Cookies und die Datenschutzbehörde in Österreich
Zusammenfassung
- Mit der Webseite dsb.gv.at betreibt die Datenschutzbehörde einen Informationsdienst.
- Bei 11 Cookie Vorgängen und 9 Cookies, die auf Geräten von Besucher*innen abgespeichert werden, werden personenbezogene Daten, wie IP Adressen, verarbeitet. Die Cookies sind für die Nutzung durch Besucher*innen nicht zwingend erforderlich.
- Für die Nutzung zusätzlicher Tools wie Matomo besteht kein berechtigtes Interesse, da die zu statistischen Zwecken erforderlichen Daten bereits durch Logfiles bereitgestellt werden können.
- Damit sind sowohl die EU Cookie-Richtlinie (Artikel 5 Abs 3 der EU-Richtlinie 2009/61/EG) als auch deren Umsetzung in nationales Recht (§96 Absatz 3 TKG(2003)) auf die Datenschutzbehörde anzuwenden.
- Da weder der Informations- noch der Einwilligungspflicht entsprochen wird, ist davon auszugehen, dass die derzeitige Rechtspraxis nicht rechtskonform ist.
- Dessen ungeachtet hält die Datenschutzbehörde an dieser Praxis fest und teilt auf Anfrage am 11.3.2020 folgendes mit:
Aus Sicht der Datenschutzbehörde sind die vom Content Management System (CMS) des Bundes verwendeten Cookies auf der Homepage der Datenschutzbehörde www.dsg.gv.at nicht zustimmungsbedürftig, sondern funktionaler Natur. Es werden keine weiteren Zwecke verfolgt.
Im Zuge einer Nachschau konnte erfreulicherweise festgestellt werden, dass die Datenschutzbehörde zwischenzeitlich zu einer anderen, als der in einer Mitteilung geäußerten Einsicht gelangt ist. Es findet sich nun auf der Webseite ein Cookie-Banner, der darauf hinweist, dass ausschließlich funktionale Cookies gesetzt werden. Tatsächlich finden sich bis auf eine Reihe von Sitzungscookies keine weiteren Cookies mehr.
Wie rechtskonform agiert die Datenschutzbehörde Österreich ?
Was läge näher, als sich bei der Verwendung von Cookies am Beispiel der Datenschutzbehörde zu orientieren. Immerhin unterstellt man ihr, dass sie in Sachen Datenschutz vorbildlich und damit rechtskonform agiert. Bei einer kritischen Betrachtung zeigt sich aber, dass dem eher nicht so ist.
Als erstes fällt auf, dass die Datenschutzbehörde trotz der Verwendung von Cookies keinen Cookie-Banner setzt, um Besucher*innen darauf aufmerksam zu machen, welche Cookies, zu welchem Zweck und mit welcher Dauer auf Geräten der Nutzer*innen gespeichert werden. Das würde zumindest die Informationspflicht verlangen. Wer bislang die sogenannte EU Cookie-Richtlinie in diesem Punkt etwas großzügig auslegte, wurde am 1.10.2019 durch ein EuGH Urteil (Rechtssache C-673/17) unmissverständlich darauf hingewiesen, dass die Informations- und Einwilligungspflicht gemäß derEU Cookie-Richtlinie Artikel 5 Abs 3 der EU-Richtlinie 2009/61/EG umzusetzen sind.
Die Informationspflicht
Es gibt weder einen sogenannten Cookie-Banner, noch wird in der Datenschutzerklärung auf die Verwendung von Cookies hingewiesen. Die vielen, wenig technisch geschulten Nutzer*innen der Webseite erfahren so nicht, welche Cookies zu welchem Zweck und über welchen Zeitraum welche Informationen speichern und weitergeben. Die Nutzer*innen werden nicht einmal darüber informiert, dass auf ihrem Gerät ohne ihr Wissen fremde Programmcodes abgespeichert werden.
In Österreich ist die sogenannte EU Cookie Richtlinie in §96 Abs. 3 TKG (2003) geregelt.
