Cookies in Deutschland und auf EU-Ebene

Beitrag verfasst von Dr. Rainer Knyrim und Johannes Leonhartsberger – KTR-Newsletter Februar 2022

Die Zulässigkeit und Ausgestaltung von Cookie-Lösungen ist – auch abseits des aktuellen Google Analytics-Bescheides der österreichischen DSB – europaweit ein datenschutzrechtlicher Dauerbrenner (siehe etwa die unlängst ergangene einstweilige Anordnung des Verwaltungsgerichts Wiesbaden zu Cookiebot – 6 L 738/21.WI).

Einen nützlichen Anhaltspunkt bei der Beurteilung liefert hierzu die kürzlich aktualisierte Orientierungshilfe der deutschen Datenschutzkonferenz für AnbieterInnen von Telemedien. Wir berichten Ihnen über diese und außerdem noch über eine aktuelle Entscheidung des Europäischen Datenschutzbeauftragten: Das EU-Parlament höchstselbst hat einen Datenschutzverstoß im Zusammenhang mit Google Analytics und der Covid-19-Pandemie zu verantworten

Praxisorientierte Regeln zu Cookies und Einwilligung im deutschen TTDSG

Die Orientierungshilfe der Datenschutzkonferenz (DSK) behandelt das neue deutsche Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und beschäftigt sich ausführlich mit Cookies und den hierzu durch das TTDSG neu eingeführten Regelungen. Die zentrale Bestimmung für den hier interessierenden Kontext stellt § 25 TTDSG dar. Dieser verlangt zwingend eine Einwilligung, wenn Informationen in einer Endeinrichtung gespeichert werden sollen oder auf bereits in der Endeinrichtung vorhandene Informationen zugegriffen werden soll. Diese – etwas eigenartig anmutende – Formulierung der Endeinrichtung hat den Zweck, eine technikneutrale Regelung zu schaffen. Zweifelsohne sind hiervon auch verschiedenste Tracking- und Cookie-Lösungen erfasst. Eine Ausnahme besteht nur für die Verarbeitung solcher Informationen, die zwangsläufig oder aufgrund von (Browser-)Einstellungen übermittelt werden. Beispiele hierfür sind etwa die IP-Adresse der Endeinrichtung oder die eingestellte Sprache. Im Aspekt des Personenbezuges der Informationen ist das TTDSG sogar strenger als die DSGVO, da auf diesen überhaupt nicht abgestellt wird, sondern sämtliche, daher auch nicht personenbezogene, Informationen der Regelung unterstellt sind.

Kombinierte Einwilligung prinzipiell möglich

Positiv ist, dass die Einwilligung in die Speicherung und Auslesung von Informationen nach § 25 Abs 1 TTDSG und die Einwilligung in eine Datenverarbeitung als Rechtsgrundlage nach Art 6 Abs 1 lit a DSGVO mittels ein und derselben Handlung gegeben werden kann. Dabei muss der Nutzer jedoch ausreichend informiert sein und für ihn eindeutig erkennbar sein, dass er durch das Betätigen der Schaltfläche mehrere Einwilligungen erteilt. Die weiteren Kriterien für die Gültigkeit der Einwilligung sind nach der DSGVO, besonders nach Art 4 Z 11 und Art 7, zu beurteilen. Selbstverständlich muss diese Einwilligungserklärung vor dem erstmaligen Setzen eines Cookies ergehen.

Mit Hinblick auf die Anforderungen an die Einwilligung ist darauf hinzuweisen, dass nach Ansicht der DSK im Banner auch die Folgeverarbeitung (z.B. die Auswertung der erhobenen Daten zur Erstellung von Werbeprofilen) angesprochen werden muss. Hier fordert die DSK auch eine konkrete Beschreibung der Zwecke der Folgeverarbeitung. Standardfloskeln wie „Verbesserung der Erfahrung des Nutzers“ oder „Werbezwecke“ sind jedenfalls nicht ausreichend. Auf erster Ebene hat der Banner vielmehr konkrete Informationen zu allen Zwecken zu enthalten. Allgemeine und vage Informationen reichen hier nicht aus. Nach Einschätzung der DSK ist jedenfalls darüber zu informieren, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form der Zugriff erfolgt, zu welchem Zweck und welche Funktionsdauer die Cookies haben.

