Sind Cookie-Banner rechtlich sinnvoll?

16. August 2019

Thema: Cookies, seitenübergreifendes Usertracking, DSGVO, Cookie-Richtlinie

Dieser Artikel beschreibt die rechtliche Situation in Österreich. (In Deutschland ist die rechtliche Situation sehr ähnlich.) Es ist dies die juristische Meinung eines Technikers im Sinne der Meinungsfreiheit ;) und stellt keine Rechtsberatung dar. Alle Angaben ohne Gewähr.

Teil 1: Die Ausgangslage

Wenn man die gesetzliche Grundlage für Cookie-Banner sucht, dann sucht man vergeblich. Tatsächlich gibt es keine Stelle, die besagt, dass man speziell vor Cookies warnen muss. Cookies sind ein technisches Werkzeug, mit dem Vieles möglich ist. Eine Option ist seitenübergreifendes Tracking. Eine andere Option ist zum Beispiel der Warenkorb in einem Online-Shop.

Aber was steht denn eigentlich im Gesetz? Die gesetzlichen Bestimmungen leiten sich aus europäischem Recht ab, nämlich aus der „Richtlinie 2009/136/EG“ [2]. Anders als Verordnungen (wie z.B. die DSGVO [1]) sind EU-Richtlinien nicht automatisch in den EU-Mitgliedsstaaten gültig, sondern müssen erst durch entsprechende nationale Gesetze umgesetzt werden [7]. Die hier beschriebene Richtlinie wird im Internet auch gerne „Cookie Richtlinie“ genannt, aber ich möchte diesen Begriff vermeiden, denn er ist einfach falsch. In der Richtlinie steht sehr wenig von Cookies, nämlich genau gesagt nur an einer Stelle, in einem Nebensatz:

„[…] die von legitimen Gründen (wie manchen Arten von Cookies) […]“ Richtlinie 2009/136/EG

D.h. das einzige was in dieser Richtlinie über Cookies steht ist, dass manche Arten von Cookies legitim sein können.

Die Umsetzung ist in § 96 TKG 2003 [3] beschrieben. Im Gegensatz zur EU-Richtlinie ist dieser Paragraf anwendbares Recht in Österreich, und der Begriff „Cookies“ kommt in diesem Gesetz in keiner Weise vor, und es wird dieses Konzept auch nicht umschrieben. Der entscheidende Punkt in Absatz 3 ist dieser (zur Vereinfachung habe ich Teile die für Webseiten nicht relevant sind, gekürzt):

„Betreiber […] sind verpflichtet, den Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der […] Nutzer seine Einwilligung dazu erteilt hat.“ § 96 TKG, Absatz 3 (Auszug)

Im nächsten Satz wird die Verpflichtung auch gleich wieder relativiert. Saloppe Kurzfassung: für harmlose Cookies braucht man keinen Cookie-Banner.

„Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes […], der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ § 96 TKG, Absatz 3 (Auszug)

Viele Leute werden sich jetzt fragen: wo ist da überhaupt der Zusammenhang zwischen Cookies und diesem Gesetz? Das alles ergibt doch garkeinen Sinn!

Richtig. Das ergibt überhaupt keinen Sinn. Deshalb sind Cookie-Banner auch falsch und dumm
nicht so schnell. Ich bin noch nicht überzeugt

(Falls meine Chewbacca-Verteidigung nicht geklappt hat, lesen Sie einfach weiter...)

Es ergibt Sinn; teilweise; Cookie-Banner sind fast immer ein Unfug, aber wir müssen die technischen Hintergründe verstehen, um zu begreifen, wie Webseiten-Betreiber auf die Idee kommen konnten, dass Cookie-Banner sinnvoll wären. Befassen wir uns deshalb zuerst einmal mit den Fakten. Darum geht es in Teil 2: Was sind Cookies überhaupt? Welche legitimen Einsatzzwecke von Cookies gibt es? Was haben Cookies mit persönlichen Daten zu tun? Was ist „seitenübergreifendes Nutzertracking“?

Teil 3 wird dann konkreter, weil ich hier beschreibe, worin die Aufklärungspflichten eines Webseiten-Betreibers tatsächlich bestehen. Und warum ein Cookie-Banner meiner Meinung nach diesen Aufklärungspflichten in keiner Weise gerecht werden kann. Man findet im Internet leicht Meinungen, warum Cookie-Banner notwendig wären (z.B. [6]). Und auch viele Anwälte raten ihren Mandanten zu Cookie-Bannern. Mit meiner Gegenmeinung bin ich aber auch nicht alleine ([15], [16].) Für mich fällt der Cookie-Banner in die Kategorie moderner Mythos.

Letztlich werden meine Argumente darauf hinauslaufen, dass Cookies ein vielseitig einsetzbares technisches Werkzeug sind, mit dem man sehr viel tun kann, und dass ein Hinweis über Cookies daher keine echte Bedeutung haben kann (vgl. [15]). Man kann auch ohne Cookies die Privatsphäre von Nutzern verletzen, und man kann Cookies für die harmlosesten Dinge verwenden. Das Gesetz gibt vor, dass Nutzer darüber aufgeklärt werden müssen welche persönlichen Daten zu welchem Zweck wie verarbeitet werden, und ein Cookie-Hinweis kommt dieser Anforderung üblicherweise in keiner Weise entgegen.

Es gibt also immer zwei Möglichkeiten: 1. man verwendet entweder keine Cookies, oder nur legitime Cookies => ein Cookie-Hinweis ist in diesem Fall nicht erforderlich. 2. Man verwendet Cookies für moralisch fragwürdige Zwecke => ein einfacher Cookie-Hinweis ist viel zu wenig.

Teil 2: Die Fakten zu Cookies

Was sind Cookies überhaupt?

Cookies sind kleine Textdateien, die ein Webserver bei einer Anfrage eines Webbrowsers an diesen sendet. Der Webbrowser sendet diese Textdatei daraufhin bei jeder weiteren Anfrage wieder an den Webserver zurück.

Ein klassisches Beispiel dafür ist der Login einer Webmail-Anwendung (mail.example.com). Der Nutzer gibt Email-Adresse (user1@example.com) und Passwort (12345678) ein. Der Browser sendet daraufhin eine Anfrage an den Webserver. Der Webserver überprüft ob das Passwort korrekt ist, und wenn ja, generiert er eine Zufallszahl, und sendet sie als Cookie an den Webbrowser zurück. Das Cookie hat dann z.B. den Namen „sid“ (für Session-ID) und den Inhalt „239748374938789823683“. Der Webserver merkt sich, dass die Session-ID „239748374938789823683“ zum User „user1@example.com“ gehört. Der Webbrowser sendet bei jeder weiteren Anfrage die Session-ID (in Form von besagtem Cookie) mit, und deshalb weiß der Webserver, dass der Benutzer eingeloggt ist und Mails lesen und versenden darf.

Wenn der Nutzer den Computer am Abend abschaltet und am nächsten Morgen wieder an macht und den Browser wieder öffnet, ist er noch immer im Webmail eingeloggt, weil sich der Webbrowser das Cookie gemerkt hat.

