Checkliste für Cookies und Webanalyse

Zur Verwendung dieser Checkliste: In dieser Checkliste werden üblicherweise jene Bestimmungen der Datenschutzgrundverordnung (DSGVO) und des Telekommunikationsgesetzes (TKG) dargestellt, die beim Einsatz von Cookies und Webanalyse-Tools am Beispiel eines Webshops berücksichtigt werden müssen. Die einzelnen Punkte sind jeweils mit weiteführenden Informationen auf wko.at verlinkt.

Best-Practice-Beispiele für die allenfalls notwendige Einwilligung zu Cookies: "Abmahnung wegen nicht korrektem Einsatz von Tracking-Cookies - Auswirkung der EuGH-Judikatur auf die Einbindung von Cookies"..

Setzen Sie Cookies ein, die personenbezogene Daten (z.B. IP-Adresse) verarbeiten?
Werden personenbezogene Daten verarbeitet, ist die DSGVO zu berücksichtigen. IP-Adressen werden als personenbezogene Daten qualifiziert.

Für Cookies sind darüber hinaus die datenschutzrechtlichen Bestimmungen des TKG zu berücksichtigen. Nach dem TKG kommt es nicht darauf an, ob über Cookies personenbezogene Daten verarbeitet werden.
Auf Basis welcher Rechtsgrundlage werden die Daten in Cookies verarbeitet?
Jede Datenverarbeitung benötigt eine der in der DSGVO genannten Rechtsgrundlagen (für Websites wichtigste Rechtsgrundlagen: Punkte a-d). Diese sind im Rahmen der Informationspflichten offen zu legen.
1. Liegt ein berechtigtes Interesse an der Datenverarbeitung vor?
  Beispiele für ein berechtigtes Interesse:
  
  Datenverarbeitungen, die unbedingt erforderlich sind, damit der Webshopbetreiber (=Dienst der Informationsgesellschaft) seinen Dienst (z.B. Webshop), der vom Nutzer ausdrücklich gewünscht wird, anbieten kann, können nach § 165 Abs 3 TKG als berechtigtes Interesse gelten.
  
  Beispiel: Speicherung von IP-Adressen im Rahmen von Cookies für den Warenkorb.
  
  Im Rahmen der Informationspflichten (Datenschutzerklärung) ist das berechtigte Interesse anzuführen.
2. Ist die Datenverarbeitung zur Vertragserfüllung notwendig?
3. Liegt eine gesetzliche Verpflichtung zur Datenverarbeitung vor?
  (Bsp: steuerrechtliche Pflichten inkl. steuerrechtlicher Aufbewahrungsfristen)
4. Im Fall einer über die notwendige Vertragserfüllung (bzw die Punkte a, b und c) hinausgehende Datenverarbeitung (ACHTUNG: für Cookies ist immer eine Einwilligung erforderlich, wenn es sich nicht um technisch notwendige Cookies handelt):
  1. Ist die Datenverarbeitung mit dem ursprünglichen Verarbeitungszweck kompatibel? oder:
  2. Liegt eine gültige Einwilligung des Nutzers vor?
    1. Form der Einwilligung („opt in“; kein „opt out“)?
    2. Koppelungsverbot beachtet?
    3. Alterskontrolle bei Einwilligung von Kindern?
    4. Bei sensiblen Daten: ausdrückliche Einwilligung?
Vor Vertragsabschluss: Alterskontrolle
Auf Einwilligungen gestützte Datenverarbeitungen von Kindern unter 14 Jahre sind nicht zulässig; Alterskontrolle sollte auch aus vertragsrechtlichen Gründen vor Vertragsabschluss erfolgen, da ansonsten unter Umständen kein gültiger Vertrag geschlossen werden kann und damit auch der Rechtsgrund der Vertragserfüllung problematisch werden könnte.
Wie wird die Einhaltung der datenschutzrechtlichen Grundsätze gewährleistet?
Die in der DSGVO aufgezählten Grundsätze sind bei jeder Datenverarbeitung einzuhalten.
1. Zweckbindung: Für welche Zwecke werden die Daten in Cookies verarbeitet?
  1. Zur Durchführung eines Einkaufs im Webshop?
  2. Zur Webanalyse?
  Für jede Datenverarbeitung bedarf es eines konkreten legitimen Zwecks. Dieser ist im Rahmen der Informationspflichten (Datenschutzerklärung) offen zu legen. Die Verarbeitung für weitere Zwecke („Zweckverkettung“) ist nur ausnahmsweise erlaubt (wenn der weitere Verarbeitungszweck mit dem ursprünglichen vereinbar (“kompatibel“) ist.).
2. Ist sichergestellt, dass die Daten nur für die festgelegten, legitimen Zwecke und nicht zweckentfremdet verarbeitet werden?
  (Bsp.: organisatorische Maßnahmen, klare Weisungen an Mitarbeiter sowie durch deren Schulung)
3. Datenminimierung: Werden nur die für den jeweiligen Zweck notwendigen Daten erhoben?
4. Speicherbegrenzung: Gibt es z.B. Löschkonzepte, Aufbewahrungsfristen?
5. Welche Datensicherheitsmaßnahmen werden getroffen? (Bsp: Verschlüsselung, Pseudonymisierung, privacy by design, privacy by default)
6. Rechenschaftspflicht: Wie kann die Einhaltung der datenschutzrechtlichen Pflichten nachgewiesen werden? (Bsp: Dokumentation im Verarbeitungsverzeichnis)
7. Wie werden die Informationspflichten der DSGVO erfüllt? (Bsp: im Rahmen der Datenschutzerklärung)
8. Wie werden die zusätzlichen Informationspflichten nach dem TKG (inkl. Angabe der Rechtsgrundlagen gem § 165 Abs 3 TKG 2021) erfüllt? (Bsp: im Rahmen der Datenschutzerklärung)
9. Datenrichtigkeit: Wie wird die sachliche Richtigkeit der Daten sichergestellt? (Bsp: Anweisung an Mitarbeiter, sachlich als unrichtig erkannte Daten zeitnahe zu berichtigen).
Werden Auftragsverarbeiter eingesetzt?
Werden Auftragsverarbeiter eingesetzt, muss ein Auftragsverarbeiter-Vertrag geschlossen werden. Darüber hinaus ist in den Informationspflichten auf die Auftragsverarbeiter oder zumindest auf die Kategorie von Auftragsverarbeitern hinzuweisen.

