Die zweite Folge unseres Podcasts widmet sich einem wahren Dauerbrenner:
Cookies und ihr datenschutzkonformer Einsatz.
In unserem dazu passenden Blogbeitrag möchten wir uns allerdings nur auf den Themenbereich "technisch vs. nicht technisch notwendige Cookies" und "Einwilligungsanforderungen" fokussieren - obwohl wir im Podcast auch das Thema Cookie Banner kurz ansprechen, möchten wir diesem Aspekt einen eigenen Blogbeitrag widmen, den Sie gerne hier finden können.
Definitionen
Cookies: Kleine Dateien, die auf Ihrem Gerät (Handy, Laptop, PC etc) gespeichert werden, wenn Sie im Internet surfen und dienen unterschiedlichen Zwecken, zB Speichern von Websiteeinstellungen, aber auch das Nachverfolgen des Benutzer*innenverhaltens.
(Marketing) Pixel: Kleine Codeschnipsel, die in einer Website eingebettet sind und dazu dienen, Informationen über das Benutzer*innenverhalten auf einer Website zu sammeln.
(Web) Beacon: Zumeist HTML-Elemente, die dem Nachverfolgen des Online-Verhaltens von Webnutzer*innen dienen. Nicht zu verwechseln mit den kleinen drahtlosen Geräten, die Signale mittels Bluetooth-Technologie übertragen (und ebenfalls häufig in Marketing eingesetzt werden).
«Cookie: Formerly a sweet cupcake, which we accepted with pleasure. Today: A ridiculously salty little computer file, which must be vehemently refused.»
Bevor wir uns in diesem Blogbeitrag überlegen, warum Cookies überhaupt ein Thema für Datenschutzexpert*innen sein sollten (die Definitionen rechts oben auf der Seite lesen sich doch sehr technisch), noch ein kurzer Side-Step zur ePrivacy Richtlinie, die in Österreich über § 165 TKG umgesetzt wurde und in der es in Art 5 Abs. 3 wie folgt heißt (Fettungen sind von mir):
"Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen."
Im Ergebnis haben wir hier somit 2 verschiedene Varianten von Cookies, nämlich die technisch unbedingt notwendigen (für die es keine Einwilligung braucht) und die nicht unbedingt technisch notwendigen Cookies (die eine Einwilligung voraussetzen). Aus dem Wortlaut ergibt sich bereits, dass der Begriff "technisch notwendige Cookies" eng auszulegen ist (weil sie "unbedingt" erforderlich sind, "um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft", aka Websites, Onlineshops und Ähnliches, zur Verfügung zu stellen). Eine Unterstützung, was als "unbedingt erforderlich" anzusehen ist, liefert ein Working Paper der ehemaligen Artikel 29-Arbeitsgruppe (allerdings bitte beim Lesen im Hinterkopf behalten, dass das Dokument 2012 erstellt wurde!). Kurz zusammengefasst und etwas untechnisch ausgedrückt: Alles, was vorhanden sein muss, um eine Website up and running zu halten, ist technisch notwendig, alles, was darüber hinausgeht, wird als technisch nicht unbedingt erforderlich angesehen.
Wo und wie kommt jetzt Datenschutz und die DSGVO ins Spiel?
Die Regelungen der DSGVO sind natürlich nur dann anwendbar, wenn es in irgendeiner Form einen Personenbezug gibt - die ePrivacy-Richtlinie selbst stellt auf "Informationen" ab, dh diese können, müssen aber nicht einen Personenbezug beinhalten. Erst ab dem Zeitpunkt, wo eine natürliche Person identifiziert werden kann bzw. identifizierbar ist, gibt es einen Anknüpfungspunkt zur DSGVO (Art 4 Z 1 DSGVO).
