gekennzeichnet. 
Ob Cookies personenbezogene Daten sind, ist aus mehreren Gründen relevant. Die DSGVO regelt (nur) den Umfang mit personenbezogenen oder personenbeziehbaren Daten, nicht aber mit Cookies speziell. Beides ist auch für Aufsichtsbehörden und ggf. deren Bußgeldprivileg relevant.
Einleitung
Der Artikel entstand vor Bekanntwerden und Inkrafttreten des TTDSG. Ich habe ihn angepasst. Seine ursprüngliche Form ist an sich übertragbar auf den heutigen Stand. Lediglich die Referenzen auf TTDSG statt ePrivacy bzw. TMG sind anders zu bewerten.
Bekanntlich gilt die DSGVO zunächst nicht speziell für Cookies, sondern für personenbezogene Daten. Das TTDSG hingegen besagt, dass Cookies nur im Endgerät eines Nutzers gespeichert oder zugegriffen werden dürfen, sofern eine Einwilligung durch die betroffene Person vorliegt (technisch notwendige Cookies sind hiervon ausgenommen). Dieser Beitrag entstand vor dem Inkrafttreten des TTDSG und bezieht sich in Teilen noch auf das TMG. Das TTDSG ist ein Sondergesetz zur DSGVO, auch als lex specialis bezeichnet.
Sind Cookies personenbezogene Daten?
Der BGH entschied Mitte 2020 im Planet49-Urteil, dass § 15 Abs. 3 TMG konform zu Art. 5 Abs. 3 ePrivacy Richtlinie auszulegen ist. Der deutsche Gesetzgeber war wieder einmal sehr langsam und hatte die ePrivacy Richtlinie entgegen der europäischen Vorgabe nicht in nationales Gesetz umgesetzt.Erst am 01.12.2021 trat mit dem TTDSG das Datenschutzgesetz für Deutschland in Kraft, dass die europäische Vorgabe umsetzt.
Bis vor dem 01.12.2021 war auch § 15 Abs. 1 TMG spannend. Dort heißt es anfangs:
Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).
§ 15 Abs. 1 TMG (Auszug)
Dieser Passus ist insbesondere relevant, wenn es um die Frage geht, ob deutsche Datenschutz-Aufsichtsbehörden Bußgelder wegen rechtswidrig verwendeter Cookies verhängen dürfen. Es kommt hierbei entscheidend auf die Frage an, ob Cookies personenbezogene Daten sind oder nicht. Ich betrachte hierbei nicht die länderspezifischen Gesetze der deutschen Datenschutzbehörden, wenngleich diese im Einzelfall möglicherweise direkt die Frage nach dem Personenbezug von Cookies obsolet machen könnten.
Was sind personenbezogene Daten?
Das TMG gab hierzu keine ausreichende Auskunft. Auch im TTDSG findet sich hierzu wenig. Stattdessen kann man aber das BDSG und die DSGVO bemühen, die beide (ich bin kein Jurist) für das TTDSG relevant sein könnten. Mindestens die DSGVO jedenfalls ist für Datenschutzbehörden relevant. Und mindestens BDSG oder DSGVO sind für das TTDSG relevant, ist meine naive Ansicht. Bitte korrigieren Sie mich, wenn ich falsch liege.
In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …
„… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;“
§ 46 Nr. 1 BDSG (Auszug)
In Art. 4 Nr. 1 DSGVO steht nahezu wortgleich: Personenbezogene Daten sind …
„… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“
Art. 4 Nr. 1 DSGVO (Auszug)
Die Definitionen aus BDSG und DSGVO besagen, dass sich aus der Personenbeziehbarkeit eines Datums ergibt, dass dieses Datum als personenbezogen anzusehen ist. Gemeint seien hierbei ausschließlich natürliche Personen.
Die Frage, ob Cookies personenbezogene Daten darstellen, kann also reduziert werden auf die Frage, ob Cookies personenbeziehbare Daten darstellen. Personenbeziehbar sind Daten jedenfalls eher als personenbezogen. So viel steht aufgrund der Definition fest.
Sind Cookies personenbeziehbare Daten?
Die Eigentlich relevante (einfachere) Frage.
Was sind Cookies?
Cookies sind Datensätze. Cookies sind erwiesenermaßen keine Textdateien, wie viele behaupten. Cookies sind auch keine Textdateien, nur weil einem kein besserer Begriff einfällt, der gemäß DSGVO leicht verständlich sein soll. Es gibt bessere Begriffe als Textdatei, die dennoch verständlich sind. Beispielsweise Informationshäppchen statt Datensatz, obwohl ich glaube, dass Datensatz leicht verständlich ist. Noch besser ist es, wenn beschrieben wird, wozu Cookies verwendet werden, nämlich zum Speichern von Informationen auf dem Computer des Nutzers (oder auf einer Endeinrichtung, wie einem Smart Home Gerät).
