Cookies und der Datenschutz
Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?
Die EU Cookie Richtlinie
Die EU Rechtsvorschrift ist im Grunde unmissverständlich formuliert. Sofern auf dem Endgerät bei Nutzern Informationen gespeichert oder abgerufen werden und soweit dies nicht technisch zwingend erforderlich ist, braucht es die Einwilligung der Betroffenen.
Artikel 5 Abs 3 der EU-Richtlinie 2009/61/EG setzt folgendes fest:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG *) u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
*) Diese Richtlinie wurde durch die DSGVO (EU) 2016/679 am 25. Mai 2018 abgelöst.
Nachdem es sich dabei jedoch um eine Richtlinie handelt, muss diese in nationales Recht umgewandelt werden, um im jeweiligen EU Mitgliedsstaat rechtswirksam zu werden. Im Zuge dieses Verfahrens kommt es nicht selten zu nationalen „Anpassungen”, die teilweise die ursprüngliche Intention abmildern oder sogar ausheben.
Rechtliche Umsetzung der EU Cookie Richtlinie in Österreich
In Österreich wurde die Richtlinie im Telekommunikationsgesetz geregelt, §96 Absatz 3 TKG (2003).
§96 Absatz 3 TKG (2003)
Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.
Die wesentlichen Aspekte der EU Cookie Richtlinie wurden hier zwar legistisch umgesetzt, aber im selben Gesetz faktisch entschärft. Denn die Verwaltungsstrafbestimmungen sehen bei einem Verstoß laut §109 Absatz 3 zwar eine Geldstrafe bis zu 37.000 Euro vor, jedoch nach Nummer 16 nur dann, wenn der Teilnehmer nicht informiert wurde. Dem Umstand, dass zur Informationspflicht auch eine Einwilligungspflicht besteht, wird in den Verwaltungsstrafbestimmungen nicht Rechnung getragen. Eine Rechtsdurchsetzung der Verpflichtung zur Einwilligung aus §96 Absatz 3 ist damit deutlich erschwert, in der Praxis quasi nicht zu erwarten.
Die Wirtschaftskammer Österreich (WKO) erläutert das unter der Überschrift „Besonderheit nach dem TKG” folgendermaßen: Eine der relevantesten Abweichungen im TKG besteht darin, dass in den erläuternden Bemerkungen zum TKG (bzw entsprechend auch in den Erwägungsgründen der E-Privacy-Richtlinie, auf deren Basis das TKG umgesetzt wurde) festgehalten wird, dass auch in einer Browsereinstellung, welche Cookies zulässt, eine (schlüssige) Einwilligung liegen kann. Grundsätzlich sind schlüssige Einwilligungen auch nach der DSGVO zulässig.
Zudem ist wird es in Österreich offenbar als ausreichend betrachtet, wenn die Information im „Rahmen der Allgemeinen Geschäftsbedingungen” geleistet wird. Entsprechend waren in Österreich sogenannte „Cookie-Banner” nicht erforderlich.
Die österreichische Rechtspraxis ist, im Sinne einer jüngste Entscheidung des Europäischen Gerichtshofs (EuG,H), allerdings nicht EU-rechtskonform.
Der Europäische Gerichtshof (EuGH) widerspricht Österreichischer Rechtspraxis
Der EuGH hat am 01.10.2019 in der Rechtssache C-673/17 entschieden, dass für das Setzen von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Der EuGH verweist dabei auf Artikel 7 der EU Richtlinie 95/46: Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn […] der folgenden Voraussetzungen erfüllt ist: a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
, und keine der folgenden Gründe zutreffen, wie (b) Erfordernis zur Vertragserfüllung, (c) einer rechtlichen Verpflichtung, die der Betroffene unterliegt, (d) zur Wahrung lebenswichtiger Interessen Betroffener, (e) ein öffentliches Interesse vorliegt, bzw. sie in Ausübung der öffentlichen Gewalt erfolgt, (f) sofern berechtigte Interessen gegenüber den Grundrechten und Grundfreiheiten der betroffenen Person nicht überwiegen.
