Das Recht auf Auskunft und Cookies
Geht es um die Verarbeitung personenbezogener Daten und damit den Anwendungsbereich der DSGVO, ist das Auskunftsrecht nach Art. 15 DSGVO aus der Praxis nicht mehr wegzudenken – viele kennen es, einige lieben es, manche hassen es.
Für Diskussionspotential kann bei Verantwortlichen aber die Situation sorgen, wenn Betroffene als Webseiten- oder App-Nutzer ein Recht auf Auskunft hinsichtlich der „Cookie-Daten“ geltend machen. Allgemeiner gesprochen also jene Informationen, die durch Technologien erhoben werden, die in den Anwendungsbereich der ePrivacy-Richtlinie bzw. des § 25 TTDSG fallen – und eben nicht zwingend Personenbezug aufweisen müssen.
Das BayLDA befasst sich mit diesem Thema auch in seinem jüngst veröffentlichten Tätigkeitsbericht für 2023. Danach sei das Problem in diesen Fällen, dass personenbezogene Daten wie beispielsweise die IP-Adresse oder Cookie-IDs verarbeitet werden, die vom Webseitenbetreiber nicht direkt einem Klarnamen zugeordnet werden können. Ein erstes Problem stellt sich mithin bereits bei der Zuordnung von einer Cookie-ID oder Tracking-Daten zu einer konkreten natürlichen Person, wenn z.B. keine Verknüpfung zu einem Kundenkonto besteht. Stellt ein Betroffener einen Auskunftsantrag allein unter Angabe seines Namens und einer E-Mail-Adresse, kann der Webseiten- oder App-Betreiber diese Informationen eventuell keinen Tracking-Informationen zuordnen. Denn die letztgenannte Datenkategorie bezieht sich oft nur auf ein Endgerät, jedoch nicht zwingend auf eine natürliche Person. Der Vorschlag des BayLDA (unter Verweis auf die Orientierungshilfe Telemedien der DSK) ist in einem solchen Fall, dass Verantwortliche andere eindeutige Identifikationsmerkmale des Nutzers nachfragen, um über diese die Zuordnung eines Datenbestands zu der anfragenden Person zu ermöglichen. Diese Abfrage der Daten kann auf Art. 11 Abs. 2 S. 2 DSGVO gestützt werden.
Als Verantwortlicher sollte man zudem beachten, dass nach Art. 11 Abs. 2 S. 1 DSGVO eine Pflicht besteht, die betroffene Person darüber zu unterrichten, dass eine Identifizierung derzeit nicht möglich ist – Untätigkeit ist also keine Option.
Und welche Daten dürfen angefragt werden bzw. sind nach Ansicht der Aufsichtsbehörden ausreichend, damit der verantwortliche Webseiten- oder App-Betreiber davon ausgehen kann, dass er die betroffene Person ausreichend identifiziert hat? Immerhin wäre die Weitergabe von personenbezogenen Daten an einen Dritten im Rahmen der Auskunft eine unzulässige Datenweitergabe. Und nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche, wenn er „begründete Zweifel an der Identität der natürlichen Person“ hat, die den Antrag gemäß Art. 15 DSGVO stellt, zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Der Europäische Datenschutzausschuss (EDSA) hat sich mit dieser Frage im Rahmen seiner Leitlinien 01/2022 zu Art. 15 DSGVO befasst. Es geht um einen Fall, in dem ein Verantwortlicher personenbezogene Daten zum Zweck der verhaltensorientierten Werbung von Internetnutzern verarbeitet. Personenbezogene Daten, die für verhaltensorientierte Werbung erhoben werden, werden mit Hilfe von Cookies erhoben und mit pseudonymen Zufallsidentifikatoren verknüpft. Eine betroffene Person, Herr X, übt sein Auskunftsrecht über die Webseite aus.
Wenn Herr X versucht, sein Auskunftsrecht allein per E-Mail oder auf dem Postweg auszuüben, hat nach Ansicht des EDSA der Verantwortliche keine andere Wahl, als von Herrn X „zusätzliche Informationen“ (Art. 12 Abs. 6 DSGVO) zu verlangen, um das mit Herrn X verbundene Werbeprofil identifizieren zu können. Bei diesen zusätzlichen Informationen handelt es sich um die im Endgerät von Herrn X gespeicherte Cookie-Kennung. Der EDSA empfiehlt hier die Nachfrage, da keine Verknüpfung zwischen den vorhandenen Daten (in Cookies) und den übersandten Daten aus der Anfrage (z.B. E-Mail-Adresse) möglich ist.
Nach Ansicht des EDSA ist der Verantwortliche aber in der Lage, den Betroffenen zu identifizieren, um ihm nämlich verhaltensbezogene Werbung anzuzeigen, sobald er das Werbeprofil über die im Endgerät abgelegten Cookies verknüpfen kann. Wenn also bereits personenbezogene Daten vorhanden und dem Endgerät zuordenbar sind. In diesem Fall sollte der Verantwortliche dann auch in der Lage sein, den Betroffenen genau zu identifizieren, um ihm Auskunft zu seinen personenbezogenen Daten zu gewähren.
Ein weiteres Praxisbeispiel, in dem die Regelungsbereiche von DSGVO und ePrivacy-Richtlinie überlappend zu beachten sind und je nach Konstellation durchaus für Umsetzungsschwierigkeiten sorgen können.
Ich wünsche Ihnen eine anregende Lektüre.
Ihr
Dr. Carlo Piltz
Dieser Beitrag erschien als Editorial in der Ausgabe 03/2024 des Datenschutz-Berater.