Datenschutz Magazin
Worum geht es bei Cookie-Bannern?
Am 28. Mai 2020 traf der EuGh ein entscheidendes Urteil: Cookies müssen aktiv eingeholt werden, um gültig zu sein. Worum es bei Cookie-Bannern im Detail geht, erklärt Juristin Astrid Kaltenegger.
Cookie-Banner sind gerade ein prominentes Thema. Wozu dient das Cookie-Banner eigentlich?
Astrid Kaltenegger: Sobald anhand von Cookies personenbezogene Daten gesammelt und verarbeitet werden, ist die Zustimmung zu diesen Cookies nötig. Die Verarbeitung von Nutzerdaten in der EU ist nur nach expliziter, aktiver und informierter Einwilligung der Betroffenen rechtskonform. Dies wurde in einem Urteil des Gerichtshofs der Europäischen Union festgelegt.
Besser ausgedrückt heißt das, dass Nutzerinnen und Nutzer die Einwilligung zur Verarbeitung ihrer Daten Cookie-spezifisch und durch eine aktive Handlung erteilen müssen.
Bedeutet das konkret, dass Cookies nur aktiv sein dürfen, wenn ich meine Einwilligung gebe?
Vor Erteilung dieser Zustimmung dürfen nur sogenannte essenzielle Cookies aktiv sein – das heißt jene, die technisch für das Betreiben einer Website notwendig sind. In Bezug auf die beliebten „Ankreuzkästchen“ hat der EuGH klargestellt, dass eine bereits vorangekreuzte Box nicht als DSGVO-konform gilt.
Wozu werden Cookies noch verwendet?
Zusätzlich zum reinen Betreiben von Websites werden Cookies zu Marketingzwecken wie beispielsweise zur Analyse des Benutzerprofils und ähnlicher statistischer Daten gesetzt. In diesem Fall ist eine klare und eindeutige Zustimmung zu jedem einzelnen Cookie und jedem Verarbeitungszweck erforderlich. Cookie-Banner, die eine pauschale Einwilligung ohne Angabe der Verarbeitungszwecke einholen, sind datenschutzrechtlich unzulässig.
Wie wichtig ist es, Datenschutzrichtlinien zu lesen, bevor man der Nutzung von Cookies zustimmt?
Kundinnen und Kunden sollten sich über die Datenschutzrichtlinien eines Unternehmens durch das Lesen der Datenschutzerklärung informieren. Einerseits entnimmt man dieser, welche Dienste im Hintergrund laufen und welche personenbezogenen Daten erhoben werden. Andererseits enthält sie Informationen darüber, an welche Drittunternehmen die Daten weitergegeben werden. Man sollte einfach wissen, welchen Verarbeitungen man zustimmt und was mit den eigenen Daten passiert.
Worum ging es bei dem Gerichtsurteil des deutschen Bundesgerichtshofs vom 28. Mai?
Viele deutsche Verantwortliche hielten sich bisher in erster Linie an das Telemediengesetz, nach dessen Wortlaut keine Einwilligungspflicht für Cookies existiert. Wollte der Nutzer für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung gesetzte Cookies verhindern, hatte er diesen zu widersprechen. Im Lichte der EuGH-Rechtsprechung zur Opt-In-Pflicht von Cookies entschied der BGH, dass künftig auch in Deutschland (zumindest) für Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie bedarfsgerechten Gestaltung von Telemedien dienen, Einwilligungen der Nutzerinnen und Nutzer eingeholt werden müssen.
Welche Auswirkungen hat das Urteil für die Nutzung von Cookies?
Das Urteil bedeutet konkret, dass in Zukunft auch auf deutschen Websites in jedes Cookie zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung gesondert und aktiv eingewilligt werden muss. Das klassische Banner mit pauschalen und vorangekreuzten Einwilligungen ist nicht mehr gültig, da nicht DSGVO-konform. Auch die reine Weiternutzung einer Website stellt keine klare und zweifelsfreie Einwilligung für den Fall einer Cookie-Nutzung dar.
Wie ist die Rechtslage in Österreich? Gibt es hier eine Tendenz was den Umgang mit Cookies betrifft?
Auch in Österreich gilt der Grundsatz der informierten Einwilligung in Bezug auf jedes nicht technisch erforderliche Cookie. Anbieter eines Dienstes der Informationsgesellschaft sind verpflichtet, Teilnehmer/innen oder Benutzer/innen darüber zu informieren, welche personenbezogenen Daten auf welcher Rechtsgrundlage und für welche Zweck verarbeitet werden. Auch die Speicherdauer ist anzugeben. Es fehlt allerdings weiterhin an einer europaweit verbindlichen klaren Definition für technisch erforderliche Cookies. Als Anhaltspunkt kann in Österreich jedenfalls der auf europarechtlichen Vorgaben basierende § 96 Abs. 3 TKG herangezogen werden, der beispielsweise Fälle erfasst, in denen eine technische Speicherung erforderlich ist, damit der Anbieter einen vom Benutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.
Was Cookie-Banner betrifft, hängt deren konkrete Ausgestaltung in der Praxis von der jeweiligen verwendeten Programmiersprache ab. Cookie-Banner werden sehr oft verwendet, sind aber nur in den seltensten Fällen rechtskonform eingebettet. Sehr oft laufen im Hintergrund Dienste und Datenverarbeitungen ab, auf die weder im Cookie-Banner noch in der Datenschutzerklärung Bezug genommen wird.
Astrid Kaltenegger hat Rechtswissenschaften und Slawistik studiert und verstärkt seit kurzem das Datenschutz-Team von CASC. Davor war sie u. a. im Projektmanagement, im PR-Bereich und im öffentlichen Dienst tätig. Datenschutz ist ihr sowohl privat als auch beruflich ein wichtiges Anliegen.
Die DSGVO ist oft umständlich und kompliziert. Wir sind es nicht.
Wir identifizieren Optimierungsmöglichkeiten Ihres Datenschutz-Managements und erarbeiten maßgeschneiderte Umsetzungsmaßnahmen, die Sie direkt anwenden können.