Ein Cookie ist immer für eine bestimmte Domain gültig. Auf unser Beispiel übertragen heißt das: wenn der Webserver „mail.example.com“ ein Cookie an den Browser schickt, dann wird der Browser dieses Cookie nur an genau diesen Webserver zurückschicken, und nicht an „facebook.com“ wenn der Nutzer auf facebook surft, und auch nicht an „www.example.com“ wenn der Nutzer auf www.example.com surft.

Gesetzesgrundlage. Wie komme ich auf die Idee, dass die Rechtsgrundlage für Cookie-Banner in der Richtlinie 2009/136/EG und in § 96 TKG liegt?

Die Kernaussage dieses Artikels ist es, dass Cookie-Banner keine Gesetzesgrundlage haben. Aber wie beweist man so etwas? Ich habe das Internet nach Begründungen durchsucht warum Cookie-Banner notwendig sein sollen. In allen Fällen liegt die Begründung in der „sogenannten Cookie-Richtlinie“. Je nachdem wo man liest, ist damit entweder die Richtlinie 2002/58/EG gemeint, oder aber die Richtlinie 2009/136/EG. Letztere wird öfter erwähnt, und auch die Wikipedia bezeichnet diese als „Cookie-Richtlinie“ [8] (allerdings ohne diese Ansicht in irgendeiner Form zu begründen. Und in einem Artikel der sich im Kern um die 2002er-Richtlinie dreht.) In Richtlinie 2009/136/EG gibt es eine Stelle, die am ehesten als Aufruf zur Anzeige von Cookie-Bannern verstanden werden kann.

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Richtlinie 2009/136/EG, Artikel 5 Absatz 3

Von Cookies im speziellen ist hier keine Rede. Und überhaupt gelten EU-Richtlinien nicht automatisch [7], sondern müssen durch nationales Recht umgesetzt werden. In Österreich ist es das Telekommunikationsgesetz.

Hier gibt es eine einzige relevante Stelle, und die ist der § 96 TKG 2013 Absatz 3.

Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt. § 96 TKG, Absatz 3

Nach dieser etwas trockenen Lektüre kann man sich fragen: Inwiefern klärt mich ein Cookie-Banner der Form „Diese Webseite verwendet Cookies um Ihr Benutzererlebnis zu optimieren. Durch die Benutzung dieser Webseite erklären Sie sich damit einverstanden“ darüber auf, dass von mir personenbezogene Daten übermittelt und verarbeitet werden, und zu welchem Zweck dies geschieht? Und inwiefern kann es als Zustimmung gewertet werden wenn man auf „Okay“ drückt, damit der blöde Banner verschwindet? Selbst mit IT-Studium ist mir nicht ganz klar, wo da der Zusammenhang sein soll. Es ist natürlich schon so, dass man wenn man ein Webentwickler ist, weiß, was Cookies sind und wieviel Unfug damit betrieben wird, und dass daher so ein Cookie-Banner mehr Inhalt hat als es auf den ersten Blick scheint. Aber was soll ein Mensch ohne IT-Studium denken? Inwiefern kann man behaupten, dass jemand, der nicht im IT-Bereich arbeitet und kein Cookie-Experte ist überhaupt abschätzen kann, was mit so einem Cookie-Hinweis gemeint ist? Geschweige denn durch den Cookie-Banner versteht, wie persönliche Daten genutzt und verarbeitet werden?

Eine konkrete Aufklärung findet jedenfalls nicht statt. Mit Cookies kann man alles Mögliche machen. Ein Cookie-Hinweis ist in etwa so allgemein, wie wenn man sagt, dass ein bestimmtes Essen Salz enthält.

Zuerst möchte ich mit einem kleinen Spaß-Beispiel beginnen. Sie können hier direkt ein Cookie setzen. Cookie ist ja Englisch und bedeutet „Keks“. Und wie wir wissen gibt es weiße und schwarze Kekse. Durch Klick auf die Buttons rechts können Sie ein weißes oder ein schwarzes Cookie setzen, oder das Cookie auch wieder löschen.

Das Besondere daran ist, dass diese Einstellung bestehen bleibt, selbst wenn Sie das Browser-Fenster schließen und später wieder auf die Seite gehen. Das Keks bleibt 7 Tage lang gespeichert. Wenn Sie nach 24 Stunden wieder auf die Seite gehen werden Sie sehen, dass Ihr Keks angeknabbert wurde. Und nach 5 Tagen ist es stark angeknabbert. Und nach 7 Tagen ist es weg.

Es ist dies ein harmloses Cookie, das keine Nutzereinwilligung erfordert. Hey, das funktioniert sogar wenn man Javascript deaktiviert.

Um diese Cookie-Demo mit anderen zu teilen, teilen Sie einfach diesen Link:

https://www.michaelpeternell.at/2019/cookie-banners/#cookie-demo

Bedenklichkeitsfaktor von funktionalen Cookies: niedrig

Datenschutzrechtliche Relevanz: niedrig bis nicht vorhanden

Session-Cookies

Bevor Menschen angefangen haben, Cookies für unethische Zwecke zu missbrauchen, war der häufigste Einsatzzweck von Cookies das Session-Cookie. Session-Cookies dienen dazu, eine Web-Session zu implementieren. Funktionen wie ein Login werden dadurch erst möglich. Ganz egal ob es ein Login beim Webmail, in einem Internetforum, auf Facebook, Twitter, oder sonst wo ist. Fast immer sind Sessions über Cookies realisiert.

HTTP ist ein zustandsloses Protokoll: das bedeutet, dass der Webserver von vornherein zwei unterschiedliche Anfragen des gleichen Webbrowsers nicht miteinander in Beziehung bringen kann. Durch das Setzen eines Session-Cookies hat der Webserver die Möglichkeit, den Webbrowser wiederzuerkennen, sodass genau dieser eine User auf diesem einen Computer eingeloggt ist.

Vom Standpunkt der Daten bewirkt das, dass der Webserver die Zugriffe des Webbrowsers jetzt und in Zukunft einem bestimmten User zuordnen kann. Und zwar zeitlich relativ unbegrenzt. Allerdings ist zu bedenken, dass diese Zuordnung vom User ausdrücklich erwünscht war, als er sich einloggte. Wenn ich mich als User auf einer Seite einlogge, dann will ich natürlich, dass der Webserver mich in 5 Minuten noch immer kennt, und ich nicht für jede Aktion meinen Benutzernamen und mein Passwort neu eingeben muss. Das Session-Cookie dient also dazu, ein Feature (den Login), das vom User ausdrücklich angefordert wurde, umzusetzen. § 96 TKG (3) sagt dazu:

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. § 96 TKG, Absatz 3 (Auszug)

Diese Stelle ist enorm wichtig. Ohne sie würde das ganze Internet nicht funktionieren. Jedes Mal, wenn ein Webbrowser mit einem Webserver Daten austauscht muss der Webserver genügend Informationen über die Datenverbindung im Speicher behalten („verarbeiten“), um die Datenverbindung für die Dauer der Kommunikation aufrecht zu erhalten. Zu diesen Daten gehört u.a. auch die IP-Adresse des Nutzers. Wie sollte ein Nutzer vorab die Einwilligung geben, dass der Webserver seine IP-Adresse zu Zwecken der Datenübertragung verwenden darf?

