Mit Spannung haben wir die Cookie-Richtlinie erwartet, die im Rahmen der DSGVO auch den Umgang mit den bösen Tracking-Cookies regelt. Nun gibt es ein Urteil des EuGH, das feststellt, dass Tracking Cookies nur gesetzt werden dürfen, wenn der Nutzer ausdrücklich zustimmt. Aber was heißt das denn jetzt? Wie und wann müssen Webseitenbetreiber nun reagieren? Wir haben die wichtigsten Fakten zusammen gestellt:
Was sind überhaupt Cookies?
Cookies sind kleine Textdateien, die der Webbrowser auf dem System (z.B. Ihrem PC) speichert, um Daten über besuchte Webseiten festzuhalten. Sie werden eingesetzt um z.B. Besucher auf einer Webseite zu zählen, die Webseite benutzerfreundlicher zu gestalten (z.B. um Daten in Onlineshops beim Einkauf durch den Bestellprozess zu transportieren) oder um Sprachversionen zu steuern. Sie sind also nicht nur dazu da unser Nutzerverhalten auszuspionieren sondern verbessern auch die Usability einer Webseite.
Cookies können vom Webseiten-Besucher im Browser gesperrt oder gelöscht werden. Cookies ermöglichen keine Hackerangriffe, da sie vom Browser zwar ausgelesen werden aber nicht beschreibbar sind.
Vor und nach Inkrafttreten der DSGVO am 25. Mai 2018
Unter bestimmten Voraussetzungen konnten Tracking-Tools wie z.B. Google Analytics oder Matomo, die durch den Einsatz von Cookies Nutzerverhalten anonym erfassen, eingesetzt werden: AV-Vertrag, IP-Anonymisierung, Opt-Out-Lösung. Cookie-Banner auf der Webseite informieren den Nutzer zwar über den Einsatz von Cookies und verweisen auf die Datenschutzerklärung – der Nutzer muss aber selbst schauen, wie er widersprechen kann.
Nach Inkrafttreten der DSGVO haben Webseitenbetreiber sich auf ein berechtigtes Interesse berufen nach DSGVO Art. 6 Abs. 1 lit. f berufen und sich darauf „ausgeruht“, dass das Setzen von Cookies erst durch die noch anstehende ePrivacy-Verordnung geregelt werden soll.
Die aktuellen EuGH Urteile zum Einsatz von Tracking-Cookies
In den letzten Wochen gab es verschiedene Urteile des EuGH, die alle besagen, dass Tracking-Cookies nicht mehr ohne eine eindeutige, vorherige Genehmigung des Nutzers gesetzt werden dürfen. Dabei spielt es keine Rolle, ob die Cookies personenbezogene oder anonyme Daten speichern. In erster Linie geht es dabei um Tracking-Cookies, mit denen das Nutzerverhalten „ausspioniert“ wird.
Es gibt auch Cookies, die für den Betrieb einer Internetseite technisch notwendig sind, so genannte First Party Cookies. Dazu gehören z.B. Cookies für eine Sprach- oder Länderauswahl, Cookies für Logins oder Warenkorb-Cookies, die sich merken, was der Nutzer alles in den Warenkorb gelegt hat.
Wann muss die „Cookie-Richtlinie“ umgesetzt werden?
Zunächst einmal gehen die Fälle, die beim EuGH verhandelt wurden, zurück an den BGH. Die Gerichte und auch die Datenschutzbehörden werden aber sicher den Vorgaben des EuGH folgen. Deshalb sollte man jetzt reagieren und die Webseite anpassen, bevor eine Abmahnung droht, denn das EuGH hat seine Meinung seit dem 01.10.2019 klar zum Ausdruck gebracht.
Was muss ich tun, wenn ich weiterhin Google Analytics, etc. nutzen möchte?
- Räumen Sie Ihre Webseite auf
Prüfen Sie welche Daten auf Ihrer Webseite erhoben werden, ob diese zwingend erforderlich sind oder ob es Alternativen gibt. So haben wir z.B. festgestellt, dass Tracking-Tools wie Google Analytics durch Webseiten-Entwickler eingesetzt werden ohne das Wissen der Webseiten-Betreiber. Und brauchen Sie wirklich Analyse-Tools? So nutzen viele Webseitenbetreiber die erhobenen Daten gar nicht, wenn kein Online-Marketing betrieben wird. - Wenn Sie weiterhin Tracking-Cookies einsetzen möchten, benötigen Sie das Einverständnis des Nutzers. Hier kommen so genannte Consent Tools zum Einsatz. Sie poppen bei Erstbesuch der Webseite auf und lassen den Besucher erst weiter, wenn dieser seine Zustimmung oder Verweigerung zum Setzen der Cookies gegeben hat.
Sicher haben Sie auch Ihr Einverständnis gegeben oder verweigert beim Besuch dieser Internetseite:
Unsere Empfehlung
Die meisten Internetseiten arbeiten mit Cookies, notwendig oder nicht. Um auf Cookies komplett zu verzichten, werden für die meisten Webseiten aufwändige Maßnahmen erforderlich sein. Viele Einzelheiten beim Einsatz von Cookies sind auch nach dem EuGH-Urteil noch ungeklärt, z.B. ob Tracking erlaubt sein wird, wenn die Daten über lokal eingebundene Dienste erfasst werden und somit auf dem eigenen Server verbleiben. Deshalb sind Consent Tools zwar lästig, aber aus unserer Sicht im Moment die am einfachsten umzusetzende technische Lösung.
Das sollten Consent Tools leisten
- Eine Einwilligung muss aktiv durch den Nutzer gesetzt werden und darf nicht schon vorher angekreuzt oder aktiviert sein.
- Cookies dürfen erst nach der Einwilligung des Nutzers aktiviert werden, vorher müssen alle Cookies geblockt werden.
- In der Einwilligungserklärung müssen alle Tools, die Cookies setzen einzeln benannt sein. Die Einwilligung darf in Gruppen erfolgen (Funktions-Cookies, Tracking-Cookies, etc.).
- Das Consent Tool sollte in der Datenschutzerklärung stehen.