gekennzeichnet.
Webseiten und Apps betten oft Scripte ein, um einwilligungspflichtige Dienste zu laden. Gelten für diese Scripte-Dateien die Anforderungen des TTDSG? Müssen also Pflichtinformationen für die abzurufenden Dateien bei der Einwilligungsabfrage gegeben werden? Immerhin bedeutet ein eingeschalteter Browser-Cache das Eindringen in das Endgerät des Nutzers.
Einleitung
Der § 25 TTDSG fordert, dass vor der Speicherung von Informationen im Endgerät des Nutzers oder vor dem Zugriff auf diese Informationen eine Einwilligung einzuholen ist. Einwilligungsfrei sind nur Vorgänge, die unbedingt notwendig sind. Dies dient zum Schutz der Privatsphäre einzelner Personen.
Insbesondere gelten diese Regeln für Cookies. Das TTDSG erfasst nun statt Endgeräten auch Endeinrichtungen. Dazu gehören beispielsweise Smart Home Geräte wie Multi Room-Lautsprecher über WLAN. Für diese gibt es bekanntlich Updates. Auch Updates, die nicht notwendig sind, sondern neue Funktionen einführen, können einwilligungspflichtig sein, genau wie Cookies.
Auch der Abruf von Dateien bzw. das Ablegen dieser auf dem Computer des Nutzers, der eine Webseite besucht, könnte womöglich unter den § 25 TTDSG fallen. Zu diesen Dateien gehören beispielsweise Scripte, Bilder, Videos oder Layout-Dateien.
Ob dieser Dateiabruf analog zu Cookies zu handhaben ist, möchte ich nachfolgend untersuchen. Zuvor weise ich darauf hin, dass der Abruf mit minimaler, technisch notwendiger Datenhaltung im Hauptspeicher mit sofortigem Vergessen für mich keine Speicherung im Sinne des TTDSG und der ePrivacy-Richtlinie darstellt. Sollte eine andere Haltung existieren, bin ich für einen Hinweis auf eine fundierte Begründung dankbar.
Abruf von Dateien
Beim Abruf von Webseiten handelt es sich aus technischer Sicht um HTTP-Anfragen, bei denen vor allem Dateien übertragen werden. Um eine Webseite anzuzeigen, müssen die dabei abgerufenen Dateien nicht im Endgerät des Nutzers gespeichert werden. Der Nutzer ist hier der Besucher der Webseite.
Speichern von Dateien auf dem Endgerät
Ist im Browser des Nutzers das Caching (Zwischenspeichern) aktiviert, dann werden abgerufene Dateien auf dem Endgerät des Nutzers gespeichert. In meinem Firefox Browser unter Windows 10 ist dieses Zwischenspeichern von Web-Inhalten standardmäßig aktiviert. Ich konnte auf die Schnelle keine Option finden, den Cache zu deaktivieren. Eine Anleitung von Chip aus dem Jahr 2018 ist jedenfalls veraltet. Damals schien es noch möglich, dieses Verhalten zu deaktivieren. Ein anderer Artikel aus dem Jahr 2019 beschrieb ebenfalls ein Vorgehen, das nun nicht mehr möglich ist. Firefox jedenfalls nennt den Cache im Browser des Nutzers den privaten Browser Cache oder lokalen Cache.
Anscheinend kann mit Firefox nur für einzelne Websites entschieden werden, ob ein Caching nicht stattfinden soll:
Über Einstellungen im zentralen Konfigurationsbild von Firefox sind weitere Einstellungen möglich. Siehe unten (about:config). Diese Einstellungen konnte ich jedenfalls nicht direkt auffinden, sondern nur über diesen superunkomfortablen, fehleranfälligen, technischen Einstellungsbereich, den wohl kein normaler Anwender je sehen wird.
Das Abspeichern einer Datei durch den Browser im Endgerät des Nutzers ist eine Speicherung im Endgerät des Nutzers. Diese ist in § 25 TTDSG genannt und nur einwilligungsfrei, wenn sie notwendig ist. Ganz sicher nicht notwendig sind Speicherungen von Dateien, die zu nicht notwendigen Diensten gehören. Denn das Laden eines nicht notwendigen Dienstes führt zu einem nicht notwendigen Dateiabruf und somit zu einer nicht notwendigen Speicherung auf dem Computer des Nutzers.