Bedenklichkeitsfaktor von Session-Cookies: niedrig

Datenschutzrechtliche Relevanz: niedrig

Zusammenhang von Cookies und persönlichen Daten

Bisher habe ich Einsatzzwecke von Cookies beschrieben, die Sinn machen. D.h. Sinn für den User. Ein großer Teil der Cookies, die heutzutage im Umlauf sind, fällt nicht in diese Kategorie.

Etwas pointiert könnte man sagen: Cookies, welche ausschließlich „die Nutzererfahrung optimieren“, brauchen keine Zustimmung. Cookies welche den Nutzer schädigen und ausspionieren, oder zumindest überwachen sollen, brauchen eine Zustimmung, aber sie „optimieren“ sicher nicht das Nutzungserlebnis, jedenfalls nicht aus Sicht des Nutzers.

Cookies werden heutzutage oft gesetzt, um Menschen wieder zu erkennen. Wenn man das erste Mal auf einer Seite surft, setzt die Seite ein Cookie mit einer zufällig generierten GUID (einer weltweit eindeutigen, 128-Bit großen Zufallszahl.) Wenn man am nächsten Tag wieder auf der Seite surft weiß der Webserver schon, dass man am Tag davor auch auf der Seite gewesen ist. Auf diese Weise kann der Seitenbetreiber z.B. erkennen, wenn sich seine User in 2 Gruppen unterteilen. Die einen interessieren sich hauptsächlich für Hunde-Bilder, die anderen eher für die Katzen-Bilder.

Braucht man dafür die Zustimmung des Nutzers? Muss man darüber informieren? Hier wird es ein bisschen komplizierter. Wenn man in der eigenen Datenschutzerklärung darüber informiert, ist man wahrscheinlich auf der sicheren Seite [15].

Bedenklichkeitsfaktor von seitenspezifischen Identifikations-Cookies: mittel

Datenschutzrechtliche Relevanz: mittel

Seitenübergreifendes Nutzertracking

Hier kommen wir an die Stelle, wo die Probleme beginnen. Sehr viele Webseiten verwenden sogenanntes „seitenübergreifendes Nutzertracking“. Manchmal nur aus Bequemlichkeit, manchmal ist es ein Nebenprodukt der Werbung, und manchmal ist es ein großer Konzern, der so mehr Gewinn machen kann.

Nutzertracking der 1990er-Jahre

Auch in den 90er-Jahren gab es Webmaster, die genau wussten, wie viele Leute ihre Webseite besuchten, woher diese Leute kamen (d.h. von welcher Webseite über welchen Link und auch aus welchem Land), wie lange sie auf der Seite blieben, usw. Das ging ohne Cookies, und auch ohne den Nutzer zu verwanzen.

Bei jedem Zugriff auf eine Webseite erfährt der Webserver die IP-Adresse des anfragenden Computers, die genaue URL der angefragten Seite, Namen und Version des Webbrowsers, und Referer. Der Referer ist die Adresse der Seite wo der Nutzer davor war. Wenn der Nutzer die Adresse der Webseite direkt ins Adressfeld eingegeben hat ist der Referer leer. Wenn der Nutzer über einen Link von einer anderen Seite gekommen ist, dann enthält der Referer die Adresse der ursprünglichen Webseite. Es gibt auch eine schwache 1:1-Beziehung zwischen IP-Adressen und Nutzern. D.h. wenn innerhalb von 42 Sekunden zwei Zugriffe von derselben IP-Adresse kommen, dann kann man mit großer Sicherheit davon ausgehen, dass es sich um denselben Nutzer handelt. (Das ist nicht immer so, aber es ist für viele Zwecke ausreichend genau. Insbesondere wenn man nur wissen will, ob die Zahl der Nutzer im Vergleich zum Vormonat gestiegen oder gesunken ist.) Der Server hat alle Zugriffe protokolliert, und einmal am Tag zu einer Statistik zusammengefasst. Die einzelnen Tages-Statistiken wurden dann weiters einmal pro Monat zu Monatsstatistiken zusammengefasst. Die Zugriffsprotokolle konnten einmal am Tag gelöscht werden, und die statistische Aggregation (Zusammenfassung) der Daten ist datenschutzrechtlich unbedenklich. Die Tatsache, dass 53 Besucher an einem bestimmten Tag auf der eigenen Webseite waren, enthält keine persönlichen Daten.

Diese „Low-Tech”-Techniken des Nutzertrackings funktionieren heute, 20 Jahre später, immer noch. Man nennt es auch „serverseitiges Nutzertracking“. Und viele Webseiten setzen es auch ein. Viele Webseiten setzen aber stattdessen auf Google Analytics.

Google Analytics

Das Prinzip von Google Analytics ist einfach. Der Server sendet bei jedem Seitenaufruf ein kleines Programm an den Browser, das den Browser dazu anweist, mit Google Kontakt aufzunehmen, und dem Google-Server zu erzählen, was der Nutzer gerade tut. Der Ablauf sieht in etwa so aus:

Browser lädt Seite „https://www.example.com/page2.html“ von Server „www.example.com“.

Browser sendet Nachricht an Google Analytics Server (google-analytics.com) und sagt: „Hello, dieser Nutzer hat gerade die Seite „https://www.example.com/page2.html“ geladen. Die Seite hat übrigens den Titel „Sind Sie ein Katzenliebhaber? Machen Sie den Online-Test!“.“

Google Analytics Server antwortet: „danke für die Infos. Übrigens, ich kenn dich noch nicht. Da hast ein Cookie: „gaId=928473292“.“

Nutzer klickt auf den Link „mehr Katzen“, um weitere Katzenbilder angezeigt zu bekommen.

Browser lädt Seite „https://www.example.com/katzenbilder.html“ vom Server „www.example.com“.

Browser sendet Nachricht an Google Analytics Server (google-analytics.com) und sagt: „Hello, dieser Nutzer hat gerade die Seite „https://www.example.com/katzenbilder.html“ geladen. Übrigens, hier mein Cookie: „gaId=928473292“. Übrigens, die Seite hat den Titel „Alle Katzenbilder“.“

Google Analytics Server antwortet: „danke für die Infos. Dich kenn ich doch. CU later“

Für den Webseitenbetreiber hat dieses Vorgehen gewisse Vorteile. Zum einen funktioniert dieser Ansatz unabhängig davon, ob der eigene Webserver bzw. Web-Provider serverseitiges Tracking unterstützt oder nicht. Wenn man mehrere Webseiten betreut kann man alle Statistiken an einem Ort sehen, nämlich bei Google. Und Google ist so freundlich, dieses Service kostenfrei zur Verfügung zu stellen.

Für den Nutzer hat dieses Vorgehen nur Nachteile. Die zusätzlichen Anfragen bei Google machen die Seite langsamer und verursachen zusätzliche Datenübertragungen. Weiters sehen sich Webseitenbetreiber dazu genötigt, in diesem Fall Cookie-Banner anzuzeigen.

Darüber hinaus ist in diesem System das seitenübergreifende Nutzertracking bereits implementiert. Das Google Analytics Identifikations-Cookie gilt nämlich global für alle Seiten und nicht nur für „www.example.com“, weil es ja vom Google Analytics Server (google-analytics.com) gesetzt wurde, und nicht von „www.example.com“. Am besten illustrieren wir das wieder mit einem Beispiel:

Browser lädt Seite „https://hraoe.example.com/“.

