Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Welche Dienste und Cookies auf Webseiten sind technisch notwendig und bedürfen somit keiner Einwilligung?

2

Einleitung

In Art. 6 DSGVO sind die Rechtsgrundlagen genannt, nach denen eine Datenverarbeitung erlaubt ist. Für Webseiten gibt es im Wesentlichen genau zwei Gründe, warum eine Datenverarbeitung erlaubt sein kann.

Der erste Grund ist eine vom Besucher der Webseite freiwillig erteilte Einwilligung. Diese wird auch als Consent bezeichnet und kann vom Erteilenden jederzeit wieder entzogen werden.

Der zweite Grund ist das berechtigte Interesse des Betreibers einer Webseite.

Weil an Einwilligungen erhebliche formale Voraussetzungen geknüpft sind und die Einwilligungsabfrage gerne vermieden wird, versuchen viele, das berechtigte Interesse als Legitimation anzuführen. Dieses wird auch als Ausrede verwendet, wenn einem gar nichts mehr einfällt, etwa bei der Beantwortung einer Betroffenenanfrage oder in einer juristischen Auseinandersetzung.

Wofür bedarf es eigentlich einer Einwilligung?

Cookies

Ziemlich eindeutig ist die Lage, wenn auf einer Webseite Cookies eingesetzt werden, die technisch nicht notwendig sind. Dazu gehören sämtliche Cookies, die nicht wirklich absolut notwendig sind. Als wirklich notwendig können beispielsweise Cookies zur Sitzungsverwaltung oder zur Abrechnung mit der VG Wort für die Berechnung einer gesetzlich verankerten Autorenvergütung angesehen werden.

Alles, was zum Nachverfolgen von Nutzern dient, also zum Abzählen von Nutzern, muss erst einmal kritisch hinterfragt werden und ist m.E. garantiert nicht notwendig, wenn die Cookie-Lebensdauer über 24 Stunden hinausgeht.

Die Rechtsgrundlage für die Notwendigkeit einer Einwilligung beim Einsatz von Cookies ist in Art. 5 Abs. 3 ePrivacy Richtlinie bzw. neuerdings im § 25 TTDSG geregelt. Das TTDSG besagt allerdings, dass Cookies für das Nachverfolgen von Nutzern technisch nicht notwendig sind, denn Sitzungs-Cookies zum Zählen von Nutzern sind nicht notwendig, “damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.” Ähnliches ist in der ePrivacy Richlinie genannt, denn das TTDSG orientiert sich sehr eng am Wortlaut der genannten Richtlinie.

Unnötige Datentransfers

In Art. 5 Abs. 1 c DSGVO ist das Gebot der Datenminimierung genannt. Demnach muss eine Datenverarbeitung dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Auch Art. 25 DSGVO bedingt eine datenschutzfreundliche Ausgestaltung.

Ein Beispiel für unnötige Datentransfers sind auf einer Webseite eingebundene Bilder, die von einem Dritt-Server geladen werden. Selbstverständlich kann ein Bild auch auf dem eigenen Server abgelegt werden. Beim Abruf von einem anderen Server werden Verkehrsdaten inklusive der Netzwerkadresse des Nutzers zu einem Dritten übertragen. Weil die Netzwerkadresse als personenbezogenes Datum gilt, ist ein solcher Datentransfer zunächst nicht erlaubt. Es ist also anders herum als viele meinen: Datentransfers zu Dritten sind an sich nicht erlaubt und nur im zu betrachtenden konkreten Einzelfall möglicherweise zulässig.

Kritische Datentransfers

Als kritisch bezeichne ich hier Datentransfers in unsichere Drittländer. Ein unsicheres Drittland ist jedes Land, für welches die DSGVO nicht gilt und für welches kein Angemessenheitsbeschluss durch die Europäische Kommission existiert. Auch gilt dies nach meiner Einschätzung für Angemessenheitsbeschlüsse, die nicht haltbar erscheinen. Beispielsweise ändert kein Beschluss der Europäischen Kommission etwas daran, dass die USA Daten europäischer Bürger aus Sicht der DSGVO rechtswidrig verarbeiten.