DSGVO und Cookies
Die Verwendung von Cookies fällt unter die DSGVO, soweit dabei personenbezogene Daten im Sinne des Artikel 4 Nummer. 1 und 2 DSGVO verarbeitet werden.
Artikel 4 DSGVO, Begriffsbestimmungen
[Im Sinne dieser Verordnung bezeichnet der Ausdruck:]
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Bis auf technisch erforderliche Cookies weisen die meisten Cookies personenbezogene Bezüge auf, zumindest in dem Sinn, dass die Daten mit geringem Aufwand einer Person zugeordnet werden können. Insofern ist für die Nutzung von Cookies die DSGVO in den allgemeinen Grundsätzen („lex generalis”) zu berücksichtigen.
Das bedeutet, dass für eine Einwilligung die Kriterien der DSGVO anzusetzen sind (siehe Was sind die Bedingungen für eine Einwilligung im Sinne der DSGVO?)
und die Informationspflicht jedenfalls den Zweck der Verarbeitung umfassen muss.
Mit Verweis auf Artikel 10 der EU Richtlinie 95/46 sind darüber hinaus anzugeben:
- Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters
- weitere Informationen, beispielsweise betreffend
- die Empfänger oder Kategorien der Empfänger der Daten,
- die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
- das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
Der EuGH stellt in seinem Urteil vom 1.10.2019 zudem fest, dass Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat
.
Inwieweit darüber hinaus Angaben zur rechtlichen Grundlage der Verarbeitung zwingend erforderlich sind, dazu wird von der EU ePrivacy Verordnung Klärung erwartet („lex specialils”). Das trifft auch auf die weiteren Punkte der in der DSGVO geregelten Informationspflicht zu.
EU ePrivacy Verordnung
Eigentlich sollte die EU ePrivacy Verordnung (ePVO) zusammen mit der EU DSGVO im Mai 2018 in Kraft treten und damit die entsprechende Richtlinie ablösen. Zwei Jahre später gibt es noch keinen Konsens über den Entwurf. Aber immerhin hat die EU Kommission und Ursula von der Leyen jenen Lobbies eine Abfuhr erteilt, die forderten, man müsse wieder von vorne beginnen und die ePVO neu aufsetzen. Statt dessen hält die EU Kommission am Entwurf (2017) grundsätzlich fest. (Siehe: E-Privacy Verordnung (ePVO)
)
War die Lobby gegen ePVO unter der EU Ratspräsidentschaft Österreich schon massiv am Werk („Schutz gegen Tracking unerwünscht: Österreich verschiebt ePrivacy-Reform auf den St. Nimmerleinstag”), so scheint sie die EU Ratspräsidentschaft Kroatiens gänzlich im Griff zu haben. Es wird die grundsätzliche Einwilligungspflicht in Frage gestellt und stattdessen ein „berechtigtes Interesse” im Entwurf vom 21.2.2020 eingeführt.
Substantiell bleiben die Regelungen der EU Privacy Richtlinie aufrecht, werden konkretisiert und vor allem in einer EU Verordnung als EU Gesetz in dieser Form für alle Mitgliedsstaaten als verbindlich erklärt. Damit müssten alle EU Mitgliedsländern, die die Richtlinie bei der Umsetzung in nationales Recht „etwas zu großzügig” auslegten und damit entschärften, EU Recht folgen und durchsetzen.
Dieser Beitrag könnte Sie ebenfalls interessieren:
Cookies: Beispiele aus der Praxis Zahllose Webseiten sind bezüglich des Gebrauchs von Cookies trotz Cookie Richtlinie und aktuellem EuGH Urteil vom 1. Oktober 2019 immer noch nicht gesetzeskonform. Diese Seite bringt Beispiele und zeigt die Problematik auf. Mehr lesen...