Ein Cookie besteht aus einem Tupel, also einem Wertepärchen. Das Pärchen wird gebildet aus einem Namen und einem Wert. Dass ein Tupel vorliegt, spielt keine Rolle. Ein eindimensionaler Wert ist äquivalent. Man kann diesen erreichen durch Aneinanderhängen von Name und Wert, welche durch ein definiertes Trennzeichen auseinandergehalten werden.
Ein Cookie entsteht, wenn ein Dienst es erzeugt. Ein Dienst ist entweder eine Webseite, die ihre eigenen Cookies erzeugen kann, wenn Bedarf besteht. Oft passiert dies für die Erzeugung von Cookies zur Sitzungsverwaltung. Damit kann nachvollzogen werden, ob ein Nutzer angemeldet ist oder nicht. WordPress etwa nutzt Cookies, um die Nutzeranmeldung zu ermöglichen. Hierbei können nur sogenannte First-Party Cookies entstehen, die sowohl technisch als auch fachlich der Erstpartei zuzurechnen sind. Die Erstpartei ist der Betreiber der Webseite bzw. der Verantwortliche für die Webseite.
Außerdem kann ein Cookie durch JavaScript-Logik erzeugt werden. Hierbei entstehen ebenfalls technische First-Party Cookies. Im Falle von Google Analytics liegt aber fachlich ein Drittpartei-Cookie vor, weil es von Google verwaltet wird.
Zuletzt können Cookies entstehen, wenn Dateien von einem (anderen) Server abgerufen werden. Beispielsweise entstehen Cookies, wenn Google reCAPTCHA Dateien von einer Webseite abgerufen werden. Diese Cookies sind technisch und fachlich Drittpartei-Cookies.
| Prozess | Cookie-Art technisch | Cookie-Art fachlich |
|---|---|---|
| Webseite verwaltet eigene Cookies | First-Party | First-Party |
| JavaScript-Logik Dritter | First-Party | Third-Party |
| Dateiabruf von Dritt-Server | Third-Party | Third-Party |
Cookies werden vom Browser jedes Nutzers separat verwaltet. Jeder Nutzer hat somit potentiell andere Cookies auf seinem Endgerät als andere Nutzer. Cookies sind die derzeit einzige (gängige) Information gemäß § 25 TTDSG, die im Endgerät des Nutzers gespeichert sind, wenn es um Webseiten geht. Auf Smartphones kommt beispielsweise die Werbe-ID von Apple und Google hinzu. Mit Google FloC, einem schon vorab gescheiterten Ansatz von Google, datenschutzfreundlicher sein zu wollen, werden Kohorten-IDs im Endgerät des Nutzers gespeichert. Auch Google Topics greift auf das Endgerät des Nutzers zu.
Welche Cookies in einem Endgerät gespeichert sind, hängt davon ab, welche Webseiten ein Nutzer zuvor besucht hat. Alleine daran wird schon deutlich, dass sogenannte Cookie Scanner nie zuverlässig funktionieren können.
Welche Daten speichern Cookies?
Pauschal kann diese Frage nicht beantwortet werden. Potentiell können alle möglichen Daten in einem oder mehreren Cookies gespeichert werden. Hier ein paar Beispiele für Werte von Cookies. Nur die Werte sind angegeben, weil die Namen über die Interpretation der Werte entscheiden und die Bedeutung der Werte in der Übersicht angegeben ist.
| Wert | Beispielhafte Bedeutung |
|---|---|
| X | Cookie-Popup wurde bestätigt ("Ja/Nein" Information) |
| ab6729cc92027fd165442 | Eindeutiger Identifikator für einen Nutzer |
| 2021-12-07 12:51:22 | Zeitstempel, etwa letzter Besuch der Webseite |
| UA-4711-4712 | Google Analytics Konto des Webseiten-Betreibers |
| 7777-8888-9999-aaaa-2222 | Google-ID des Nutzers, der am Google Konto angemeldet ist |
| 8.56829,50.223355557 | Standort des Nutzers |
Die fett gedruckten Werte sind direkt personenbeziehbar. Ist also ein in einem Cookie gespeicherter Wert personenbeziehbar, dann ist logischerweise auch das Cookie als Datenbehälter personenbeziehbar. Immerhin wird die Wertausprägung des Cookies bei jedem Datenabruf mit zum Cookie passender Domäne übertragen und kann ausgelesen werden.
Ein Cookie mit einem personenbeziehbaren Wert ist personenbeziehbar und somit alleine deswegen als personenbezogene Information zu werten.
Meine Schlussfolgerung zu Cookies.
