Webseitenbesucher müssen über die Nutzung von Cookies informiert werden. Aber reicht das schon? Die Datenschutz-Experten Wolfgang Fiala und Peter Gelber durchleuchten die rechtlichen Rahmenbedingungen. [...]
Als Internetbenutzer wird jeder mit der Aufforderung „Cookies zu akzeptieren“ konfrontiert. Was steckt hinter dieser Aufforderung? Laut Wikipedia sind „Cookies kleine Textdateien, die der Internetbrowser für verschiedene Anwendungsfälle auf dem jeweiligen Gerät lokal abspeichert“.
Das Ziel ist einerseits die Funktionalität „besser & rascher“ Informationen zur Verfügung zu stellen aber andererseits oftmals auch Informationen zum Nutzer und dessen Verhalten zu sammeln, um ihn und zukünftigen Besuchern ein zielgerichteteres Angebot anzuzeigen. Oftmals werden dabei auch ohne Anmeldung IP-Adressen und andere personenbezogene Daten gespeichert.
Die Konsequenz daraus ist, dass jeder, der Cookies in seiner Website verwendet und damit personenbezogene Daten speichert, sich mit den Regeln der Einverständniserklärung auseinandersetzen muss.
Rahmenbedingungen in Österreich
Eigentlich sollte die neue e-Privacy-Verordnung, deren Entwurf die EU am 10. Januar 2017 offiziell vorstellte, zeitgleich mit dem Ablauf der Übergangsfrist der DSGVO rechtskräftig werden. Sie ist speziell im Anwendungsbereich von Cookies als detaillierte Ergänzung zur DSGVO geplant, allerdings durchläuft der Entwurf der neuen e-Privacy-Verordnung zurzeit noch das europäische Parlament. Sie soll im Jahr 2019 zu geltendem Recht werden und damit die alte EU-Cookie-Richtlinie ersetzen und um neue Regelungen ergänzen.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Damit ist die von der EU vorgegebene Richtlinie „2009/136/EG „Cookie-Richtlinie“ zum Schutz personenbezogener Daten bei Website-Besuchen, die im österreichischen Telekommunikationsgesetz im § 96 Abs 3 umgesetzt ist, heute, zusammen mit dem DSG und der DSGVO immer noch gültig. So ist für österreichische Webseitenbetreiber seit Ende 2011 verpflichtend, dass sie betroffene User umfassend informieren und deren Zustimmung einholen. Bei Verstoß gegen die Vorschrift droht eine Verwaltungsstrafe von bis zu EUR 37.000.
Empfehlungen der Art-29-Datenschutzgruppe
Die Art-29-Datenschutzgruppe ist ein Gremium, das sich laufend aktuellen datenschutzrechtlichen Themen und bestehend aus Vertretern der nationalen Datenschutzbehörden widmet. Sie erteilt mehr oder weniger detaillierte Empfehlungen, die zwar keine verbindliche Wirkung, aber dennoch in der Praxis große Bedeutung haben.
Am 2.10.2013 hat die Art-29-Gruppe zur Harmonisierung der Zustimmungspraxis eine detaillierte Checkliste für die wirksame Vereinbarung von Cookies veröffentlicht (Working Paper 208).
Ein Einsatz von Cookies ist demnach nur dann zulässig, wenn
- der User vorab informiert wird,
- vor dem Einsatz von Cookies bereits eine Zustimmung vorliegt und
- die Zustimmung freiwillig durch eine aktive Handlung erteilt wurde.
Damit wurde die alte österreichischen Praxis beendet, dass der Hinweis auf Cookies in einer Fußnote oder im Impressum allein reicht. Die Information zum Einsatz von Cookies muss deutlich erfolgen und Cookies dürfen erst nach aktiver Zustimmung des Users verwendet werden.
Die Bedeutung der Datenschutzkonferenz für Deutschland
Die Datenschutzkonferenz (DSK) ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, also ein informeller Kreis der deutschen Datenschutzaufsichtsbehörden.
Die DSK veröffentlicht seit Juli 2017 Auslegungshilfen zur Datenschutz-Grundverordnung (DSGVO). Diese Positionsbestimmungen der DSK sollen als Auslegungshilfe fungieren und stellen Interpretationshilfen zu den Gesetzesnormen dar. Die ausführenden Datenschutzaufsichtsbehörden teilen mit diesen Positionsbestimmungen ihren Standpunkt in Bezug auf gewisse Rechtsfragen mit.
DSK-Positionspapier zu Cookies
Die DSK hat ein Positionspapier zum Thema Cookies veröffentlich. Darin vertritt die DSK die generell übliche Ansicht, dass jeder Einsatz von Tracking-Technologien der vorherigen Einwilligung des Nutzers bedarf. Viele Website-Betreiber versuchen, diesen Anforderungen nachzukommen. Die wenigsten machen es allerdings richtig. Denn die meistens eingesetzten sogenannten Cookie-Notices erfüllen die von der DSK geforderten Voraussetzungen nicht.
Position der DSK
In Punkt 9. Hält die DSK fest: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO8, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Cookie-Notices entsprechen noch keiner Einwilligung
In der Praxis werden Cookies in den meisten Fällen schon gesetzt, bevor der Nutzer dem überhaupt zustimmen kann. Eine Cookie-Notice dient in vielen Fällen der Information des Nutzers, der aber tatsächlich überhaupt nicht verhindern kann, dass ein Cookie gesetzt wird.
Den Anforderungen der DSK entspricht man natürlich nur dann, wenn tatsächlich erst nach der Einwilligung durch den Nutzer ein Cookie gesetzt wird. In der Praxis geschieht das aber nur recht selten.
Ohne Einwilligung kein Zutritt zur Website?
Es gibt Webseiten, die der Nutzer gar nicht erst betreten kann, wenn er seine Einwilligung nicht erteilt. Die DSK stellt in Frage, ob das überhaupt zulässig ist.
Die oberste niederländische Datenschutzbehörde hat dazu lt. DSK eine eindeutige Meinung. Demnach verstößt es gegen die DSGVO, wenn Nutzern eine Website vorenthalten wird, weil sie der Speicherung von Cookies nicht zustimmen.
Das DSK-Positionspapier ist nur eine Rechtsmeinung
Die DSK setzt kein Recht, sondern wendet es an. Bei der Position der DSK zur Cookie-Einwilligung ist festzuhalten, dass dies natürlich nur eine Rechtsmeinung ist. Es kann also durchaus sein, dass die Gerichte eine vorherige Einwilligung in das Speichern von Cookies nicht als erforderlich ansehen werden.
Alternative: Bezahlte Website für Unwillige?
Das Bayerischen Landesamtes für Datenschutz, hat in einer Stellungnahme erklärt, dass man gemäß Art. 6 Abs. 1 Satz 1 lit. b DSGVO kostenlose Dienstleistungsangebote mit der Zustimmung für eine werbliche Nutzung der eigenen Daten „bezahlen“ könne, wenn dies dem Nutzer bei Vertragsschluss klar dargestellt wird.
Im Umkehrschluss bedeutet dies, dass ohne Zustimmung für eine werbliche Nutzung der eigenen Daten – genau darum geht es letztlich bei den meisten Cookie-Einwilligungen – der kostenlose Zugang zu Dienstleistungen verwehrt werden kann.
Schlussbemerkung: Klarheit schafft die Cookie-Richtlinie
Klarheit wird so oder so die sogenannte Cookie-Richtlinie der EU bringen, die noch 2019 oder vielleicht doch erst 2020 in Kraft treten wird.
Die bisherigen Folgen:
(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Be the first to comment