Cookies sind kleine Textdateien, die auch rechtlich oft für Brösel sorgen.
Eigentlich wäre es ziemlich einfach – trotzdem liest man zu kaum einem Thema mehr Halbwahrheiten und Irrtümer im Internet.
Technische Grundlagen
Cookies werden genutzt, um Daten am Endgerät des Nutzers zu speichern. Die genaue Funktion von Cookies ist im Dokument RFC 6265 spezifiziert.
Speicherdauer von Cookies
Die Speicherdauer eines Cookies wird vom Server / der Anwendung entweder mit dem Expires Attribut (Ablaufdatum) oder mit dem Max-Age Attribut (Dauer bis zum Ablauf in Sekunden) definiert.
Der Client / Browser kann, muss sich aber nicht an diese Attribute halten. So kann der Browser Cookies z.B. auch vor dem Ende der Speicherdauer löschen, weil der Nutzer dies so konfiguriert hat oder weil der Nutzer eine Löschung der Cookies in seinem Browser auslöst.
Temporäre Cookies / Session Cookies
Temporäre Cookies oder Session Cookies sind Cookies ohne Angabe eines Expires Attributes oder Max-Age Attributes. Diese Cookies werden vom Browser nach Ablauf der Session gelöscht. Wann die Session abläuft, legt der Browser fest. In der Regel endet eine Session bei längerer Inaktivität des Nutzers (bei Chromium z.B. 300 Sekunden) oder beim Schließen des Browsers.
Permanente Cookies
Permanente Cookies sind Cookies mit Angabe eines Expires Attributes oder Max-Age Attributes. Die Bezeichnung „permanent“ ist irreführend, weil auch permanente Cookies entsprechend dem Expires Attribut bzw. dem Max-Age Attribut ablaufen.
Inhalt von Cookies
Cookies können beliebige Textinformationen enthalten und daher z.B. zur Speicherung von Identifiern, besuchten Seiten, Vorlieben des Nutzers, Warenkorb-Inhalten und dergleichen dienen.
Häufige Einsatzgebiete
Cookies sind wichtige Bestandteile zahlreicher Funktionen moderner Websites, wie z.B.:
- Login Cookies
- Warenkorb Cookies
- Tracking Cookies
Häufige Missverständnisse
Rund um das Thema Cookies sind zahlreiche rechtliche Halbwahrheiten und Irrtümer im Umlauf.
Cookies vs. E-Privacy
Eines der grundlegenden Missverständnisse begann damit, dass die E-Privacy Richtlinie (deutscher Name: Datenschutzrichtlinie für die elektronische Kommunikation) den Spitznamen Cookie Richtlinie erhielt. Deshalb wird die E-Privacy Richtlinie oft unrichtigerweise auf Cookies reduziert, obwohl die E-Privacy Richtlinie nicht nur Cookies umfasst, sondern alle Daten, die am Endgerät des Nutzers gespeichert werden, und alle Daten am Endgerät des Nutzers, auf welche durch die Webanwendung zugegriffen wird.
Artikel 5
Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)
Vertraulichkeit der Kommunikation
[…]
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn […] dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Damit sind z.B. auch die Speicherung von Daten im Local Storage und das Auslesen von Browser-Daten zum Zweck der Erstellung eines Browser-Fingerprints umfasst.
Verarbeitungsvorgänge vs. Cookies
Cookies werden häufig wie eigenständige Verarbeitungsvorgänge behandelt, obwohl die Speicherung oder das Auslesen von Cookies in der Praxis nie einen eigenen Verarbeitungsvorgang darstellt, sondern immer nur ein Bestandteil eines Verarbeitungsvorganges ist. So ist die Speicherung eines Cookies zum Zweck des Nutzer-Trackings kein eigenständiger Verarbeitungsvorgang, sondern lediglich ein Bestandteil des Nutzer-Trackings.
Berechtigtes Interesse zur Nutzung von Cookies
In der Praxis werden oft Überlegungen angestrengt, ob technisch zum Betrieb eines Dienstes nicht unbedingt notwendige Verarbeitungsvorgänge auf Grundlage des berechtigten Interesses gemäß Art. 6 (1) lit. f DSGVO möglich wären (was zumeist nicht der Fall ist), obwohl der Verarbeitungsvorgang Cookies verwendet, die mangels unbedingter technischer Notwendigkeit zur Bereitstellung eines vom Nutzer gewünschten Dienstes ohnehin gemäß Art. 5 (3) der Richtlinie 2002/58/EG (bzw. in Österreich § 96 (3) TKG) einwilligungspflichtig sind.
Einwilligung in Cookies
Ebenso kommt in der Praxis der umgekehrte Fall vor, dass nur die Einwilligung gemäß Art. 5 (3) der Richtlinie 2002/58/EG (bzw. in Österreich § 96 (3) TKG) zur Setzung von Cookies eingeholt, auf die Einholung der Einwilligung gemäß Art. 6 DSGVO in den dahinterliegenden, ebenso einwilligungspflichtigen Verarbeitungsvorgang jedoch vergessen wird.
Einwilligung über Browser-Einstellungen
Häufig wird auch argumentiert, der Nutzer könne über den Browser selbst festlegen, ob Cookies zugelassen werden oder nicht. Lässt der Nutzer in seinem Browser Cookies zu, dann sei dies als Einwilligung zu werten.
Dieses Argument scheint am ersten Blick stichhaltig zu sein, beruht es doch auf Erwägungsgrund 66 der Richtlinie 2009/136/EG zur Änderung der E-Privacy-Richtlinie 2002/22/EG:
Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.
ErwGr 66 der Richtlinie 2009/136/EG
Dieses Argument ist unrichtig, da es einen wichtigen Umstand übersieht: die bloße gesetzliche Möglichkeit einen Einwilligung via Browsereinstellung zu erteilen, reicht nicht aus.
Es fehlt die praktische Umsetzung. Die aktuellen Einstellungsmöglichkeiten in den Browsern sind viel zu grob, als dass daraus eine rechtskonforme Einwilligung in einen bestimmten Verarbeitungsvorgang abgeleitet werden könnte. Der Benutzer kann Cookies bloß generell zulassen oder ablehnen (womit auch technisch notwendige Cookies deaktiviert würden), eine dienstspezifische Konfigurationsmöglichkeit existiert jedoch nicht.
In der Praxis vorhanden ist jedoch die zweite vom Gesetzgeber erwähnte Möglichkeit “andere Anwendung”, meist in Form von Popups, wie z.B. von legalweb.io. Diese Cookie-Popups bieten spezifische Informationen zu den konkreten Verarbeitungsvorgängen und ermöglichen damit eine informierte Einwilligung des Nutzers in diese Verarbeitungsvorgänge.
Information über Cookies
Ebenso sieht man in der Praxis zur Erfüllung von Informationspflichten häufig sehr detaillierte technische Angaben zu Cookies und deren Attributen, während auf die dahinterliegenden Verarbeitungsvorgänge wiederum vergessen wird.
Dies widerspricht sowohl der Anforderung, dass Informationen klarer und einfacher Sprache zu erteilen sind, als auch der Anforderung, dass die Tragweite der Verarbeitungsvorgänge vollständig darzustellen ist.
Richtigweise sind technische Auflistungen zu vermeiden und stattdessen die Verarbeitungsvorgänge und deren Tragweite und Auswirkung auf den Nutzer klar und einfach zu beschreiben.