§96 Absatz 3 TKG (2003)
Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.
Ist die Webseite als Dienst der Informationsgesellschaft zu verstehen?
Es muss zunächst geklärt werden, ob die Datenschutzbehörde ein Betreiber eines öffentlichen Kommunikationsdienstes oder Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz ist, da sich nur auf diese die Bestimmung bezieht. Dort heißt es:
§ 3 Z 1 ECG
Dienst der Informationsgesellschaft: ein in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellter Dienst (§ 1 Abs. 1 Z 2 Notifikationsgesetz 1999), insbesondere der Online-Vertrieb von Waren und Dienstleistungen, Online-Informationsangebote, die Online-Werbung, elektronische Suchmaschinen und Datenabfragemöglichkeiten sowie Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern;
Zweifelsohne werden via Webseite der Datenschutzbehörde Informationen über ein elektronisches Netz übermittelt. Da sind einmal Informationen, die auf der Webseite veröffentlicht werden, Newsletter, Bekanntmachungen und andere Dokumente, die zum Herunterladen angeboten werden. Im Zuge dessen werden auch Informationen von Nutzer*innen via Cookies gespeichert. Es ist daher davon auszugehen, dass § 3 Z 1 ECG auf die Datenschutzbehörde als Betreiberin der Webseite dsb.gv.at anzuwenden ist.
Werden mittels Cookies personenbezogene Daten verarbeitet?
Legistisch betrachtet, bezieht sich die Regelung nach §96 Abs. 3 TKG (2003) auf die Speicherung personenbezogener Daten. Wörtlich heißt es: Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden.
Es stellt sich daher die Frage, ob durch die Speicherung von Cookies auf den Geräten von Besuchern personenbezogene Daten abgespeichert und verarbeitet werden.
Beim Besuch der Webseite der Datenschutzbehörde werden unter anderem Cookies gesetzt, die IP Adressen verarbeiten. IP Adressen sind, so sie identifizierbar sind, zweifelsohne personenbezogene Daten. Nach einem Urteil des EuGH vom 19.10.2016 (Az. C-582/14) ist klargestellt, dass es sich auch bei dynamischen IP-Adressen um personenbezogene Daten handelt. Das gilt insbesondere, wenn bereits die theoretische Möglichkeit besteht, einen Personenbezug herzustellen, selbst wenn der Betreiber diese Möglichkeit nicht nutzt oder nutzen kann, da gegebenenfalls ein Dritter dies kann („Objektiver Personenbezug”). Die DSGVO in ErwG 30 sieht den Schutz personenbezogener Daten im Zusammenhang mit IP Adressen ebenso gefordert.
Es ist daher davon auszugehen, dass beim Besuch der Webseite der Datenschutzbehörde (dsb.gv.at) durch gesetzte Cookies personenbezogene Daten verarbeitet werden.
Somit gilt nicht nur die schon in der EU ePrivacy Richtlinie (sogenannte Cookie-Richtlinie) geforderte Informationspflicht. Es gilt auch die Informationspflicht nach Artikel 13 DSGVO.
Die Einwilligungspflicht
Eine Analyse der Webseite der Datenschutzbehörde in Österreich ergab, dass eine Reihe von Cookies auf Geräten von Nutzer*innen abgespeichert werden.
