DSGVO was gilt für die Verwendung von COOKIES

Die EU Datenschutzgrundverordnung regelt EU weit den Umgang mit personenbezogenen Daten neu. Das betrifft insbesondere die häufigste Interaktion mit datenverarbeitenden Maschinen – das World Wide Web. In diesem Beitrag richtet sich das Hauptaugenmerk auf die Auswirkung der DSGVO auf die Daten, die mittels Cookies gespeichert werden.

Hier werden Textinformationen mit Hilfe des Browsers beim Nutzer gespeichert. Der Browser regelt dabei, dass die Daten nur an die zugehörige Webseite gegeben werden und verwaltet diese. Dadurch kann der Nutzer insbesondere auch alle über ihn gespeicherten Daten einsehen und löschen. Die Lebenszeiten der Daten werden dabei vom Server typischerweise vorgegeben und vom Browser so verwaltet, das heißt nach Ablauf der Lebensdauer werden die Daten gelöscht.

 

Verwendungszweck

Die Anwendungsszenarien sind äußerst vielfältig. Das gängigste Szenario ist zur Implementierung sogenannter Sessions; diese werden genutzt um Nutzer zu authentifizieren und einzelne Webbesuche zu personalisieren. In diesem Fall werden sie am Ende des Besuchs vom Browser gelöscht. Das zweite Hauptszenario ist das Tracking von Nutzern. Insbesondere um personalisiert dem Nutzer die Werbung mit der höchsten Verkaufswahrscheinlichkeit anzuzeigen, aber auch um das Nutzungsverhalten der eigenen Webseite durch die weitestgehend anonymen Nutzer zu verstehen.

 

Implikationen der DSGVO

Bereits die technische Gegebenheit, dass die Daten beim Nutzer gespeichert werden, macht sie zu personenbezogenen Daten. Kommt ein Cookie beim Server mit einer Webanfrage an, weiß der Server, dass der Nutzer bereits die Webseite besucht hat; insbesondere durch die Verknüpfung zwischen dem Cookie und der IP der Anfrage, wird der Cookie einer Person zugeordnet. Auch wenn diese technische Feinheit diskutabel ist, machen die beiden Hauptanwendungsszenarien, die oben beschrieben sind, Cookies zu personenbezogenen Daten nach Art. 4 Abs. 1 EU-DSGVO. Je nachdem, was gespeichert wird und wie der Server konfiguriert ist, handelt es sich um pseudonymisierte Daten Artikel 4 Absatz 5 DSGVO.

 

Konsequenz ist, dass in der Datenschutzerklärung zu den gespeicherten Daten ein Hinweis enthalten sein muss. Dieser muss den Nutzer darüber informieren, wofür seine Daten verwendet werden. Dadurch wird das Kriterium erfüllt, dass der Nutzer eine fundierte Entscheidung treffen kann. Vor der Datenverarbeitung ist die Zustimmung des Nutzers einzuholen und aufzeichnen. Diese muss vom Nutzer auch revidiert werden können. Insbesondere hat er auch laut Artikel 17 der DSGVO Datenschutzgrundverordnung das Recht auf Löschung der Daten. Dies ist besonders einfach umzusetzen, da alle gängigen Browser dies können. Als Teil des definierten Löschkonzepts kann auch die oben erwähnte Lebenszeit angegeben werden. Diese wird vom Browser des Nutzers umgesetzt.

 

Obwohl eine explizite Zustimmung des Nutzers ein sicherer Weg ist konform zur Datenschutzgrundverordnung zu sein, ist es umstritten ob es die Einzige ist. Art. 6 Abs. 1 gibt sechs mögliche Legitimationen zur Datenverarbeitung vor. Eine davon ist die Interessensabwägung, die mit der Datenschutzerklärung dokumentiert werden kann. Hier gibt es die Möglichkeit mit Hilfe der berechtigten wirtschaftlichen, rechtlichen oder ideellen Interessen des Webseitenbetreibers die Verwendung von Cookies zu begründen. Der Verweis in der Datenschutzerklärung auf Artikel 6 Absatz 1 der DSGVO sollte an der Stelle nicht fehlen.