Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Sind Cookies personenbezogene Daten?

0

Ob Cookies personenbezogene Daten sind, ist aus mehreren Gründen relevant. Im Telemediengesetz ist nämlich in § 15 TMG geregelt, dass personenbezogene Daten nur unter bestimmten Bedingungen verarbeitet werden dürfen. Auch die DSGVO regelt (nur) den Umfang mit personenbezogenen oder personenbeziehbaren Daten, nicht aber mit Cookies speziell. Beides ist auch für Aufsichtsbehörden und ggf. deren Bußgeldprivileg relevant.

Einleitung

Bekanntlich gilt die DSGVO zunächst nicht speziell für Cookies, sondern für personenbezogene Daten. Gleiches gilt für das TMG. Die ePrivacy Richtlinie hingegen besagt, dass Cookies nur im Endgerät eines Nutzers gespeichert oder zugegriffen werden dürfen, sofern eine Einwilligung durch die betroffene Person vorliegt (technisch notwendige Cookies sind hiervon ausgenommen).

Sind Cookies personenbezogene Daten?

Aus verschiedenen Gründen lautet meine Antwort: Ja, Cookies stellen personenbeziehbare Daten und somit personenbezogene Daten dar.

Der BGH entschied Mitte 2020 im Planet49-Urteil, dass § 15 Abs. 3 TMG konform zu Art. 5 Abs. 3 ePrivacy Richtlinie auszulegen ist. Der deutsche Gesetzgeber war wieder einmal sehr langsam und hatte die ePrivacy Richtlinie entgegen der europäischen Vorgabe nicht in nationales Gesetz umgesetzt.

Spannend ist auch § 15 Abs. 1 TMG. Dort heißt es anfangs:

Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).

§ 15 Abs. 1 TMG (Auszug)

Dieser Passus ist insbesondere relevant, wenn es um die Frage geht, ob deutsche Datenschutz-Aufsichtsbehörden Bußgelder wegen rechtswidrig verwendeter Cookies verhängen dürfen. Es kommt hierbei entscheidend auf die Frage an, ob Cookies personenbezogene Daten sind oder nicht. Ich betrachte hierbei nicht die länderspezifischen Gesetze der deutschen Datenschutzbehörden, wenngleich diese im Einzelfall möglicherweise direkt die Frage nach dem Personenbezug von Cookies obsolet machen könnten.

Was sind personenbezogene Daten?

Das TMG gibt hierzu keine ausreichende Auskunft. Stattdessen kann man aber das BDSG und die DSGVO bemühen, die beide (ich bin kein Jurist) für das TMG relevant sein könnten. Mindestens die DSGVO jedenfalls ist für Datenschutzbehörden relevant. Und mindestens BDSG oder DSGVO sind für das TMG relevant, ist meine naive Ansicht. Bitte korrigieren Sie mich, wenn ich falsch liege.

In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …

„… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;“

§ 46 Nr. 1 BDSG (Auszug)

In Art. 4 Nr. 1 DSGVO steht nahezu wortgleich: Personenbezogene Daten sind …

„… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Art. 4 Nr. 1 DSGVO (Auszug)

Die Definitionen aus BDSG und DSGVO besagen, dass sich aus der Personenbeziehbarkeit eines Datums ergibt, dass dieses Datum als personenbezogen anzusehen ist. Gemeint seien hierbei ausschließlich natürliche Personen.

Die Frage, ob Cookies personenbezogene Daten darstellen, kann also reduziert werden auf die Frage, ob Cookies personenbeziehbare Daten darstellen. Personenbeziehbar sind Daten jedenfalls eher als personenbezogen. So viel steht aufgrund der Definition fest.

Sind Cookies personenbeziehbare Daten?

Die Eigentlich relevante (einfachere) Frage.

Was sind Cookies?

Cookies sind Datensätze. Cookies sind erwiesenermaßen keine Textdateien, wie viele behaupten. Cookies sind auch keine Textdateien, nur weil einem kein besserer Begriff einfällt, der gemäß DSGVO leicht verständlich sein soll. Es gibt bessere Begriffe als Textdatei, die dennoch verständlich sind. Beispielsweise Informationshäppchen statt Datensatz, obwohl ich glaube, dass Datensatz leicht verständlich ist.

Ein Cookie besteht aus einem Tupel, also einem Wertepärchen. Das Pärchen wird gebildet aus einem Namen und einem Wert. Dass ein Tupel vorliegt, spielt keine Rolle. Ein eindimensionaler Wert ist äquivalent. Man kann diesen erreichen durch Aneinanderhängen von Name und Wert, welche durch ein definiertes Trennzeichen auseinandergehalten werden.

