30. Dezember 2022 Cookies im Kontext des Datenschutzrechts

Cookies sind wichtige Instrumente für das Onlinemarketing aber oftmals auch technisch notwendig und generieren Umsätze für Unternehmen. Warum sie datenschutzrechtlich problematisch sein können und worauf Userinnen und User bei der Cookie-Einwilligung achten sollten, lesen Sie im Interview.

Wer im Internet surft, begegnet ihnen auf den allermeisten Websites: Cookie-Banner, die nach einer Einwilligung der Userin oder des Users fragen. Die europäische E-Privacy-Richtlinie, auch „Cookie-Richtlinie“ genannt, sieht vor, dass Websites vor dem Setzen von Cookies die Zustimmung der Userin oder des Users einholen müssen.

Cookies im Kontext des Datenschutzes: ein Interview 

Nina-Maria Hafner-Thomic vom Institut für Zivilrecht der Universität Wien erklärt im Interview, welche datenschutzrechtlichen Probleme in Bezug auf Cookies bestehen und wie ein Kompromiss zwischen wirtschaftlichen Interessen von Unternehmen und informationeller Selbstbestimmung der Nutzerinnen und Nutzer aussehen könnte.

Warum wird für das Setzen von Cookies eine Einwilligung vonseiten der Userin oder des Users eingeholt?
Nina-Maria Hafner-Thomic: Oft werden nach Setzen eines Cookies personenbezogene Daten verarbeitet. Diese Daten geben Aufschluss darüber, wer wir sind und welche Vorlieben wir haben. Das europäische Datenschutzrecht und die Europäische Grundrechtecharta sehen vor, dass wir selbstbestimmt verfügen können, was mit solchen Daten geschieht. Ausdruck dieser datenschutzrechtlichen Selbstbestimmung ist, dass wir unsere Einwilligung geben, diese auch widerrufen können oder den Websitebetreibern die Einwilligung überhaupt versagen können.

Wie könnten Cookies missbräuchlich verwendet werden?
Hafner-Thomic: Auch wenn der europäische Gesetzgeber vorsieht, dass wir unsere Einwilligung zur Datenverarbeitung geben müssen, geschieht das in der Praxis häufig nicht. Manche Cookies – zum Beispiel sogenannte Flash-Cookies – agieren teilweise verdeckt, weshalb Userinnen und User oft gar nicht wissen, dass ihre Daten verarbeitet werden. Websitebetreiber können also an Daten gelangen, ohne dass wir unsere Einwilligung gegeben haben.

Was sollte man über das Erfassen von Cookies wissen?
Hafner-Thomic: Viele von uns willigen einfach ein, sobald sie auf eine Website gelangen und den Cookie-Banner sehen. Dabei ist Betroffenen oft nicht bewusst, was mit ihren Daten passiert. Wenn man sich darüber im Klaren ist, welchen wirtschaftlichen Wert Nutzerdaten haben, ist das der erste Schritt zur informationellen Selbstbestimmung der Userinnen und User.

Wie lassen sich diese Daten verwerten und was gibt man von sich preis?
Hafner-Thomic: An den Daten zeigt sich beispielsweise, wie Sie Ihre Freizeit verbringen. Die Verantwortlichen einer Website können diese Daten verarbeiten, um Ihnen personalisierte Angebote zu unterbreiten, teilweise auch zu einem „personalisierten Preis“, sodass Sie etwa mehr bezahlen. Wenn Sie also gerne Yoga ausüben, kann es sein, dass Ihnen ein Onlineshop eine Yogamatte teurer anbietet.

Sollte man grundsätzlich so wenigen Cookies wie möglich zustimmen?
Hafner-Thomic: Es gibt technisch notwendige und lediglich sinnvolle Cookies. In die erste Kategorie gehören Cookies (Session-Cookies), die in einem Onlineshop Produkte in einem Warenkorb belassen oder Log-In-Daten speichern, bis man die Seite wieder schließt. Ohne solche Cookies müsste man ständig Vorgänge wie das Einloggen wiederholen und die Seite wäre kaum nutzbar. Es kann aber durchaus praktisch sein, wenn man bei erneutem Aufruf des Online-Shops immer noch die gleichen Waren im Warenkorb oder seine eigenen Sprach- und Währungseinstellungen vorfindet. Solche Persistent- oder Tracking-Cookies sind sinnvoll, sie können aber auch zur Nachverfolgung von Nutzerinnen sowie Nutzern und zu Werbezwecken verwendet werden. Da wäre ich persönlich eher vorsichtig und würde meine Daten nur restriktiv preisgeben. Man kann sich zur besseren Kontrolle über Cookies im Übrigen auch einiger technischer Tools wie zum Beispiel Anti-Tracking-Programmen bedienen.

