Liebe Grüße aus der Welt des Datenschutzes und herzlich willkommen zum DSGVO.CARE Newsletter NOVEMBER 2020!

...Sternzeit "03. November 2020" ... dies sind die Abenteuer des Teams DSGVO.CARE, welches mit Elan und Neugier in der Welt des Datenschutzes herummanövriert und obskure Erkenntnisse zu Tage fördert...

Welche sich in der heutigen Episode um das Thema "Cookie-Banner" drehen:

Gleich vorab wollen wir in an dieser Stelle uns recht herzlich beim Datenschutz-Guru Stephen Hansen-Oest aus dem schönen Flensburg bedanken, welcher uns im Zuge seines Newsletters hierauf aufmerksam gemacht hat und dessen Newsletter wir nur wärmstens empfehlen können:

https://www.datenschutz-guru.d...

(Anmerkung am Rande: Nope! Wir haben keinen Affiliate-Marketing-Vertrag und kriegen Kohle dafür, dass wir hier Werbung machen! Wir machen das einfach deshalb, weil wir - wie man sagt - "very passionate" sind.)

Wer kennt (und hasst!!!!) sie nicht? Cookie-Banner die bei jedem Besuch aufploppen und einen nach seiner Zustimmung / Einwilligung fragen. Zumeist mit der Option, dass man "Alles akzeptiert" oder nur ausgewählte Cookies zulässt. Regelmäßig sind diese dann so gestaltet, dass man aber aufgrund des Designs ohnehin wieder "Alles akzeptieren" auswählt.

Warum braucht man überhaupt solche Banner?

Da würden die meisten jetzt mal instinktiv "DSGVO" rufen und hätten recht... teilweise zumindest, denn Datenschutz (also der Schutz personenbezogener Daten!) ist nur die halbe Miete: Mit von der Partie spielt nämlich auch die e-privacy-Richtlinie, welche das Setzen von Cookies überhaupt (also auch von technisch notwendigen Cookies wo vielleicht gar keine personenbezogene Daten verarbeitet werden) geht.

Tja... und diese e-privacy-Richtlinie schreibt eben vor (guuuut: streng genommen sind es dann die nationalen Umsetzungsgesetze wie das TKG! ...ja ja... Rechtsdogmatik usw... ), dass man schon für das Setzen von Cookies grundsätzlich eine Einwilligung benötigt. Ausnahmsweise braucht man keine Einwilligung, wenn diese Cookies technisch notwendig sind, damit die Webseite überhaupt funktioniert. Alle anderen Cookies (zum Beispiel das Laden von Schriftarten von einem externen Webserver... sofern man das überhaupt noch macht ==> haaaallloooo 90er Jahre) bedürfen zu ihrer Setzung schon einer Einwilligung.

Tja... und wie kommt jetzt die DSGVO ins Spiel: nun... sehr oft verarbeitet man mit Cookies auch personenbezogene Daten (zB IP-Adressen) und gleicht diese dann mit anderen Daten ab und macht jede Menge geile Marketing-Black-Magic. Für solche Verarbeitungen nach der DSGVO braucht es dann natürlich auch eine Rechtsgrundlage, welche - weil so wollen das die Aufsichtsbehörden in ihrer aktuellen Frenzy - regelmäßig "nur" die Einwilligung sein kann.

Und worauf wollen wir nun hinaus? Ganz einfach: Cookie Banner müssen regelmäßig "zwei" Einwilligungen einholen! Einmal für das Setzen des Cookie an sich und einmal noch für die anschließende Verarbeitung der darin involvierten personenbezogenen Daten. Die bloße Formulierung "Einwilligung nach DSGVO" die in gefühlt 99% der Cookie-Banner verwendet wird ist schlicht weg falsch!

Eine ausführliche Zusammenstellung dieses Themas werden wir noch gesondert auf dem Blog machen.

Tja und was hat sich sonst noch so getan in der Welt des Datenschutzes? Ach ja... die österreichische Datenschutzbehörde (DSB) hat ihren vierteljährlichen Newsletter herausgebracht und in diesem hat sie sich wirklich mal richtig ausgetobt. Neben Stellungnahmen zur Zulässigkeit von Kundenbindungsprogrammen und dem AMS-Algorithmus finden sich auch Ankündigungen zu Schrems-II im Newsletter. Selbstverständlich gibt es auch zum Newsletter der DSB noch einen eigenen Blogbeitrag.

Oh... und last but not least wollen wir noch ein Schmankerl zum Thema DSGVO VS. Covid-19 zum besten bringen: Contact-Tracing ist ja an sich gut und sinnvoll. Datenschutz wäre aber dennoch ganz super. Die Bezirksverwaltungsbehörden sehen dies jedoch scheinbar anders... oder aber sie haben noch nicht übernasert, dass es neben CC/BCC im Outlook auch noch andere Möglichkeiten gibt wie man E-Mails versenden kann. Aber naja... Österreich ist ja bekanntermaßen Digitalisierungsnation Numero Uno, oder etwa doch nicht?

Das wars für dieses mal! Liebe Grüße vom Team DSGVO.CARE und - angesichts der bevorstehenden Guy Fawkes Night und als bekennende V for Vendetta Fans enden wir mit: remember remember the fifth of November...