In einem aktuellen Fall hat der EU-Gerichtshof entschieden, dass "Daten", die "sensible Daten" offenbaren können, als "sensible Daten" zu betrachten sind.
Bis zu diesem Zeitpunkt wurden Cookie-Daten im Rahmen der Datenschutz-Grundverordnung immer als personenbezogene Daten und nicht als sensible Daten behandelt. Doch was wäre, wenn Cookies im Lichte dieses Urteils tatsächlich als sensible Daten betrachtet würden? Was wären die Auswirkungen?
In diesem Artikel erläutern wir, warum dieses Szenario nicht weit hergeholt ist und warum es tiefgreifende Auswirkungen auf die Verwendung von Cookies haben würde.
- Worum geht es in dem Fall?
- Was bedeutet das Urteil?
- Die praktischen Auswirkungen
- Was bedeutet das für Cookies?
- Abschließende Überlegungen
Lassen Sie uns eintauchen
Worum geht es in dem Fall?
Der vorliegende Fall wurde vom Direktor einer litauischen Einrichtung eingereicht, die öffentliche Mittel erhielt. Nach dem litauischen Gesetz über Interessenkonflikte war er verpflichtet, einer Ethikkommission bestimmte persönliche Informationen - darunter auch den Namen seines Ehepartners - zur Veröffentlichung vorzulegen.
Der Direktor weigerte sich, diese Angaben zu machen. Er machte geltend, dass die Offenlegung des Namens seiner Partnerin auf einer öffentlich zugänglichen Website indirekt seine sexuelle Ausrichtung preisgeben würde, die nach der Datenschutz-Grundverordnung sensible Daten darstellen.
Er brachte seinen Fall vor ein Verwaltungsgericht und landete später vor dem EU-Gerichtshof zur Vorabentscheidung. Der Gerichtshof entschied schließlich, dass Daten, aus denen sensible Daten abgeleitet werden können, selbst als sensible Daten im Sinne der Datenschutz-Grundverordnung behandelt werden sollten. 1
Was bedeutet das Urteil?
Die Datenschutz-Grundverordnung schützt personenbezogene Daten im Allgemeinen, legt jedoch strengere Regeln für besonders sensible Datenkategorien wie Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen und die sexuelle Ausrichtung fest. 2 Wie der Gerichtshof ausdrücklich feststellte, ist der Name einer Person an sich keine sensible Information. Solche Daten können jedoch die sexuelle Ausrichtung einer Person offenbaren, was in der Tat sensible Daten sind. Aus diesem Grund vertrat der Gerichtshof die Auffassung, dass der Name des Partners einer Person als sensible Daten eingestuft werden kann.
Dieses Urteil öffnet ein großes Wespennest. Viele personenbezogene Daten sind an sich nicht sensibel, können aber sensible Informationen preisgeben.
Die praktischen Auswirkungen
Die Online-Werbebranche sammelt derzeit enorme Datenmengen, um Profile von Internetnutzern für personalisierte Werbung zu erstellen, von denen einige die Nutzer aufgrund ihrer sexuellen Orientierung, ihres Gesundheitszustands und ihrer politischen Überzeugungen (oder durch zuverlässige Ersatzwerte für solche sensiblen Eigenschaften) ansprechen.
Es ist schwer zu glauben, dass keine der Daten, die für diese Art von Werbung verarbeitet werden, sensible Informationen preisgeben könnten. Dies gilt insbesondere für große, datengesteuerte Technologieunternehmen wie Google oder Facebook. Wenn große Mengen personenbezogener Daten kombiniert und in ihre ausgeklügelten, KI-gesteuerten Algorithmen eingespeist werden, können selbst scheinbar "neutrale" Informationen sensible Daten über einen Nutzer preisgeben.
Die Auswirkungen dieses Urteils sind möglicherweise nicht auf große Technologieunternehmen beschränkt. Nehmen wir an, eine Website verarbeitet Cookies von Dritten. Die Surfgewohnheiten eines Nutzers sind an sich keine sensiblen Daten, aber man kann sich leicht Beispiele vorstellen, bei denen daraus sensible Rückschlüsse gezogen werden können. Was wäre, wenn der Nutzer Informationswebsites über bestimmte Gesundheitszustände, Online-Communities im Zusammenhang mit psychischer Gesundheit oder Websites mit pornografischen Inhalten besucht hätte? Und was ist mit den Erstanbieter-Cookies, die von diesen "sensiblen Websites" verarbeitet werden?