Zugriff auf Dateien im Endgerät
Der Zugriff auf Dateien im Endgerät des Nutzers kann beim Laden einer Webseite nur über den oben erwähnten Cache erfolgen. Ich hoffe, hier keinen anderen Fall übersehen zu haben.
Denn wenn der Cache im Browser des Nutzers deaktiviert ist, werden von einer Webseite geladene Dateien eben (immer?) von der Quelle geladen. Die Quelle ist entweder der Server der Webseite oder ein Server eines Drittanbieters. Hierbei entsteht kein Zugriff auf das Endgerät des Nutzers, jedenfalls nicht notwendigerweise. Normalerweise sollte ein Browser Dateien im Hauptspeicher laden und dann vergessen, wen der Cache deaktiviert ist. Damit jedenfalls ist vernünftigerweise zu rechnen. Wenn es ein Browser anders macht, dann m. E. außerhalb jeder vernünftigen Erwartbarkeit (sofern dies trotz angebotener und deaktivierter Cache-Einstellungen stattfindet).
Somit, bei nur technisch notwendiger und rein temporärer Haltung einer Datei im Hauptspeicher, könnte auch ein Zugriff auf die vom Browser geladene Datei nicht über eine besuchte Webseite erfolgen. Damit wäre dieser Fall mindestens überwiegend irrelevant. Wenn man einem Browser jegliches Verhalten zugestehen würde, müsste man auch berücksichtigen, dass ein Browser gegebenenfalls Ihre Anmeldedaten Ihres Betriebssystems an besuchte Webseiten weitergibt. Irgendwo muss man das Theoretisieren einmal beenden und zur Lebenswirklichkeit zurückkehren.
Wie sieht es aber mit dem Zugriff auf gecachte Dateien aus? Zumindest kann nur der Browser selber in geplanter Weise auf diese zwischengespeicherten Dateien zugreifen. Die besuchte Webseite kann dies nicht. Dies bedeutet: Die besuchte Webseite lädt eine Datei. Die Datei steht dann der Webseite zur Verfügung. Ob die Datei auch auf dem Endgerät des Nutzers zwischengespeichert bzw. aus dem Zwischenspeicher statt von der Originalquelle abgerufen wird, ist für die Webseite unerheblich, denn für sie macht es für gewöhnlich keinen Unterschied. Ein Unterschied wäre wohl nur erheblich, wenn die Webseite niedere Absichten verfolgt. Der Browser wiederum wird vom Nutzer selber betrieben, aufgerufen und eigenverantwortlich verwendet. Ein Webseitenbetreiber ist nicht für den Browser des Nutzers mitverantwortlich.
Prüfen, ob ein Cache involviert ist
Nun könnte es sein, dass eine Webseite feststellen kann, ob eine Datei aus dem Zwischenspeicher eines Nutzerrechners abgerufen wurde oder ob sie von der Originalquelle geladen wurde. Warum ist das entscheidend? Weil dann festgestellt werden könnte, ob es sich um einen wiederkehrenden Nutzer handelt oder nicht. Durch geschicktes Nutzen von verschiedenen Dateiversionen könnte so sogar einzelne Nutzer im Idealfall perfekt voneinander unterschieden werden. Dies entspräche den Möglichkeiten, die Cookies bieten, nur technisch weniger offensichtlich und umständlicher zu bewerkstelligen.
Mit dem HTTP-Header Feld namens ETag kann der Datenexporteur kennzeichnen, ob eine Ressource noch aktuell ist. Der Datenexporteur ist hier der Bereitsteller einer Datei. Zum ETag schreibt Mozilla:
If the resource at a given URL changes, a new
Quelle: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/ETagEtagvalue must be generated. A comparison of them can determine whether two representations of a resource are the same. Etags are therefore similar to fingerprints, and might also be used for tracking purposes by some servers. They might also be set to persist indefinitely by a tracking server.
Dieser ETag ist, soweit ich weiß, immer nachweisbar. Er kann also nicht zum versteckten Tracking verwendet werden. Ist kein ETag feststellbar, gibt es ihn auch nicht. Er kann also nicht als Hidden Identifier verwendet werden.
Anders sieht es mit HTTP Statuscodes aus.
