Alles über Cookies

Brauche ich bei jeder Website einen Cookie Banner?

Nein. Eine Einwilligung ist nach DSGVO nicht zwingend erforderlich, wenn keine Verarbeitungen vorgenommen werden, die diese benötigen. Wenn auf dem Endgerät des Nutzers keine Informationen gespeichert oder ausgelesen werden, die nicht unbedingt zur Erbringung der vom Nutzer ausdrücklich angeforderten Dienste erforderlich sind, ist keine Einwilligung zu erbringen. Um den eigenen Aufwand einzuschränken, empfiehlt es sich daher, Cookies und Verarbeitungen, die eine Zustimmung erfordern, so weit wie möglich zu vermeiden.

Es wäre auch eine falsche Rechtsgrundlage, wenn für unbedingt erforderliche Cookies nach der DSGVO eine Einwilligung eingeholt wird, weil diese vermittelt, dass die Verarbeitung freiwillig ist und Besucher deiner Webseite diese jederzeit mit Wirkung für die Zukunft widerrufen könnten, obwohl das rechtlich nicht möglich ist. Ein Cookie Banner wäre in einem solche Fall also kontraproduktiv.

Was bedeutet “Speichern oder Auslesen von Informationen auf einem Endgerät”?

Das bedeutet zum Beispiel die Verwendung von Cookies und anderen Technologien wie Local Storage, Web Storage, Lesen von Werbung und Geräte-IDs und Seriennummern, aber auch die Verwendung von ETags oder SessionID zu Trackingzwecken, Fingerprinting (z. B. Lesen von Schriftarten oder installierten Apps) und vieles mehr.

Begriffserklärung

1 ETAGS

Das ETag oder Entity-Tag ist Teil von HTTP , dem Protokoll für das World Wide Web. Dies ist einer von mehreren Mechanismen, die HTTP für die Web-Cache-Validierung bereitstellt, die es einem Client ermöglichen, bedingte Anforderungen zu stellen. Dieser Mechanismus ermöglicht effizientere Caches und spart Bandbreite, da ein Webserver keine vollständige Antwort senden muss, wenn sich der Inhalt nicht geändert hat.

2 SESSIONID

Eine Session-ID ist ein technisches Hilfsmittel, um einen Nutzer einer Webseite eindeutig zu identifizieren und einer Sitzung zuordnen zu können. Die Session-ID ermöglicht den Zugriff auf die Daten der zuletzt durchgeführten Sitzung des Users. Diese Daten sind auf dem Server der jeweiligen Webseite gespeichert. Bei der ID handelt es sich um eine Zahlen-Zeichenfolge.

3 TRACKINGZWECKE

Trackingzwecke sind Techniken, mit denen sich die Bewegungen von Nutzern im Internet verfolgen lassen. Ein Beispiel ist das sogenannte Fingerprinting. Dabei werden möglichst viele verschiedene Informationen über die Konfiguration von Geräten und Browsern zusammengetragen, zum Beispiel das verwendete Betriebssystem, die Bildschirmauflösung oder installierte Schriftarten. In Kombination ergeben diese Merkmale einen digitalen Fingerabdruck mit hoher Genauigkeit. Diese Technik wird zunehmend weiterentwickelt und mit anderen Methoden kombiniert.

Welche Cookies und andere Techniken darf ich ohne Einwilligung nutzen?

Cookies bedürfen grundsätzlich einer Einwilligung. Wie bereits erwähnt, gilt dies auch für andere Techniken zum Speichern von Informationen auf oder Lesen von Informationen von dem Benutzerendgerät. Allerdings sind Cookies die technisch unbedingt erforderlich sind, von der Einwilligungspflicht ausgenommen, um den von Nutzern nachgefragten Dienst zu erbringen. Dazu gehören:

• Session Cookies (speichern Warenkorbinhalte, Loginstatus oder Spracheinstellungen)
• Opt-Out-Cookies (sagen der Webseite das sie keine Cookies von Drittfirmen oder andere Cookies in deinem Browser installieren soll)
• reine Zähl-Cookies (verhindern eine Überlastung von Webseiten)

Diese Notwendigkeit ergibt sich um es dir zu ermöglichen, die vom Benutzer explizit angeforderten Dienste bereitzustellen. Wenn du beispielsweise nur eine Website aufrufen möchtest, musst du in der Regel kein Cookie mit deiner Session-ID setzen.

Cookies oder andere Technologien können nur ab dem Zeitpunkt der absoluten Notwendigkeit ohne Zustimmung verwendet werden. Die Verarbeitung personenbezogener Daten bedarf einer DSGVO-konformen Rechtsgrundlage.

Für welche Cookies und Tracking-Mechanismen brauche ich die Einwilligung der Nutzenden?

• § 165 TKG 2021: “Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Nutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden.”

Anbieter von Telemediendiensten, die Mechanismen integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg zusammenfassen, benötigen auch nach der DSGVO die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung.

Das gilt insbesondere für:

• Cookies von Analyse- und Trackingdiensten
• Cookies von Werbe- und Marktingdiensten
• Social Media Plugins, wie Facebook, Instagram, Twitter
• Videotool-Anbieter
• Online-Kartendienste

Allerdings kannst auch du die personenbezogenen Nutzerdaten nicht ohne deren Zustimmung zusammenführen oder verarbeiten. Auch hier gilt die DSGVO.