In diesem Zusammenhang möchte ich gerne auf eine Entscheidung der österreichischen Datenschutzbehörde aus 2021 verweisen, die im Zusammenhang mit der Nutzung eines Analytics-Tools unter Verwendung entsprechender Cookies (neben Anderem, auf das wir später gleich noch einmal zurückkommen werden) festgehalten hat, dass der Websitebetreiber nicht selbst unmittelbar alleine einen Personenbezug herstellen können muss, sondern es ist ausreichend, dass "irgendjemand - mit rechtlich zulässigen Mitteln und vertretbarem Aufwand - diesen Personenbezug herstellen kann". Und weiter: "In diesem Zusammenhang ist ausdrücklich auf den unmissverständlichen Wortlaut von Art 4 Z 1 DSGVO hinzuweisen, der an ein Können anknüpft ("identifiziert werden kann") und nicht daran, ob eine Identifizierung letztlich auch vorgenommen wird."
Einige Jahre früher hatte der EuGH in der Sache "Breyer" (C-582/14, Rz 49) ausgesprochen, dass sogar dynamische IP-Adressen ein personenbezogenes Datum darstellen können (mit Betonung auf "können"; oder, wie es im Urteil heißt, dass "eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.")
Kurz zusammen gefasst könnte man daher sagen: Gerade, wenn es um Marketing-, Tracking-, Statistik-, Performance- und ähnliche Cookies geht, wird zumindest ein gewisser Personenbezug gegeben sein (müssen), da es bei diesen Cookies ja gerade um das Nachverfolgen des User*innen-Verhaltens geht. Entsprechend gelten für diese Cookies typischerweise nicht nur die ePrivacy-Richtlinie, sondern natürlich auch die Vorgaben der DSGVO.
Was uns zum nächsten Punkt führt: Einwilligungen - wann darf ich davon ausgehen, dass User*innen ihre Einwilligung erteilt haben?
Eine Einwilligung nach Art 4 Z11 DSGVO ist "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist" (Hervorhebungen durch mich). Im Zusammenhang mit Cookies und elektronischen Zustimmungserklärungen bedeutet dies, dass pre-ticked Checkboxes (also Kästchen, die bereits angetickt sind) nicht zulässig sind, sondern im Gegenteil, die betreffende Person (der/die User*in) muss aktiv selbst das Häkchen setzen, den Regler auf Aktivierung setzen oder sonst eindeutig Zustimmung bekunden können. Entsprechend hat dies der EuGH auch bereits in der Entscheidung "Planet 49" entschieden und hat diese Linie später auch nicht verlassen.
Einwilligungen können, wie es in Art 4 Z 11 DSGVO ja auch steht, über eine sonstige eindeutige bestätigende Handlung erteilt werden - Schweigen ist demzufolge keine Einwilligung, genauso wenig wie mit dem Text "Wenn Sie auf dieser Seite bleiben, sind Sie mit der Verarbeitung Ihrer Daten mittels Cookies einverstanden" (oder einer ähnlichen Formulierung) Einwilligung eingeholt werden kann, abgesehen davon, dass zumindest mir nicht klar ist, wie in einem solchen Fall die Einwilligung effektiv widerrufen werden sollte (Runterscrollen ist Einwilligung, Rauf- oder Seitwärtsscrollen wird dann als Widerruf gewertet, oder wie? *grübel*).
Diesen Knoten im Kopf hatte wohl aber auch EDSA in seinen Leitlinien 05/2020, in denen deutlich festgehalten wird: "Das Scrollen durch eine Website oder das Wischen oder ähnliche Handlungen bzw. Interaktionen eines Nutzers erfüllen keinesfalls die Anforderung einer eindeutigen bestätigenden Handlung nach Maßgabe des Erwägungsgrunds 32. Das liegt daran, dass solche Handlungen nur schwer von anderen Handlungen oder Interaktionen eines Nutzers abgegrenzt werden können und daher auch unmöglich festgestellt werden kann, dass eine unmissverständliche Einwilligung eingeholt wurde. Darüber hinaus wird es in einem solchen Fall auch schwierig sein, dem Nutzer Möglichkeiten des Widerrufs bereitzustellen, mit denen die Einwilligung genauso leicht zu widerrufen ist, wie sie ursprünglich erteilt wurde."
