Cookies und der Datenschutz

Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?

Die EU Cookie Richtlinie

Die EU Rechtsvorschrift ist im Grunde unmissverständlich formuliert. Sofern auf dem Endgerät bei Nutzern Informationen gespeichert oder abgerufen werden und soweit dies nicht technisch zwingend erforderlich ist, braucht es die Einwilligung der Betroffenen.

Nachdem es sich dabei jedoch um eine Richtlinie handelt, muss diese in nationales Recht umgewandelt werden, um im jeweiligen EU Mitgliedsstaat rechtswirksam zu werden. Im Zuge dieses Verfahrens kommt es nicht selten zu nationalen „Anpassungen”, die teilweise die ursprüngliche Intention abmildern oder sogar ausheben.

Rechtliche Umsetzung der EU Cookie Richtlinie in Österreich

In Österreich   wurde die Richtlinie im Telekommunikationsgesetz geregelt, §96 Absatz 3 TKG (2003).

Die wesentlichen Aspekte der EU Cookie Richtlinie wurden hier zwar legistisch umgesetzt, aber im selben Gesetz faktisch entschärft. Denn die Verwaltungsstrafbestimmungen sehen bei einem Verstoß laut §109 Absatz 3 zwar eine Geldstrafe bis zu 37.000 Euro vor, jedoch nach Nummer 16 nur dann, wenn der Teilnehmer nicht informiert wurde. Dem Umstand, dass zur Informationspflicht auch eine Einwilligungspflicht besteht, wird in den Verwaltungsstrafbestimmungen nicht Rechnung getragen. Eine Rechtsdurchsetzung der Verpflichtung zur Einwilligung aus §96 Absatz 3 ist damit deutlich erschwert, in der Praxis quasi nicht zu erwarten.

Die Wirtschaftskammer Österreich (WKO) erläutert das unter der Überschrift „Besonderheit nach dem TKG” folgendermaßen: Eine der relevantesten Abweichungen im TKG besteht darin, dass in den erläuternden Bemerkungen zum TKG (bzw entsprechend auch in den Erwägungsgründen der E-Privacy-Richtlinie, auf deren Basis das TKG umgesetzt wurde) festgehalten wird, dass auch in einer Browsereinstellung, welche Cookies zulässt, eine (schlüssige) Einwilligung liegen kann. Grundsätzlich sind schlüssige Einwilligungen auch nach der DSGVO zulässig.   

Zudem ist wird es in Österreich offenbar als ausreichend betrachtet, wenn die Information im „Rahmen der Allgemeinen Geschäftsbedingungen” geleistet wird. Entsprechend waren in Österreich sogenannte „Cookie-Banner” nicht erforderlich.

Die österreichische Rechtspraxis ist, im Sinne einer jüngste Entscheidung des Europäischen Gerichtshofs (EuG,H), allerdings nicht EU-rechtskonform.

Der Europäische Gerichtshof (EuGH) widerspricht Österreichischer Rechtspraxis

Der EuGH hat am 01.10.2019 in der Rechtssache C-673/17 entschieden, dass für das Setzen von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Der EuGH verweist dabei auf Artikel 7 der EU Richtlinie 95/46: Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn […] der folgenden Voraussetzungen erfüllt ist: a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;, und keine der folgenden Gründe zutreffen, wie (b) Erfordernis zur Vertragserfüllung, (c) einer rechtlichen Verpflichtung, die der Betroffene unterliegt, (d) zur Wahrung lebenswichtiger Interessen Betroffener, (e) ein öffentliches Interesse vorliegt, bzw. sie in Ausübung der öffentlichen Gewalt erfolgt, (f) sofern berechtigte Interessen gegenüber den Grundrechten und Grundfreiheiten der betroffenen Person nicht überwiegen.  

DSGVO und Cookies

Die Verwendung von Cookies fällt unter die DSGVO, soweit dabei personenbezogene Daten im Sinne des Artikel 4 Nummer. 1 und 2 DSGVO verarbeitet werden.

Bis auf technisch erforderliche Cookies weisen die meisten Cookies personenbezogene Bezüge auf, zumindest in dem Sinn, dass die Daten mit geringem Aufwand einer Person zugeordnet werden können. Insofern ist für die Nutzung von Cookies die DSGVO in den allgemeinen Grundsätzen („lex generalis”) zu berücksichtigen.

Das bedeutet, dass für eine Einwilligung die Kriterien der DSGVO anzusetzen sind (siehe Was sind die Bedingungen für eine Einwilligung im Sinne der DSGVO?)und die Informationspflicht jedenfalls den Zweck der Verarbeitung umfassen muss.

Mit Verweis auf Artikel 10 der EU Richtlinie 95/46 sind darüber hinaus anzugeben:

1. Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters
2. weitere Informationen, beispielsweise betreffend
   • die Empfänger oder Kategorien der Empfänger der Daten,
   • die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
   • das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Der EuGH stellt in seinem Urteil vom 1.10.2019 zudem fest, dass Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.

Inwieweit darüber hinaus Angaben zur rechtlichen Grundlage der Verarbeitung zwingend erforderlich sind, dazu wird von der EU ePrivacy Verordnung Klärung erwartet („lex specialils”). Das trifft auch auf die weiteren Punkte der in der DSGVO geregelten Informationspflicht zu.

EU ePrivacy Verordnung

Eigentlich sollte die EU ePrivacy Verordnung (ePVO) zusammen mit der EU DSGVO im Mai 2018 in Kraft treten und damit die entsprechende Richtlinie ablösen. Zwei Jahre später gibt es noch keinen Konsens über den Entwurf. Aber immerhin hat die EU Kommission und Ursula von der Leyen jenen Lobbies eine Abfuhr erteilt, die forderten, man müsse wieder von vorne beginnen und die ePVO neu aufsetzen. Statt dessen hält die EU Kommission am Entwurf (2017) grundsätzlich fest. (Siehe: E-Privacy Verordnung (ePVO))

War die Lobby gegen ePVO unter der EU Ratspräsidentschaft Österreich schon massiv am Werk („Schutz gegen Tracking unerwünscht: Österreich verschiebt ePrivacy-Reform auf den St. Nimmerleinstag”), so scheint sie die EU Ratspräsidentschaft Kroatiens gänzlich im Griff zu haben. Es wird die grundsätzliche Einwilligungspflicht in Frage gestellt und stattdessen ein „berechtigtes Interesse” im Entwurf vom 21.2.2020 eingeführt.

Substantiell bleiben die Regelungen der EU Privacy Richtlinie aufrecht, werden konkretisiert und vor allem in einer EU Verordnung als EU Gesetz in dieser Form für alle Mitgliedsstaaten als verbindlich erklärt. Damit müssten alle EU Mitgliedsländern, die die Richtlinie bei der Umsetzung in nationales Recht „etwas zu großzügig” auslegten und damit entschärften, EU Recht folgen und durchsetzen.

Dieser Beitrag könnte Sie ebenfalls interessieren:

Cookies: Beispiele aus der Praxis Zahllose Webseiten sind bezüglich des Gebrauchs von Cookies trotz Cookie Richtlinie und aktuellem EuGH Urteil vom 1. Oktober 2019 immer noch nicht gesetzeskonform. Diese Seite bringt Beispiele und zeigt die Problematik auf. Mehr lesen...

Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
per E-Mail

Der Gesetzestext der DSGVO, EU-Lex