Knowledge Hub

Sind Cookies personenbezogene Daten?

Knowledge Hub Knowledge Sind Cookies personenbezogene Daten?

Die Frage, ob Cookies personenbezogene Daten sind, müssen sich Webseitenbetreiber nicht erst seit dem Inkrafttreten der DSGVO im Mai 2018 stellen. Um diese Frage jedoch beantworten zu können, müssen zunächst die Begriffe Cookies und personenbezogene Daten erklärt werden.

Was verstehen wir unter personenbezogenen Daten?

Bei Cookies handelt es sich um kleine Textdateien, die auf einer Webseite platziert werden, um Webseitenbesuche zu tracken und das Surfverhalten zu optimieren. Cookies besitzen die Funktion Nutzerinformation bei dem Besuch einer Webseite zu speichern und zu verarbeiten.

Genauer: Bei personenbezogenen Daten handelt es sich um “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”. Vereinfacht bedeutet dies, dass anhand personenbezogener Daten einer bestimmte Person identifiziert werden kann. Die DSGVO regelt, welche Daten genau dafür sorgen, dass eine Person identifiziert werden kann und somit schützenswert sind. Laut dieser fallen darunter alle Angaben, die bei der Zuordnung zu einer natürlichen Person Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität erlauben. Damit sind Daten, wie beispielsweise allgemeine Personendaten, persönliche Kennnummern, Bankdaten, Online-Daten, Besitzmerkmale aber auch Kundendaten personenbezogene Daten. Weiterhin werden sensible Daten als ein gesonderter Bereich der personenbezogene Daten definiert.

Unter den sensiblen Daten einer Person werden Angaben über die Herkunft, politische Meinungen, philosophische und religiöse Überzeugungen, Zugehörigkeit zu Gewerkschaften, genetische und biometrische Daten, gesundheitsbezogene Daten und Daten zur Sexualität und sexueller Orientierung verstanden.

Einordnung von Cookies auf der rechtlichen Grundlage der Datenschutzgrundverordnung

Seit dem Inkrafttreten der DSGVO sind die personenbezogenen Daten eines Nutzers rechtlich geschützt. Zunächst muss aber differenziert werden, um welche Art von Cookies es sich handelt. Denn nicht alle Cookies verarbeiten immer personenbezogene Daten (bspw. Cookies, die essentiell für die Funktionalität von Webseiten sind) und können somit auch nicht dem Erwägungsgrund 30 der DSGVO zugeschrieben werden. In diesen Fällen greift die Datenschutzgrundverordnung nicht, da diese nur personenbezogene Daten schützt.

Cookies (aber auch andere Web-Technologien wie Pixel, etc.) , die personenbezogene Daten verarbeiten fallen in der Regel unter die gesetzlichen Regelungen der DSGVO. Webseitenbetreiber benötigen daher gemäß Erwägungsgrund 30 DSGVO für die Verwendung bestimmter Web-Technologien wie Cookies ( Pixel, etc.) eine Rechtsgrundlage (hier: Art. 6 DSGVO). Zu Cookies mit Personenbezug gehören beispielsweise alle Cookies, die personenbezogene Informationen wie Name, Adresse, E-Mail Adressen, etc. verarbeiten. Sie erfordern eine Einwilligung, die 7 unterschiedliche Kriterien erfüllen muss.

Cookies, die keine personenbezogene Daten verarbeiten

Cookies, die zur automatischen Spracheinstellung der Webseite dienen und keine Rückschlüsse auf die Identität einer natürlichen Person zulassen, fallen demnach nicht unter die Rechtsgrundlage der DSGVO.

Cookies, die personenbezogene Daten verarbeiten

Ein auf einer Webseite gesetzter Third Party Cookie (bspw.: Google Analytics) sammelt und verarbeitet zu Werbezwecken persönliche Daten eines Nutzers. Gemäß der DSGVO muss dem Nutzer erkenntlich gemacht werden, dass ein solcher Cookie gesetzt wurde. Weiterhin bedarf es der Einwilligung des Nutzer zur Verwendung dieses Third Party Cookies auf der Webseite. Die DSGVO gibt weiterhin vor, dass dem Nutzer das Recht zur Ablehnung dieses Cookie gegeben werden muss (Opt-Out) und er die Webseite trotz Ablehnung weiterhin besuchen darf.

Fazit

Nicht alle Cookies sind automatisch personenbezogene Daten, auch wenn es auf die meisten im Netz verwendeten Cookies zutrifft. Es ist zu unterscheiden, welche Cookies tatsächlich personenbezogene Daten verarbeiten und welche nicht. Sobald bestimmte Cookies die persönlichen Daten eines Nutzers verarbeiten, findet die DSGVO Anwendung. Mehr erfahren

Weitere Infos zu personenbezogenen Daten unter der DSGVO in unserer Interviewreihe mit Reed Smith

Sind Cookies personenbezogene Daten?

Brauche ich für das Setzen der Cookies eine Einwilligung?

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.