Ein Cookie entsteht, wenn ein Dienst es erzeugt. Ein Dienst ist entweder eine Webseite, die ihre eigenen Cookies erzeugen kann, wenn Bedarf besteht. Oft passiert dies für die Erzeugung von Cookies zur Sitzungsverwaltung. Damit kann nachvollzogen werden, ob ein Nutzer angemeldet ist oder nicht. WordPress etwa nutzt Cookies, um die Nutzeranmeldung zu ermöglichen. Hierbei können nur sogenannte First-Party Cookies entstehen, die sowohl technisch als auch fachlich der Erstpartei zuzurechnen sind. Die Erstpartei ist der Betreiber der Webseite bzw. der Verantwortliche für die Webseite.

Außerdem kann ein Cookie durch JavaScript-Logik erzeugt werden. Hierbei entstehen ebenfalls technische First-Party Cookies. Im Falle von Google Analytics liegt aber fachlich ein Drittpartei-Cookie vor, weil es von Google verwaltet wird.

Zuletzt können Cookies entstehen, wenn Dateien von einem (anderen) Server abgerufen werden. Beispielsweise entstehen Cookies, wenn Google reCAPTCHA Dateien von einer Webseite abgerufen werden. Diese Cookies sind technisch und fachlich Drittpartei-Cookies.

ProzessCookie-Art technischCookie-Art fachlich
Webseite verwaltet eigene CookiesFirst-PartyFirst-Party
JavaScript-Logik DritterFirst-PartyThird-Party
Dateiabruf von Dritt-ServerThird-PartyThird-Party
Übersicht zu Cookie-Arten

Cookies werden vom Browser jedes Nutzers separat verwaltet. Jeder Nutzer hat somit potentiell andere Cookies auf seinem Endgerät als andere Nutzer. Cookies sind die derzeit einzige (gängige) Information gemäß Art. 5 Abs. 3 ePrivacy Richtlinie, die im Endgerät des Nutzers gespeichert sind, wenn es um Webseiten geht. Auf Smartphones kommt beispielsweise die Werbe-ID von Apple und Google hinzu. Mit Google FloC, einem schon vorab gescheiterten Ansatz von Google, datenschutzfreundlicher sein zu wollen, werden Kohorten-IDs im Endgerät des Nutzers gespeichert.

Welche Cookies in einem Endgerät gespeichert sind, hängt davon ab, welche Webseiten ein Nutzer zuvor besucht hat. Alleine daran wird schon deutlich, dass sogenannte Cookie Scanner nie zuverlässig funktionieren können.

Welche Daten speichern Cookies?

Pauschal kann diese Frage nicht beantwortet werden. Potentiell können alle möglichen Daten in einem oder mehreren Cookies gespeichert werden. Hier ein paar Beispiele für Werte von Cookies. Nur die Werte sind angegeben, weil die Namen über die Interpretation der Werte entscheiden und die Bedeutung der Werte in der Übersicht angegeben ist.

WertBeispielhafte Bedeutung
XCookie-Popup wurde bestätigt (“Ja/Nein” Information)
ab6729cc92027fd165442Eindeutiger Identifikator für einen Nutzer
2021-12-07 12:51:22Zeitstempel, etwa letzter Besuch der Webseite
UA-4711-4712Google Analytics Konto des Webseiten-Betreibers
7777-8888-9999-aaaa-2222Google-ID des Nutzers, der am Google Konto angemeldet ist
8.56829,50.223355557Standort des Nutzers
Beispiele für Wertausprägungen von Cookies

Die fett gedruckten Werte sind direkt personenbeziehbar. Ist also ein in einem Cookie gespeicherter Wert personenbeziehbar, dann ist logischerweise auch das Cookie als Datenbehälter personenbeziehbar. Immerhin wird die Wertausprägung des Cookies bei jedem Datenabruf mit zum Cookie passender Domäne übertragen und kann ausgelesen werden.

Ein Cookie mit einem personenbeziehbaren Wert ist personenbeziehbar und somit alleine deswegen als personenbezogene Information zu werten.

Meine Schlussfolgerung zu Cookies.

Ob Cookies tatsächlich ausgelesen werden, ist an sich in zwei der drei weiter oben genannten Cookie-Arten relativ unbedeutend, wenn die Frage zu klären ist, ob eine Datenverarbeitung vorliegt. Eine Datenerhebung liegt bereits bei (objektiv) möglicher Kenntnisnahme der Daten vor, wenn diese Erhebung aufgrund eines Angebots stattfand. Ein Angebot liegt bei einer Webseite immer vor. Mindestens eine implizite Datenverarbeitung liegt bei Third Party Cookies immer vor. Gleiches gilt für First Party Cookies von der besuchten Webseite selbst, die bei Dateiabrufen übertragen werden. Der Personenbezug besteht hier alleine schon aufgrund des Kommunikationskanals, zusätzlich zu weiteren Gründen.