Welche gesetzlichen Pflichten haben die Verantwortlichen einer Website, die Cookies setzen wollen?
Hafner-Thomic: Für technisch notwendige Cookies ist grundsätzlich keine Einwilligung erforderlich, weil sie eine Voraussetzung für gewisse Funktionen der Website sind. In alle anderen Arten von Cookies muss dahingegen nach der E-Privacy-Richtlinie eingewilligt werden.

Welche konkreten Anforderungen an Cookie-Banner sieht der Gesetzgeber vor?
Hafner-Thomic: Die wichtigste Anforderung ist, dass Userinnen und User die Chance haben sollen, eine freie und informierte Einwilligung zu geben. Das wäre zum Beispiel nicht möglich, wenn es einen großen Button gibt, mit dem man in alle Cookie-Optionen einwilligen kann, und dann einen zweiten Button, wo man sich durch mehrere Einstellungsebenen klicken muss. Das ist Userinnen und Usern in der Praxis nicht zumutbar.

Wenn Informationen über die politische Orientierung oder die Religion einer Userin oder eines Users gesammelt werden, sind die Anforderungen an Cookie-Banner entsprechend hoch. Derart sensible Daten erfordern eine ausdrückliche Einwilligung und daher eine entsprechende Ausgestaltung des Cookie-Banners. Bei größeren Unternehmen bietet es sich an, dass die Rechtsabteilung gemeinsam mit der grafischen Abteilung an Lösungen arbeitet.

Warum haben die Verantwortlichen einer Website ein Interesse daran, dass Userinnen und User in sämtliche Cookies einwilligen?
Hafner-Thomic: Websitebetreiber können großen Wert aus den Daten schöpfen, die von Cookies gesammelt werden, indem sie uns beispielsweise personalisierte Werbung zeigen. Das ist weit verbreitet. Unternehmen können dadurch sehr große Gewinne einfahren und ihre Marketingstrategien verbessern. Dennoch glaube ich, dass man eine gewisse Balance zwischen den wirtschaftlichen Interessen eines Unternehmens und den Interessen der Nutzerinnen und Nutzer finden muss. Daten dürfen nicht zu jeglichen Zwecken ohne Einwilligung verwendet werden.

Eine Entscheidung des EuGH hat sich zum Beispiel mit der Frage auseinandergesetzt, ob vorangekreuzte Kästchen im Cookie-Banner schon einer Einwilligung gleichkommen. Die Antwort des Gerichts lautete: Wenn man selbst tätig werden muss, um aus der Datenverarbeitung rauszuoptieren, ist das nicht datenschutzkonform. Der EuGH hat also entschieden, dass vorangekreuzte Kästchen keiner aktiven Einwilligung gleichkommen.

Wie könnte ein Kompromiss zwischen den Interessen eines Unternehmens und jenen von Userinnen und Usern aussehen?
Hafner-Thomic: Das europäische Datenschutzrecht unterbindet ja nicht generell die Verwendung von Cookies und das Sammeln von Daten. Es versucht, einen Mittelweg einzuschlagen. Dafür ist aber erforderlich, dass Unternehmen die Vorgaben des Datenschutzrechts befolgen und sich bemühen, eine freie Entscheidung der Userin oder des Users zu ermöglichen, indem alle nötigen Informationen zur Verfügung gestellt werden. Außerdem muss immer offengelegt werden, wie persönliche Daten weiterverwendet werden.

