Marc Keppler Leider geht es bei diesem Thema nicht um süßes Gebäck mit Schokostücken, sondern um Consent-Management und Data-Tracking mithilfe von Cookies. Vorweg muss gesagt werden, dass wir keine Rechtsberatung geben können und dürfen. Wir geben hier lediglich unsere Erfahrungen rund ums Thema wieder.
Was sind überhaupt Cookies?
Cookies sind Textfragmente, die der Seitenbetreiber auf dem Computer des Seitenbesuchers speichert und bei erneutem Aufruf durch den Besucher wieder aufrufen kann. Beim Besuch einer Webseite wird ein Cookie mit einer zufällig erstellten Nummer angelegt. Besucht ein Nutzer eine Webseite mehrfach wird er über diese wiedererkannt. Außerdem werden über die Cookies Einstellungen, die der Nutzer einer Seite vorgenommen hat (z.B. Sprache oder Währung) gespeichert. Bei Online-Shops kommt durch die Cookies zum Beispiel die Möglichkeit des Speicherns eines Warenkorbes zum Tragen. Es gibt unterschiedliche Arten von Cookies, die unterschiedlichen Zwecken dienen. Manche von ihnen sind dauerhaft, manche kurzlebig.
Warum sollten Sie jetzt bezüglich Cookie-Richtlinie was unternehmen?
Der europäische Gerichtshof hat ein neues Urteil zum Handling von Tracking- und Werbe-Cookies verkündet. Dieses besagt, dass Cookies zukünftig nicht mehr einfach so gesetzt werden dürfen. Ab sofort bedarf einer direkten Einwilligung der Nutzer (damit hat sich die Sache mit den klassischen Cookie-Info-Bannern erledigt).
- Davon betroffen sind Cookies zu Werbe-, Tracking- und Retargeting-Zwecken, die personenbezogene Daten der User speichern und weiterverarbeiten
- Davon ausgenommen sind Cookies, die zur Darstellung der Website und für essenzielle Daten (z.B. Speicherung von Warenkörben während einer Session) notwendig sind
Ein Cookie-Info-Banner als einzige und lediglich informierende Maßnahme zur DSGVO-Compliance war zwar auch schon vor den EuGH-Urteilen ein riskantes Manöver, ist jetzt aber seit den Beschlüssen in jedem Fall fragwürdig.
Doch keine Angst – Tracking und damit die Erfassung von Werbe-Daten ist auch weiterhin mit wenigen Einschränkungen möglich.
Ist der Cookie-Hinweis wirklich nötig? Ist er Pflicht?
Nach den Neuesten Urteilen des EuGHs kann man ganz eindeutig sagen, dass ein Cookie-Hinweis, egal ob über das jeweilige Cookie personenbezogene Daten verarbeitet werden oder nicht, nötig und somit Pflicht ist.
Wer braucht einen Cookie-Hinweis?
Die sicherste Antwort auf diese Frage bleibt: Jeder Seitenbetreiber der Cookies setzt. Fast jede Webseite verwendet Cookies. Sobald der Inhalt der Seite über die reine Informationsvermittlung hinausgeht, ist eine Cookie-Freigabe Pflicht. Eine bloße Information zur detaillierten Verwendung von Cookies nur in der Datenschutzerklärung zu erwähnen ist sehr risikoreich.
Was muss alles im Cookie-Hinweis-Banner stehen?
„Mit seinem heutigen Urteil entscheidet der Gerichtshof, dass die für die Speicherung und den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“ Pressemitteilung Nr.125/19 des EuGH vom 01.10.2019.
Ein voreingestelltes Ankreuzkästchen und jegliche Opt-out-Lösungen genügen also nicht!
Man sollte eine Opt-in-Lösung wählen, sodass der Nutzer aktiv zustimmen muss und vor der ausdrücklichen Zustimmung Inhalte blockiert werden. Außerdem muss der Betreiber der Webseite dem Nutzer hinsichtlich der Cookies unter anderem Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen.
Es bestehen die Möglichkeit des Zwei-Klick-Consent-Banners und die des Consent-Banners mit direkter Entscheidung. Letzteres ist die beste Lösung, auf die wir im nächsten Abschnitt näher eingehen.
Wie sollte ein rechtskonformes Cookie-Hinweis-Banner aussehen?
„C is for Cookie and Cookie is for me!“ – Das Krümelmonster
Die rechtlich sauberste und Privatsphäre-freundlichste Variante ist das Consent-Banner mit direkter Entscheidungsmöglichkeit. Hier wurde auch ein kleiner Trick angewandt: dadurch, dass die Auswahlmöglichkeit „Alle akzeptieren“ farblich hervorgehoben wird, steigt die Aufmerksamkeit und der Klick-Reiz darauf. Dadurch werden automatisch alle Cookies von dem User akzeptiert.
Wichtig ist hierbei auch, dass die Consent-Banner gut sichtbar und prominent platziert werden.
Wie geht man am besten vor, um Änderungen für eine DSGVO-konforme an seiner Webseite vorzunehmen?
Die Entscheidungen des EuGHs sind auch in Deutschland sofort bindend – trotzdem sollte man nicht überstürzt handeln. Zuerst sollte eine Analyse aller bisher verwendeten Cookies geschehen. Danach sollte überlegt werden, welche Consent-Lösung hierfür am besten geeignet ist. Am besten wenden Sie sich dafür an den Datenschutzbeauftragten und ggf. an einen Rechtsanwalt.
Am Ende muss das Ganze auch technisch umgesetzt werden. Dabei wenden Sie sich am besten an Ihren Webseitenentwickler.
Wir stehen Ihnen natürlich auch für Rückfragen zur Verfügung!