Ganz eindeutig ist es bei Cookies wie denen von Google Analytics. Die Werte dieser werden explizit von einer JavaScript-Logik ausgelesen, um dann an einen Google Server geschickt zu werden, der übrigens immer in den USA steht.

Nun zur Frage, was mit Cookies ist, die keine personenbeziehbaren Werteausprägungen besitzen. Sind also Cookies als Datenbehälter, die auf einem Endgerät einer Person gespeichert sind, personenbeziehbar?

Zunächst ist es technisch erwiesen, dass Cookies einen Personenbezug aufweisen. Immerhin werden sie im Endgerät eines Nutzers, also einer Person, verwaltet.

Weil spezifische Cookies jeweils immer einer Person über deren Endgerät zugeordnet werden können, sind sie meiner Ansicht nach auch immer personenbezogen. Diesen Geist greift meiner Meinung nach die ePrivacy Richtlinie auf, die endlich über § 25 TTDSG im Dezember 2021 in Deutschland explizit umgesetzt sein wird. Dies gilt meiner Ansicht nach auch, wenn die ePrivacy Richtlinie den Schutz von Endeinrichtungen in den Vordergrund stellt.

Analog verhält es sich doch auch mit Verkehrsdaten, die mit über 90 % Wahrscheinlichkeit auf eine Person zurückgeführt werden können. Vgl. hierzu Referenzen am Ende des Beitrags.

Beispiel für Verkehrsdaten (Telemetriedaten), die bei jedem Cookie Abruf zur Verfügung stehen

Mit Verkehrsdaten meine ich hier den digitalen Fingerabdruck eines Nutzers, der einen Browser benutzt. Dazu gehören die Bildschirmauflösung, die Version des Betriebssystems, die Zeitzone und andere Daten, sogar IP-Adresse. Mit IP-Adresse ist die Wahrscheinlichkeit noch viel höher, auf ein Individuum rückschließen zu können. Auch ohne diese Netzwerkadresse gelingt die Zuordnung von beliebigen Verkehrsdaten zu einer Person mit weit über 90 % Wahrscheinlichkeit.

Nicht umsonst hatte der EuGH im Urteil zu IP-Adressen festgestellt, dass sogar dynamische IP-Adressen als personenbezogene Daten gelten. Dynamische Adressen können täglich oder sogar noch häufiger wechseln (Als ein Stichwort sei der Reconnect, also der Verbindungsneuaufbau genannt).

Werden Cookies ausgelesen, liegt beim Auslesen zwangsläufig immer die IP-Adresse des Nutzers vor. Somit sind Cookies, selbst wenn Sie alleine nicht personenbezogen wären (was sie aber meiner Schilderungen und Meinung nach sind), immer mit dem personenbezogenen Datum der Netzwerkadresse verbunden. Auch wenn die Netzwerkadresse anonymisiert wurde, wurde sie zuvor zwangsläufig erhoben. Das ist ja auch der Grund, warum gemäß Art. 12 DSGVO jede Webseite Datenschutzhinweise enthalten muss (sofern die Webseite „nicht leer“ ist, also ein Angebot darstellt). Die Anonymisierung als Verarbeitungsvorgang sollte möglich sein, ist aber nicht so einfach zu rechtfertigen, wie man spontan annehmen könnte.

Cookies und die per höchstrichterlicher Entscheidung personenbezogene Netzwerkadresse einer Person sind immer zusammen zugreifbar. Alleine deswegen erscheinen Cookies personenbezogen.

Logische Konsequenz aus einer technischen Gegebenheit

Fazit

Nach all dem komme ich zu dem folgenden Schluss: Cookies sind an sich, in Ihrer Funktion als Datenspeicher, die immer im Endgerät einer Person befindlich sind, personenbeziehbare und somit personenbezogene Daten sind, weil der Zugriff auf Cookies nur in Verbindung mit der personenbezogenen Netzwerkadresse stattfinden kann.