Aktuell geben die E-Privacy-Richtlinie beziehungsweise DSGVO einen recht strengen Rahmen vor. Es geht dabei um Grundrechte, die abzuwägen sind: Einerseits gibt es die unternehmerische Freiheit, andererseits das Grundrecht auf Datenschutz, damit einhergehend auch das Grundrecht auf Privatsphäre und Familienleben. Ich glaube, dass das Datenschutzrecht in seiner aktuellen Form geeignet ist, einen Ausgleich zwischen dem Persönlichkeitsschutz des Einzelnen und der unternehmerischen Freiheit zu schaffen.

Welche Probleme können sich durch Unternehmen aus Drittstatten in Bezug auf den Datenschutz ergeben? 
Hafner-Thomic: Das europäische Datenschutzrecht sieht vor, dass Userdaten nur an Server in Drittstaaten übermittelt werden dürfen, wenn das Unternehmen dabei gewisse Standards einhält. Das kann etwa bedeuten, dass auf von der Europäischen Kommission herausgegebene standardisierte Vertragsklauseln zurückgegriffen wird. Solche Leitlinien helfen Unternehmen in der Umsetzung.

Das europäische Datenschutzrecht will sicherstellen, dass bei der Übertragung von Daten an Server in Drittstaaten ein ähnlich hohes Datenschutzniveau gewährleistet wird, wie die DSGVO es vorgibt. Die Europäische Kommission fasst zu diesem Zweck Angemessenheitsbeschlüsse, die in völkerrechtlichen Instrumenten ihren Niederschlag finden. In den vergangenen Jahren war zum Beispiel das „EU-US-Privacy-Shield“ zwischen den USA und der EU immer wieder ein Thema, denn es wurde vom Europäischen Gerichtshof im Jahr 2020 wegen eines unzureichenden Schutzniveaus für ungültig erklärt.

Haben Sie Empfehlungen für Websiteverantwortliche, die Informationen zum Nutzungsverhalten DSGVO-konform erfassen wollen?
Hafner-Thomic: In der DSGVO finden sich detaillierte Regelungen zur Ausgestaltung einer wirksamen Einwilligung, die auch für Cookie-Banner herangezogen werden. Die Websiteverantwortlichen müssen den Nutzerinnen und Nutzern auf jeden Fall ausreichend Informationen zur Verfügung stellen: Was passiert mit ihren Daten und zu welchen Zwecken werden sie verarbeitet? Worin wird überhaupt eingewilligt? An wen werden die Daten, die über Cookies gesammelt wurden, weitergegeben? Erst wenn eine Nutzerin oder ein Nutzer all diese Informationen hat, kann sie oder er einwilligen, wie die E-Privacy-Richtlinie beziehungsweise die DSGVO es vorsieht.

Die Verantwortlichen sollten auch eine Balance zwischen zu wenig und zu viel Information finden. Denn sehr oft wird in einem Cookie-Banner auf detailliertere Erklärungen verwiesen, zu denen man sich auch erst durchklicken muss. Wenn zu viele Informationen zur Verfügung gestellt werden, kann das undurchsichtig werden.

Ein Vorschlag meinerseits sind „Privacy Icons“, also eine grafische Darstellung in Form von kleinen Piktogrammen, die in die Website integriert werden. Es gibt empirische Forschung, die besagt, dass Menschen auf Bildsymbole gut ansprechen und diese viel schneller erfassen als einen Text. Das kann für Userinnen und User hilfreich sein, wenn Cookie-Daten zu Marketingzwecken weiterverarbeitet werden sollen.

Wo können sich Userinnen und User bei Fragen zum Datenschutz informieren beziehungsweise beschweren?
Hafner-Thomic: Sie können sich direkt an den Websitebetreiber wenden, wenn Sie sehen, dass bei Ihnen Cookies gesetzt und ausgelesen wurden. Teilweise ist das ja sehr auffällig, wenn Sie zum Beispiel in einem Onlineshop nach einem Produkt gesucht haben und später in sozialen Medien eine personalisierte Werbung dazu angezeigt bekommen. In solchen Fällen kann man das ganz gut orten und den jeweiligen Websitebetreiber um Auskunftserteilung ersuchen. Wenn Sie keine Auskunft erhalten, wäre der nächste Schritt der Weg zur Datenschutzbehörde, wo Sie als betroffene Person ein Beschwerderecht haben.