäß der neuen Bestimmungen bearbeitet werden. Die DSGVO definiert u. a. Namen, Fotos, E-Mail-Adressen, Bankdaten, medizinische Daten oder IP-Adressen als personengebundene Daten.

Sofern eine Webseite oder Organisation Daten verarbeitet, die

(a) direkt personengebunden sind oder

(b) durch Kombination oder Isolierung eine Person identifizieren können,

müssen ihre Verfahren auf ihre Bestimmungskonformität überprüft und ein DSVGO-konformer Cookie-Hinweis angezeigt werden. Der Browser kann vom Nutzer so eingestellt werden, dass diese Daten nicht gespeichert werden. Dann kommt dieser Hinweis erneut. Das kann man nach Belieben ändern. Möglich ist auch, dass man einfach seinen Browser-Verlauf löscht. Außerdem gibt es auf jeder Seite, die man mal besucht hat, die Möglichkeit, seine Cookie-Einstellungen bzw. die Zustimmung zu widerrufen.

Welche Elemente muss nun ein Cookie-Hinweis / eine Datenschutz-Einverständniserklärung über die Cookie-Nutzung aufweisen?

Gemäß DSGVO hat ein Cookie-Hinweis Text folgende Merkmale zu enthalten:

  • Die Entscheidung erfolgt fundiert. Warum, in welcher Weise und wo werden die personengebundenen Daten eingesetzt? Es muss dem Benutzer eindeutig vermittelt werden, wofür er seine Einverständniserklärung abgibt und er muss in der Lage sein, jederzeit flexibel dem Einsatz von verschiedenen Cookies zuzustimmen oder zu widersprechen.
  • Der Nutzer kann aus gleichrangigen Optionen auswählen. Dem Benutzer muss auch bei Ablehnung der grundsätzlich erforderlichen Cookies Zugriff auf die Webseite und deren Funktionen gewährt werden.
  • Die Entscheidung des Nutzers wird durch eine unmissverständliche, zustimmende und positive Handlung signalisiert. Ein Hinweis, dass „weiteres Surfen auf der Website als Zustimmung gilt“, alleine reicht für die Zustimmung nicht aus. Sondern es braucht irgendein aktives Tun (Zustimm-Klick, Ankreuzen einer Box, Anklicken eines Links, etc). Es muss auch klar ausgedrückt werden, dass dieses ausdrückliche Verhalten auf Grundlage von eindeutigen Informationen erfolgt.
  • Die Entscheidung des Nutzers ist vor jeglicher Datenverarbeitung abzugeben.
  • Die Entscheidung ist jederzeit revidierbar und es muss dem Benutzer leichtfallen, sein Einverständnis rückgängig machen zu können.

Die Datenschutzrichtlinie erfordert ein vorheriges und fundiertes Einverständnis des Webseitennutzers. Die DSGVO jedoch erfordert zudem eine Dokumentierung jeder einzelnen Einverständniserklärung. Ebenso müssen Webseitenbetreiber anzeigen können, welche Benutzerdaten sie den Diensten Dritter auf ihrer Webseite zur Verfügung stellen und an welchem geographischen Ort diese gespeichert werden.

Kommentar zur Entscheidung DSB-D122.931/0003-DSB/2018 vom 30.11.2018

Im Bescheid vom 30.11.2018 hatte sich die Datenschutzbehörde mit der DSGVO-konformen Ausgestaltung von Cookies zu befassen.

In der an die Datenschutzbehörde herangetragenen Beschwerde wurde behauptet, dass das Recht auf Widerspruch durch ein Medienunternehmen, das ein Onlinemedium betreibt, verletzt wurde. Dabei brachte der Beschwerdeführer zusammengefasst vor, dass die Website der Beschwerdegegnerin nur noch gegen Bezahlung genutzt werden könne, sobald man die Zustimmung zu „Marketing-Cookies“ widerrufe. Das heißt, dass die kostenlose Nutzung der Website zwingend mit der Zustimmung zu den „Marketing-Cookies“ verbunden war. Somit könne die Zustimmung nicht den Erfordernissen der Freiwilligkeit der DSGVO entsprechen.

Denn gemäß Art. 7 DSGVO muss eine Einwilligung freiwillig erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt sein, obwohl die Einwilligung zur Erfüllung dieses Vertrags nicht erforderlich ist. Unfreiwillig ist eine Einwilligung dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist. Ein anderer Rechtsgrund, beispielsweise die Notwendigkeit zur Erfüllung der Dienstleistung, würde auch nicht vorliegen, da das Tracking von personenbezogenen Daten nicht notwendig sei, weil die Beschwerdegegnerin eine Bezahlvariante anbiete, die ohne dieses Tracking auskomme.

Die Betreiberin der Webseite brachte vor, dass sie ein datenschutzbewusstes Online-Produkt, nämlich die bereits obenerwähnte Bezahlvariante, entwickelt hat. Hier würden ausschließlich technisch notwendige Cookies gesetzt werden. Grundsätzlich sei der Widerspruch zu Werbemaßnahmen gemäß Art 21 DSGVO auf der Webseite möglich und führe lediglich dazu, dass die Webseite nicht mehr vollumfänglich kostenfrei genutzt werden könne.

Das Erfordernis der Freiwilligkeit einer Einwilligung könne nicht dazu führen, dass Medienunternehmen ihre Dienstleistungen kostenfrei zur Verfügung stellen müssten. Im Rahmen der Preisgestaltung sei darauf geachtet worden, dass das kostenpflichtige Abo für jedermann leistbar bleibe und es nicht zum Hindernis für eine werbe- und trackingfreie Nutzung des Online-Angebots werde.

Die Datenschutzbehörde musste nun in erster Linie sich damit auseinandersetzen, was denn ein „die Freiwilligkeit verhindernder Nachteil“ ist. Hierfür wurde das Ergebnis der ehemaligen Art. 29-Datenschutzgruppe, die sich bereits mit möglichen die Freiwilligkeit verhindernden Nachteilen auseinandergesetzt hat, herangezogen:

Ein solcher Nachteil sei laut Datenschutzbehörde dann gegeben, wenn das Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht. Ferner sollte der Verantwortliche nachweisen, dass die betroffene Person eine echte oder freie Wahl hatte, ob sie einwilligt oder nicht (vgl. Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, WP 259, rev. 01, S. 12; vgl. auch ErwGr 42 DSGVO).

Im gegenständlichen Fall ist es jedoch die erste Konsequenz der Verweigerung der Einwilligung die, dass die betroffene Person ein kostenpflichtiges Abo abschließen kann. Auch die Preisgestaltung des kostenpflichtigen Abos stellt keine unverhältnismäßig teure Alternative dar. Die zweite Konsequenz bei Nichtabgabe einer Einwilligung besteht darin, dass die betroffene Person die Webpage der Beschwerdegegnerin nicht in Anspruch nimmt und auf ein alternatives Informationsangebot zurückgreift.

Somit stellte die Datenschutzbehörde bei Nichtabgabe einer Einwilligung bei weitem keinen wesentlichen Nachteil und auch keine beträchtlich nachteiligen Folgen fest.

RAA Mag.a Hatice Özcoban, Wien, 13.05.2019