Zum jetzigen Zeitpunkt ist es schwierig abzuschätzen, wie weit das Urteil in der künftigen Rechtsprechung angewandt werden wird. In Anbetracht der Argumentation des Gerichtshofs lässt sich jedoch schwerlich behaupten, dass in keinem der oben genannten Szenarien sensible Daten verarbeitet würden.
Dies gilt auch für die Weitergabe der Daten an Dritte: Wenn eine Website sensible Cookie-Daten über Google Analytics verarbeitet, wären die Website und Google der für die Verarbeitung Verantwortliche bzw. der Auftragsverarbeiter der sensiblen Daten.
Was bedeutet das für Cookies?
Es können mehr Daten als sensibel eingestuft werden, für die nach der Datenschutz-Grundverordnung strengere Vorschriften gelten werden. Tatsächlich sind einige Datenverarbeitungsvorgänge nach der strengeren Verordnung für sensible Daten möglicherweise nicht mehr rechtmäßig.
Würden Cookie-Daten - oder zumindest einige davon - als sensible Daten gelten, wäre die ausdrückliche Zustimmung des Nutzers erforderlich 3 - also eine "verstärkte" Form der "Basis"-Zustimmung gemäß der DSGVO. Es gibt noch andere Möglichkeiten, die Vorschriften einzuhalten, aber aus praktischer Sicht ist die Einholung der ausdrücklichen Zustimmung des Nutzers in den meisten Fällen die einzige Option.
Dies scheint keine große Sache zu sein, da die Zustimmung des Nutzers für Cookies gemäß der Datenschutzrichtlinie für elektronische Kommunikation bereits obligatorisch ist. 4 Die Zustimmung zu Cookies wird jedoch auf eine Art und Weise eingeholt, die - gelinde gesagt - nicht ideal ist. "Cookie-Müdigkeit" ist ein bekanntes Phänomen, das die meisten Nutzer dazu bringt, Cookie-Richtlinien zu akzeptieren, ohne sie überhaupt anzuklicken, geschweige denn zu lesen. Darüber hinaus verwenden viele Cookie-Banner trügerische Designs, um es dem Nutzer so schwer wie möglich zu machen, seine Zustimmung zu verweigern. Angesichts der allgemeinen Anforderung der Datenschutz-Grundverordnung, dass die Einwilligung frei und in Kenntnis der Sachlage erfolgen muss 5, sind diese Praktiken gelinde gesagt problematisch.
Wenn Cookies - oder zumindest Cookies für bestimmte Websites - in Zukunft eine ausdrückliche Zustimmung erfordern, könnten die Aufsichtsbehörden eine strengere Haltung zu Cookies insgesamt einnehmen und die Anforderungen an eine "grundlegende" Zustimmung ernster nehmen. Selbst wenn die Behörden nicht so weit gehen, eine ausdrückliche Zustimmung zu verlangen, könnten das jüngste Urteil und die dadurch ausgelöste Diskussion die vielen Mängel bei der Implementierung von Cookies aufzeigen.
Abschließende Überlegungen
Zum jetzigen Zeitpunkt kann niemand die künftigen Auswirkungen des Urteils genau einschätzen, da es noch keine Leitlinien oder andere Rechtsprechung gibt. Wir haben keine Kristallkugel, aber wir haben gute Gründe zu glauben, dass dieses Urteil große Wellen in der Rechtslandschaft schlagen wird.
Unabhängig davon, ob das Urteil auf breiter Basis angenommen wird oder nicht, geht es unserer Meinung nach nicht nur darum, sich an das Gesetz zu halten. Es geht um mehr als das. Wir sind der Meinung, dass jeder Inhaber einer Website die Privatsphäre seiner Besucher respektieren sollte.
Wir glauben an die Schaffung eines unabhängigen, besucherfreundlichen Webs. Aus diesem Grund haben wir Simple Analytics entwickelt, eine datenschutzfreundliche Google Analytics-Alternative, die von vornherein ohne Kochfunktion auskommt und keine persönlichen Daten sammelt, aber dennoch die von Ihnen benötigten Erkenntnisse liefert. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.
#1 Der Gerichtshof bezog sich in diesem Fall sowohl auf die DSGVO als auch auf die ältere Datenschutzrichtlinie, stellte aber fest, dass es keinen wesentlichen Unterschied zwischen den einschlägigen Artikeln der DSGVO und der Richtlinie gibt. Es ist vollkommen sicher, diesen Fall als GDPR-Fall zu behandeln, wie wir es in unserem Beitrag tun [^2]: Art. 9 GDPR; [^3]: Art. 9(2)(a) GDPR. [^4]: Artikel 5(3) der Richtlinie 2002/58, geändert durch die Richtlinie 2009/136. [^5]: Artikel 4(11) GDPR.