Cookie-Rezept zum Nachmachen

201730.06.

Werden personenbezogene Daten beim Besuch Ihrer Webseite verarbeitet? Werden Google‑Produkte wie AdWords, AdSense und DoubleClick verwendet? Nutzen Sie Statistik Tools wie Google Analytics oder Piwik? Werden statische oder dynamische IP-Adressen gespeichert? – Wenn Sie auch nur eine dieser Fragen mit „vielleicht“ beantworten, nutzt Ihre Webseite höchstwahrscheinlich Cookies. Diese kleinen Textdateien, die durch lokale Speicherung bestimmter Informationen nicht nur das Internetsurfen komfortabler machen, sondern auch umfassendes Profiling der Nutzer ermöglichen, geraten immer mehr in den Fokus der Datenschützer. Viele Webseiten verfügen nach wie vor über unzureichende Cookie-Informationen und/oder Zustimmungsrechte. Mit Inkrafttreten der Datenschutzgrundverordnung („DSGVO“) am 25. Mai 2018 soll zeitgleich eine neue E-Privacy-Verordnung verabschiedet werden. Der derzeitige Entwurf des Verordnungstextes lehnt sich bereits stark an der DSGVO an. Dies könnte künftig bei Verstößen im Bereich Cookies auch Höchststrafen im Ausmaß der DSGVO bedeuten.

Es ist höchste Zeit zu überprüfen, ob Ihre Webseite die Informationspflichten und Zustimmungserfordernisse nach den neuen EU-Vorschriften erfüllt!

Artikel

Was machen Kekse im Internet?

Cookies machen das Surfen für den Nutzer komfortabler: bevorzugte Spracheinstellungen, Schriftgrößen, Warenkorb-Inhalte und Login-Daten werden automatisch am eigenen Rechner gespeichert und beim nächsten Besuch der Webseite wieder an den Informationsanbieter gesendet und angewendet. Sogenannte "Tracking"-Cookies ermöglichen, es gleichzeitig auch das Surf-, Such- und Einkaufsverhalten von Nutzern über mehrere Homepages hinweg zu analysieren – wertvolle Informationen für Werbeunternehmen.

Es wird in Sitzungscookies, die bei Schließen des Browsers automatisch gelöscht werden, und persistente Cookies, die bis zu einem festgelegten Ablaufdatum am Rechner des Nutzers erhalten bleiben, sowie in First-Party-Cookies, die vom Anbieter des genutzten Dienstes ausgehen, und Third-Party-Cookies, die von einer anderen als der gerade besuchten Webseite kommen, unterschieden. Generell gilt: Je länger, je mehr und je stärker personenbezogene Daten gespeichert werden und je loser der Zusammenhang mit dem ursprünglichen Zweck, desto mehr muss informiert werden und desto strenger sind die Erfordernisse für Zustimmungserklärungen.

Schritt eins: Information!

Werden personenbezogene Daten gespeichert, sind zwingend zusätzlich zu den bestehenden Informationspflichten nach dem Telekommunikationsgesetz ("TKG") auch die erweiterten Informationspflichten nach der neuen DSGVO zu beachten. Als personenbezogen gelten jedenfalls Name, Geburtsdatum, Kontonummer und statische IP-Adressen. Dynamische IP-Adressen sind nicht per se personenbezogen, sondern nur dann, wenn der Webseitenbetreiber über rechtliche Mittel verfügt, die vernünftigerweise eingesetzt werden können, um Personenbezug herzustellen.

  • 96 Abs 3 TKG verpflichtet den Webseitenbetreiber "den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden". Der Informationspflicht kann grundsätzlich durch Aufnahme einer Datenschutzerklärung im Impressum nachgekommen werden. Diese hat auch die Information zu enthalten, dass Cookies durch entsprechende Browserweinstellungen abgelehnt werden können.

Art 13 DSGVO erweitert ab 25. Mai 2018 den verpflichtenden Informationsumfang auf

  • Name und Kontaktdaten des Verantwortlichen,
  • Empfänger und Empfängerkreise der Daten in der EU und in Drittstaaten,
  • Belehrung über die Rechte der Auskunft,
  • Richtigstellung und Löschung,
  • Einschränkung der Verarbeitung,
  • Widerspruch und Datenübertragbarkeit,
  • Beschwerdemöglichkeit bei einer Aufsichtsbehörde,
  • ob eine Verpflichtung besteht, die Daten bereit zu stellen, oder dies Bedingung für einen Vertragsabschluss ist,
  • den logischen Ablauf automatisierter Einzelentscheidungen einschließlich Profiling und deren Folgen für die Betroffenen,
  • ob die Daten für weitere Zwecke verwendet werden sollen und ob die Verarbeitung aufgrund eines überwiegenden Interesses des Auftraggebers oder eines Dritten erfolgt.