Bei 11 Cookie Vorgängen werden beim Besuch von dsb.gv.at 9 Cookies gesetzt:
Name | Anbieter | Domain | Pfad |
Lebensdauer | Anzahl |
JSESSxxxx | Java Sitzungs-Cookie | dsb.gv.at | /BKA-PDOE-zwei-theme | Sitzung | 1 |
JSESSxxxx | Java Sitzungs-Cookie | dsb.gv.at | Sitzung | 1 |
COOKIxxxxxxxx | dsb.gv.at | 46,7 Jahre | 1 | |
GUESTxxxxxxxxxxx | dsb.gv.at | 46,7 Jahre | 1 | |
NSC_Dxxxxxxxxx | dsb.gv.at | 2 Minuten | 1 | |
_pk_txxxxxxxxxxxxxx | dsb.gv.at | Sitzung | 1 | |
_pk_ixxxxxxx | Matomo | dsb.gv.at | 1 Jahr | 1 |
_pk_sxxxxxxxx | Matomo | dsb.gv.at | 30 Minuten | 1 |
LFR_Sxxxxxxxxxxxxxx | dsb.gv.at | Sitzung | 1 | |
LFR_Sxxxxxxxxxxxxxx | dsb.gv.at | Sitzung | 1 | |
_pk_txxxxxxxxxxxxxx | dsb.gv.at | Sitzung | 1 |
Benutztes Tool: KI-Software für Webseiten
Keine Einwilligungspflicht bei rein technisch-funktionalen Cookies
Einige Cookies sind unschwer als technisch erforderliche Sitzungscookies zu erkennen. Ob es sich dabei um zwingend erforderliche Cookies handelt, darf allerdings bezweifelt werden. Sie sind normalerweise nur erforderlich, sobald man sich im CMS der Datenschutzbehörde einloggt, d.h. sollten im Großen und Ganzen nur Mitarbeiter*innen der Behörde und die mit der Wartung und dem Betrieb betrauten Personen betreffen. Tests zeigen, dass die Webseite ohne jegliche Cookies funktionsfähig ist. Das widerlegt die Annahme, es gäbe für nicht angemeldete Besucher technisch zwingende Cookies. Dennoch ist nicht davon auszugehen, dass dafür eine Einwilligung im Sinne von §96 Abs. 3 TKG (2003) erforderlich ist.
Einwilligungspflicht bei Cookies, die personenbezogene Daten verarbeiten
Neben anderen Cookies lassen sich solche identifizieren, die zur Webanalyse u.a. durch Matomo genutzt werden. Matomo ist ein für das Funktionieren des CMS nicht erforderlicher Webanalytik-Dienst, der das Verhalten von Nutzer*innen auf der Webseite protokolliert und analysiert - ähnlich wie Google Analytics. (Wichtiger Unterschied: Matomo wird am Server des Bundeskanzleramtes betrieben). Über Matomo-Cookies werden IP Adressen von Nutzer*innen über einen längeren Zeitraum gespeichert, auch um Aussagen darüber treffen zu können, wie oft beispielsweise Nutzer*innen welche Seiten aufgerufen haben, wie lange sie jeweils dort verweilten, welche Aktionen sie auf Seiten ausführten und so fort.
Matomo verfügt über die Möglichkeit, IP Adressen zu anonymisieren, wobei sogenannte Oktette der IP maskiert werden. Eine Maskierung von von einem Oktett lässt beispielsweise eine noch relativ genaue Standorterkennung zu. Das kann bei der Maskierung von 2 oder 3 Oktetten weitgehend ausgeschlossen werden. Sichergestellt werden müsste zudem, dass die anonymisierten IPs zur Datenaufbereitung herangezogen werden. Dennoch kann eine in Matomo anonymiserte IP Adressen leicht im Rückgriff auf die Server-Logfiles identifiziert und damit wieder personalisiert werden.
Ob bei der Datenschutzbehörde für den Bereich Webanalyse und/ oder Webstatistik IP Adressen anonymisiert werden und in welchem Umfang, lässt sich aufgrund fehlender Informationen nicht sagen. Es ist daher davon auszugehen, dass durch Matomo personenbezogene Daten verarbeitet werden. Selbst wenn keine aktive Einwilligung zum Setzen eines entsprechenden Cookies erforderlich sein sollte, so müsste jedenfalls ein Opt-Out angeboten werden, d.h. eine Möglichkeit, Matomo zu blockieren. Auch diese Möglichkeit wird auf der Webseite der Datenschutzbehörde nicht angeboten.