Google Analytics
Unter den zahlreichen Cookie-Themen ist "Google Analytics Ja oder Nein" sicherlich auch ein ewiges Streitthema:
Im Nachgang zur EuGH-Entscheidung, die das sog. "Privacy Shield" zu Fall brachte ("Schrems II"), reichte die NGO des Datenschutzaktivisten und -experten Max Schrems, noyb, mehrere Datenschutzbeschwerden im Zusammenhang mit dem Einsatz von Google Analytics und dem darauf basierenden Transfer personenbezogener Daten in die USA ein, unter anderem war auch ein Verfahren in dieser Sache vor der österreichischen Datenschutzbehörde anhängig, das Ende Dezember 2021 entschieden wurde (wobei die Entscheidung erst Anfang 2022 öffentlich zugänglich wurde):
Im Rahmen dieses Teilbescheids kam die österreichische Datenschutzbehörde zum Schluss, dass die damals eingesetzten Standardvertragsklauseln kein angemessenes Schutzniveau gemäß Art 44 DSGVO bieten würden, weil erstens Google der Überwachung durch US-Geheimdienste nach FISA 702 unterliegt und zweitens die weiteren zusätzlich getroffenen Maßnahmen "nicht effektiv sind, da diese die Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigen." Im Ergebnis konnte Google Analytics (zumindest in der bescheidgegenständlichen Version August 2020) somit nicht im Einklang mit den Bestimmungen der DSGVO zum internationalen Datentransfer eingesetzt werden (und durfte demzufolge nicht mehr weiter genutzt werden).
An dieser Stelle kommt ein kleines ABER: Der Entscheidung der Behörde lagen "alte" Standardvertragsklauseln zugrunde, mittlerweile gibt es Standard Contractual Clauses aus 2021, darüber hinaus ist Google LLC nach dem neuen EU US Data Privacy Framework zertifiziert. Es kann daher sein, dass man heute, knapp 3 Jahre später, zu einer anderen rechtlichen Einschätzung kommen kann als direkt zu Zeiten des erwähnten Behördenbescheids. Dies muss jedenfalls natürlich für den konkreten Einzelfall geprüft werden.
Google ReCAPTCHA
Auch hier gab es erst kürzlich eine interessante Entscheidung des österreichischen Bundesverwaltungsgerichts aus September 2024: Konkret ging es um die Frage, ob Cookies, die den Google-Dienst ReCAPTCHA unterstützen (der wiederum dazu dient, automatisierte Eingaben auf Websites durch Spam-Bots zu verhindern), als technisch notwendig zu qualifizieren sind oder nicht, also ob es für den Einsatz eine Einwilligung braucht oder nicht.
Spoiler Alert: Das Gericht kam zu dem Schluss, dass es sich hierbei nicht um unbedingt technisch notwendige Cookies im Sinne der ePrivacy-Richtlinie handelt, auch wenn das Gericht anerkannte, dass das Verhindern von Spam-Bot-Eingaben sicherlich vorteilhaft ist. Aber:
"Nach Ansicht des erkennenden Senats sind Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, für den Betrieb einer Webseite nicht erforderlich, weshalb kein berechtigtes Interesse der Beschwerdeführer:innen gegeben ist, ungeachtet der Tatsache, dass das Verhindern von Bot-Eingaben für Betreiber:innen der Website vorteilhaft sind. Die Implementierung von reCAPTCHA ist für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre."
FAQs der Datenschutzbehörde
Ich habe es in der Podcastfolge klargestellt, und ich stehe zu meiner Meinung:
Ich finde die FAQs der österreichischen Datenschutzbehörde zum Thema Cookies super-hilfreich und mache deswegen hier sehr gerne ungeniert Werbung dafür - Sie können sie hier finden.