Wenn eine Datei bereits im Cache des Nutzers vorhanden ist und im Browser des Nutzers der Cache aktiviert ist, dann wird beim Abruf der Datei der HTTP-Code 304 zurückgeliefert:
Die linke Spalte zeigt den HTTP-Statuscode. 200 steht für „OK“ und 304 für „Not Modified“. Nun kann es auch noch sein, dass der Server der Webseite ein Caching unterbindet. Das wäre aber meist kontraproduktiv. Heimliches Tracking hin oder her (sofern es denn durch einen deaktivierten Server-Cache vereinfacht werden könnte). Aber die Page Speed ist schon sehr wichtig. Eine langsame Webseite würde in der Trefferliste einer Suchmaschine nicht so weit oben stehen, hätte weniger Besucher und somit weniger zum Tracken.
Cache im Hauptspeicher oder auf Festplatte
In Firefox gibt es die folgende Option.
browser.cache.disk.enable
Ist diese Option aktiviert, werden gecachte Dateien auf Festplatte gespeichert. Ist die Option deaktiviert, findet das Zwischenspeichern im Hauptspeicher des Endgeräts statt, sofern die folgende Option aktiviert ist.
browser.cache.memory.enable
Somit ist für mich die Schlussfolgerung, dass ein Abspeichern von Dateien bei ausgeschaltetem Cache durch den Browser nicht vorgenommen wird. Außer natürlich bei einem expliziten Download durch den Nutzer.
Diese Einstellungen können durch Eingabe von about:config in der Adresszeile des Browsers eingesehen und geändert werden. Ein Cache im Hauptspeicher ist offensichtlich nach dem Herunterfahren des Computers nicht mehr vorhanden. Er würde nur eine Sitzung lang verfügbar sein.
Die eben genannten Einstellungen zum Cache gelten laut den von mir gefundene Quellen nicht nur für den Mozilla Firefox Browser, sondern auch für einige andere Browser.
Sind Dateiabrufe Pflichtinformationen?
Für Cookies hatte der EuGH im Planet49-Urteil festgestellt, dass die Pflichtangaben gemäß Art. 13 DSGVO vorzuhalten sind. Diese Informationen sind sowohl für Einwilligungsabfragen als auch für die allgemeinen Datenschutzhinweise auf der Webseite wichtig.
Müssen nun für Dateien, deren Abruf einwilligungspflichtig ist, eben diese Pflichtinformationen gegeben werden? Dies würde bedeuten, dass womöglich die Namen der Dateien bzw. deren Abrufadresse zu benennen sind. Wäre dies erforderlich oder würde im Gegenteil der Nutzer hierdurch mit zu vielen Informationen zugeschüttet?
Wie sieht es bei einem Auskunftsgesuch nach Art. 15 DSGVO aus?
Meine Tendenz ist, dass die Angaben für abgerufene Dateien nicht gemacht werden müssen. Bei einwilligungsfreien Dateiabrufen muss natürlich sowieso keine Aussage in einer Einwilligungsabfrage gemacht werden. In den Datenschutzhinweisen wäre diese Aussage aber womöglich analog zu technisch notwendigen Cookies zu machen.
Nur im Falle eines eingeschalteten Browser-Cache scheint überhaupt ein Zugriff auf das Endgerät des Nutzers stattzufinden, wenn Dateien von einer besuchten Webseite abgerufen werden. Bei deaktiviertem Cache findet dies nicht statt (und falls doch, dann jedenfalls unbemerkt und mir unbekannt).
Zunächst erscheint es mir unstrittig, dass der Nutzer alleinig selbst entscheidet, ob er den Cache in seinem Browser aktivieren oder deaktivieren möchte. Der Verantwortliche für eine Webseite hat hierauf keinen Einfluss. Der Verantwortliche könnte höchstens den Cache serverseitig deaktivieren. So kann an Browser ein Signal gesendet werden, keinen Cache zu nutzen und Dateien immer neu abzurufen.
Der Abruf von Dateien aus dem Endgerät des Nutzers (über Caching) ist nicht vergleichbar mit Cookies und ähnlichen Technologien.
Mein Fazit.
Erstens ist es jedoch abhängig vom Browser, ob er die Cache-Einstellung des Servers respektiert. Ich gehe davon aus, dass dies der Fall ist, aber garantiert ist es sicher nicht. Jeder kann selber einen Browser programmieren, der sich beliebig verhält.
