Kein „unbedingt erforderliches“ Cookie –
Kein Datenschutzfreibrief für Barrierefreiheit
Behörde: Bundesverwaltungsgericht
Datum: 06.05.2025
GZ: W252 2271318-1/6E
Rechtssatz:
Auch barrierefreie Webgestaltung rechtfertigt nicht die Verarbeitung personenbezogener Daten ohne Einwilligung, wenn technisch gleichwertige
Alternativen mit geringerem Eingriff bestehen.
Sachverhalt
Die Betreiberin einer Website ermöglichte die Anmeldung zu Corona-Massentestungen und verwendete zur Absicherung gegen (D)DoS-Angriffe ein CAPTCHA-System („XXXX“, mutmaßlich Google reCAPTCHA). Dieses System analysierte u.a. IP-Adresse, Browserdaten, Mausbewegungen und setzte Cookies zur Nutzerbewertung. Ursprünglich nutzte man einen datenschutzfreundlicheren CAPTCHA-Dienst, stellte jedoch auf das genannte System um, da der erste Dienst laut Rückmeldungen nicht barrierefrei war. Die Umstellung erfolgte ohne Einwilligung der Nutzer*innen.
Am 28.01.2022 besuchte eine betroffene Person die Website. Die Verarbeitung ihrer personenbezogenen Daten durch das CAPTCHA erfolgte ohne aktive
Zustimmung.
Rechtliche Begründung
Zuständigkeit & ePrivacy-Richtlinie
Das BVwG klärt zunächst das Verhältnis von DSGVO zur ePrivacy-Richtlinie.
Für bestimmte technische Vorgänge (Speicherung/Zugriff auf Endgeräte) ist § 165 TKG 2021 (Umsetzung von Art. 5 Abs. 3 ePrivacy-RL) einschlägig. Darüber hinausgehende Verarbeitungsschritte unterliegen der DSGVO.
Die Datenschutzbehörde war daher für „nachgelagerte“ Verarbeitungsschritte (z. B. Risikobewertung, Rückmeldung an Server) zuständig.
Rolle als Verantwortliche
Die Betreiberin entschied über die Einbindung des CAPTCHA-Dienstes und bestimmte damit Zwecke und Mittel der Datenverarbeitung. Sie war somit Verantwortliche im Sinne von Art. 4 Z 7 DSGVO.
Kein Rechtfertigungsgrund
Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Für Zugriff auf Endgeräte (Cookies, Mausdaten etc.) gilt ergänzend § 165 TKG, der eine aktive Einwilligung oder „unbedingte Erforderlichkeit“ verlangt.
Das BVwG prüfte Letzteres:
Der CAPTCHA-Dienst war nicht „unbedingt erforderlich“, da ein datenschutzfreundlicheres (weniger eingriffsintensives) System zur Verfügung stand, das denselben Schutz bot.
Die behauptete Notwendigkeit der Barrierefreiheit könne keine pauschale Datenverarbeitung bei allen Nutzer*innen rechtfertigen – schon gar nicht, wenn die konkret betroffene Person auf Barrierefreiheit nicht angewiesen ist.
Ein differenzierter technischer Zugang (z.B. „Barrierefreie Version nutzen“) wäre möglich und zumutbar gewesen.
Fazit und Schlussfolgerung für Verantwortliche
Technisch notwendige Cookies und Tools sind datenschutzrechtlich zulässig – aber nur, wenn sie wirklich unbedingt erforderlich sind.
Das Argument der Barrierefreiheit genügt nicht, wenn es gleichwertige Lösungen mit geringerem Eingriff gibt.
Die Einbindung von Drittanbieterdiensten wie Google reCAPTCHA muss sorgfältig evaluiert werden.
Empfehlung:
-
Verwenden Sie datenschutzfreundliche CAPTCHA-Alternativen.
-
Holen Sie für nicht notwendige Cookies eine aktive Einwilligung ein.
-
Gestalten Sie barrierefreie Websites ohne pauschale Datenverarbeitung.
-
Dokumentieren Sie Ihre Entscheidung und Ihre Datenschutz-Folgenabschätzung.
Kommentar schreiben