Cookies und der Datenschutz
Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?
Die EU Cookie Richtlinie
Die EU Rechtsvorschrift ist im Grunde unmissverständlich formuliert. Sofern auf dem Endgerät bei Nutzern Informationen gespeichert oder abgerufen werden und soweit dies nicht technisch zwingend erforderlich ist, braucht es die Einwilligung der Betroffenen.
Artikel 5 Abs 3 der EU-Richtlinie 2009/61/EG setzt folgendes fest:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG *) u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
*) Diese Richtlinie wurde durch die DSGVO (EU) 2016/679 am 25. Mai 2018 abgelöst.
Nachdem es sich dabei jedoch um eine Richtlinie handelt, muss diese in nationales Recht umgewandelt werden, um im jeweiligen EU Mitgliedsstaat rechtswirksam zu werden. Im Zuge dieses Verfahrens kommt es nicht selten zu nationalen „Anpassungen”, die teilweise die ursprüngliche Intention abmildern oder sogar ausheben.
Rechtliche Umsetzung der EU Cookie Richtlinie in Österreich
In Österreich wurde die Richtlinie im Telekommunikationsgesetz geregelt, §96 Absatz 3 TKG (2003).
§96 Absatz 3 TKG (2003)
Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.
Die wesentlichen Aspekte der EU Cookie Richtlinie wurden hier zwar legistisch umgesetzt, aber im selben Gesetz faktisch entschärft. Denn die Verwaltungsstrafbestimmungen sehen bei einem Verstoß laut §109 Absatz 3 zwar eine Geldstrafe bis zu 37.000 Euro vor, jedoch nach Nummer 16 nur dann, wenn der Teilnehmer nicht informiert wurde. Dem Umstand, dass zur Informationspflicht auch eine Einwilligungspflicht besteht, wird in den Verwaltungsstrafbestimmungen nicht Rechnung getragen. Eine Rechtsdurchsetzung der Verpflichtung zur Einwilligung aus §96 Absatz 3 ist damit deutlich erschwert, in der Praxis quasi nicht zu erwarten.
Die Wirtschaftskammer Österreich (WKO) erläutert das unter der Überschrift „Besonderheit nach dem TKG” folgendermaßen: Eine der relevantesten Abweichungen im TKG besteht darin, dass in den erläuternden Bemerkungen zum TKG (bzw entsprechend auch in den Erwägungsgründen der E-Privacy-Richtlinie, auf deren Basis das TKG umgesetzt wurde) festgehalten wird, dass auch in einer Browsereinstellung, welche Cookies zulässt, eine (schlüssige) Einwilligung liegen kann. Grundsätzlich sind schlüssige Einwilligungen auch nach der DSGVO zulässig.
Zudem ist wird es in Österreich offenbar als ausreichend betrachtet, wenn die Information im „Rahmen der Allgemeinen Geschäftsbedingungen” geleistet wird. Entsprechend waren in Österreich sogenannte „Cookie-Banner” nicht erforderlich.
Die österreichische Rechtspraxis ist, im Sinne einer jüngste Entscheidung des Europäischen Gerichtshofs (EuG,H), allerdings nicht EU-rechtskonform.
Der Europäische Gerichtshof (EuGH) widerspricht Österreichischer Rechtspraxis
Der EuGH hat am 01.10.2019 in der Rechtssache C-673/17 entschieden, dass für das Setzen von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Der EuGH verweist dabei auf Artikel 7 der EU Richtlinie 95/46: Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn […] der folgenden Voraussetzungen erfüllt ist: a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
, und keine der folgenden Gründe zutreffen, wie (b) Erfordernis zur Vertragserfüllung, (c) einer rechtlichen Verpflichtung, die der Betroffene unterliegt, (d) zur Wahrung lebenswichtiger Interessen Betroffener, (e) ein öffentliches Interesse vorliegt, bzw. sie in Ausübung der öffentlichen Gewalt erfolgt, (f) sofern berechtigte Interessen gegenüber den Grundrechten und Grundfreiheiten der betroffenen Person nicht überwiegen.
DSGVO und Cookies
Die Verwendung von Cookies fällt unter die DSGVO, soweit dabei personenbezogene Daten im Sinne des Artikel 4 Nummer. 1 und 2 DSGVO verarbeitet werden.