Zweitens gibt es sehr gute Gründe, dass das Caching vom Server einer besuchten Webseite optimiert wird. Ich nenne in Kürze nur die Ladezeit als offensichtliches Hauptargument. Dies erscheint mir absolut im berechtigten Interesse des Verantwortlichen gemäß Art. 6 Abs 1. f DSGVO zu sein.
Dateien sind keine Informationsspeicher, ganz im Gegensatz zu Cookies. Deshalb ist es meines Erachtens unerheblich, wie eine Datei heißt. Ganz anders bei Cookies. Deren Name ist wichtig, um sie klassifizieren, beschreiben und auffindbar zu machen. Denn Cookies werden als Datensätze abgespeichert, deren Schlüssel auch aus dem Cookie-Namen besteht.
Wenn Dateinamen bei Dateiabrufen aber unerheblich sind, warum sollten sie dann dem Nutzer gegenüber benannt werden müssen?
Dateien können nicht nutzerbezogen ausgelesen werden. Damit meine ich: Die Dateien haben immer denselben statischen Inhalt (außer, es gibt eine neue Dateiversion oder es findet ein nachweisbares Tracking statt). Technisch nicht notwendige Cookies hingegen zeichnen sich gerade dadurch aus, nutzerbezogene oder sitzungsbezogene Werte zu haben. Ein Verantwortlicher hat also keinen zusätzlichen Nutzen daraus, den Dateiinhalt zu kennen, denn dieser ist statisch. Etwas anderes wäre es, wenn in einem Dateiabruf ein nutzerbezogener Parameter enthalten ist. Dann wäre der Zweck aber nicht der reine Dateiabruf, sondern ein anderer (etwa Tracking). Dieser Fall muss hier nicht betrachtet werden.
Fazit
Der Abruf von Dateien bei eingeschaltetem Cache des Browsers des Nutzers erscheint mir nicht vergleichbar mit dem Erzeugen und Auslesen von Cookies.
Informationen über abgerufene Dateinamen bei nicht nutzerbezogenen Inhalten fallen nicht unter die Pflichtinformationen gemäß Art. 13 DSGVO.
Meine Annahme.
Sofern keine fragwürdigen Praktiken wie das HTTP-Header Field Etag oder nutzerbezogene URL-Parameter oder Dateiinhalte verwendet werden, erscheint mir eine Pflichtinformation für abgerufene Dateien oder abzurufende Dateien nicht relevant. Dies gilt also sowohl für Informationen auf Einwilligungsabfragen wie auch für Angaben in Datenschutzhinweisen.
Über Rückmeldungen zu diesem spannenden Thema freue ich mich. Bereits im Vorfeld der Veröffentlichung diskutierte ich mit dem Ideengeber für dieses Thema. Mir wurde die Meinung entgegengebracht, dass der Dateiabruf in den Hauptspeicher des Endgeräts des Nutzers bereits eine Speicherung sei. Dies bestreite ich und erwarte hierzu fundierte Referenzen oder eigene Betrachtungen mit konkreten Argumenten, bevor ich bereit bin, meine Meinung noch weiter als bisher geschehen zu überdenken.
Ein Update zum Begriff des Speicherns:
Speichern = in einem Speicher zur späteren Verwendung aufbewahren, lagern.
Definition aus dem Duden. Siehe https://www.duden.de/rechtschreibung/speichern
Der Duden definiert Speichern also bezüglich der Aufbewahrungsdauer bzw. Aufbewahrung an sich. Daten, die im Hauptspeicher zur sofortigen Verwendung genutzt werden, ohne dass diese Daten weiterverwendet werden könnten, werden also im Sinne meines Informatiker-Verständnisses von Speichern und der des Duden NICHT gespeichert. Speichern = Aufbewahren. Flüchtiger Hauptspeicher ist ungleich aufbewahren. Der Hauptspeicher-Cache als explizit zu konfigurierender Sonderfall ist ungleich dem flüchtigen Speicher und ungleich dem normalen Hauptspeicher-Zweck. Wie beschrieben, ist das (technisch notwendige, ggf. einwilligungspflichtige) Abrufen statischer Dateien auch nicht mit Cookies vergleichbar.
Dass das notwendige Laden in den Hauptspeicher ohne Aufbewahrung keine Speicherung ist, lässt auch der Beitrag „Schutz der Geräteintegrität durch § 25 TTDSG“ in der ZD 2021, 399 erkennen (vgl. dort Abschnitt IV, Punkt 4 Browsereinstellungen).