Beispiele für Auftragsverarbeiter: Webanalyse-Anbieter
Besteht im Zusammenhang mit dem Betrieb des Webshops ein internationaler Datenverkehr?
Daten dürfen nur dann ohne Einwilligung in Drittstaaten (dh außerhalb der EU) übermittelt werden, wenn dort ein gleiches Schutzniveau herrscht (z.B. durch Standardvertragsklauseln/Angemessenheitsbeschluss der Europäischen Kommission. Dies ist im Rahmen der Informationspflichten (Datenschutzerklärung) offen zu legen.

Achtung: Beachten Sie bei einer Datenübermittlung in die USA den Entfall des Privacy-Shield-Abkommens! Die Österreichische Datenschutzbehörde hat den Einsatz von Google Analytics in einem Bescheid bereits für nicht rechtmäßig erklärt, weil die verwendeten Standarddatenschutzklauseln kein ausreichendes Schutzniveau geboten haben.
Wie werden die Betroffenenrechte gewährleistet?
Die Betroffenenrechte sind Teil der Informationspflichten (Datenschutzerklärung). Außerdem müssen organisatorische Maßnahmen getroffen werden, um ihnen im Fall ihrer Geltendmachung durch einen betroffenen Nutzer fristgerecht nachkommen zu können.
Wie ist organisatorisch Vorsorge getroffen worden, dass im Falle einer Datenverletzung (z.B. Hackerangriff) den Meldeverpflichtungen gegenüber der Datenschutzbehörde und den Betroffenen fristgerecht nachgekommen werden kann?
Bei Datenverletzungen („data breach“) bestehen Verständigungspflichten gegenüber der Datenschutzbehörde und den betroffenen Nutzern.
Ist eine Datenschutz-Folgenabschätzung erforderlich?
Wenn z.B. ein Webshop Kundenprofile („profiling“) erstellt, Webanalyse-Tools zur Auswertung des Nutzerverhaltens verwendet und/oder seine Kunden im Hinblick auf Kreditwürdigkeit überprüft, wird eine Datenschutz-Folgenabschätzung erforderlich sein.
Sind die Datenanwendungen im Verarbeitungsverzeichnis dokumentiert?
Auch Datenanwendungen im Rahmen von Webauftritten müssen im Verarbeitungsverzeichnis dokumentiert werden.
Ist ein Datenschutzbeauftragter zu bestellen?
Ein Datenschutz-Beauftragter wäre z.B. zu bestellen, wenn „profiling“ die Kerntätigkeit des Website-Betreibers darstellt. Dies wird bei Webshops idR nicht der Fall sein.