Browser sendet Nachricht an Google Analytics Server (google-analytics.com) und sagt: „Hello, dieser Nutzer hat gerade die Seite „https://hraoe.example.com/“ geladen. Übrigens, hier mein Cookie: „gaId=928473292“. Übrigens, die Seite hat den Titel „Hunde raus aus Österreich“.“ (Hinweis: das war 2015 ein Satireprojekt.)

Google Analytics Server denkt sich: „hey, dich kenn ich doch. Du bist doch der, der gerade eben Katzenfotos angesehen hat. Anscheinend interessierst du dich für Tiere. Vielleicht sollte ich dir Werbung für einen Zoo anzeigen, das ist bestimmt passend :)“

Und genau hier liegt das Datenschutzproblem. Für Google ist es jetzt sehr einfach, Nutzerprofile anzulegen. Es ist auch nicht wirklich schwer, diese Nutzerprofile dann mit Google Konten zu verknüpfen. Diese Daten dann für zielgruppenspezifische Werbung zu benutzen ist nicht besonders schwierig. Dieses Techniken dann dazu einzusetzen, um Menschen in einem Land politisch zu beeinflussen, um z.B. einem Donald Trump an die Macht zu verhelfen oder um die Briten dazu zu bringen für den Brexit zu stimmen ist durchaus im Bereich des Möglichen. Selbst wenn man mit diesen Techniken nur 3% der Bevölkerung umstimmen kann, ist der gesellschaftspolitische Einfluss trotzdem gewaltig. Ich will hier nicht sagen, dass Google so etwas gemacht hat oder machen möchte, sondern nur, dass seitenübergreifendes Nutzertracking genau diese Art von Machtmissbrauch vereinfacht bzw. überhaupt erst ermöglicht. Und dies ist einer der Gründe warum die EU die Datenschutzgrundverordnung (DSGVO) ins Leben gerufen hat (vgl. Erwägungsgrund (9) DSGVO.)

Moderne Werbung mit Javascript

Werbung auf Webseiten funktioniert so, dass der Webbrowser angewiesen wird, von einer bestimmten Adresse eines Werbeanbieters eine Javascript-Datei herunterzuladen und auszuführen. Als Webseitenbetreiber weiß man nicht so genau, was dieses Programm tut, weil der Code normalerweise so weit entstellt wird, dass man ihn nicht mehr gut lesen kann (das ist im Web so üblich, man nennt das „code obfuscation“. Vertrauen schafft diese Vorgehensweise aber nicht.) Jedenfalls ist das Endergebnis, dass man Werbung angezeigt bekommt. Da dieses Programm alle Rechte im Kontext der aufrufenden Webseite hat, kann es alles tun was notwendig ist, um den Nutzer zu identifizieren. Die Webbrowser-Version herausfinden, das Betriebssystem checken, die lokale Zeitzone sehen, schauen welche Schriftarten im System installiert sind, schauen welche Fehlermeldungen der Soundtreiber wirft wenn man ihn mit semi-sinnvollen Anfragen nervt, und wie lange er dafür braucht. Alle diese Infos können dazu führen, dass ein Nutzer eindeutig identifiziert wird, und zwar unabhängig von eventuell benutzten Cookies. Man nennt das auch „Fingerprinting“. Vieles was Werbetreibende im Internet heutzutage tun ist klar illegal (in der EU), aber es passiert trotzdem.

Durch die genaue Identifikation des Nutzers weiß der Werbeanbieter, wo sich ein Nutzer in letzter Zeit aufgehalten hat, mit welchen Werbungen er interagiert hat, usw.

Gemäß DSGVO ist diese Art von Tracking zustimmungspflichtig. Meiner Meinung nach gehört so etwas aber eigentlich stattdessen verboten. Es ist für mich nicht ersichtlich, inwiefern ein Nutzer einen Vorteil davon haben kann, wenn er diesen Dingen zustimmt. Ein einfacher Cookie-Banner ist in diesem Fall jedenfalls rechtlich nicht ausreichend. Manche Webseiten machen es aber auch (zumindest rechtlich) richtig. Sie fragen den Nutzer ob sie die Cookies zum Werbetracking annehmen wollen oder nicht. Einen „Ablehnen“-Button sucht man meistens vergeblich, sondern es gibt einen Link zu „Einstellungen“. In den „Einstellungen“ kann man dann die Werbecookies ablehnen, wenn man aufmerksam Ausschau hält. Aus Sicht des Seitenbetreibers macht es Sinn. Die für den Nutzer einfachste Variante ist ein Klick auf „Zustimmen“. Die Cookies abzulehnen indem man zu den „Einstellungen“ navigiert, erfordert deutlich mehr Klicks und mehr Nachdenken.

Dann ist auf den meisten Seiten das Problem, dass ich eine einmal gegebene Zustimmung nicht leicht wieder zurücknehmen kann. Sobald ich auf „Zustimmen“ gedrückt habe verschwindet der Banner und kommt nie wieder. Was, wenn ich meine Zustimmung widerrufen möchte? Laut DSGVO muss mir der Betreiber der Seite dafür eine Möglichkeit liefern. In den Datenschutzerklärung einer bestimmten österreichischen Tageszeitung die ich jetzt nicht näher bezeichnen möchte steht dazu in den Datenschutzbestimmungen lediglich „Ihre Einwilligung zur Verwendung von Cookies können Sie jederzeit durch entsprechende Einstellung Ihres Browsers widerrufen.“ – das heißt dann wohl ich darf die Cookies in meinem Browser löschen, sodass ich später dann erneut gefragt werde.

Bei einer kurzen Suche auf mehreren Webseiten hab ich bisher keine Seite gefunden, die einen Widerruf einfach und korrekt ermöglicht. Die DSGVO sagt dazu: „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ (Artikel 7 Absatz 3 DSGVO)

Und überhaupt finde ich es ungut, dass ich jetzt mit jeder Webseite einzeln über Datenschutzbestimmungen verhandeln soll. Wie schön waren die Zeiten, wo man einfach auf eine Webseite ging, um den Inhalt der Seite zu bewundern, ohne von irgendwelchen modalen Popups belästigt zu werden? Eine Webseite soll Informationen übermitteln und nicht irgendwelche Daten verarbeiten.

Das Facebook- und Twitter-Modell

Facebook und Twitter verdienen ihr Geld durch das Sammeln von Daten. Ein Argument das man immer wieder hört ist, dass diese Services nur deshalb kostenlos sein können weil sie persönliche Daten der Nutzer sammeln und (angeblich) verkaufen. Eine Alternative wäre somit, dass diese Services Geld kosten müssten. Was wir dabei vergessen ist die Tatsache, dass es werbefinanzierte Webseiten und Webanwendungen schon gab, als noch niemand von seitenübergreifendem Nutzertracking gesprochen hat. Fernsehen finanziert sich durch Werbung. Printmedien finanzieren sich durch Werbung. Auf gleiche Art und Weise kann auch Werbung auf Webseiten geschalten werden: auf einer Webseite über Krokodile wird Urlaubswerbung geschalten. Auf einer Webseite über Fahrräder erscheint Werbung für Fahrradhelme. Auch das ist zielgruppenspezifische Anpassung, aber es fallen dabei keine Unmengen an persönlichen Daten an.