Kernaussagen dieses Beitrags
Es ist unklar, ob der Abruf von Dateien auf Webseiten wie Cookies behandelt werden muss und ob dafür eine Einwilligung des Nutzers erforderlich ist.
Webseiten können zwar Dateien auf deinem Computer speichern, aber sie haben keinen direkten Zugriff auf diese Dateien.
Webseiten können mithilfe von Caches erkennen, ob ein Nutzer bereits Dateien besucht hat, um ihn zu tracken.
Der Autor argumentiert, dass es im Gegensatz zu Cookies nicht notwendig ist, dem Nutzer bei Dateiabrufen Informationen über die Dateien (Name, Abrufadresse) zu geben, da diese keine personenbezogenen Daten sind und der Nutzer den Cache in seinem Browser selbst steuern kann.
Der Abruf von statischen Dateien im Browser-Cache ist kein Speichern im Sinne der DSGVO, da diese Daten nicht dauerhaft gespeichert werden.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Hallo,
interessante Ausführungen. Sehe ich ganz ähnlich.
Und selbst wenn Art 13 DSGVO für Dateiabrufe greifen würde, dann würde auch Art 13 (4) DSGVO greifen: "Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt." Diese Information dürfte ja zwangsläufig vorliegen da der Abruf ja aktiv erfolgt.
VG Thomas Werning
Ob eine betroffene Person per se über die benötigten Informationen nach Art. 13 DSGVO verfügt, ist zweifelhaft. Bei Cookies muss ja laut EuGH auch deren Funktionsdauer angegeben werden, obwohl jeder sich diese selber in seinem Browser heraussuchen kann.
Der Nutzer muss eben nicht suchen müssen, sondern alles präsentiert bekommen.
Ich denke das TTDSG ist dazu eindeutig, jegliches Schreiben oder Lesen von Informationen auf der Endeinrichtung ist Zustimmungspflichtig (außer der Vorgang ist technisch notwendig um den gewünschten Telemediendienst bereitzustellen). Dazu zählen auch, Dateien, local storage, Web beacons, etc..
Ich denke, wir sollten aufhören Haare zu spalten um Gesetze zu umgehen, sondern die Rechte der Betroffenen respektieren!
Darum geht es ja gerade: "Schreiben" oder "Speichern" sind Begriffe, die man genauer definieren müsste.
"Lesen" aus dem Endgerät findet nicht unbedingt statt, wenn etwas in den Hauptspeicher geladen und dann direkt wieder vergessen wird.
Hierzu bitte ich um dedizierte Stellungnahmen. Ich habe mir oben im Beitrag viel Mühe gegeben und erwarte eine ebenso substantiierte Betrachtung. Mit Allgemeinansichten kann ich nichts anfangen.
Ich empfehle den aktuellen Kommentar von Tager / Gabel. Weiterhin um genau diese Haarspalterei zu vermeiden legt die DSK in ihrer OH Telemedien den Begriff "Speichern" weit aus. Auch wenn Du Dir mit dem Thema viel Mühe gegeben hast benötigt es keine dedizierte Stellungnahme.
In dieser OH der DSK zu Telemedien finde ich leider keine Anhaltspunkte für Argumente. Hier habe ich gesucht: https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
Zu Taeger / Gabel bitte ich um einen Link, am besten um den Text des Kommentars (den ich nicht weitergeben werde, wenn er mir per Mail o.ä geschickt wird).
Ich vermute, dass mein Beitrag nicht von allen vollständig gelesen wird. Ich schildere dort mehrfach, warum Dateiabrufe ohne Aufbewahrung nicht wie Cookies zu werten sind und dabei schon gar keine persistente und auch keine temporäre Speicherung (vgl. Art. 29 Gruppe, Opinion 04/2012) stattfindet.
Auch wenn Sie sich Dr. DSGVO nennen, fehlt offenbar die Fachkunde. Insbesondere zeigt Ihre Website selbst gravierende Mängel. Beispielsweise ist VGWort mit Sicherheit nicht für den Abruf Ihrer Seiten ("vom Nutzer ausdrücklich gewünschter Telemediendienst") notwendig. Denn wenn der VGWort z.B. mit Privacy Badger blockiert wird, funktioniert Ihre Website genauso. Sie müssen daher eine Einwilligung für das Setzen der VGWort Cookies einholen. Hier würde sollten Sie sich vielleicht erstmal drum kümmern und die substanzlosen, wirren Thesen zum Dateiabruf hinten anstellen…
Die Autorenvergütung der VG Wort steht jedem Autor gesetzlich zu. Diese wird nur ausgeschüttet, wenn der VG Wort Zählpixel integriert wird. Ohne Entlohnung gibt es keine für den Leser kostenfreien Texte und somit keine Webseite.
Was mit "Beispielsweise" gemeint ist, erschließt sich mir nicht. Das klingt so, als gäbe es weitere Anmerkungen.
Lustig ist übrigens, dass IT Anwälte Drohschreiben zu VG Wort verschicken, aber auf ihren eigens verantworteten Webseiten selber den VG Wort Pixel nutzen.
Übrigens Nummer zwei, hatte ich die VG Wort selbst schon mal darauf hingewiesen, dass manche ein Problem mit dem VG Wort Pixel haben. Kontaktieren Sie doch bitte auch die VG Wort und teilen Sie ihr mit, was Sie von deren Lösung halten.
Hallo,
zunächst mal Danke für die hier bereitgestellten Informationen. Ich bin kein Jurist, sondern ITler, der gerade aus privatem Interesse versucht tiefer in die ganze Datenschutzthematik einzusteigen.
Das o.g. TTDSG § 25 führt nach meinem Verständnis dazu, dass über 80% der Websites nicht gesetzeskonform sind. In 2.2 heißt es: "… wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."
Versteheich es richtig, dass "… ausdrücklich gewünschten …" eine Entscheidung ("Willensbekundung") ist, die der Aufrufer einer Website aktiv treffen können muss?
Was ist dann z.B. mit dem Auslesen der Browsersprache um die Seite in der passenden Sprache anzubieten? Oder dem speichern von beliebigen für die Funktionsweise der Website benötigter Daten im Web-Storage? Wenn ich das richtig lese würde eine gesetzeskonforme Umsetzung nur noch auf wenige Websites zutreffen und (bei entsprechender Umsetzung) die mehrheiten der Websites unmöglich machen, da die Verwendung von WebStorage bereits heute sehr verbreitet und zukünftig vrmtl. eher der Normallfall ist. Kann doch nicht wirklich im Sinne des Gesetzgebers sein, das da da alle 10 Sekunden eine aktive "Willensbekundung" zu jeder Einzelfunktion (z.B. Speichern von Spracheinstellungen, Spiel-Erfolgen, oder was auch immer) einzuholen ist, oder der Nutzer beim Betreten Seitenlang aufgeklärt werden müsste (und in welcher Sprache?) und die Website ansonsten gar nicht erst betreten darf…?
Was verstehe ich denn da falsch?
Vielen Dank schonmal für die Antwort und die vielen hilfreichen Informationen hier!
Gerne beantworte ich Ihre Fragen.
Ihre Frage: "Was ist dann z.B. mit dem Auslesen der Browsersprache um die Seite in der passenden Sprache anzubieten?"
Die eingestellte Browsersprache wird immer, über das Internetprotokoll, an die aufgerufene Webseite übertragen. Die Webseite liest diese Information also NICHT explizit aus. Insofern ist dies nicht mit einem Cookie vergleichbar und auch kein Endgerätezugriff im Sinne des § 25 TTDSG.
Zum Speichern der Sprachauswahl in einem Cookie (wozu auch Web Storage, Local Storage gehört):
Wenn der Nutzer die voreingestellte (Standard-)Sprache ändert, dann ist es offensichtlich sein Wunsch, eine andere Sprache zu nutzen. Die Webseite darf diese Information dann in einem Cookie speichern, aber nur zu dem Zweck, die Sprache für die Anzeige zu ermitteln. Für Tracking (Browser Fingerprinting) o.ä. darf diese Cookie-Information NICHT genutzt werden.
Durch den Wunsch des Nutzers, den er durch Auswahl der Sprache trifft, hat er quasi seine implizite Einwilligung gegeben, dass die Sprache in einem Cookie (nur zum Zweck der fortfolgenden Berücksichtigung seiner Sprachauswahl!) gespeichert wird. Dies ist im Sinne des Nutzers und widerspricht nicht seinen Interessen nach Privatsphäre etc.
In den Datenschutzhinweisen sollte erklärt werden, dass Cookie X für Dauer Y für die Speicherung einer vom Nutzer gewählten Sprache verwendet wird!
Vielen Dank für die schnelle Antwort. 🙂
Zum Thema Sprache muss ich jedoch zunächst widersprechen. Es ist mittlerweile üblich, die Spracheinstellungen des Nutzer-Browsers auszulesen, um dem Nutzer automatisch eine passende Sprache für Webseiten auszuspielen. Dies passiert idR. ohne weitere Rückfrage richtung Nutzer oder weitere Kommunikation mit dem Server. Grundsätzlich hat sich im Bereich Webentwicklung in den vergangenen 5 Jahren auch sehr viel verändert, wodurch häufig nach dem Laden einer Seite sehr viel JavaScript-Logik (va. bei sog. Single Page Applications) im Browser abläuft und Seitenwechsel über den Server in Zukunft generell deutlich abnehmen werden. Der eigentliche Seitenzustand wandert dadurch ebenfalls weg von der Kommunikation über Server, hin zu einer Datenspeicherung über den Web-Storage. Insofern bleibt die ursprüngliche Fragestellung also bestehen, wie damit aus rechtlicher Sicht umzugehen ist.
Der Punkt mit der Aufklärung über die Datenschutzhinweise ist verstanden und stellt für den Nutzer ja auch keine Einschränkung im Verhalten der Website dar. Wobei meiner Einschätzung nach solche Datenschutzhinweise dann zukünfig ebenfalls deutlich länger un komplizierter werden müssten. Bei einer aktiven "Willensbekundung" (also Opt-In) sieht das aber ganz anders aus und passt mMn. auch überhaupt nicht zu den Konzepten moderner Webentwicklung.
Ich beziehe mich dabei auch nicht ausschließlich auf die Sprache. Die Argumentation, dass da etwas offensichtlich sei (egal, ob Storage oder Cookie) kann ich zwar bei der Sprache nachvollziehen, lese aber selbst dabei den Rechtstext anders (daher ja die Frage). Da steht ja nichts von "impliziter Einwilligung", sonder "ausdrücklich gewünscht". Mir geht es generell nicht um Cookies und die damit häufig missbräuchlich verwendeten Datentransfers in andere Staaten oder zu 3ten…
Um ein anderes Beispiel zu nennen: Jemand baut eine Seite für Online-Spiele. Die Website generiert eine eindeutige ID und speichert diese im Storage (oder Cookie), damit Spiel-Fortschritte oder Erfolge bei Folgebesuchen der Seite nicht verloren gehen (die ID wird dann bei Folgeaufrufen der Seite an den Server übermittelt um den Spieler wiederzuerkennen und erreichte Spielerfolge oder Spielstände auszuliefern). Muss der Nutzer dieser ID-Speicherung aktiv zustimmen, oer reicht eine Information über dieses Verhalten in den Datenschutzhinweisen?
Wenn die Spracheinstellung "ausgelesen" wird, dann doch nicht aus dem Endgerät (es geht auch ohne expliziten Endgerätzugriff). Die Feinheiten, was als Endgerätzugriff zu werten ist und was nicht, sind hier und in anderen Beiträgen auf Dr. DSGVO betrachtet.
Wenn aus dem Cookie ausgelesen, dann erst, nachdem der Nutzer die andere Sprache ausdrücklich gewünscht hat = Nutzer hat die Sprache ausgewählt.
Speicherung Spielstand ist analog Speicherung im Warenkorb. Das ist allgemein als "unbedingt erforderlich" angesehen. Selbstverständlich darf eine gespeicherte ID o.ä. nur für diesen erforderlichen Zweck verwendet werden und für nichts anderes. Dann bedarf es auch keiner Zustimmung. In den Datenschutzhinweisen sollte es erklärt werden, auch damit keine Rückfragen kommen.
