Im kurzen vorab:
Grundsätzlich sollten Cookies nach DSGVO nur mit Einverständnis der Nutzer durch eine Opt-In Funktion genutzt werden – aber lese am besten erstmal worum es genau geht…
Spätestens seit Inkrafttreten der DSGVO (Datenschutzgrundverordnung) dürfte das Thema Datenschutz so ziemlich jeden erreicht haben, war es doch über mehrere Wochen scheinbar omnipräsent in Internet und Medien vertreten.
Neben viele Kritik findet die DSGVO und ihre Auswirkungen auch viel Anklang bei Datenschützern, welche den „rechtsfreien Raum Internet“ schon seit vielen Jahren kritisieren.
Unabhängig davon, wie man selbst zur DSGVO steht, gilt: Wer eine eigene Website betreibt oder in einem Unternehmen Kunden bezogene Daten verarbeitet, muss sich mit diesem Thema zwangsläufig auseinandersetzen. Da helfen kein Jammern und kein Lamentieren.
Gesetz ist eben Gesetz!
Insbesondere seit die Datenschutzbehörden aktiv gegen Verstöße vorgehen und erste Bußgelder verhängen, sollten keine Lücken mehr bei der Datenverarbeitung mehr passieren.
Gleiches gilt übrigens auch für den Einsatz von Cookies, die zwar streng genommen unter das Gesetz der neuen EU e-Privacy Verordnung (Inkrafttreten im Jahr 2020 geplant) fallen, die jedoch eng verknüpft ist mit den Inhalten der DSGVO.
Wer eine eigene Website betreibt und hier Cookies einsetzt, muss zwingend Regeln beachten, wenn er nicht in die Mühlen der Justiz geraten möchte…
Welche Regeln das sind und wie Betreiber einer Website Cookies rechtskonform einsetzten können, zeigt dieser Beitrag.
Cookies, was ist das überhaupt?
Bevor wir uns in den Dschungel aus ePrivacy-Richtlinie und Gerichtsurteilen begeben, eine kurze Erklärung vorab, für alle, die mit dem Begriff Cookie nicht sofort etwas anfangen können.
Bei einem Cookie handelt es sich um einen winzigen Textbaustein, der auf dem Rechner eines Nutzers abgelegt wird. Anhand dieser Textdatei kann ein Nutzer im Anschluss von einem Webserver wiedererkannt werden. Das kann, neben den personalisierten Einstellungen eines Web Mail Accounts bis hin zu personalisierter Werbung reichen.
Unterteilt werden Cookies vor allem in drei Bereiche:
- Langlebige Cookies: Diese Cookies, insbesondere letztgenannte, werden dazu verwendet, personalisierte Nutzer-Einstellung auf einer Website zu speichern. Konfiguriert beispielsweise ein Nutzer die individuelle Ansicht in einem Nutzerbereich, wird dieser mittels eines Cookies gespeichert. Logt sich der Nutzer nun aus und einige Tage später wieder ein, findet er seinen Nutzerbereich in der gespeicherten Ansicht wieder.
- Session Cookies: Diese kurzlebigen Cookies werden dazu verwendet, kurzfristig Informationen zu speichern. Das klassische Beispiel wäre der Warenkorb in einem Online-Shop oder Daten in einem Formular.
- Tracking Cookies: Die „bösen“ Tracking-Cookies sind die, die Datenschützer schon längst verbannen wollen. Diese Cookies tragen die Informationen in sich, die zum Beispiel für personalisierte Werbung verwendet wird. Hier werden Informationen zum Anwender gespeichert, um im Anschluss gezielte Werbung ausspielen zu können, die den Vorlieben des Anwenders entspricht.
Auch fallen darunter so genannte Affiliate Cookies, die es ermöglichen das Webseitenbetreiber z.b. via Shop Verkäufe (Amazon & Co) Geld verdienen können.
EuGH Hammer Urteil – Das Ende der Cookies?
Hinweis: Dies stellt keine Rechtsberatung dar. Die Informationen wurden nach bestem Wissen und Gewissen recherchiert. Für Fehler in der Berichterstattung kann jedoch keine Haftung übernommen werden.
Dienstag, der 01.10.2019 könnte ein Tag sein, über den die Internetgemeinde noch lange berichten wird. Genauer könnte uns ein Urteil das EuGH (C-637/17) noch lange in Atem halten…
Vorausgegangen war ein Streit zwischen der Gewinnspielfirma Planet49 und dem Verbraucherzentrale Bundesverband (VZBV) der über den Bundesgerichtshof an den EuGH weitergeleitet wurde. Genauer ging es hier um den korrekten Einsatz von Cookies und die Einwilligungserklärung von Besuchern einer Website. Planet49 hatte auf einem Cookie-Banner mittels eines Hakens eine Vorselektierung für den Nutzer übernommen, die dem Einsatz von Cookies zustimmt.
In seinem Urteil traf der EuGH am Dienstag folgende Entscheidung: Internetnutzer müssen aktiv zur Verwendung von Cookies zustimmen, bevor diese auf einer Website aktiviert werden. Eine Vorauswahl ist unzulässig.
