Cookies, Cookies und noch einmal Cookies. Sind begegnen jedem von uns, sobald wir unseren Internet-Browser öffnen. Ihre ursprüngliche Funktionsweise, das Wiedererkennen eines Browsers ist, ist schon lange nicht mehr das Einzige, wofür man Cookies verwenden kann. Durch ihre vielfältigen Einsatzmöglichkeiten sind sie auch für Unternehmen immer interessanter geworden. Insbesondere um das Nutzerverhalten zu analysieren und Websites oder Marketing-Strategien für die Nutzer anzupassen. So ist es auch nicht verwunderlich, dass besonders aggressive und hartnäckige Tracking-Technologien wie Zombie-Cookies entwickelt werden, die weit über die Standard-Funktion eines normalen Cookies hinausgehen.

Im nachfolgenden Blogbeitrag wird darauf eingegangen, was Zombie-Cookies eigentlich sind, welche Eigenschaften diese mit sich bringen und warum der Einsatz von solchen Cookies aus datenschutzrechtlicher Sicht Bedenken auslöst.

Bestandsaufnahme eines Zombie-Cookies

Zombie-Cookies sind – wie vielleicht der Name schon verrät – Cookies, welche sich unter Zuhilfenahme von verschieden Informationen wiederbeleben können. Durch diese „Wiederbelebungsmaßnahmen“ sind diese Art von Cookies so gut wie unlöschbar. Laut dem Papier „Datenschutz im Bereich Social Customer Relationship Management“ des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein stellt die Wiederbelebungsmaßnahme eine Kombination aus Informationen aus einem Locally Shared Object (= Cookies mit einem erhöhten Speicherplatzvolumen) und einem http-Cookie dar. Das Locally Shared Object bildet einen digitalen Zwilling des http-Cookies und erneuert dieses, sofern das „original“ http-Cookie aus dem Browser-Verlauf gelöscht wurde. Da sich Locally Shared Objects nicht über die Standard-Browser-Einstellungen, sondern nur mit vertieftem Fachwissen deaktivieren oder löschen lassen können, stellen sie dementsprechend ein Risiko dar, sofern ein Unternehmen mit einer datenschutzkonformen Website auftreten möchte.

(Datenschutzrechtliche) Problematik beim Einsatz von Zombie-Cookies

Sofern mit dem Betrieb einer Website die Speicherung von Informationen in einem Endgerät verfolgt wird, stellt diese Speicherung eine Verarbeitung personenbezogener Daten gem. Art. 2 Abs.1 DSGVO dar. Die Speicherung und das anschließende Auslesen der Information erfolgten in der Regel über Cookies. Hierfür bedarf es einer Rechtsgrundlage. Da hierbei nicht nur Informationen von Nutzer*innen ausgelesen werden, sondern diese auch über einen längeren Zeitraum getrackt werden (können), bedarf es nicht nur einer Rechtsgrundlage aus der DSGVO (vgl. Art. 6 DSGVO), sondern auch einer spezialgesetzlichen Grundlage aus dem TDDDG (vgl. § 25 TDDDG). Denn es können beim Einsatz dieser Cookies nicht nur personenbezogene Daten betroffen sein, sondern auch allgemeine Informationen aus dem Endgerät selbst. Nach dem TDDDG dürfen Informationen aus den Endgeräten nur ausgelesen werden, wenn der Nutzer zuvor seine Einwilligung nach §25 Abs. 1 TDDDG gegeben hat, sofern er den digitalen Dienst nicht ausdrücklich gewünscht hat. Beim Einsatz der Zombie-Cookies ist das in der Regel nicht der Fall (vgl. https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf, Rn.21). Eine Ausnahmeregelung nach § 25 Abs. 2 TDDDG dürfte grundsätzlich auch nicht einschlägig sein (vgl. hierzu auch Stellungnahme 04/2012 der Artikel-29-Datenschutzgruppe). Demnach fallen Zombie-Cookies regelmäßig unter den Begriff der Persistent Cookies und sind somit grundsätzlich von der einwilligungsfreien Ausnahmeregelung nach § 25 Abs. 2 TDDDG ausgeschlossen. Dies bedeutet im Umkehrschluss, dass solche Cookies stets einer vorherigen, ausdrücklichen Einwilligung nach § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 S. lit. a DSGVO bedürfen. Zwar kann ggf. der Ersteinsatz des Zombie-Cookies durch eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO über das eingesetzte Einwilligungs-Banner noch datenschutzkonform erfolgen, jedoch spätestens beim Widerruf der Einwilligung können sich erhebliche Risiken entwickeln, da dem Nutzer z. B. sein Recht auf Vergessenwerden nach Art. 17 DSGVO schlicht durch den Wiederbelebungsprozess der Zombie-Cookies verweigert wird. Darüber hinaus kann ein heimliches, verdecktes Tracking erfolgen, obwohl der eigentliche Zweck, zu welchem der Nutzer über das Cookie-Banner seine Einwilligung gegeben hat, schon längst erfüllt ist. Somit ist der Einsatz von Zombie-Cookies aus datenschutzrechtlicher Sicht risikobehaftet, da Betroffenenrechte nicht hinreichend umgesetzt werden können und die datenschutzrechtlichen Grundsätze der Zweckbindung (Art. 5 Abs.1 lit. b DSGVO), der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) und der Integrität und Vertraulichkeit (Art. 5 Abs.1 lit. f DSGVO) missachtet werden. Letztlich fehlt es an einer Rechtsgrundlage für den Einsatz von Zombie-Cookies.

Neben den datenschutzrechtlichen Risiken, die ein Einsatz von Zombie-Cookies mit sich bringt, sind auch die gesellschaftlichen, nach außen gerichteten Konflikten nicht außer Acht zu lassen:

  • Verletzung der Nutzer-Privatsphäre durch ständige Überwachung,
  • Verletzung von expliziten Nutzerentscheidungen,
  • Reputationsschäden und Vertrauensverlust bei Nutzern.

Fazit

Abschließend kann festgehalten werden, dass der Einsatz von Zombie-Cookies oder ähnlich hartnäckigen Tracking-Technologien im Marketing zwar technisch gesehen eine robuste Möglichkeit bietet über Webauftritte gut zu performen, aber einen Kampf gegen Transparenz, Nutzerkontrollen und die geltenden Datenschutzgesetze darstellt, da ihre Technologie darauf ausgelegt ist, die Präferenzen und Browser-Voreinstellungen der Nutzer zu missachten. Daher ist ihr Einsatz aus datenschutzrechtlicher Sicht mit einem sehr hohen Beanstandungsrisiko durch Datenschutz-Aufsichtsbehörden verbunden ist, da grundlegende Anforderungen der DSGVO i.V.m. dem TDDDG beim Einsatz solcher Cookies nicht eingehalten werden können.

| | | , , , , | 3 Kommentare