SachverhaltArgument für Personenbezug
Personenbezogener Cookie-WertPersonenbezug des Cookie-Werts
Ablageort aller CookiesEndgerät des Nutzers ist ein personenbeziehbares Datum
Netzwerkadresse liegt immer zusammen mit Cookies vorNetzwerkadresse enthält Personenbezug
Analogie von Cookies zu Verkehrsdaten und IP-AdressenVerkehrsdaten sind personenbeziehbar, IP-Adressen sind sogar personenbezogen
Mögliche Argumente für den Personenbezug von Cookies

Bei Cookies mit Personenbezug über die Wertausprägung stellt sich die Frage nach dem Personenbezug meines Erachtens nicht weiter.

Die Tatsache, dass Cookies im Endgerät eines Nutzers, das einer Person zugeordnet ist, abgelegt wird, zeigt zusätzlich den Personenbezug von Cookies.

Die Tatsache, dass die potentiell immer personenbezogene Netzwerkadresse immer auch im Zugriff ist, wenn ein Cookie gesetzt oder ausgelesen wird, zeigt weiterhin den Personenbezug von Cookies.

Auch die Tatsache, dass die ePrivacy Richtlinie Cookies, ungeachtet von deren Wertausprägung, als einwilligungspflichtig deklariert (vgl. auch EuGH-Urteil zu Planet49), könnte ein Indikator für den Personenbezug von Cookies sein. Ich wurde allerdings darauf hingewiesen, dass die ePrivacy Richtlinie in erster Linie den Schutz des Endgeräts eines Nutzers im Auge hat. Das Endgerät eines Nutzers allerdings ist offensichtlich personenbezogen, denn es ist einer Person zuzuordnen, die es besitzt. Die ePrivacy Richtlinie schützt insbesondere die Privatsphäre. Die Privatsphäre ist direkt mit einer Personenbeziehbarkeit verbunden, denke ich. Dies wird auch in Rn. 24 der Richtlinie deutlich. In Rn. 25 wird allerdings auch auf die Nutzung eines Endgeräts durch mehrere Nutzer abgestellt.

Sogar die Kenntnis über Verkehrsdaten eines Nutzers ohne Kenntnis von dessen IP-Adresse reicht aus, um mit über 90 % Wahrscheinlichkeit auf eine einzelne Person zurückzuschließen.

Ebenso das Urteil des EuGH, dass sogar dynamische IP-Adressen personenbezogene Daten sind, ist ein Indikator für den Personenbezug von Cookies. Denn das Urteil setzt damit den Personenbezug bereits sehr früh an. Immerhin gelingt es fast niemandem, aufgrund einer IP-Adresse auf eine Person zu schließen. Dies spielt laut EuGH allerdings keine Rolle. Auch der BGH hat unlängst klargestellt (Urteil vom 15.06.2021, Az. VI ZR 576/19), dass der Begriff der personenbezogenen oder personenbeziehbaren Daten „weit zu verstehen“ ist. Der BGH schreibt, der Begriff der personenbezogenen Daten „… umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist …“.

Cookies sind personenbezogene Daten.

Meine Schlussfolgerung, die ich gerne zur Diskussion stelle.


Somit folgere ich, dass Cookies immer als personenbezogene Daten anzusehen sind. Selbstverständlich bin ich für Gegenargumente aufgeschlossen und bereit, meine Meinung zu revidieren oder in Teilen zu korrigieren, sofern sachliche Gründe dafür sprechen.

Alleine schon gemäß dem Gesagten könnten auch deutsche Aufsichtsbehörden gemäß § 15 Abs. 1 TMG Bußgelder wegen unerlaubt eingesetzter Cookies verhängen, und dies im für sie schlimmsten Fall juristisch klären lassen. Leider sind deutsche Behörden anscheinend auf breiter Basis dazu nicht bereit. Woran liegt das wohl? An der Komplexität des Themas kann es nicht mehr liegen. Vieles sollte doch jetzt endlich bekannt und geklärt sein oder im Bedarfsfall einer richterlichen Klärung zugeführt werden.

Referenzen zu Fingerprinting

Fingerprinting ist eine Möglichkeit, um aus Verkehrsdaten zu einem System eines Nutzers auf den Nutzer zurückschließen zu können, diesen also recht eindeutig von anderen Nutzern unterscheiden zu können. Beim Fingerprinting muss nicht einmal ein echtes personenbezogenes Datum vorliegen. Vielmehr ergibt die Summe der bekannten Merkmale zu einem Nutzer-System eine sehr gute Rückschlussmöglichkeit auf ein Individuum. Somit ist der (digitale) Fingerabdruck eines Nutzers ein personenbeziehbares, also personenbezogenes Datum.

Vergleiche hierzu folgende Quellen:

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/sind-cookies-personenbezogene-daten
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutzfreundliche Tools für Webseiten: Kostenfrei und DSGVO-konform statt Cookies und Probleme