Mit Anbietern aus unsicheren Drittländern können Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (CBR) abgeschlossen werden, um das Problem zu heilen. Dies geht jedoch nur, wenn die nationale Gesetzgebung derartige Vereinbarungen respektiert. In den USA ist dies nicht der Fall. Solange es Cloud Act, FISA und EO 12333 gibt, lautet die Antwort auf die Frage, ob Datentransfers zu Dritten in die USA ohne Einwilligung erlaubt sind, immer: Nein.

Artikel 44 DSGVO und folgende Artikel dort nennen die Anforderungen. Eine Einwilligung für risikobehaftete Datentransfers darf nur ausnahmsweise und nicht dauernd auf eine Einwilligung gestützt werden, wie Artikel 49 DSGVO verrät. Hiergegen verstößt nahezu jede Webseite, die eine Einwilligung für Tools amerikanischer Anbieter abfragt., beispielsweise für den Facebook Pixel oder für Google Analytics.

Ein kritischer Datentransfer findet beispielsweise beim Abruf einer Datei von einem Server eines amerikanischen Anbieters statt. Auch hier gilt, dass immer die Netzwerkadresse des Nutzers als personenbezogenes Datum übertragen wird.

Ausflug: Einwilligungslösungen

Anscheinend wollen es viele nicht zur Kenntnis nehmen, oder sie wissen es nicht. Beides ist gleich schlimm: Consent Tools von OneTrust und UserCentrics funken potentiell Daten in die USA, und zwar dann, wenn die Scripte zum Aufbau der Einwilligungsabfrage geladen werden (siehe die hier verlinkten Praxistests, die zeigen dass in der Praxis OneTrust und UserCentrics contra DSGVO zu werten sind).

Demnach bedürften die Einwilligungsabfragen von OneTrust und UserCentrics selbst einer Einwilligung, bevor dieses nervige und oft stark mangelbehaftete sogenannte Cookie Popup eingeblendet wird.

Technisch notwendige Dienste

Ein digitaler Dienst wird auch als Tool bezeichnet. Dienste in diesem Sinne sind etwa Matomo, Google Maps, OpenStreetMap oder externe Schriften. Die Bezeichnung Dienst ist hier also im Weitesten Sinne gemeint und schließt auch externe Bilder ein. Die Bezeichnung kann durch das englische Wort “to serve” gerechtfertigt werden. Ein Server ist somit ein Diener oder Bediener. Jeder Abruf von einem externen Server bedeutet insofern die Nutzung eines Dienstes. Hierin eingeschlossen ist auch das reine Senden von Daten an einen Server, wobei also keine Antwort vom Server erwartet wird (Beispiel: Tracking-Daten durch Google Analytics an einen Google Server senden).

Ein digitaler Dienst ist jegliche Kommunikation mit einem Server.

Weit gefasste Definition des Begriffs Dienst im Sinne des digitalen Datenschutzes

Die gerade besuchte Webseite selbst kann auch als Dienst angesehen werden. Die Bereitstellung einer im Browser angeforderten Webseite ist offenbar technisch notwendig, wenn jemand diese Webseite anbieten möchte. Hierfür bedarf es keiner Einwilligung.

Beliebige Dateiabrufe von einem eigenen Server, die sowohl keine Datenweitergabe an Dritte als auch keine zusätzliche Datenverarbeitung als die durch die Bereitstellung der Webseite sowieso schon erlaubterweise stattfindende bedeuten könnten, sind unkritisch und bedürfen keiner Einwilligung.