Ein berechtigtes Interesse, Tools wie Matomo einzusetzen, wird sich kaum begründen lassen, da neben Webstatistikfunktionen des CMS auch statistische Auswertungen der Server-Logfiles zur Verfügung stehen, die ebenfalls Daten zur Nutzung der Webseite liefern.
Was sagt die Datenschutzbehörde?
Die Datenschutzbehörde in Österreich wurde per E-Mail mit der Frage konfrontiert, ob die Webseite der Datenschutzbehörde gesetzeskonform sei. Nach mehrmaliger Erinnerung wurde die Anfrage beantwortet, nicht jedoch ohne ausdrücklich darauf hinzuweisen, dass bei Auskünften keine rechtlichen Beurteilungen vorgenommen würden.
In der Sache selbst vertritt die Datenschutzbehörde die Auffassung, dass die verwendeten Cookies nicht zustimmungsbedürftig seien, da sie funktionaler Natur wären. Es würden damit keine weiteren Zwecke verfolgt. ⌕ Die Auskunft ist weder stichhaltig begründet noch wurden die Rechtsgrundlagen für diese Auffassung mitgeteilt.
Update: Die Datenschutzbehörde bleibt trotz der vorgebrachten Bedenken bei der mitgeteilten Auskunft und sieht für eine Begründung oder Mitteilung der Rechtsgrundlagen keine Veranlassung.
Welche Mittel der Rechtsklärung gibt es?
Es stellt sich die Frage, wie sich eine Rechtsklärung erwirken lässt, wenn die Datenschutzbehörde selbst betroffen ist.
Verwaltungsstrafverfahren gegen die Datenschutzbehörde
Nachdem die EU Cookie-Richtlinie im Telekommunikationsgesetz (TKG) geregelt ist und nicht im Datenschutzgesetz, ist bei Verstößen die Fernmeldebehörde zuständig. Um feststellen zu können, ob die Datenschutzbehörde rechtskonform handelt oder nicht, könnte daher eine Strafanzeige gegen die Datenschutzbehörde bei der Fernmeldebehörde gestellt werden. Dabei gibt es allerdings ein Problem. Bei einem Verwaltungsstrafverfahren haben diejenigen, die ein Strafverfahren anstrengen keine Parteistellung, was bedeutet, dass sie über den Fort- und Ausgang des Verwaltungsstrafverfahrens keine Auskunft erhalten. Wenn nach einigen Monaten die Datenschutzbehörde der Informations- und Einwilligungspflicht nachkommen wird, dann wäre anzunehmen, dass die bisherige Praxis nicht rechtskonform war. Ändert sich im Verlauf eines Jahres nichts, dann müsste man mutmaßen, dass das Verfahren eingestellt oder bei Gericht abgewiesen wurde. Da es in dieser Angelegenheit darum geht, Klarheit über die Verwendung von Cookies für vergleichbare Fälle zu erhalten, ist die Strafanzeige nicht unbedingt ein probates Mittel.
Beschwerde gegen die Datenschutzbehörde nach DSGVO
Die Verarbeitung personenbezogener Daten, beispielsweise durch Verarbeitung von nicht anonymisierter IP Adressen stellt dann einen Verstoß gegen die DSGVO dar, sofern dafür die erforderlich Einwilligung fehlt - unabhängig davon, ob das durch Cookies geschieht, oder auf andere Weise.
Nachdem die Datenschutzbehörde in einer Beschwerde gegen sie selbst befangen wäre, müsste die Beschwerde wohl an das Bundesverwaltungsgericht weitergereicht werden. In Fragen zu Datenschutz greift das Bundesverwaltungsgericht allerdings auf die Expertise der Datenschutzbehörde zurück. Nachdem das aus Gründen von Befangenheit eigentlich nicht der Fall sein dürfte, wäre eine Weiterleitung der Rechtssache an den EuGH ein durchaus möglicher Weg.
Der Europäische Datenschutzausschuss (EDSA) hat am 5. Mai die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert.