Ablehnmöglichkeiten gleichrangig umzusetzen

Ein weiterer zentraler Punkt der Orientierungshilfe ist das aufgestellte Kriterium einer gleichwertigen Ablehnungsmöglichkeit. Es muss dem Endnutzer möglich sein, das Auslesen und Zugreifen auf Informationen ohne einen messbaren Mehraufwand abzulehnen. Selbiges gilt für die Möglichkeit zum Widerruf der erteilten Einwilligung. Als konkretes Negativbeispiel nennt die Datenschutzkonferenz den Einsatz eines Cookie-Banners, bei dem direkt eingewilligt werden kann, der Widerruf jedoch das Befassen mit der Datenschutzerklärung erfordert und die Widerrufsmöglichkeit in dieser verknüpft ist. Für den Betreiber einer Website ist es also essentiell, eine Ablehnungs- beziehungsweise Widerrufsmöglichkeit zu schaffen, die gleichwertig zu jener der Annahme ist und keinen erhöhten Aufwand bedeutet. Keinesfalls zulässig wäre es, den Widerruf an eine E-Mail oder Benachrichtigung per Post anzuknüpfen, während man die Einwilligung beim Einsatz der Website erteilt.

DSGVO-Stolpersteine beachten

Wird den Anforderungen des TTDSG entsprochen, so heißt dies aber noch nicht, dass die Verarbeitung der Daten auch im Lichte der DSGVO zulässig ist, sodass auch hier eine datenschutzrechtliche Prüfung notwendig ist. Verwendet man externe Diensteanbieter, so ist ein besonderes Augenmerk darauf zu legen, ob der Dienst Daten in ein Drittland übermittelt.

EU-Parlament vermasselt Datenschutz bei COVID-19-Test-Portal

Der Europäische Datenschutzbeauftragte (EDSB) stellt in einer aktuellen Entscheidung fest (Case 2020-1013), dass das Europäische Parlament gegen die „DSGVO für EU-Institutionen“ (VO (EU) 2018/1725) (diese Verordnung gleicht im Wesentlichen der DSGVO) verstößt.

Der Fall

Ende Oktober 2020 brachten einzelne Mitglieder des Europäischen Parlaments eine Beschwerde gegen das Europäische Parlament aufgrund behaupteter Verstöße gegen das Auskunftsrecht und Grundsätze der Datenübermittlung beim EDSB ein. Die Parlamentier monierten den Einsatz von Google Analytics und des US-amerikanischen Payment Anbieters Stripe auf einer COVID-19 Test Website des Parlaments. Am 22.1.2021 brachte der Verein NOYB im Namen von sechs Mitgliedern des Europäischen Parlaments eine weitere Beschwerde in der Sache ein.

Die Entscheidung des EDSB

Am 5.1.2022 entschied der EDSB in dieser Sache und stellte Verstöße gegen Transparenz- und Informationspflichten, bei der Übermittlung personenbezogener Daten in die USA sowie beim Einsatz von Cookies und dem verwendeten Cookie-Banner im Zusammenhang mit der Website fest.

Der EDSB bestätigt, dass der zum Zeitpunkt der Beschwerde veröffentlichte Datenschutzhinweis nicht die vom Europäischen Parlament vorgenommene Verarbeitung widerspiegelte, da der Betreiber der Hauptwebsite diesen von der von ihm ebenfalls betriebenen Seite für das Testzentrum des Flughafens Zaventem kopiert hatte. Selbst eine vorgenommene Aktualisierung des Datenschutzhinweises konnte Probleme wie u.a. den fehlenden Hinweis auf den Auftragsverarbeiter und die nicht präzise genug angegebene Aufbewahrungsfrist nicht beheben, weshalb das Europäische Parlament seinen Transparenzanforderungen nicht nachgekommen ist.

Zunächst wird festgestellt, dass Tracking Cookies als personenbezogene Daten anzusehen sind, auch wenn die traditionellen Identitätsparameter der verfolgten Nutzer unbekannt sind oder vom Tracker nach der Erfassung gelöscht werden. Durch die Verwendung von Google- und Stripe-Cookies fand eine Datenübermittlung in die USA statt. Das Europäische Parlament konnte keine Unterlagen oder Nachweise über technische oder organisatorische Maßnahmen (TOMs) vorlegen, die ein angemessenes Schutzniveau für diese in die USA übermittelten personenbezogenen Daten gewährleisten.