Ansonsten sind zunächst keine weiteren Dienste technisch notwendig. Jede Webseite kommt an sich erst einmal ohne weitere Dienste aus. Bindet eine Webseite eine Terminverwaltung eines anderen Anbieters an, kann diese aufgrund des Zwecks der Webseite ggfs. technisch notwendig sein. Allerdings darf dann erwartet werden, dass ein AVV mit dem Anbieter der Terminverwaltung geschlossen wurde und der Anbieter sich vollständig und garantiert der DSGVO unterwirft. Anbieter aus unsicheren Drittländern scheiden hier also aus, sofern keine Einwilligung eingeholt werden will.

So gut wie kein Dienst ist für eine Webseite technisch notwendig

Erkenntnis aus genauer Betrachtung der Anatomie einer Webseite

Wird unbedingt eine Terminverwaltung benötigt, dann hat der Betreiber der Webseite einen Anbieter zu suchen, der datenschutzkonform ist. Findet sich kein solcher Anbieter, dann hat der Betreiber der Webseite entweder auf die Terminverwaltung zu verzichten oder selber eine zu entwickeln. Letzteres kann meiner Erachtens zugemutet werden. Bzw. spielt diese Einschätzung letztendlich keine Rolle. Wenn Sie keinen Parkplatz finden, um von dort zum Supermarkt zu laufen und einkaufen zu gehen, dürfen Sie deswegen nicht falsch parken. Es spielt keine Rolle, ob Sie wegen eines nicht vorhandenen regulären Parkplatzes nicht einkaufen gehen können. Höchstens in einem Notfall könnte man im Einzelfall argumentieren, dass ein Falschparken tolerabel ist. Dieser Einzelfall kommt aber auf Webseiten quasi nie vor, denn eine Webseite richtet sich mit ihrem gesamten öffentlich zugänglichen Angebot automatisch immer an zahlreiche potentielle Nutzer.

Übrigens bietet Cookiebot selbst keinen AVV an, weil der Anbieter Cybot meint, dies wäre nicht notwendig, weil gar keine personenbezogenen Daten durch Cookiebot verarbeitet werden würden. Dies ist natürlich Bullshit und zeugt von erheblicher Unkenntnis in Datenschutzfragen.

Kurzum, gibt es kaum technisch notwendige Dienste. Je nach Art der Webseite kann die ein oder andere benötigte Funktion wichtig sein, muss dann aber datenschutzkonform umgesetzt werden. Kein voller Datenschutz wegen angeblich wichtiger Funktion scheidet jedenfalls als Argument aus.

Technisch notwendige Cookies

Die meisten Cookies sind absolut nicht notwendig. Dies beginnt schon damit, dass Cookies nicht einfach so existieren, sondern von Diensten erzeugt und genutzt werden. Diese Dienste sind aber, wie eben geschildert, in den meisten Fällen technisch nicht notwendig. Somit sind auch die allermeisten Cookies technisch nicht notwendig.

Cookies sind so gut wie immer technisch nicht notwendig

Es gibt nur sehr wenige Ausnahmen

Die technisch notwendigen Cookies lassen sich an weniger als einer Hand abzählen. Dazu gehören:

  • Cookies zur Sitzungsverwaltung
  • VG Wort Cookies zur Verechnung der Autorenvergütung
  • Cookies zur Speicherung von Nutzereinstellungen, wie etwa der Sprache
  • Mehr fällt mir erst einmal nicht ein

Die Sitzungsverwaltung schließt die Möglichkeiten ein, dass Redakteure, Administratoren, aber auch Nutzer eines Online Shops sind anmelden können. Auch schließt die Sitzungsverwaltung die Verwaltung eines Warenkorbs mit ein.

Die VG Wort Cookies sind deshalb notwendig, damit sowohl Betrug als auch das doppelte Erfassen von schnell hintereinander erfolgenden Zugriffen durch dieselbe Person (halbwegs wirksam) erkannt werden können.