Mit 31.10.2021 ist das TKG 2003 außer Kraft getreten. Das Bundesrecht wurde in der Rechtsvorschrift für Telekommunikationsgesetz 2021 konsolidiert. Es trat am 1.11.2021 in Kraft. Die Gesetzesvorschrift §96 Absatz 3 TKG (2003) findet sich nun in §165 Absatz 3 TKG (2021).
Im Zuge einer Nachschau konnte erfreulicherweise festgestellt werden, dass die Datenschutzbehörde zwischenzeitlich zu einer anderen, als der in einem Auskunfsschreiben gegebenen Einsicht gelangt ist. Es findet sich nun auf der Webseite ein Cookie-Banner, der darauf hinweist, dass ausschließlich funktionale Cookies gesetzt werden. Tatsächlich finden sich bis auf eine Reihe von Sitzungscookies keine weiteren Cookies mehr.
Folgende Beiträge könnten Sie auch interessieren:
Obrigkeitsstaat Österreich: Eine Behörde ist eine Behörde Wird die Datenschutzbehörde in Österreich einem zeitgemäßen Amtsverständnis und den Herausforderungen der DSGVO gerecht? Die Datenschutzbehörde sieht sich derzeit noch ausschließlich als Vollzugsbehörde. Mehr lesen...
Österreichs Sonderwege im Datenschutz Österreich stimmte zusammen mit Slowenien als einzige Mitgliedsstaaten der EU gegen die Datenschutz Grundverordnung. Diese Haltung scheint sich im Datenschutzgesetz fortzusetzen. Hier zeichnen sich Sonderwege Österreichs ab. Mehr lesen...
Die Datenschutzbehörde (DSB) in Österreich Die Österreichische Datenschutzbhörde ist bei Verstößen gegen die EU Datenschutz Grundverordnung (DSGVO) in Österreich zuständig. Was ist das für eine Behörde, welche Aufgaben und Befugnisse werden ihr eingeräumt - nach österr. Datenschutzgesetz (DSG) und EU DSGVO? Eine ausführliche Zusammenstellung Mehr lesen...
Die Überlastung der Datenschutzbehörde in Österreich Politik und vorherrschende Interessen können die Verordnung des Europäischen Datenschutzes (DSGVO) passiv ohne großen Aufwand behindern und blockieren. Ein Instrument dazu ist die Personal- und Ressourcenpolitik bei der Datenschutzbehörde. Mehr lesen...
Wie hält es Österreich mit EU Recht (DSGVO)? Die ungeliebte DSGVO. Die österreichische Wirtschaft und folglich mit ihr die österreichischen Regierungen hatten und haben die EU Datenschutz-Grundverordnung (EU DSGVO) allem Anschein nach nie wirklich befürwortet, schon gar nicht begrüßt. Manches hat man sich so zurechtgebogen, dass selbst Regierungsjuristen die Bedenken der EU Kommission teilten und vor einem EU Vertragsverletzungsverfahren warnten. Das aber ließ bislang Verantwortliche mehr oder weniger kalt. Mehr lesen...
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Editionsgeschichte:
Eingetragen von Dr. Conrad Lienhardt am 15.03.2020 – Last touched: 17.09.2023 – Contents updated: 17.09.2023Hinweis: Ältere Beiträge werden in der Regel nicht aktualisiert, sofern es dazu keinen konkreten Anlass gibt (z.B. Aufforderung zu Richtigstellung, Ergänzung etc.). Dennoch können Beiträge ein aktuelleres Datum einer Überarbeitung zeigen. Zumeist handelt es sich dabei nicht um inhaltliche Änderungen, sondern um technisch veranlasste Änderungen, Korrekturen der Rechtschreibung, Glättung des Stils etc. Daher werden alle LeserInnen darauf hingewiesen, die Beiträge mit Blick auf das Erstellungsdatum zu lesen und ggf. zu überprüfen, ob die Inhalte noch aktuell und gültig sind. Wir können keine Haftung übernehmen, die sich aus einer Nichtbeachtung ergeben könnten.