Betrachtet man diesen Urteilsspruch, stechen hierbei vor allem zwei Begriffe ins Auge:
- Aktiv: Dieser Begriff impliziert ein Handeln durch einen Nutzer. Voreinstellungen, die nur bestätigt werden müssen, reichen hier nicht aus. Ein Nutzer muss aktiv tätig werden, beispielsweise durch setzen eines Häkchens.
- Bevor Aktivierung: Die Einwilligung des Nutzers muss erfolgen, bevor Cookies überhaupt aktiviert werden dürfen.
Heißt im Umkehrschluss: Lange bevor Dienste wie Facebook Tracking oder Google Analytics geladen werden dürfen, ist die aktive Zustimmung des Nutzers Pflicht.
Somit ist klar, dass wohl gefühlte 99 Prozent aller deutschen Websites gegen EU-Recht verstoßen. Eine direkte Einwilligung zu Cookies wird nämlich in der Regel vermisst. Genauer belegt eine Studie, dass 86 Prozent aller Websites betroffen sind.
Wenn überhaupt ist der klassische Cookie Banner zu finden, der lediglich über die Verwendung von Cookies informiert. In dem Moment, in dem dieser dem Nutzer präsentiert wird, wurden die Cookies allerdings schon längst aktiviert.
Achtung: Cookies, die erforderlich sind, um einem Nutzer die technische Funktionalität einer Website zu ermöglichen (Beispiel Online-Shop und Warenkorb) sind hiervor ausgenommen. So berichtet zumindest das Nachrichtenportal Golem.
Webseitenbetreiber aufgepasst: Diese Maßnahmen müssen laut DSGVO & Cookie Urteil umgesetzt werden…
Zunächst einmal gilt: Keine Panik!
Da der ursprüngliche Rechtsstreit vom Bundesgerichtshof an den EuGH weitergesendet wurde, müssen nun nationale Anpassungen vorgenommen werden. Dies wird vermutlich erst mit Inkrafttreten der europäischen Richtlinie ePrivacy passieren, die im Jahr 2020 auf der Agenda steht.
Im Umkehrschluss bedeutet dies, dass es noch keine Bußgelder für falsch genutzte Cookies oder nicht korrekt ausgestattete Hinweisbanner ausgesprochen werden.
Dennoch ist die Empfehlung klar: Webseiten-Betreiber sollten schnellstmöglich aktiv werden und sich bereits jetzt rechtlich korrekt positionieren. Hierbei können folgende drei Schritte weiterhelfen…
Schritt 1: Prüfung
Zunächst sollte die eigene Website unter die Lupe genommen werden. Welche Cookies und welche Dienste sind überhaupt im Einsatz?
Ist eine Antwort auf diese Frage gefunden, lautet die nächste Frage: Benötige ich die Dienste, die Cookies verwenden überhaupt?
Ist zum Beispiel eine Facebook Cookie auf der Website gesetzt, obwohl überhaupt nicht aktiv über Facebook geworben wird kann berechtigterweise angezweifelt werden, ob ein derartiges Cookie überhaupt verwendet werden muss.
Auch der Einsatz von Tracking Tools sollte hinterfragt werden. Wer beispielsweise Google Analytics nur installiert hat, um gelegentlich einen Blick auf seinen Besucherzahlen zu werfen, jedoch nicht wirklich zielführend mit dem Tool arbeitet, sollte sich eventuell alternativen überlegen. Da Cookies nun wohl eh einen Opt-in erfordern wird sowieso fraglich werden wie gut man noch mit Google Analytics Zahlen erheben kann.
Im große und ganzen lautet aber die Devise für Webseiten in der EU:
Je weniger Cookies, desto besser!
Schritt 2: Cookie Plug-In
Wer nicht auf Tracking Cookies verzichten möchte bzw. nicht verzichten kann, weil beispielsweise das Geschäftsmodell auf das Erzielen von Werbeeinnahmen ausgerichtet ist, benötigt ein Cookie Plug-in, das den Anforderungen des neuen EuGH Urteils genügt…
Und das ist ehrlich gesagt gar nicht so einfach. Momentan sind es nur eine Handvoll Anbieter, die ein solches Plug-in überhaupt anbieten und viele Webseiten benötigen auch eine individuelle Anpassung, um andere technische Bedürfnisse zu erfüllen.
Nichtsdestotrotz muss für die klare Rechtssicherheit gehandelt werden.
Schritt 3: Überwachung
Im Internetrecht ist aktuell so viel Bewegung, dass heute gültige Regelungen morgen schon veraltet sein können. Folglich sollte sich jeder Betreiber einer Website auf dem Laufenden halten, was die aktuell gültige Richtlinie zu Cookies und die DSGVO im generellen angeht.
Ein wöchentlicher Blick in die Nachrichten ist also definitiv empfehlenswert.
Fazit: Der Einsatz von Cookies will überlegt sein
Dieser Artikel dient keineswegs zur Panikmache oder soll den Einsatz von Tracking Cookies schlecht reden.
Tracking Cookies sind einer der wichtigen Instrumente im Online-Marketing mit denen Web-Seitenbetreiber überhaupt die Möglichkeit haben zu wissen was ihre Kunden wirklich interessiert und wo sie ihre Services weiterentwickeln sollten.
Ziel dieses Beitrags war es daher, über die neue Richtlinie zu informieren und Betreiber einer Website im Umgang mit Cookies zu sensibilisieren. Die Notwendigkeit hierfür wurde hoffentlich klar!