Für mehrsprachige Webseite kann auch ein Cookie zum Vermerken der gewählten Sprache sinnvoll sein. Diese Sprachsteuerung wäre auch ohne Cookies möglich, wäre dann aber möglicherweise umständlicher und bedürfte von Anfang an der Wahl einer geeigneten Struktur der Webseite. Beispielsweise müssten URL-Pfade auf Inhalte so gewählt sein, dass die Sprache im Pfad kodiert ist. Andererseits müsste dann für jede Seite eine Ausprägung pro angebotener Sprache existieren, damit immer klar ist, in welchem Sprachraum sich ein Nutzer gerade bewegt.

Auch andere Einstellungen, die ein Nutzer auf einer Webseite vornehmen kann, sind denkbar. Hierzu gehören außerdem die Entscheidung über Datenschutzeinstellungen (Consent). Opt-Out Cookies hingegen, die von Dritten ausgelesen werden, halte ich für nicht zulässig. Denn ein optionaler Dritt-Dienst, der geladen wird, um danach doch nichts tun zu sollen, hat keinen Sinn und ist somit nicht notwendig. Er darf gar nicht erst geladen werden, wenn der Nutzer das nicht möchte.

Fazit

Ich behaupte bis auf Weiteres, dass sämtliche Drittanbieter-Cookies immer einer Einwilligung bedürfen. Ein AVV ist schon das Mindeste, was erwartet werden darf. Dann nämlich ist der Dritte kein solcher mehr, sondern ein Erster. Bitte schreiben Sie mir, wenn Sie einen Fall sehen, wo ein Drittanbieter-Cookies technisch notwendig sei, wenn also kein AVV vorliegt!

Gleiches gilt für Datenabrufe von Dritten. Mir fällt bis auf den VG Wort Zählpixel oder ähnliche Konstellationen gesetzlich geregelter Vorgaben kein Beispiel ein, dass ein Datenabruf ohne AVV zulässig wäre, weil dieser unvermeidbar sei. Bitte nennen Sie mir ein Beispiel, wenn Sie eines kennen.

Dieser Beitrag soll zur Diskussion anregen und erhebt (noch) nicht en Anspruch, alle Konstellationen berücksichtigt zu haben. Ich vermute aber, dass ich mindestens nah dran an der Wahrheit bin, wenn sie nicht sogar schon direkt getroffen wurde.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Anonymous

    Vielen Dank für diese schön geschriebenen Artikel.
    Im e-Commerce Besucherströme mit Hilfe von Tools von Drittanbietern aus der EU zu tracken, ohne dabei Profiling zu ermöglichen, ist imo im Interesse des Anbieters *und* der User. (Nebenbei: Dafür müssen nicht zwangsweise Cookies zum Einsatz kommen.)
    Wie sollen die Inhalte ohne Analyse ausgesteuert werden, wenn niemand weiß, wie die Inhalte genutzt werden und die Website bei den Usern ankommt? Vorausgesetzt die User wollen auch weiterhin guten (evtl. kostenlosen) Content konsumieren, dürfte das berechtigte Interesse auf beiden Seiten vorhanden sein.
    Letztlich geht es hier auch um die Daseinsberechtigung von Websites, Existenzen von Unternehmen und generell die Monetarisierung.

    VG

    • Dr. DSGVO

      Danke für Ihre Rückmeldung.
      Eine statistische Nutzeranalyse ist ohne Einwilligung möglich. Dafür bedarf es keiner Cookies und keiner Tools amerikanischer Anbieter. Sitzungs-Cookies wären möglicherweise auch noch erlaubt, aber sind nach meiner Praxiserfahrung gar nicht nötig.

      Möglichkeiten für datenschutzfreundliche Analyse-Werkzeuge werden auf meiner Webseite genannt. Wie Sie sehen, frage ich auf dieser Webseite keine Einwilligung für irgend was ab und weiß dennoch, wie viele Aufrufe meiner Artikel stattfinden.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Das neue TTDSG: Das Einwilligungserfordernis für Webseiten und Apps