„Wir verwenden Cookies und ähnliche Technologien, um Inhalte und Anzeigen zu personalisieren (…)“ So oder so ähnlich beginnen aktuell eine Vielzahl an Cookie-Consent-Bannern. Im Optimalfall holt sich jeder Webseitenbetreiber beim erstmaligen Betreten einer Person die Einwilligung über ein implementiertes Consent-Banner ein, sofern der User personenbezogen analysiert oder getrackt werden soll. Dies kann u.a. mit Hilfe von Cookies erfolgen. Die Datenschutzbehörde der Republik Österreich veröffentlichte im Zuge dessen ein umfassendes und ausführliches FAQ bezüglich der datenschutzrechtlichen Einordnung von Cookies. Das FAQ wurde teilweise wörtlich übernommen, jedoch an das deutsche Recht angepasst. Auch wurden nicht alle FAQ-Fragen übernommen. Der Original-Artikel wird am Ende dieses Eintrags aufgelistet.

WAS VERSTEHT MAN GRUNDSÄTZLICH UNTER COOKIES?

Vereinfacht gesagt versteht man unter Cookies kleine Textdateien, die am Endgerät – also etwa am Computer oder Smartphone – bzw. im Browser abgespeichert werden, wenn eine Website im Internetbrowser aufgerufen wird. Diese Textdateien können u.a. vom Webserver einer solchen Website ausgelesen werden.

Es gibt verschiedene Arten von Cookies. Eine Eingruppierung kann anhand ihrer Lebensdauer vorgenommen werden (etwa Sitzungscookies und persistente Cookies) oder anhand der Domain, zu der sie gehören (etwa Erstanbieter- und Drittanbieter-Cookies). Wenn der Webserver, der die Internetseite speist, Cookies auf dem Computer oder dem mobilen Endgerät des Nutzers speichert, spricht man von „HTTP-Header-Cookies“. Ferner können Cookies mittels JavaScript-Code gespeichert werden, der sich auf der Seite befindet oder dort referenziert wird (siehe die Schlussanträge des Generalanwalts in der Rechtssache C‑673/17 Rz 40 mwN).

Beispiel: Eine Website wird in fünf verschiedenen Sprachversionen angeboten. Beim erstmaligen Aufruf der Website wählen Sie die Sprachversion „Deutsch“ aus. Auf Ihrem Endgerät wird nun eine Textdatei (ein „persistentes Cookie“) samt der Information hinterlegt, dass Sie die Website in der deutschen Sprache verwenden wollen. Wenn Sie die Cookies nicht löschen und mit demselben Browser die Website erneut aufrufen, so weiß die Website aufgrund des hinterlegten Cookies, dass die Website in deutscher Sprache angezeigt werden soll.

Die folgenden Informationen dienen dazu, die häufigsten Fragen zum Thema Cookies und Datenschutz zu beantworten.

WAS IST DER RECHTLICHE RAHMEN FÜR COOKIES?

Die Zulässigkeit für das Setzen oder Auslesen von Cookies ist grundsätzlich in Art. 5 Abs. 3 der Richtlinie 2002/58/EG idgF. geregelt. In Deutschland wurde diese Richtlinie von 2002 erst 2021 mit dem TTDSG umgesetzt. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) regelt Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz bei Telekommunikations- und bei Telemediendiensten.

Zusammengefasst kann gesagt werden, dass Cookies beim Aufruf einer Website nur dann ohne Einwilligung gesetzt oder ausgelesen werden dürfen, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann („technisch notwendige Cookies“).

Für alle „technisch nicht notwendigen Cookies“ (siehe Frage 5) muss eine Einwilligung eingeholt werden. Beim Bau einer Website ist dringend darauf zu achten, dass keine „technisch nicht notwendigen Cookies“ vor dem Einholen einer Einwilligung gesetzt werden. Die Bedingungen für eine solche Einwilligung richten sich nach Art. 4 Abs. 11 und Art. 7 DSGVO.

SIND COOKIES PERSONENBEZOGEN?

Cookies (oder besser gesagt: die in Cookies enthaltenen Informationen) sind nicht per se als personenbezogene oder nicht-personenbezogene Daten nach Art. 4 Z 1 DSGVO zu qualifizieren. Es kommt immer auf die Umstände des Einzelfalls an, insbesondere, welche Informationen in den Cookies enthalten sind und auf welche Weise diese Informationen miteinander kombiniert werden können.

