Mit Bescheid vom 1. Juni 2022 setzte sich die Datenschutzbehörde mit der Rechtmäßigkeit einer Datenverarbeitung durch den Einsatz von Cookies auseinander.
Die Beschwerdegegnerin ist Betreiberin einer Webseite für Sportartikel. Als die Beschwerdeführerin diese Webseite besuchte, interagierte sie nicht mit dem Cookie-Banner bzw. erteilte keine Einwilligung. Nach Aufruf der Webseite wurde der Beschwerdeführerin dennoch Werbung der Beschwerdegegnerin auf anderen Webseiten angezeigt.
Bei Besuch der Webseite wurden Cookies u.a. für die Dienste Criteo, Google Analytics und Google Ads im Browser bzw. Endgerät der Beschwerdeführerin gesetzt. Als Konsequenz wurden zahlreiche Informationen vom Browser an die Server von Werbepartnern verschickt, unter anderem die einzelnen Produktseiten, die die Beschwerdeführerin besucht hatte sowie einzigartige Nutzer-Identifikations-Nummern, die am Endgerät der Beschwerdeführerin gespeichert und ausgelesen wurden.
Die Datenschutzbehörde hielt zunächst fest, dass die gegenständlichen Nutzer-Identifikations-Nummern als personenbezogene Daten gemäß Art. 4 Z 1 DSGVO zu qualifizieren sind. Durch Kombination weiterer Elemente entstand ein „digitaler Fußabdruck“ und war es umso wahrscheinlicher, dass die Beschwerdeführerin letztlich (an irgendeiner Stelle der Verarbeitungskette) identifiziert werden konnte. Dies entspricht auch der Rechtsauffassung des Europäischen Datenschutzbeauftragten. Zudem konnte im Rahmen der Rechenschaftspflicht kein Beweis erbracht werden, dass die Werbepartner die Informationen nicht mit der Beschwerdeführerin in Verbindung bringen können.
Dies hatte zur Folge, dass der Beschwerdeführerin personalisierte Werbung angezeigt wurde. Das Setzen oder Auslesen von Cookies, welche dem Ausspielen von personalisierter Werbung dienen oder welche zu diesen Zwecken das Sammeln des Surfverhaltens ermöglichen, ist aus technischer Sicht nicht notwendig, weshalb jedenfalls eine vorherige Einwilligung erforderlich gewesen wäre.
Demzufolge konnte die dem Setzen oder Auslesen von Cookies folgende Datenverarbeitung – also das Profiling – mangels Einwilligung nicht auf Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Ebenso wenig kam Art. 6 Abs. 1 lit. f DSGVO in Betracht, da eine Interessenabwägung nicht gegen die betroffene Person ausschlagen kann, wenn im Vorfeld gegen sekundärrechtliche Normen bzw. das TKG 2021 verstoßen wurde.
Der Bescheid ist nicht rechtskräftig.
Quelle: DSB Österreich