Facebook setzt künstliche Intelligenz ein, um gezielt solche Inhalte anzuzeigen, sodass der jeweilige Nutzer möglichst lange auf der Webseite bleibt [13]. Jetzt haben Psychologen herausgefunden, dass Menschen länger auf einer Seite bleiben, wenn sie sich über den Inhalt aufregen. Provokante Seiten neigen eher dazu kommentiert zu werden, und die Diskussionen werden hitziger geführt, weil das Thema polarisierend formuliert wurde. Interessant ist z.B. eine Meldung, die sich 2015 rasant über Facebook verbreitet hat und zu einer kleinen Massenpanik geführt hat. Ein Mann war mit Ebola infiziert, mitten in Amerika! Was dabei in allen Meldungen verschwiegen wurde war, dass zu keinem Zeitpunkt eine Ansteckungsgefahr für irgendeinen Dritten bestanden hat, und dass somit die Gefahr längst gebannt war [13]. Facebook begünstigt reißerische (unseriöse) Berichterstattung, weil dies die Zugriffsdauer erhöht, und seitenübergreifendes Nutzertracking bietet einen Teil der technologischen Basis dafür. Es geht nicht darum, dass Facebook nicht wissen soll, wo ich surfe. Es geht darum, dass Facebook viel zu viel Macht auf die öffentliche Meinung ausüben kann, und dass es diese Macht laufend missbraucht.

Seitenübergreifendes Nutzertracking ohne Cookies

Im Unterabschnitt „Moderne Werbung mit Javascript“ hab ich bereits kurz das Thema Fingerprinting angerissen. Damit ist es in vielen Fällen möglich, Menschen (oder zumindest Computer) auch ohne Cookies eindeutig zu identifizieren. Wenn diese Informationen dann irgendwie weiterverarbeitet werden ist dafür nach DSGVO natürlich eine Information und Zustimmung des Nutzers erforderlich. Es liegt auch auf der Hand, dass dafür ein Cookie-Banner nicht die richtige Wahl ist, weil Cookies ja überhaupt nicht verwendet wurden.

Ich kann mich nicht an einer Webseite erinnern, wo ich über diese Art des Trackings aufgeklärt wurde oder gar nach meiner Zustimmung gefragt wurde.

Teil 3: Aufklärungspflichten bei Verwendung von Cookies

Aus Sicht der DSGVO

Es ist in der DSGVO nicht vorgesehen, dass man zu irgendetwas zustimmt, indem man eine Seite weiterverwendet. Die DSGVO kennt Informationspflichten des Betreibers. Diese Informationen benötigen keine Zustimmung. Dann gibt es Verarbeitungsvorgänge die einer Zustimmung erfordern, aber diese Zustimmung muss dann immer freiwillig sein; das ist das so genannte „Kopplungsverbot“ (Artikel 7 Absatz 4 DSGVO.) Ein Beispiel wie es keinen Sinn macht findet sich z.B. auf einer Seite der österreichischen Regierung über den „Digitalen Fingerabdruck“ im Web [9]. Im Cookie-Banner steht: „Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.“ Dazu kommt noch ein Link zur Datenschutzerklärung und ein „Fortfahren“ Button. Der Banner ist natürlich rechtlich okay, Sinn macht er aber nicht. Wenn die Cookies notwendig oder harmlos sind ist eine Zustimmung nicht nötig. Der letzte Satz ist somit falsch. (Die EU-Datenschutzgruppe sagt diesbezüglich in wp259 rev 0.1_DE: „Wenn ein Verantwortlicher personenbezogene Daten verarbeiten möchte, die tatsächlich für die Erfüllung eines Vertrags erforderlich sind, ist die Einwilligung nicht die geeignete Rechtsgrundlage.“ - [12], Seite 10. Und das gilt natürlich auch sinngemäß für Verarbeitungen nach Artikel 6 Absatz 1 lit. f DSGVO: auch solche Verarbeitungen sollten sich nicht auf „Einwilligung“ berufen.) Es würde für diese Art der Verarbeitung (so sie rechtsmäßig ist) ausreichen, sie in der Datenschutzerklärung zu verstecken. Und die Datenschutzerklärung muss nicht allen Nutzern aufgedrängt werden, sondern es reicht, wenn sie jederzeit verfügbar ist für diejenigen, die sich dafür interessieren. Mir als Nutzer ist es immer lieber wenn ich nicht irgendeiner Regelung „zustimmen“ muss, um eine Seite benutzen zu dürfen.

Ich kann mir auch nicht erklären, wie durch den Einsatz von Cookies irgendein Teil meiner Nutzererfahrung „optimiert“ werden würde, wie man so oft in Cookie-Bannern liest. Tatsächlich wird hier die Nutzererfahrung aus Sicht des Werbetreibenden optimiert [13], was somit so ziemlich das Gegenteil von dem ist, was ein naiver Benutzer normalerweise unter dem Begriff verstehen würde. Ein besserer Cookie-Banner wäre „Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung.“ Und dazu ein Button „Ok“ der den Banner verschwinden lässt und ev. eine Checkbox „nicht mehr anzeigen“, die man anklicken kann, und dann kommt der Banner später nicht nochmal.

Die meisten Banner sind zusätzlich auf der Seite fixiert, d.h. sie scrollen nicht mit. Mir wäre lieber, wenn der Cookie-Banner irgendwo oben, am Anfang der Seite stehen würde, und wenn er automatisch verschwinden würde wenn ich hinunterscrolle. Kein Gesetz, keine Verordnung und keine Richtlinie schreibt vor, dass der Banner unscrollbar fixiert und maximal penetrant sein muss. Kein anwendbares Recht schreibt vor, dass man verhindern muss, dass Nutzer die Möglichkeit haben den Banner freiwillig zu ignorieren und zu übersehen. (Die Informationspflichten haben den Zweck, das Wechseln zwischen Rechtsgrundlagen (Artikel 6 DSGVO) für die Verarbeitung zu erschweren, um auf diese Weise die Rechtssicherheit für natürliche Personen zu erhöhen, vgl. [12].)

Auf derstandard.at geht man noch einen Schritt weiter. Der Cookie-Banner sieht hier wie folgt aus:

Nach meiner Rechtsauffassung verstößt dieser Cookie Banner klar gegen das Kopplungsverbot der DSGVO. Die österreichische Datenschutzbehörde sieht das leider anders [10] [11]. Was möglicherweise auch daran liegt, dass der Beschwerdeführer sein Recht auf eine zweite Stellungnahme nicht in Anspruch nahm (siehe Punkt A.3 der Begründung in [11]). Der Standard hatte argumentiert, dass es wirtschaftlich nicht möglich sei, Beiträge kostenlos ohne Werbung anzubieten, und dass Werbung ohne seitenübergreifendes Nutzertracking wirtschaftlich nicht funktionieren (siehe Punkt A.2 der Begründung in [11]). Das Urteil der Datenschutzbehörde besagt, dass es keinen wesentlichen Nachteil für den Nutzer gibt, wenn er halt 6€ zahlen muss, um das Angebot ohne Tracking zu nutzen. Im Wortlaut: „Im Ergebnis liegt in den Konsequenzen bei Nichtabgabe einer Einwilligung bei weitem kein wesentlicher Nachteil vor und ist die betroffene Person mit keinen beträchtlichen negativen Folgen konfrontiert.“ Die unterstrichenen Teile sind auch im Original [11] unterstrichen, und beziehen sich auf ein spezielles Papier der europäischen Kommission das sich der Frage widmet, was im Sinne der DSGVO eine „Einwilligung“ eines Nutzers ist [12]. Dort steht auf Seite 12: „Andere Beispiele für Nachteile sind Täuschung, Einschüchterung, Nötigung oder beträchtliche negative Folgen, wenn die betroffene Person nicht einwilligt. Der Verantwortliche sollte nachweisen können, dass die betroffene Person eine echte oder freie Wahl hatte, ob sie einwilligt oder nicht, und die Einwilligung widerrufen konnte, ohne Nachteile zu erleiden.“ Ein Absatz davor steht allerdings „Der Verantwortliche muss nachweisen, dass es möglich ist, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden (Erwägungsgrund 42). Er muss beispielsweise nachweisen, dass das Widerrufen der Einwilligung nicht zu Kosten für die betroffene Person führt und folglich zu einem eindeutigen Nachteil für diejenigen, die die Einwilligung widerrufen.“ Im von mir fett hervorgehobenen Teil steht eindeutig, dass eine Nicht-Einwilligung nicht zu Kosten des Nutzers führen darf. Es steht nichts von „erheblichen Zusatzkosten“ (wie in [10]), sondern ganz allgemein von Kosten, egal in welcher Höhe. D.h. auch 1€/Jahr wäre zu viel. Ich kann nicht erkennen wie dieser Punkt von der Datenschutzbehörde gewürdigt wurde.

Das Schreiben der Datenschutzkommission wird sogar noch expliziter und bringt als Beispiel ein Konto, das billiger ist wenn man der Weitergabe seiner Daten für Zwecke der Direktwerbung zustimmt, und teurer, wenn man der Weitergabe nicht zustimmt. Eine solche Preisunterscheidung sei illegal. Der genaue Wortlaut ([12], Seite 10):

[Beispiel 6] Eine Bank ersucht die Kunden um Einwilligung, dass Dritte ihre Zahlungsdaten für Zwecke der Direktwerbung nutzen dürfen. Dieser Verarbeitungsvorgang ist für die Erfüllung des Vertrags mit dem Kunden und für die Bereitstellung der normalen Kontoführungsdienste nicht erforderlich. Wenn die Weigerung des Kunden, in diesen Verarbeitungszweck einzuwilligen, zu einer Verweigerung von Bankdienstleistungen, der Schließung des Bankkontos oder abhängig vom jeweiligen Fall zu einer Erhöhung der Gebühren führen würde, kann die Einwilligung nicht freiwillig erteilt werden. wp259 rev 0.1 (DE), Seite 10

Ich leite daraus ab, dass es nicht legal ist, wenn Kunden mit ihren persönlichen Daten „bezahlen“.

Eines macht die Paywall vom Standard allerdings richtig. Solange ich den zustimmungspflichtigen Cookies nicht zustimme werden auch keine zustimmungspflichtigen Cookies gesetzt. Anders als beim Kurier:

Hier wird am unteren Bildschirmrand ein Cookie-Banner angezeigt, der im Wesentlichen denselben Inhalt hat wie das Overlay beim Standard. Nur mit dem Unterschied dass auch solange ich noch nicht auf „OKAY“ gedrückt habe bereits fleißig getrackt wird. Drittanbieterseiten und Werbeseiten werden kontaktiert, und Werbung wird angezeigt (www.googletagmanager.com, irqs.iocnt.net, at.iocnt.net, experience.tinypass.com, static.cleverpush.com, www.google-analytics.com, 6345355.fls.doubleclick.net, cdn.tinypass.com, adservice.google.com, securepubads.g.doubleclick.net, tt.onthe.io, ad1.adfarm.adition.com, track.adform.net, analytics.pinpoll.com, s248.meetrics.net (kein Typo), beacon.krxd.net, uvam.). Disclaimer: Wahrscheinlich ist nicht jede einzelne dieser Domains ein zustimmungspflichtiger Werbetracker, aber ich kann ja nicht jeden einzeln überprüfen. In diesem Fall ist der „OKAY“ Button keine Einwilligung, sondern lässt lediglich den Banner verschwinden. Was je nach Größe des eigenen Bildschirms mehr oder weniger essenziell ist.

Es ist nicht wahr, dass Werbung technologisch durch Cookies ermöglicht wird. Wenn Cookies verboten werden würden, oder überhaupt jede Art von webseitenübergreifendem User Tracking, dann würde es trotzdem kein Monat dauern bis neue Anbieter auf dem Markt wären die ganz ohne Tracking Werbung anzeigen. Es gibt einfach momentan keinen Markt für faire Werbung, weil die Seitenbetreiber daran nicht interessiert sind, weil sie mit Tracking-Werbung logischerweise mehr Geld machen können. Genau dieses Problem hätte die DSGVO eigentlich reparieren sollen. Hat sie aber bisher noch nicht.

Es hat auch eine gewisse Ironie, wenn man seitenübergreifendes Nutzertracking einsetzt, um den „guten Journalismus“ weiterhin kostenlos zur Verfügung stellen zu können. Ist es nicht genau dieses Tracking, diese unkontrollierte Verarbeitung von massenhaften Nutzerdaten wie es u.a. Facebook tut, der Grund, warum Journalismus weltweit geschwächt ist, und warum sensationsgierige Medien immer mehr Zulauf bekommen [13]?

Ich möchte an diesem Punkt noch auf die Erfordernisse einer Einwilligung im Rahmen der DSGVO hinweisen. Laut [12], Seite 15, muss eine Einwilligung u.a. folgende Informationen beinhalten:

  • der Zweck jedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird
  • die (Art) Daten, die erhoben und verwendet werden
  • das Vorliegen des Rechts, die Einwilligung zu widerrufen
  • gegebenenfalls Informationen über die Verwendung der Daten für eine automatisierte Entscheidungsfindung gemäß Artikel 22 Absatz 2 Buchstabe c

Wurde irgendeiner dieser Informationspflichten im Rahmen der beiden gezeigten Cookie-Banner nachgekommen? Seitenübergreifendes Nutzertracking ist ein unglaublich komplexes technisches Thema, sodass es illusorisch ist, dass ein einfaches „Wir verwenden Cookies für Werbezwecke“ als Aufklärung gelten kann. Eine daraus resultierende Zustimmung kann nicht als „informiert“ im Sinne der DSGVO gelten, und damit gilt sie auch nicht als „freiwillig“. Sie ist somit ungültig. Eine freiwillige Zustimmung zu „Mach mit meinen Daten was du willst, zu Werbezwecken“ ist in der DSGVO nicht vorgesehen und auch nicht möglich. Das ist vom Gesetzgeber so beabsichtigt.

Also gehen wir die 4 Punkte die eine Information für eine Einwilligung haben muss durch, im Kontext einer typischen Werbetracking-Anwendung, hier anhand eines Beispiels, wie eine solche Information aussehen könnte, illustriert:

  1. der Zweck jedes Verarbeitungsvorgangs: „Daten über ihr Surfverhalten werden gespeichert, um zusammen mit Daten anderer Benutzer mit Hilfe von Deep Learning Netzen (eine Familie von Algorithmen aus dem Bereich der künstlichen Intelligenz) analysiert zu werden, um dadurch Werbung speziell für Sie so auszuwählen, dass sie mit größter Wahrscheinlichkeit darauf clicken, und dass die Menge an Geld, die Sie in Folge ausgeben werden, statistisch gesehen maximiert wird.“
  2. Die (Art) Daten, die erhoben und verwendet werden: „Wir speichern den Verlauf Ihres Surfverhaltens, soweit es uns bekannt ist, in einer Datenbank ab und behalten die Daten maximal 10 Jahre. Wir haben auf Ihr Surfverhalten nur insoweit Zugriff, als die Seiten, die Sie besuchen, auch unseren Werbetracker benutzt. Da wir auf 20% aller Webseiten vertreten sind ergibt sich dadurch ein ziemlich genaues Bild.“
  3. Das Vorliegen des Rechts, die Einwilligung zu widerrufen: „Wenn Sie Ihre Einwilligung später widerrufen wollen, clicken Sie bitte <diesen Link>. Sie finden diesen Link auch in der Datenschutzerklärung (im Footer jeder unserer Pages.)“
  4. gegebenenfalls Informationen über die Verwendung der Daten für eine automatisierte Entscheidungsfindung: „siehe Punkt 1“

Warum sollte ein User, der alle diese Punkte gelesen und verstanden hat, zustimmen? Das Tolle an der DSGVO ist, dass eine Zustimmung zu einer Aufklärung, die weniger ausführlich ist als das, nicht zulässig, und daher ungültig, ist.

In diesem Sinne ist es auch nicht zulässig wenn man sagt: „Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.“ Eine Zustimmung im Sinne der DSGVO muss freiwillig sein, das heißt man muss sie jederzeit ablehnen können, mit minimalen negativen Konsequenzen. Sie muss auch ein „opt-in“ sein, das heißt der Nutzer muss aktiv zustimmen und nicht einfach nur eine Möglichkeit bekommen, die Verarbeitung abzulehnen. Eine Verarbeitung, die man gleich überhaupt nicht ablehnen kann, kann sich jedenfalls nicht auf eine Zustimmung durch den Benutzer stützen, sondern muss einen anderen Verarbeitungsgrund wählen (siehe Artikel 6 DSGVO). Die Datenschutz-Arbeitsgruppe der EU sagt dazu [12]:

Hier muss festgestellt werden, dass ein Verantwortlicher, der sich für einen Teil der Verarbeitung auf eine Einwilligung stützt, bereit sein muss, die Entscheidung zu respektieren und den Teil der Verarbeitung zu beenden, wenn eine Einzelperson ihre Einwilligung widerruft. Es wäre gegenüber Einzelpersonen ein in höchstem Maß missbräuchliches Verhalten, ihnen zu sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird.
 
Das heißt mit anderen Worten, dass der Verantwortliche nicht von der Einwilligung zu einer anderen Rechtsgrundlage wechseln kann. Es ist beispielsweise nicht gestattet, rückwirkend das berechtigte Interesse als Grundlage für die Rechtfertigung der Verarbeitung zu wählen, wenn Probleme mit der Gültigkeit der Einwilligung aufgetreten sind. Aufgrund der Verpflichtung, die Rechtsgrundlage, auf die sich der Verantwortliche stützt, zum Zeitpunkt der Erhebung der personenbezogenen Daten anzugeben, müssen Verantwortliche vor der Erhebung entschieden haben, welche Rechtsgrundlage anwendbar ist wp259 rev 0.1 (DE), Seite 27f

Beim Schreiben dieses Artikels habe ich viel Zeit damit verbracht, Gesetze zu lesen, und auch nach weiteren Gesetzen Ausschau zu halten. Wenn man all diese Gesetze, Richtlinien, Verordnungen und Kommentare liest, hat man leicht das Gefühl, dass man an der falschen Stelle schaut. Wie kann denn die DSGVO oder eine der vielen Richtlinien die Gesetzesgrundlage für Cookie-Banner sein? Dort steht nirgendwo was von Cookie-Bannern. Schau ich etwa an der falschen Stelle? Es gibt fast unendlich viele Gesetze und Verordnungen, und niemand kann sie alle lesen. Hab ich ein Gesetz übersehen? Mehr als alle Gesetze zu lesen von denen jemand (bei vielen Stunden Google-Recherche) behauptet hat, dass sie die Cookie-Banner-Erfordernis begründen, kann ich auch nicht. Jedenfalls konnte ich keine schlüssige Erklärung im Netz finden, warum Cookie-Banner erforderlich sein sollten, und die Gesetze und Verordnungen auf die sich diese Erklärungen berufen verlangen etwas ganz anderes.

Andere gesetzliche Regelungen

Im vorherigen Abschnitt habe ich dargelegt, warum die DSGVO nicht hergenommen werden kann, um das Vorhandensein von Cookie-Bannern zu begründen. Ich möchte hier das gleiche für die EU-Richtlinie 2009/136/EG, das (österreichische) Telekommunikationsgesetz (TKG), sowie das (deutsche) Telemediengesetz (TMG) machen.

Für die EU-Richtlinie und das TKG: siehe 2. Abschnitt von Teil 2.

Für das in Deutschland gültige TMG ist folgender Abschnitt relevant:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. TMG § 15, Absatz 3

Was hier steht ist, dass Seitenbetreiber den Nutzern erklären müssen, dass sie zu Werbezwecken Nutzerprofile erstellen. Kann man „wir verwenden Cookies“ wirklich als eine solche Erklärung werten? Die Antwort darauf liefert der dort zitierte § 13 Abs. 1:

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. TMG § 13, Absatz 1

Noch interessanter wird es, wenn man TMG § 13 Absatz 4, Punkt 3 genauer betrachtet. Dort steht:

Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
[…]
3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann
[…] TMG § 13, Absatz 4 (Auszug)

Während in TMG § 15 Absatz 3 steht, dass ein Webseitenbetreiber Nutzerprofile anlegen darf, steht in TMG § 14 Absatz 4, Punkt 3, dass die Information, dass dieser Nutzer auf der eigenen Webseite surft, nicht mutwillig an Dritte weitergegeben werden darf. Die beiden Paragrafen stehen nicht miteinander im Widerspruch. Man kann also nicht sagen, dass der § 13 allgemeiner Natur ist, und der § 15 eine spezielle Ausnahme von der allgemeinen Regel aufstellt. § 15 erlaubt einen Webseitenbetreiber, die Daten der User selbst auszuwerten, und zu protokollieren wer welche Artikel des eigenen Blogs liest, um bessere Vorschläge und personalisierte Werbung anzuzeigen. Wenn ich aber auf einer bestimmten Webseite surfe, und als Folge dessen auf anderen Webseiten angepasste Werbung sehe, dann ist meine Nutzung der Webseite (des „Telemediums“) genau nicht gegen Kenntnisnahme Dritter geschützt.

Ich sehe in TMG § 13 Absatz 4, Punkt 3 ein allgemeines Verbot von seitenübergreifendem Nutzertracking. Dieses Verbot kann durch einen Cookie-Banner nicht aufgehoben werden.

Des Weiteren muss man bedenken, dass EU-Verordnungen (hier: die DSGVO) rechtlich über einfachen nationalen Gesetzen stehen. Und das TMG ist ein einfaches Gesetz, und kein Verfassungsgesetz. Das heißt konkret: eine Tätigkeit, die nach DSGVO nicht zulässig ist, kann nicht durch das TMG legalisiert werden. Wobei das in diesem Fall meiner Meinung nach aber auch nicht versucht wird.

Die Kritik an Cookie-Bannern wird langsam lauter

Ich bin mit meiner Meinung zu Cookies auch nicht wirklich alleine. Der Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg sieht die Sache offenbar ähnlich. (Auch wenn dies eine deutsche Institution ist, sind die Argumente 1:1 auf Österreich übertragbar, und vermutlich in den meisten EU-Ländern nicht ganz falsch.) In einer Frage/Antwort-Sammlung zum Thema Cookies und Tracking schreibt er [15]:

5. Was sind die Anforderungen an die informierte, freiwillige, aktive und vorherige Einwilligung?
In der Einwilligung (vgl. Seite 8 ff der Orientierungshilfe) muss der Verarbeitungsvorgang klar und deutlich beschrieben werden. Nutzer müssen ohne weiteres verstehen können, in was sie einwilligen. Ein bloßer Hinweis „diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern“ oder „für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die Einwilligung muss nicht für die Verwendung von Cookies an sich, sondern für die Erhebung und Weitergabe personenbezogener Daten eingeholt werden.
[...] FAQ zu Cookies und Tracking, Punkt 5

Und eine Studie der Ruhr-Universität Bochum in Zusammenarbeit mit der University of Michigan behauptet gar, dass die Mehrheit der Cookie-Hinweise den europäischen Datenschutzgesetzen nicht gerecht werden [16]:

“Given the legal requirements for explicit, informed consent, it is obvious that the vast majority of cookie consent notices are not compliant with European privacy law,” the researchers argue.
 
“Our results show that a reasonable amount of users are willing to engage with consent notices, especially those who want to opt out or do not want to opt in. Unfortunately, current implementations do not respect this and the large majority offers no meaningful choice.”

Fazit

So wie auch schon bei der Linkhaftung [14] teilen sich die Handlungsoptionen auch hier in einem sehr hohen Ausmaß in zwei Kategorien:
1. Handlungen die eindeutig legal sind. Diese Handlungen werden durch Disclaimer, Cookie-Banner oder Einverständniserklärungen nicht noch legaler.
Und 2. Handlungen die ohne Zustimmung unzulässig sind. Für diese Handlungen muss die Information an den Nutzer so erfolgen, dass dieser auch verstehen kann, worum es geht. Es geht darum, dass Dritte Informationen über das eigene Surfverhalten bekommen, und nicht darum, dass die Webseite Cookies verwendet. Nicht die Cookies sind zustimmungspflichtig, sondern die Weitergabe persönlicher Daten [15].

Referenzen

Gesetzestexte

[1] DSGVO.
(Datenschutzgrundverordnung der EU. In Kraft seit 25. Mai 2018.)
Link zum Originaltext auf Deutsch
[2] Richtlinie 2009/136/EG
(im Internet oft als "Cookie-Richtlinie" bezeichnet)
Link zum Originaltext
[3] § 96 des österreichischen Telekommunikationsgesetzes (TKG)
(hier ist Richtlinie 2009/136/EG umgesetzt.)
Link zum Originaltext
[4] § 13 des deutschen Telemediengesetzes (TMG)
(„Pflichten des Diensteanbieters“)
Link zum Originaltext
[5] § 15 des deutschen Telemediengesetzes (TMG)
(„Nutzungsdaten“)
Link zum Originaltext

Andere Internetquellen

[6] Markus Kristandl: Cookie Hinweispflicht in Österreich für Website-Betreiber (2015)
(Dieser Artikel beschreibt die gängige Meinung zu Cookie-Bannern, nämlich dass sie notwendig wären und von der „Cookie-Richtlinie“ gefordert werden würden. Der Artikel - so wie sehr viele andere Artikel zu diesem Thema auch - spiegelt nicht meine Meinung wieder.)
https://www.red-dot.at/cookie-hinweispflicht-in-oesterreich-fuer-website-betreiber/
[7] Wikipedia: EU-Richtlinie
(Dieser Artikel beschreibt, was eine EU-Richtlinie ist, und in wie weit eine Richtlinie anwendbares Recht darstellt - oder eben nicht.)
https://de.wikipedia.org/wiki/Richtlinie_(EU)
[8] Wikipedia: Richtlinie 2002/58/EG
(hier steht in einem Nebensatz, dass die Richtlinie 2009-136-EG die "sogenannte Cookie-Richtlinie" sei. Ich bin skeptisch, und vertrete die Ansicht, dass ahnungslose Internet-User sie so getauft haben.)
https://de.wikipedia.org/wiki/Datenschutzrichtlinie_für_elektronische_Kommunikation
[9] Digitaler Fingerabdruck
https://www.onlinesicherheit.gv.at/gefahren_im_netz/privatsphaere/digitaler_fingerabdruck/249895.html
[10] Dr. Christina Kesting: Österreichische Datenschutzbehörde zur Reichweite des Kopplungsverbots
Link zu Hogan Lovells Blog
[11] Entscheid Datenschutzbehörde bezüglich derStandard.at und Kopplungsverbot (2018)
(wenn man genau hin schaut kann man erkennen, dass im Urteil nichts vom „Standard“ steht, sondern eine andere Domain angegeben ist, aber das ist das Urteil, das generell als das Urteil „Standard vs. Kopplungsverbot“ angesehen wird, u.a. auch weil der Standard darüber später berichtet hat.)
Link zum Rechtsinformationssystems des Bundeskanzleramts
[12] Was ist eine Einwilligung im Kontext der DSGVO? / wp259 rev 0.1 (2017)
(Dieses Paper der Artikel-29-Datenschutzgruppe ist in 22 Sprachen erhältlich. Die deutsche Version versteckt sich leider hinter einem ZIP-File. Der offizielle deutsche Titel ist „Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679“.)
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
[13] Tobias Rose-Stockwell: This is how your fear and outrage are being sold for profit. Quartz article (2017)
(Es geht darum, wie seitenübergreifendes Nutzertracking die Welt verändert, insbesondere die Welt des Journalismus.)
https://qz.com/1039910/
[14] Daniel Rehbein: Urteil des Landgerichts Hamburg, Az. 312 O 85/98
(Über die Unsinnigkeit von Disclaimern für Linkhaftung. Übrigens: ich distanziere mich nicht allgemein von Links, die ich hier gesetzt habe. Aber manche der hier verlinkten Quellen spiegeln nicht meine Meinung wieder. Das hab ich dort angemerkt. Es geht mir dabei nicht um rechtliche Überlegungen - weil keiner der Links ist so böse, dass man mich deswegen verklagen kann - sondern darum, Missverständnissen vorzubeugen.)
http://www.daniel-rehbein.de/urteil-landgericht-hamburg.html
[15] Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg: FAQ zu Cookies und Tracking
(der Artikel ist zwar aus Deutschland, aber der größte Teil davon ist für Österreich genauso relevant.)
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/
[16] Natasha Lomas: Most EU cookie ‘consent’ notices are meaningless or manipulative, study finds. Techcrunch article (2019)
https://techcrunch.com/2019/08/10/most-eu-cookie-consent-notices-are-meaningless-or-manipulative-study-finds/