Beispiel: Eine Website wird in fünf verschiedenen Sprachversionen angeboten. Beim erstmaligen Aufruf der Website wählen Sie die Sprachversion „Deutsch“ aus. Auf Ihrem Endgerät wird nun eine Textdatei (ein „Cookie“) samt der Information hinterlegt, dass Sie die Website in der deutschen Sprache verwenden wollen. Sofern diese Information (also Ihre Auswahl zur Spracheinstellung Deutsch) nicht mit Ihnen in Verbindung gebracht werden kann, handelt es sich um ein nicht-personenbezogenes Datum. Sofern der Website-Betreiber Ihre Spracheinstellung mit Ihnen in Verbindung bringen kann, zum Beispiel, weil Sie sich im Online-Shop der Website registrieren, handelt es sich um ein personenbezogenes Datum.

Es kann sein, dass Cookies auch sogenannte Universally Unique Identifier (UUID) beinhalten. Dabei handelt es sich vereinfacht gesagt um nutzerspezifische Identifikatoren, mit denen Endgeräte von Benutzern markiert werden. Die DSGVO spricht gemäß Erwägungsgrund 30 auch von Online-Kennungen. Zwar handelt es sich bei einer solchen Online-Kennung grundsätzlich nur um eine Markierung eines Endgeräts. Es gibt jedoch viele Mittel und Wege, ein Endgerät mit einer konkreten Person in Verbindung zu bringen, zum Beispiel, wenn sich eine Person auf der jeweiligen Website registriert oder ein Kontaktformular ausfüllt. In manchen Fällen kann eine derartige Online-Kennung samt dazugehörigen Nutzerinformationen auch mit einem Profil auf einer Social Media Plattform in Verbindung gebracht werden.

WANN SIND COOKIES „TECHNISCH NOTWENDIG“?

Für den Einsatz von „technisch notwendigen Cookies“ muss keine Einwilligung der Website-Besucher eingeholt werden (siehe Frage 2). In § 25 TTDSG ist es folgendermaßen geregelt:

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. […]“

Bedeutet konkret, dass nach deutschem Recht alle Information, dazu zählen Cookies, Web Storage, Web Beacons, Fingerprinting etc. einwilligungspflichtig sind, sofern diese nicht technisch für das Betreiben der Webseite notwendig sind:

„Die Einwilligung nach Absatz 1 ist nicht erforderlich, […] wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

 

Aus Sicht der österreichischen Datenschutzbehörde sind folgende Dienste aus technischer Sicht notwendig (und können daher entsprechende Cookies ohne Einwilligung gesetzt werden):

• Notwendige Sitzungsverwaltung (etwa Cookies zum Speichern des Warenkorbs im Rahmen eines Onlinekaufs oder Cookies zum Speichern des Login Status);
• Eingaben bei einem Online-Formular, wenn zum Abschicken des Formulars eine Eingabe über mehrere Unterseiten einer Website notwendig ist;
• Die Information über den Einwilligungsstatus, sofern hierfür keine eindeutige Online-Kennung vergeben wird.

Aus technischer Sicht nicht notwendig (und daher einwilligungsbedürftig) sind insbesondere jene Dienste, die das Nutzerverhalten von Personen auf der jeweiligen Website oder über mehrere Websites oder Endgeräte aufzeichnen und auswerten. Hierzu zählen aus Sicht der österreichischen Datenschutzbehörde insbesondere Plugins von Social Media Diensten oder Werbenetzwerken, deren Implementierung zur Folge hat, dass personenbezogene Daten der Website-Besucher an Dritte übermittelt werden.

Nach unserer Ansicht sind einige Tool weiterhin nutzbar. Da es einige cookielose Alternativen gibt und den Nutzer nicht personenbezogen tracken, ist dies vertretbar. Auch haben sich die deutschen Behörden noch nicht explizit mit Verboten gegenüber lokalem Hosting oder cookielosen Analyse-Tools geäußert. Die ist in näherer Zukunft weiter zu beobachten. Bleiben Sie hierzu mit Ihrem Projekt29-Datenschutzbeauftragten in Kontakt. Dieser wird Ihnen stetig die aktuellsten Handlungsempfehlungen bereitstellen.

AB WANN IST EIN CONSENT-BANNER NOTWENDIG?

Ein Cookie-Banner ist ein Fenster, welches beim Aufruf einer gewissen Website (mit leerem Browserprofil) auftaucht. Dieses Fenster wird üblicherweise dazu verwendet, die Einwilligung des Website-Besuchers für das Setzen und Auslesen von Cookies einzuholen. Eine solche Einwilligung muss aber nur dann vom Website-Besucher eingeholt werden, wenn „technisch nicht notwendige“ Cookies (siehe Frage 5) verwendet werden. Sofern keine „technisch nicht notwendigen“ Cookies auf der Website verwendet werden, ist auch keine Einwilligung und somit kein Cookie-Banner notwendig. Gem. unserer Einschätzung bei Projekt29 gibt es auch weiterhin Tools, welche ohne Einwilligung eingesetzt werden können. (Siehe „Wann sind Cookies „technisch notwendig?“) Fragen Sie auch hier Ihren persönlichen Projekt29-Datenschutzbeauftragten.

WIE MUSS EIN CONSENT-BANNER GESTALTET WERDEN?

Grundsätzlich steht es dem Website-Betreiber offen, den Cookie-Banner/Consent-Banner nach seinen Vorstellungen zu gestalten. Zu beachten gilt jedoch, dass sich die Bedingungen für die Einwilligung nach Art. 4 Abs. 11 und Art. 7 DSGVO richten (siehe Frage 2).Eine Einwilligung für das Setzen und Auslesen von „technisch nicht notwendigen“ Cookies sowie für die darauffolgende Datenverarbeitung ist daher nur wirksam, wenn die entsprechenden Vorgaben der DSGVO vollständig eingehalten werden.

Bei den Bedingungen der Einwilligung gibt es keine große Diskrepanzen zwischen den Aufsichtsbehörden in Europa:

• Erst Einwilligung, dann Cookies: Die Einwilligung ist vorab einzuholen. Beim Bau einer Website ist dringend darauf zu achten, dass keine „technisch nicht notwendigen Cookies“ vor dem Einholen einer Einwilligung gesetzt werden.
• Bewusstsein der betroffenen Person: Der betroffenen Person muss klar sein, dass sie eine Einwilligung abgibt. Ein Weitersurfen ohne Interaktion mit dem Cookie-Banner oder ein „versteckter Einwilligungsbutton“, der irrtümlich ausgewählt wird, kann nicht als unmissverständliche Einwilligung gewertet werden. Ebenso wenig kann von einer Einwilligung ausgegangen werden, bloß, weil eine betroffene Person das Setzen oder Auslesen von Cookies in den Browsereinstellungen grundsätzlich zulässt;
• Privacy by default: Die betroffene Person muss sich proaktiv für die Einwilligung entscheiden. Voreinstellungen oder vorangekreuzte Boxen im Cookie-Banner sind unzulässig.
• Freiwillig: Die Einwilligung muss freiwillig erfolgen. Der betroffenen Person dürfen keine Nachteile angedroht werden und sie darf keine Nachteile erleiden, wenn sie keine Einwilligung abgibt. Grundsätzlich ist es unzulässig, der betroffenen Person den Zugang zur Website im Falle der Nichtabgabe der Einwilligung zu verweigern (siehe aber Frage 9);
• Widerrufsmöglichkeit: Im Cookie-Banner muss klar und deutlich beschrieben werden, wo bzw. wie die Einwilligung widerrufen werden kann. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung;
• Erfüllung der Informationspflicht: Der betroffenen Person, muss klar sein, wofür die Einwilligung abgegeben wird. Dies setzt voraus, dass die Informationspflichten vollständig erfüllt werden (siehe Frage 11);
• Nichtabgabe einer Einwilligung ist so einfach wie die Abgabe der Einwilligung: Die Nichtabgabe einer Einwilligung (bzw. das Weitersurfen ohne Einwilligung) muss genauso einfach sein wie die Abgabe der Einwilligung. Mit anderen Worten: Für die Nichtabgabe einer Einwilligung dürfen nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein, als für die Abgabe der Einwilligung. Von der betroffenen Person kann nicht verlangt werden, dass sie auf einer Schaltfläche erst auf einer zweiten oder dritten Ebene die Entscheidung treffen kann, keine Einwilligung abzugeben.;
• Keine unfairen Praktiken: Die betroffene Person darf weder unmittelbar noch subtil zur Abgabe einer Einwilligung gedrängt werden (kein „nudging“). Es ist unzulässig, den Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) derart zu gestalten oder zu positionieren, dass dieser Button weniger prominent ist als der Button zur Abgabe einer Einwilligung.

Auch bei der Gestaltung eines DSGVO-Konformen Consent-Banners steht Ihnen Ihr Projekt29-Datenschutzbeauftragter zur Verfügung. Sofern Sie sich diesen Dienst über einen externen Auftragsverarbeiter ins Haus holen, beraten wir auch bei der Auswahl eines entsprechenden DSGVO-konformen Anbieters.

DÜRFEN DIE BUTTONS EINES CONSENT-BANNERS FARBLICH UNTERSCHIEDLICH GESTALTET WERDEN?

