Im “Gesetzesdschungel” des Datenschutzes und der Cookie-Richtlinien ist es oft schwierig den Durchblick zu behalten – sowohl für Nutzer als auch für Webseitenbetreiber. Die sich häufig ändernden Aussagen der Datenschutzverantwortlichen sowohl national als auch international stiften oftmals Verwirrung. Manchmal sind Einwilligungen zu Cookies unabdinglich und in anderen Fällen benötigen Sie keine Zustimmung der Nutzer.
Zusammenfassung
-
Wie kann man Cookies unterscheiden? – Arten von Cookies erklärt
-
Sollte man alles in eine Einwilligung packen, was man nutzt?
- Was deutsche Webseitenbetreiber, die Daten sammeln, nun beachten sollen
In einem unserer vergangenen Webinare, das gemeinsam mit Frank Puscher (Adzine, Digital Events) und Valeria Hoffmann (Senior Associate bei Dentons) stattfand, haben wir unter anderem auch über das Thema Cookies gesprochen und was bei der Datenverarbeitung derzeit zu beachten ist. Die essenziellen Punkte haben wir für Sie im Nachstehenden aufgeführt.
Was sind Cookies?
Die meisten Webseiten benutzen Cookies, aber manche Leute fragen sich womöglich, was dahinter steckt. Bei Cookies handelt es sich um Textdateien. Wenn man eine Internetseite aufruft, die Cookies verwendet, werden diese auf dem genutzten Gerät gespeichert. Dabei sind diese Dateien mit einem Namen und einer Speicherdauer versehen. Nicht alle verbleiben gleich lange auf dem Endgerät des Seitenbesuchers.
Damit können Unternehmen zum Beispiel bestimmte Aktivitäten des Nutzers auf der Seite erfassen. Cookies werden unter anderem dazu verwendet, um Nutzern das Surfen auf der jeweiligen Seite einfacher zu gestalten, indem Sie beim nächsten Webseitenbesuch wiedererkannt werden.
Dadurch müssen Sie zum Beispiel die Zugangsdaten nicht bei jedem Öffnen der Webseite wieder ausfüllen oder wenn Sie etwas gekauft haben, können Sie Ihre vergangenen Käufe auch später nochmal einsehen.
Cookies haben unterschiedliche Funktionen und werden aus verschiedenen Zwecken eingesetzt und das betrachten wir im Nachstehenden kurz.
Wie kann man Cookies unterscheiden? – Arten von Cookies erklärt
Dabei unterscheidet man vor allem Erstanbieter-Cookies und Drittanbieter-Cookies. Bei Ersteren handelt es sich um Cookies der gerade besuchten Webseite und bei Letzteren um jene, die von anderen Webseiten, z.B. zum genaueren Verständnis des Nutzerverhaltens oder für die Ausspielung von Werbung, platziert werden.
Cookies lassen sich auch hinsichtlich deren Funktion unterscheiden.
Notwendige Cookies
Technisch notwendige Cookies sind entscheidend für die Funktionalität der Webseite. Das sind beispielsweise Cookies, die für das Log-in und die Speicherung von Artikeln im Warenkorb notwendig sind, oder beim Ausfüllen eines Formulars und für das Widerrufen der Cookie-Einwilligung nötig sind. Diese sind meist grau hinterlegt, können vom Nutzer nicht deaktiviert werden und benötigen auch keine Einwilligung.
Performance Cookies
Diese Leistungscookies ermöglichen Funktionen wie die Zählung von Seitenbesuchern, Leistungsmessung und Optimierung der Webseite. Damit können auch Fehlermeldungen und die aktuelle Leistung wie die Seitenladedauer erfasst werden. Performance Cookies müssen nicht immer mit einer Einwilligung verknüpft werden, da sie keine personenbezogenen Daten wie die IP-Adresse erfassen.
Funktionale Cookies
Wie der Name bereits beschreibt, handelt es sich hier um Cookies, die für die Funktionalität der Webseite genutzt werden. Als Seitenbetreiber kommt damit dem Nutzer zum Beispiel entgegen, indem die Webseite beim erneuten Aufruf bereits auf Deutsch eingestellt ist. Diese Cookies zielen also auf die Verbesserung der Funktionalität ab. Bei diesen ist kein zwingender Consent notwendig.
Marketing & Targeting Cookies:
Diese Art von Cookies werden oft von Dritten gesetzt und dienen zur Personalisierung der Werbeangebote oder der Messung der Effektivität von Werbeanzeigen. Bei diesen ist in der Regel eine Einwilligung des Nutzers nötig. Es gibt für Webseitenbetreiber nur sehr umständliche Methoden, wie man diese Vorschrift umgehen kann.
Im Allgemeinen können Sie als Nutzer Cookies im Browser deaktivieren.
Cookies – Wie lange dürfen sie gespeichert werden?
Session Cookies
Diese Cookies sind nur kurzzeitig gültig oder laufen bereits mit Verlassen der Seite ab. Das heißt, als Nutzer müssen sich zum Beispiel bei manchen Webseiten mit Anmeldefunktion auch wieder mit den Zugangsdaten neu einloggen, wenn Sie die Seite wieder aufrufen.
Dauerhafte Cookies
Bei permanenten Cookies erfolgt eine dauerhafte Speicherung der kleinen Textdateien auf Ihrem Endgerät. Das geschieht beispielsweise, wenn Anmelde- oder Kontodaten für ein optimiertes Nutzererlebnis oder den schnelleren Zahlungsvorgang gespeichert werden.
Wenn Sie den Browser schließen oder Ihr Gerät neu starten, sind diese auch noch vorhanden. Das Ablaufdatum wird immer wieder erneuert, wenn Sie die Seite innerhalb der Speicherdauer wieder besuchen – damit werden diese Art von Cookies sozusagen wieder aktualisiert.
Rechtskonforme Cookie-Einwilligungen und Datenverarbeitung
Cookies verarbeiten teilweise (personenbezogene bzw. personenbeziehbare) Nutzerdaten, über welche Profile über Nutzer erstellt werden können. Bei personenbezogenen Daten handelt es sich um alle Informationen, die eine Person auf irgendeine Weise identifizieren können.
Aus rechtlicher Sicht ist die Verarbeitung personenbezogener Daten grundsätzlich nicht erlaubt, außer wenn sie auf gesetzlicher Grundlage basiert. Dabei gibt es auch Verhaltensdaten – auch bekannt als Verkehrsdaten – die zu einem bestimmten Profil zusammengeführt werden können und somit auch dem Datenschutz unterliegen. Darunter fallen technische Daten wie Standortinformationen im Telekommunikationsbereich.
In diesem Zusammenhang schreibt die in der EU geltende Datenschutzgrundverordnung Webseitenbetreibern vor, dass bei Verwenden von Cookies auch die Datenschutzerklärung entsprechend angepasst wird. Das bedeutet, dass die gesetzeskonforme Anwendung von Cookies in der Datenschutzerklärung genannt wird.
Die Nutzung von Cookies richtig gemacht
Als Nutzer ist es gut, wenn man einfach nachvollziehen kann, wie und wofür Daten genutzt werden. Wenn Sie als Seitenbetreiber Cookies einsetzen, müssen Sie den User bereits zu Beginn der Datenverarbeitung darüber informieren. Das gehört zum Grundsatz der Transparenz.
Manche integrieren diesen Cookie-Hinweis nur in die Datenschutzerklärung, was nicht mehr so konform und nicht auf dem aktuellsten Stand ist. Seitenbetreiber verwenden oft mehrere Cookies auf der Webseite. Wenn diese dann in die Datenschutzerklärung integriert werden, wird die Erklärung ziemlich ausgedehnt.
Muss der Seitenbesucher die Cookie-Bestimmungen aus der mehrseitigen Datenschutzerklärung herausfiltern, kann es schon zu Verständnisproblemen beim Nutzer führen. Deshalb ist es durchaus sinnvoll, Datenschutz und Cookie-Nutzung zu trennen.
Sollte man alles in eine Einwilligung packen, was man nutzt?
Die Einwilligung muss wirksam formuliert werden und Datenschutzbehörden können dies auch überprüfen. Wenn diese nicht informativ oder verständlich genug formuliert ist, können die Behörden dagegen vorgehen und diese Einwilligungen sozusagen einkassieren. Das geht mit dem Risiko einher, dass Sie keine Ihrer Tracking-Tools mehr nutzen können.
Wenn Sie die Rechtsgrundlagen haben, die bestätigen, dass Sie bestimmte Cookies auch ohne Einwilligung nutzen können, weil Sie ein berechtigtes geschäftliches Interesse an den Cookies haben, dann müssen Sie das nicht an eine Einwilligung knüpfen. In diesem Fall können Sie also über die Rechtsgrundlagen gehen, aber müssen genau verstehen, welche Cookies Sie nutzen.
Berechtigtes Interesse – Worum geht es dabei?
Ein vertretbares geschäftliches Interesse kann zum Beispiel ein finanzielles Kriterium sein, das die Webseite gut funktioniert oder man Werbung schalten will. Bei Cookies wie für das Anmelden oder die Speicherung der Produkte im Warenkorb genügt die Auffassung, dass es sich um ein berechtigtes Interesse des Seiteninhabers handelt. Somit muss nicht zwingend für diese Art von Cookies eine Einwilligung eingeholt werden.
Dabei sollten Sie sich auch mit der Frage auseinandersetzen – „Können wir als Betreiber die Cookies selber programmieren oder ist es sinnvoller, auf einen Dritten zurückzugreifen?“
Es hängt immer von Ihren Vorhaben ab, aber die Weitergabe an Dritte ist nicht immer unbedingt erforderlich, da es andere Tools gibt, wo Dritte keinen Zugriff auf Nutzerdaten erlangen.
Vielleicht nutzen Sie – wie viele andere Online-Werbende – Tools wie Google Ads. In diesem Fall müssen Sie sich an die Angaben von Google halten und können nicht mehr über berechtigtes Interesse gehen. Jene Cookies, die Dritten weitergegeben und für Tracking oder Werbezwecke verwendet werden, benötigten die bewusste und aktive Zustimmung des Nutzers.
Wollen Sie mehr darüber erfahren? Wir haben Ende Oktober mit Adzine ein Webinar zu diesem Thema organisiert:
Warum haben sich europäische Gerichte aufgrund einer kleinen deutschen Webseite mit der Zustimmung zu Cookies befasst?
Der EuGH und BGH haben sich mit einem Fall befasst, in dem es um die Einholung von Einwilligungen auf einer unscheinbaren deutschen Webseite namens Planet 49, ging, die für Ihr Angebot zwei vorangekreuzte Kontrollkästchen auf der Anmeldeseite hatte.
Aber warum die Überprüfung? Der Fall Planet 49 warf einige Fragen für Datenschutzexperten auf und diese sollten damit geklärt werden.
In Folge des Urteils des EuGH zu diesem Fall veröffentlichten Medien unzählige Aussagen, die Verwirrung stifteten.
Die europäischen Gerichte haben zu diesem Fall lediglich beschlossen, dass ein vorangekreuztes Kästchen keine Einwilligung ist. Dabei wurde festgelegt, dass, wenn man als Seitenbetreiber eine Einwilligung eines Nutzers braucht, dann muss das durch aktives Zustimmen erfolgen.
Noch weitere Details zum Fall Planet 49 und den Urteilen der europäischen Gerichte, u.A. was den Werbeindustriestandard Transparency & