Cookies zu Marketingzwecken und die Grundsätze der Datenverarbeitung
Dr. Theresia Leitinger M.A.I.S Mai 2022
Europäische Aufsichtsbehörden, die die Einhaltung der DSGVO überprüfen, haben bereits seit dem Jahr 2020 regelmäßig Entscheidungen erlassen, wonach Marketing-Cookies, die nicht ausschließlich der Funktionsfähigkeit der Website dienen, einer Einwilligung bedürfen. So entschied etwa auch die österreichische Aufsichtsbehörde, die Datenschutzbehörde, in einer Entscheidung vom Dezember 2021, dass Cookies von Google-Analytics – konkret handelte es sich im gegenständlichen Fall um die Cookies „_ga“ sowie „CID“ (Client-ID) und „_GID“ (User-ID) – personenbezogene Daten im Sinne des Artikel 4 Z 1 DSGVO zu qualifizieren sind. Gestützt wurde die Datenverarbeitung auf Standard-Datenschutzklauseln. Fraglich bleibt nach wie vor, ob die Einholung einer Einwilligung nach Artikel 49 DSGVO möglicherweise dennoch zulässig sein könnte.
Im Newsletter 2/2022 der DSB geht diese sogar noch einen Schritt weiter und hält in der Aussendung fest: „Im Ergebnis hat die Datenschutzbehörde mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit Kapitel V der DSGVO einsetzen können.“
Problem: Unvereinbarkeit mit den Grundsätzen der DSGVO in sog. „unsicheren Drittländern“
Beim Einsatz von Marketing-Cookies, die Daten in unsichere Drittländer – etwa die USA – übersenden, ist sohin jedenfalls eine erhöhte datenschutzrechtliche Compliance und umfangreiche Prüfung angezeigt.
Da viele Unternehmen aus wirtschaftlichen Gründen nicht auf den Einsatz von Marketing-Cookies verzichten können, ist es umso wichtiger, hier die datenschutzrechtlichen Bestimmungen einzuhalten, um nicht Gefahr zu laufen, aufgrund eines widerrechtlichen Einsatzes von – in der Praxis vielfach harmlos anmutenden – Cookies oder unzureichend gefärbten oder gesetzten Farbfeldern Gefahr zu laufen, eine Strafzahlung zu riskieren.
- Achten auf die Farbgebung: Zur Einhaltung des Transparenzgrundsatzes muss das Akzeptieren und das Ablehnen-Feld gleich „auffällig“ sein. Ob tatsächlich die gleiche Farbe verwendet werden muss, darüber herrscht noch keine konkrete Einigkeit unter Datenschutzrechtlern. Auf der sicheren Seite ist man jedenfalls, wenn beide Felder die gleiche Farbe aufweisen oder der Einwilligungsbutton grün und der Ablehnbutton rot ist.
- Achten auf Größe: Die Einwilligung muss so einfach zu erteilen sein wie die Ablehnung. Nicht zulässig ist es, die Ablehnung auf dem Second-Layer „zu verstecken“. Es sollte sohin gleich auf der ersten möglichen Landungsplattform eine Ablehnfunktion angeboten werden.
- Wichtig ist zudem, die Cookies zu beschreiben, nämlich Funktion, Dauer der Verarbeitung und Name sind die Mindestinformationen, die nach Artikel 13 DSGVO zu erteilen sind. Weitere Informationen beinhalten den Verantwortlichen, etc.
- Einwilligung: Dem Einwilligungstext sollte ebenso die entsprechende Aufmerksamkeit zukommen. Der User muss ganz klar informiert werden, zu welcher Datenverarbeitung er durch Anklicken des Akzeptieren-Feldes einwilligt. Da viele Homepagebetreiber als Verantwortliche iSd DSGVO selbst nicht darüber in Kenntnis sind, welche Funktion die einzelnen Cookies haben, muss man sich unbedingt im Vorfeld über die technische Funktionalität der zu setzenden Cookies informieren.
Es ist unbedingt erforderlich, dem Thema Cookies bei der Betreibung einer Homepage die gehörige Aufmerksamkeit zu schenken, um nicht in Gefahr zu laufen, eine Strafzahlung zu riskieren.