Es kann keine allgemeingültige Aussage darüber getroffen werden, welche Farben ein Button innerhalb eines Cookie-Banners haben muss. Maßstab für die Gültigkeit einer Einwilligung ist u.a., dass keine unfairen Praktiken verwendet werden. Es kommt daher auf eine Einzelfallbeurteilung an.

Wenn die Farbauswahl dazu führt, dass der Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) weniger gut sichtbar ist als der Button zur Abgabe einer Einwilligung, könnte dies zur Ungültigkeit der Einwilligungserklärung führen.

Beispiel: Ein Cookie-Banner hat einen weißen Hintergrund. Der Button zur Abgabe einer Einwilligung ist rot, der Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) ist weiß. Da der erste Button (rot) auf dem weißen Hintergrund gut sichtbar ist, der zweite Button (ebenso weiß) jedoch kaum wahrgenommen werden kann, kann von keiner gültigen Einwilligungserklärung ausgegangen werden. Die betroffene Person hatte nämlich keine zwei gleichwertigen Optionen bei ihrer Entscheidung.

Sofern zwei unterschiedliche Farben verwendet werden (grün/rot), spricht nichts gegen diese Gestaltung.

DÜRFEN COOKIES ÜBER PAYWALLS EINGEHOLT WERDEN?

Grundsätzlich ist zwischen „Paywall“ und „Cookiewall“ zu unterscheiden. Bei einer „Paywall“ wird ein Nutzer beim Besuch der Website aufgefordert, für den Zutritt zur Website Geld zu bezahlen. Dies hat grundsätzlich nichts mit Cookies zutun und ist zulässig, da ein jeder Website-Betreiber darüber entscheiden kann, ob der Zugang zum Inhalt seiner Website entgeltlich ist.

Davon zu unterscheiden ist wiederum die „Cookiewall“. Bei einer „Cookiewall“ kann man für den Zutritt zur Website entweder Geld bezahlen, alternativ kann die Einwilligung für den Einsatz von Cookies (üblicherweise Werbe-Cookies zum Ausspielen von personalisierter Werbung) abgegeben werden. Umgangssprachlich bezeichnet man dies auch als „pay or okay“.

Die Datenschutzbehörde hat bereits ausgesprochen, dass „pay or okay“ dem Grunde nach zulässig ist und ein Bezahlen für den Zugang zu einer Website eine Alternative zur Einwilligung darstellen kann. Auch einige deutsche Aufsichtsbehörden teilen diese Ansicht.

Für diese Entscheidung spricht, dass offenbar auch der europäische Gesetzgeber davon ausgeht, dass personenbezogene Daten – zumindest im gewissen Ausmaß – für den Erhalt einer Leistung bereitgestellt werden können (siehe die Richtlinie (EU) 2019/770 idgF.). Es ist jedoch ausdrücklich festzuhalten, dass dies die aktuelle Ansicht der Datenschutzbehörden darstellt und zu dieser Frage keine Judikatur des Europäischen Gerichtshofs vorhanden ist.

Nach geteilter Ansicht der Behörden müssen folgende Punkte beachtet werden:

• Die vollständige Einhaltung aller datenschutzrechtlichen Bestimmungen (insbesondere der DSGVO) für jene Datenverarbeitung, die aufgrund der Einwilligung („okay“) erfolgt;
• Es handelt sich um keine Behörden oder sonstige öffentliche Stellen;
• Keine Exklusivität in Bezug auf die angebotenen Inhalte oder Dienstleistungen, d.h. Unternehmen mit einem ausdrücklich öffentlichen (Versorgungs-) Auftrag oder Universaldienstleister können „pay or okay“ nicht zulässigerweise verwenden;
• Keine Monopol- oder Quasi-Monopolstellung des Unternehmens am Markt;
• Ein angemessener und fairer Preis für die Bezahlalternative („pay“), d.h. die Bezahlalternative darf nicht pro forma zu einem völlig unrealistisch hohen Preis angeboten werden;
• Wenn sich ein Nutzer mithilfe der Bezahlalternative Zugang zur Website verschafft, so dürfen diesfalls keine personenbezogenen Daten zum Zwecke der personalisierten Werbung verarbeitet werden.

 

Das Original-FAQ der österreichischen Datenschutzbehörde finden Sie hier: https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html#Frage_4 . In diesem P29-Artikel wurden bewusst nicht alle FAQ-Punkte aufgenommen. Sofern Sie jedoch Fragen zu einzelnen FAQ-Punkten haben, wenden Sie sich an Ihren Projekt29-Datenschutzbeauftragten.