Artikel 4 DSGVO, Begriffsbestimmungen
[Im Sinne dieser Verordnung bezeichnet der Ausdruck:]
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Bis auf technisch erforderliche Cookies weisen die meisten Cookies personenbezogene Bezüge auf, zumindest in dem Sinn, dass die Daten mit geringem Aufwand einer Person zugeordnet werden können. Insofern ist für die Nutzung von Cookies die DSGVO in den allgemeinen Grundsätzen („lex generalis”) zu berücksichtigen.
Das bedeutet, dass für eine Einwilligung die Kriterien der DSGVO anzusetzen sind (siehe Was sind die Bedingungen für eine Einwilligung im Sinne der DSGVO?)
und die Informationspflicht jedenfalls den Zweck der Verarbeitung umfassen muss.
Mit Verweis auf Artikel 10 der EU Richtlinie 95/46 sind darüber hinaus anzugeben:
- Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters
- weitere Informationen, beispielsweise betreffend
- die Empfänger oder Kategorien der Empfänger der Daten,
- die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
- das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
Der EuGH stellt in seinem Urteil vom 1.10.2019 zudem fest, dass Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat
.
Inwieweit darüber hinaus Angaben zur rechtlichen Grundlage der Verarbeitung zwingend erforderlich sind, dazu wird von der EU ePrivacy Verordnung Klärung erwartet („lex specialils”). Das trifft auch auf die weiteren Punkte der in der DSGVO geregelten Informationspflicht zu.
EU ePrivacy Verordnung
Eigentlich sollte die EU ePrivacy Verordnung (ePVO) zusammen mit der EU DSGVO im Mai 2018 in Kraft treten und damit die entsprechende Richtlinie ablösen. Zwei Jahre später gibt es noch keinen Konsens über den Entwurf. Aber immerhin hat die EU Kommission und Ursula von der Leyen jenen Lobbies eine Abfuhr erteilt, die forderten, man müsse wieder von vorne beginnen und die ePVO neu aufsetzen. Statt dessen hält die EU Kommission am Entwurf (2017) grundsätzlich fest. (Siehe: E-Privacy Verordnung (ePVO)
)
War die Lobby gegen ePVO unter der EU Ratspräsidentschaft Österreich schon massiv am Werk („Schutz gegen Tracking unerwünscht: Österreich verschiebt ePrivacy-Reform auf den St. Nimmerleinstag”), so scheint sie die EU Ratspräsidentschaft Kroatiens gänzlich im Griff zu haben. Es wird die grundsätzliche Einwilligungspflicht in Frage gestellt und stattdessen ein „berechtigtes Interesse” im Entwurf vom 21.2.2020 eingeführt.
Substantiell bleiben die Regelungen der EU Privacy Richtlinie aufrecht, werden konkretisiert und vor allem in einer EU Verordnung als EU Gesetz in dieser Form für alle Mitgliedsstaaten als verbindlich erklärt. Damit müssten alle EU Mitgliedsländern, die die Richtlinie bei der Umsetzung in nationales Recht „etwas zu großzügig” auslegten und damit entschärften, EU Recht folgen und durchsetzen.
Dieser Beitrag könnte Sie ebenfalls interessieren:
Cookies: Beispiele aus der Praxis Zahllose Webseiten sind bezüglich des Gebrauchs von Cookies trotz Cookie Richtlinie und aktuellem EuGH Urteil vom 1. Oktober 2019 immer noch nicht gesetzeskonform. Diese Seite bringt Beispiele und zeigt die Problematik auf. Mehr lesen...

Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
per E-Mail
Der Gesetzestext der DSGVO, EU-Lex
DSGVO Assessment
Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines
Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
1 webmention
Webmention von: fokus.genba.org Besucher
https://fokus.genba.org/cookie-praxis-nogo Cookie Praxis – Zahllose Seiten sind bezüglich des Gebrauchs von Cookies trotz Cookie Richtlinie und aktuellem EuGH Urteil vom Oktober 2019 immer noch nicht gesetzeskonform. Diese Seite bringt Beispiele und zeigt die Problematik auf.
Formular wird geladen...