In der Entscheidung nimmt der EDSB auch Stellung zu Grundsätzen und Anforderungen an Cookie-Banner: In der Beschwerde wurde geltend gemacht, dass die Cookie-Banner der Website unklar und irreführend waren, da nicht alle Cookies aufgelistet waren und es Unterschiede zwischen den verschiedenen Sprachfassungen gab. Der EDSB stellt dazu fest, dass der Nutzer angemessen darüber zu informieren ist, worauf auf dem Endgerät des Nutzers zugegriffen wird oder was dort gespeichert wird, welche Zwecke verfolgt werden und auf welche Weise der Nutzer seine Zustimmung erteilen kann. Bevor eine solche Zustimmung vorliegt, dürfen keine Maßnahmen gesetzt werden. Zusätzlich muss für den Nutzer die Möglichkeit bestehen, die einmal erteilte Zustimmung jederzeit widerrufen zu können. Des Weiteren sind Cookie-Banner so auszugestalten, dass sie den Nutzer darauf aufmerksam machen, falls gesammelte personenbezogene Daten an Dritte übermittelt werden. Im konkreten Fall gelang der EDSB zum Ergebnis, dass die in drei Sprachen ausgeführten Cookie-Banner keine transparenten Informationen über die Verarbeitung personenbezogener Daten enthielten.

Aufgrund der obigen Ausführungen verwarnt der EDSB auf Grundlage des Art 58 Abs 2 lit b DSGVO das Europäische Parlament und fordert es auf, die Datenschutzhinweise entsprechend zu aktualisieren, um alle relevanten Informationen über die Verarbeitung personenbezogener Daten bereitzustellen. Strafen kann der EDSB nur unter besonderen Umständen verhängen, die im vorliegenden Fall nicht vorlagen.

Schrems II in der aktuellen Rechtsprechung angekommen

Neben der im ersten Beitrag dieses Newsletters behandelten Entscheidung der DSB zu Google Analytics ist dies eine der ersten Entscheidungen zur Umsetzung des Schrems II-Urteils. Sie zeigt, dass die für die Verarbeitung Verantwortlichen für alle Verarbeitungsvorgänge auf ihrer Website verantwortlich sind. Unternehmen sind gut beraten, die von ihnen verwendeten Cookie-Tools genau zu prüfen und gegebenenfalls Anpassungen im Hinblick auf die Google Analytics-Entscheidung der DSB und die Entscheidung des EDSB vorzunehmen.

Artikel drucken

Beiträge

Newsletter Februar 2022

Österreichische Datenschutzbehörde verbietet Einsatz von Google Analytics

Mit einer ersten behördlichen Entscheidung in den 101 Beschwerdeverfahren von NOYB europaweit sorgte die DSB vor Kurzem auch über die österreichischen Grenzen hinaus für Aufmerksamkeit und es zeichnen sich für Unternehmen, die Google Analytics verwenden, spätestens jetzt konkrete und sehr weitreichende Konsequenzen ab!

Google Analytics verboten – und was jetzt? Webinare im Februar

Die DSB-Entscheidung zu Google Analytics – siehe unsere Beiträge in diesem Newsletter – stellt eine große Zahl von Unternehmen und Organisationen vor enorme Herausforderungen bei der künftigen datenschutzrechtskonformen Durchführung ihrer Datenverarbeitungen! Wir bieten noch im Februar zwei Webinare zum Thema an und freuen uns auf Ihre Teilnahme!

Cookies in Deutschland und auf EU-Ebene

Das Thema Cookies hält europäische Behörden und Datenschützer auf Trab! Die deutsche Datenschutzkonferenz hat dazu im Zusammenhang mit dem neuen Telekommunikation-Telemedien-Datenschutz-Gesetz eine sehr empfehlenswerte Orientierungshilfe veröffentlicht; das EU-Parlament hat im Zusammenhang mit einem COVID-19-Testportal gegen Datenschutzrecht verstoßen!