Beruht die Verarbeitung auf einer Einwilligung, bedarf es weiters der Information über das Recht, die Einwilligung jederzeit zu widerrufen. Noch weiter geht die Informationspflicht, wenn die Daten nicht beim Betroffenen selbst erhoben wurden (siehe dazu Art 14 DSGVO).

Schritt zwei: Zustimmung erforderlich!

Erst der umfassend informierte Nutzer kann zur Verwendung von Cookies seine wirksame Zustimmung abgeben. Diese muss zwingend vor Beginn der Datenverwendung erfolgen. Die erläuternden Bemerkungen zur Regierungsvorlage zu § 96 Abs 3 TKG erwähnen zwar, dass die Zustimmung über die entsprechenden Browser-Einstellungen erfolgen kann, dies setzt allerdings im Sinne des Transparenzgebots voraus, dass der User von der Setzung von Cookies informiert wird, und zwar in klarer und verständlicher Form, bestenfalls direkt auf der Startseite. Die Artikel-29-Gruppe (europäisches Datenschutzgremium) geht weiters von einer aktiven Zustimmungspflicht des Users aus. Obwohl es sich bei den Ausführungen dieses Gremiums um keine verbindliche Rechtsmeinung handelt, wird dies in der Praxis als bindend gelebt. Derzeit empfehlenswert ist daher der Einsatz von Cookie-Klickfenstern, die den User direkt bei Aufruf der Webseite (noch bevor Cookies überhaupt gesetzt werden) über die Verwendung und den Zweck von Cookies aufklären und eine aktive Handlung des Nutzers zur Zustimmung (wie ein Kästchen zum Anklicken) sowie einen Link zu näheren Informationen vorsehen. Diskutiert wurde von der Art 29 Gruppe auch eine Auswahlmöglichkeit der Zustimmung hinsichtlich aller oder nur einzelner Cookies. Einen ähnlichen Lösungsansatz soll womöglich die im Entwurfsstadium befindliche E-Privacy Verordnung bringen. Im Sinne der DSGVO darf eine Verwendung von personenbezogenen Daten insgesamt nur solange erfolgen, als dies zweckentsprechend ist. Auch für Cookies gilt daher der Grundsatz der Datenminimierung. Ist das Setzen von Cookies für den Dienst einer Webseite daher nicht zwingend erforderlich, sollte dieses unterlassen werden. Werden dennoch Cookies gesetzt, um einen speziellen Zusatzdienst zu ermöglichen, sollte hier dem Nutzer ein Optionsrecht eingeräumt werden, die Website aber auch ohne den Zusatzdienst nutzbar bleiben.

Schritt drei: Brauche ich doch keine Zustimmung?

Eine Zustimmung zur Verwendung von Cookies ist allerdings gemäß der Stellungnahme der Artikel-29-Gruppe nicht erforderlich:

  1. wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, wobei hier jedwede Art des Datenaustauschs gemeint ist. Darunter fallen zum Beispiel Lastenverteilungs-Sitzungscookies, die dazu dienen, die Verbindungsendpunkte zu identifizieren und Webserveranfragen auf einen Serverpool zu verteilen. Für diese Ausnahme vom Zustimmungserfordernis muss die Übertragung der Nachricht ohne Cookie absolut unmöglich sein.
  2. solange eine Speicherung unbedingt notwendig ist, damit der Anbieter eines Dienstes der vom Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Nach Erbringung des Dienstes sind die Daten zu löschen. Für diese Ausnahme muss der User selbst aktiv etwas unternommen haben, um einen bestimmten Dienst zu nutzen, zum Beispiel Ausfüllen eines Formulars, in dem die Eingaben bis zum Absenden durch Cookies gespeichert werden, Befüllen eines Warenkorbs oder Nutzung eines Online-Bankings, welches mit Authentifizierungs-Cookies funktioniert, die dafür sorgen, dass der Nutzer sich nicht auf jeder Seite neu einloggen muss, weil seine Daten für die Dauer der Sitzung gespeichert werden. Persistente Authentifizierungscookies, bei denen der Nutzer auch über die Sitzung hinaus angemeldet bleibt, sind jedoch zur Nutzung des Dienstes nicht unbedingt erforderlich und daher nicht von der Ausnahme umfasst. In der Praxis kann dies durch eine beim Einloggen anzuklickende Schaltfläche mit entsprechendem Hinweis gelöst werden: wie zum Beispiel "angemeldet bleiben (verwendet Cookies)". Generell ist bei dieser Ausnahme immer im Einzelfall zu prüfen, ob das Cookie aus Sicht des Nutzers unbedingt erforderlich ist, um den nachgefragten Dienst zu nutzen.

Tracking-Cookies

Diese Art von Cookies dient dazu, das Nutzerverhalten über mehrere Webseiten hinweg zu überwachen. In den allermeisten Fällen sind diese Cookies nicht von einer Ausnahme vom Zustimmungserfordernis erfasst, da sie für den Nutzer nicht unbedingt notwendig sind. Vielmehr dienen sie der Erstellung von Statistiken, Nutzerprofilen und zu Werbezwecken. Dazu zählen zum Beispiel die Social-Media Plug-Ins: Werden Daten von Mitgliedern des jeweiligen sozialen Netzwerks gesammelt, so kann angenommen werden, dass dieser Dienst vom Mitglied ausdrücklich gewünscht wird. Sammeln die Plug-Ins jedoch Daten von Nichtmitgliedern, wäre eine Zustimmungserklärung erforderlich.

Beliebte Analysedienste wie Google Analytics nutzen First-Party-Analysecookies. Solche sind ebenfalls nicht "unbedingt erforderlich" für den Nutzer, weshalb streng genommen vor Einsatz des Tools die Zustimmung eingeholt werden müsste. Laut Artikel 29-Gruppe stellen First-Party-Analysecookies allerdings kaum ein Datenschutzrisiko dar. Die Daten werden anschließend an Google übertragen (Auftragsverarbeitung). Da Google seine Server in den USA hat (Drittstaat), ist eine Maskierung der IP‑Adresse (personenbezogenes Datum), die mittlerweile von Google angeboten wird und nur in den Einstellungen aktiviert werden muss, notwendig. Außerdem bedarf es zwingend einer Aufklärung der Nutzer, dass Google Analytics verwendet wird. Diese kann im Impressum erfolgen.

Strengere Anforderungen gelten bei Third-Party-Analysecookies wie Google Adwords, bei denen zur Personalisierung der Werbeeinschaltungen Cookies direkt von Google beim Nutzer gespeichert werden.

E-Privacy Verordnung – Ein Blick in die Zukunft der Cookies

Im Januar 2017 veröffentlichte die Kommission einen Entwurf für eine neue E-Privacy Verordnung, die die E-Privacy Richtlinie (RL 2002/58/EG) ersetzen soll. Sie stellt eine Spezialregelung zur DSGVO dar und soll diese im Hinblick auf elektronische Kommunikationsdienste präzisieren und ergänzen. Außerdem erweitert sie den Anwendungsbereich der DSGVO im Bereich elektronische Kommunikation auch auf juristische Personen und übernimmt deren strenge Voraussetzungen auch für den B2B Bereich.

Die Kommission hat erkannt, dass die derzeitige (unsichere) Rechtslage zu einem standardmäßigen Einsatz von Cookie-Klickfenstern und zu einer Überhäufung von Endnutzern mit Einwilligungsanfragen geführt hat. Beim Besuch praktisch jeder Webseite wird der Nutzer sofort von unansehnlichen Bannern, Pop-Ups und ähnlichem erwartet, die ihm seine Zustimmung zum Einsatz von Cookies abverlangen, bevor er überhaupt die Webseite betrachten kann. Dies ist nicht nur mit erheblichen Kosten für Unternehmen verbunden, sondern mitunter auch überschießend und letztlich für den Endnutzer nicht mehr transparent. Transparente und benutzerfreundlichere Lösungen sind durch die E-Privacy Verordnung angedacht, und damit gehören Cookie-Banner und -Hinweise vielleicht bald der Vergangenheit an. Zustimmungserklärungen der Endnutzer sollen in die Browser-Einstellungen verschoben werden, wo sie nach umfassender Information differenziert nach bestimmten Arten von Cookies erteilt werden können; verschiedene Sicherheitsstufen von "Cookies niemals annehmen" über "Cookies von Drittanbietern zurückweisen" bis hin zu "Alle Cookies annehmen" sollen zur Verfügung stehen. Dadurch soll der Internetbrowser zum "Torwächter" werden und den Endnutzern helfen, das Speichern unerwünschter Informationen zu verhindern. Ausnahmen vom Zustimmungserfordernis des Endnutzers soll es weiterhin geben: Beispielsweise das Speichern technischer Daten, um die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes überhaupt zu ermöglichen oder das Speichern von Cookies für die Dauer einer für den Besuch einer Webseite einmal aufgebauten Sitzung, um Eingaben von Endnutzern in Formularen zu verfolgen. Das Ziel der Kommission, die E‑Privacy Verordnung gleichzeitig mit der DSGVO am 25. Mai 2018 in Kraft zu setzen, wird angesichts der zahlreichen Kritikpunkte, die von der Artikel-29-Gruppe, dem EU-Parlament und den nationalen Parlamenten bereits geäußert wurden, schwierig einzuhalten sein. Es gilt jedoch die weitere Entwicklung der E-Privacy Verordnung aufmerksam zu verfolgen, weil durch sie nochmals signifikante Änderungen zur DSGVO im Bereich elektronische Kommunikation erfolgen können.