Erneut Danke für die rasche Antwort. Wir reden allerdings leider immer noch aneinander vorbei (erneut die Anmerkung, dass ich ein IT-Mensch und kein Jurist bin). Mich interessieren bzgl. TTDSG § 25 va. 2 Dinge:
1.) Das Auslesen von Browser- / Endgerätinformationen des Nutzers (Sprache, Geo-Location, eingesetzte Browserversion, verwendetes Betriebssystem, WebGL-Unterstützung, Bluetooth-Konfigurationen, …). Hierbei interessiert mich erstmal nicht, ob die Website die Daten anschließend zum Server schickt oder sie sonst wie weiterverarbeitet. Weiterhin sei hier angenommen, dass ich für alle genannten Informationen über ein berechtigtes Interesse oder als „unbedingt erforderlich“ für den ordnungsgemäßen Betrieb der auf der Website angebotenen Dienstleistungen argumentieren kann (z.B. weil ich eine webbasierte Navigationssoftware anbiete, die nun mal Geo-Koordinaten für die Standortbestimmung benötigt, oder weil ich z.B. Nutzern einen webbasierten Bluetooth-Zugriff auf ihren Mähroboter ermöglichen möchte, …).
2.) Das Speichern einer (anonymen) generierte ID im Browser (Web-Storage) des Nutzers (mit der ich den Nutzer wiedererkennen kann, wenn er später erneut meine Website betritt). Diese ID wird dann beim erneuten Betreten der Website natürlich ausgelesen aus dem Storage (sonst wäre sie ja sinnlos). Dieselbe ID ist auch auf dem Server gespeichert zusätzlich mit anderen Informationen, die bei der Sitzung entstanden sind (Spielstände bei Seiten mit Onlinegames, Produkte die ich mir zuletzt angesehen habe in einem Webshop, meinem Lieblingsfußballverein auf einer Website für Sportinformationen, og. Bluetooth-Konfiguration für den Mähroboter, oder was auch immer).
Beide genannten Fälle sind heutzutage übliche Implementierungsmuster in der Web-Entwicklung und bieten den Nutzern einen echten Mehrwert, da ihm sitzungsübergreifende Dienste geboten werden können, ohne dass er sich dafür registrieren muss. Diese Nebendiskussion mit der Sprache war wie gesagt nur ein Beispiel (und ja, man liest sie mittlerweile auf moderneren Websites wirklich über den Browser / das Endgerät des Nutzers aus, damit der Nutzer eben keine Sprachauswahl mehr treffen muss -> ein Cookie oder Eintrag im Storage ist dafür technisch eigentlich nur noch nötig, wenn der Benutzer von seiner eigenen Sprache abweichen will, weil er z.B. gerne Website-Inhalte in einer Fremdsprache lesen möchte und diese Einstellung zusätzlich auch noch über die Sitzungsdauer bestehen bleiben soll).
Mir ist klar, dass ich als Websitebetreiber beide o.g Fälle in den Datenschutzhinweisen aufführen und beschreiben muss.
Für beide Fälle würde ich aber gerne verstehen, ob das TTDSG § 25 Anwendung findet und wenn nein, warum nicht?
Die Formulierung im TTDSG § 25 ist ja mMn. recht klar und sagt etwas anderes aus (nämlich dass in beiden Fällen entweder „auf der Grundlage von klaren und umfassenden Informationen eingewilligt“ werden können muss, was bei 1.) und 2.) zu einer massiven Verschlechterung des Nutzererlebnisses führen würde, sofern dafür Info-Masken oder sogar Checkboxen anzuzeigen wären, oder „ein Telemediendienst ausdrücklich gewünscht“ ist, was scheinbar viel Raum für Interpretationen lässt, aus meiner Sicht aber in einem Rechtstreit eng werden könnte).
Und übrigens wirklich toll, dass ihr hier auf der Seite so bemüht seid, so nervige Fragen (wie die von mir) kostenfrei und ohne Registrierung oä. zu beantworten. Weiter so! 🙂
Vielen Dank für die ausführliche Rückmeldung und Ihre freundlichen Worte!
Nur in Kürze:
Zu 1) Bei Endgerätzugriffen gibt es das berechtigte Interesse nicht, sondern nur die Prüfung "erforderlich" oder nicht.
Zu 2) Ob etwas üblich ist, ist nicht der Maßstab.
Wenn etwas im Sinne des Nutzers stattfindet, ist es vertretbar. Dazu gehört beispielsweise das Speichern einer Sitzungs-ID, damit der Nutzer sich nicht dauernd neu anmelden muss. Aber diese ID darf dann nur dafür verwendet werden. Analog mit dem Warenkorb-Cookie oder einem Cookie für Spracheinstellungen auf einer mehrsprachigen Website, die der Nutzer vorgenommen hat.