Ob Cookies tatsächlich ausgelesen werden, ist an sich in zwei der drei weiter oben genannten Cookie-Arten relativ unbedeutend, wenn die Frage zu klären ist, ob eine Datenverarbeitung vorliegt. Eine Datenerhebung liegt bereits bei (objektiv) möglicher Kenntnisnahme der Daten vor, wenn diese Erhebung aufgrund eines Angebots stattfand. Ein Angebot liegt bei einer Webseite immer vor. Mindestens eine implizite Datenverarbeitung liegt bei Third Party Cookies immer vor. Gleiches gilt für First Party Cookies von der besuchten Webseite selbst, die bei Dateiabrufen übertragen werden. Der Personenbezug besteht hier alleine schon aufgrund des Kommunikationskanals, zusätzlich zu weiteren Gründen.
Ganz eindeutig ist es bei Cookies wie denen von Google Analytics. Die Werte dieser werden explizit von einer JavaScript-Logik ausgelesen, um dann an einen Google Server geschickt zu werden, der übrigens immer in den USA steht.
Nun zur Frage, was mit Cookies ist, die keine personenbeziehbaren Werteausprägungen besitzen. Sind also Cookies als Datenbehälter, die auf einem Endgerät einer Person gespeichert sind, personenbeziehbar?
Zunächst ist es technisch erwiesen, dass Cookies einen Personenbezug aufweisen. Immerhin werden sie im Endgerät eines Nutzers, also einer Person, verwaltet.
Weil spezifische Cookies jeweils immer einer Person über deren Endgerät zugeordnet werden können, sind sie meiner Ansicht nach auch immer personenbezogen. Diesen Geist greift meiner Meinung nach die ePrivacy Richtlinie auf, die endlich über § 25 TTDSG seit Dezember 2021 in Deutschland explizit umgesetzt wurde. Dies gilt meiner Ansicht nach auch, wenn die ePrivacy Richtlinie den Schutz von Endeinrichtungen in den Vordergrund stellt.
Analog verhält es sich doch auch mit "Verkehrsdaten" (Metadaten), die mit über 90 % Wahrscheinlichkeit auf eine Person zurückgeführt werden können. Vgl. hierzu Referenzen am Ende des Beitrags.
Verkehrsdaten sind hier im technischen Sinne verstanden. Es gibt wohl auch eine juristische Bedeutung des Begriffs, die ich hier nicht aufgreife!
Mit Verkehrsdaten meine ich hier den digitalen Fingerabdruck eines Nutzers, der einen Browser benutzt. Dazu gehören die Bildschirmauflösung, die Version des Betriebssystems, die Zeitzone und andere Daten, sogar IP-Adresse. Mit IP-Adresse ist die Wahrscheinlichkeit noch viel höher, auf ein Individuum rückschließen zu können. Auch ohne diese Netzwerkadresse gelingt die Zuordnung von beliebigen Verkehrsdaten zu einer Person mit weit über 90 % Wahrscheinlichkeit.
Nicht umsonst hatte der EuGH im Urteil zu IP-Adressen festgestellt, dass sogar dynamische IP-Adressen als personenbezogene Daten gelten. Dynamische Adressen können täglich oder sogar noch häufiger wechseln (als ein Stichwort sei der Reconnect, also der Verbindungsneuaufbau genannt).
Werden Cookies ausgelesen, liegt beim Auslesen zwangsläufig immer die IP-Adresse des Nutzers vor. Somit sind Cookies, selbst wenn Sie alleine nicht personenbezogen wären (was sie aber meiner Schilderungen und Meinung nach sind), immer mit dem personenbezogenen Datum der Netzwerkadresse verbunden. Auch wenn die Netzwerkadresse anonymisiert wurde, wurde sie zuvor zwangsläufig erhoben. Das ist ja auch der Grund, warum gemäß Art. 12 DSGVO jede Webseite Datenschutzhinweise enthalten muss (sofern die Webseite „nicht leer“ ist, also ein Angebot darstellt). Die Anonymisierung als Verarbeitungsvorgang sollte möglich sein, ist aber nicht so einfach zu rechtfertigen, wie man spontan annehmen könnte.
Cookies und die per höchstrichterlicher Entscheidung personenbezogene Netzwerkadresse einer Person sind immer zusammen zugreifbar. Alleine deswegen erscheinen Cookies personenbezogen.
Logische Konsequenz aus einer technischen Gegebenheit
Fazit
Nach all dem komme ich zu dem folgenden Schluss: Cookies sind an sich, in Ihrer Funktion als Datenspeicher, die immer im Endgerät einer Person befindlich sind, personenbeziehbare und somit personenbezogene Daten sind, weil der Zugriff auf Cookies nur in Verbindung mit der personenbezogenen Netzwerkadresse stattfinden kann.
| Sachverhalt | Argument für Personenbezug |
|---|---|
| Personenbezogener Cookie-Wert | Personenbezug des Cookie-Werts |
| Ablageort aller Cookies | Endgerät des Nutzers kann über Standort/GPS-Signal, Identifizierer (Werbe-ID etc.), Netzwerkadresse usw. einer Person zugeordnet werden |
| Netzwerkadresse liegt immer zusammen mit Cookies vor | Netzwerkadresse enthält Personenbezug |
| Analogie von Cookies zu Verkehrsdaten und IP-Adressen | Verkehrsdaten sind personenbeziehbar, IP-Adressen sind sogar personenbezogen |
Bei Cookies mit Personenbezug über die Wertausprägung stellt sich die Frage nach dem Personenbezug meines Erachtens nicht weiter.
Die Tatsache, dass Cookies im Endgerät eines Nutzers, das einer Person zugeordnet ist, abgelegt wird, zeigt zusätzlich den Personenbezug von Cookies.
Die Tatsache, dass die potentiell immer personenbezogene Netzwerkadresse immer auch im Zugriff ist, wenn ein Cookie gesetzt oder ausgelesen wird, zeigt weiterhin den Personenbezug von Cookies.
Auch die Tatsache, dass die ePrivacy Richtlinie Cookies, ungeachtet von deren Wertausprägung, als einwilligungspflichtig deklariert (vgl. auch EuGH-Urteil zu Planet49), könnte ein Indikator für den Personenbezug von Cookies sein. Ich wurde allerdings darauf hingewiesen, dass die ePrivacy Richtlinie in erster Linie den Schutz des Endgeräts eines Nutzers im Auge hat. Das Endgerät eines Nutzers allerdings ist offensichtlich personenbezogen, denn es ist einer Person zuzuordnen, die es besitzt. Die ePrivacy Richtlinie schützt insbesondere die Privatsphäre. Die Privatsphäre ist direkt mit einer Personenbeziehbarkeit verbunden, denke ich. Dies wird auch in Rn. 24 der Richtlinie deutlich. In Rn. 25 wird allerdings auch auf die Nutzung eines Endgeräts durch mehrere Nutzer abgestellt.
Sogar die Kenntnis über Verkehrsdaten eines Nutzers ohne Kenntnis von dessen IP-Adresse reicht aus, um mit über 90 % Wahrscheinlichkeit auf eine einzelne Person zurückzuschließen.
Ebenso das Urteil des EuGH, dass sogar dynamische IP-Adressen personenbezogene Daten sind, ist ein Indikator für den Personenbezug von Cookies. Denn das Urteil setzt damit den Personenbezug bereits sehr früh an. Immerhin gelingt es fast niemandem, aufgrund einer IP-Adresse auf eine Person zu schließen. Dies spielt laut EuGH allerdings keine Rolle. Auch der BGH hat unlängst klargestellt (Urteil vom 15.06.2021, Az. VI ZR 576/19), dass der Begriff der personenbezogenen oder personenbeziehbaren Daten „weit zu verstehen“ ist. Der BGH schreibt, der Begriff der personenbezogenen Daten „… umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist …“.
Cookies sind personenbezogene Daten.
Meine Schlussfolgerung, die ich gerne zur Diskussion stelle.
Somit folgere ich, dass Cookies immer als personenbezogene Daten anzusehen sind. Selbstverständlich bin ich für Gegenargumente aufgeschlossen und bereit, meine Meinung zu revidieren oder in Teilen zu korrigieren, sofern sachliche Gründe dafür sprechen.
Folgendes galt vor Inkrafttreten des TTDSG: Alleine schon gemäß dem Gesagten könnten auch deutsche Aufsichtsbehörden gemäß § 15 Abs. 1 TMG Bußgelder wegen unerlaubt eingesetzter Cookies verhängen, und dies im für sie schlimmsten Fall juristisch klären lassen.
Leider sind deutsche Behörden anscheinend auf breiter Basis dazu nicht bereit. Woran liegt das wohl? An der Komplexität des Themas kann es nicht mehr liegen. Vieles sollte doch jetzt endlich bekannt und geklärt sein oder im Bedarfsfall einer richterlichen Klärung zugeführt werden.
Referenzen zu Fingerprinting
Fingerprinting ist eine Möglichkeit, um aus Verkehrsdaten zu einem System eines Nutzers auf den Nutzer zurückschließen zu können, diesen also recht eindeutig von anderen Nutzern unterscheiden zu können. Beim Fingerprinting muss nicht einmal ein echtes personenbezogenes Datum vorliegen. Vielmehr ergibt die Summe der bekannten Merkmale zu einem Nutzer-System eine sehr gute Rückschlussmöglichkeit auf ein Individuum. Somit ist der (digitale) Fingerabdruck eines Nutzers ein personenbeziehbares, also personenbezogenes Datum.
Vergleiche hierzu folgende Quellen:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Google Patent zum Device Fingerprinting
- Weiteres Google Patent zum Device Fingerprinting
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 