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
DSGVO Assessment
Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines
Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
6 Kommentare, 1 webmention
Kommentar von: Zehm Besucher
Herr Scholl bringt das auf den Punkt: der “Graubereich” ist wirklich immens beim Internet Recht! Und sehr viele Juristen verdienen an der Unkenntnis der User ! Ich wollte auf keinen Fall die Webseite von Herrn Dr. Lienhardt kritisieren! Im Gegenteil , ich fand schon sehr viele hilfreiche Beiträge! Und unter Datenschutz von fokus.genba steht ja ausdrücklich, es werden keinerlei Daten an dritte weiter gegeben ! Allerdings, die andere Webseite von Dr. Lienhardt : https://www.npo-consulting.net/impressum …da kann man Cookies komplett ablehnen - was ich richtig finde und der Richtlinie 2002/58/EG entspricht! Ganz egal was die ePrivacy Verordnung bringt - ich kenne bis jetzt nur den Vorschlag: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A52017PC0010 Ganz egal was sich EU-Juristen im Namen der Reichen ausdenken werden , solange die Cookie Richtlinie von 2002 nicht aufgehoben wird, gilt die Regelung: der User muss die Gelegenheit haben Cookies ablehnen zu können! Die juristische Kunst von vielen Rechtsverdrehern auf Webseiten ist ja : das Gesetz so darzustellen , als ob es eine “Erlaubnis” wäre dem User doch persönliche Daten abzuknöpfen und damit ein Geschäft im Sinne der Gewerbeordnung § 151 zu machen! Das ist schon eine ganz neue Art von Juristen, die diese Datenschutz Darstellungen für Webseiten erstellen !
Kommentar von: cal Mitglied
Hallo Herr Zehm,
Sie erwähnen in Ihrem Kommentar den Entwurf der e-Privacy Verordnung in der Fassung von 2017. Nach einer Reihe von gescheiterten Versuchen, für diesen Entwurf trotz einiger Änderungsvorschläge eine Beschlussmehrheit im EU Rat zu finden, einigten sich am 10. Februar 2021 schließlich die EU Mitgliedsstaaten im EU Rat unter portugiesischen Vorsitz (mit den Stimmenthaltungen von Deutschland und Österreich) auf eine gemeinsame Fassung der EU e-Privacy Verordnung (ePVO). Dazu habe ich folgenden Beitrag geschrieben: E-Privacy Verordnung (ePVO)) – Dort finden Sie auch einen Link auf die aktuelle Fassung.
Nun bleibt abzuwarten, wie sich das EU Parlament dazu verhalten wird.
Kommentar von: W.M.Zehm Besucher
Ein guter Artikel über das DSGVO ! Allerdings sollten die Betreiber von Fokus.Genba auch den Artikel über “Cookie Zwang ist illegal - keine Cookies nötig! auch mal lesen : https://www.wipiweb.com/cookie-zwang Man kann auf der Webseite von Fokus.Genba leider keine Cookies ablehnen - obwohl das gesetzlich vorgeschrieben wäre…..!
Kommentar von: cal Mitglied
Hallo Herr Zehm,
vielen Dank für Ihren Kommentar. Das mit Cookies und Cookie-Bannern ist nicht ganz so einfach. Gemäß DSGVO wäre bei fokus.genba kein Cookie-Banner erforderlich und damit auch keine Einwilligung, denn es werden beim Besuch der Seite keine personenbezogenen Daten verarbeitet, auch kein personenbezogenes Tracking genutzt. Die gesetzten Cookies sind erforderliche Systemcookies und das Matomo Cookie verarbeitet anonymisiert IP Adressen. Matomo selbst wird auf eigenem Server in Österreich gehostet. Zudem lässt sich das Matomo Cookie für das ebenfalls berechtigte Interessen geltend gemacht werden, auf der Seite ‚Datenschutzerklärung’ deaktivieren.
Das ist auch durch eine Stellungnahme der Österreichischen Datenschutzbehörde und deren eigene Praxis gedeckt.
Warum also dann dennoch der Cookie-Banner? Letztlich ist dies einer gewissen Rechtsunsicherheit geschuldet und so jedenfalls wird zusätzlich zur Information in der Datenschutzerklärung der Informationspflicht entsprochen.
Es bleibt zu hoffen, dass sich EU Ministerrat und EU Parlament bald zur EU ePrivacy Verordnung einigen können und diese in Kraft treten kann. Dann wird es auch EU-weite Rechtssicherheit geben. Die Cookie Richtlinie ist in den EU Mitgliedsländern durchaus unterschiedlich in nationales Recht umgesetzt worden.
Kommentar von: Zehm Besucher
@Herr Cal
Ich bin es gar nicht gewohnt, dass man mir auf ein Kommentar antwortet.
Richtigstellung: die EU ist sehr wohl eine Gemeinschaft mit verbindlichen Richtlinien und Gesetzen!
Die Richtlinie 2002/58/EG ist seit 2002 in Kraft und rechtsgültig!
Eigenartiger Weise vergessen die meisten Webseiten dieses kleine “unwichtige” Gesetz zu erwähnen !
Das DSGVO ist kein Erlaubnisgesetz für Firmen, die im Hintergrund als Daten Händler agieren ! Es klingt sehr wohlwollend auf das DSGVO aufmerksam zu machen , indem ein Webseiten Betreiber darauf hinweist, was er anscheinend dürfte…..!
Seite 2002 steht ganz klar in einem einheitlichen Gemeinschaftsgesetz der EU:
https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32002L0058
unter Erwägungsgrund 25:
“Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen”
Dieser kleine “unwichtige” Satz wird ganz einfach ignoriert, man macht dem User klar, man dürfe und müsse auf alle Fälle Cookies setzen! Was natürlich Nonsens ist - denn es gibt keine “notwendigen” Cookies!
Webseiten Betreiber die so dringend auf die Datenschutz Richtlinien aufmerksam machen, und dabei unbedingt Cookies setzen wollen, sind immer illegale Daten Händler!
Sonst könnte man leicht einen Link mit “ablehnen” der Cookies setzen!
Facebook und Google macht es vor, wie man mit Daten Handel viel Geld macht! Beide Firmen sind X-mal vorbestraft wegen illegalen Datenhandels!
Das wird auch in meinem anderen Artikel deutlich beschrieben: https://www.wipi.at/illegaler-datenhandel
Es ist ein schäbiges Geschäft, welches darauf beruht: “die Unkenntnis der Gesetze ” durch User!
Warum schreibt denn die Webseite Fokus.genba nicht auf der Startseite: “Cookies kann man ablehnen - wir sind keine Datenhändler"???
Kommentar von: cal Mitglied
Hallo Herr Zehm,
im Unterschied zu einer EU-Verordnung, die geltendes EU Recht darstellt und für alle EU Mitgliedsländer verbindlich ist (siehe EU Datenschutzgrundverordnung | DSGVO) ist eine EU Richtlinie zunächst nur eine Richtlinie.
In den einzelnen EU Mitgliedsstaaten muss die Richtlinie erst durch die Legislative als Gesetz beschlossen werden. Daher werden Richtlinien in unterschiedlichen EU Mitgliedsstaaten durchaus unterschiedlich umgesetzt.
Wie es sich mit der sog. EU Cookie Richtlinie und deren Umsetzung in Österreich verhält habe ich unter Cookies und der Datenschutz versucht darzustellen - mit Hinweis auf die Problematik einer EU-konformen Umsetzung.
Webmention von: fokus.genba.org Besucher
https://fokus.genba.org/cookie-praxis-nogo Cookie Praxis – Zahllose Seiten sind bezüglich des Gebrauchs von Cookies trotz Cookie Richtlinie und aktuellem EuGH Urteil vom Oktober 2019 immer noch nicht gesetzeskonform. Diese Seite bringt Beispiele und zeigt die Problematik auf.
Formular wird geladen...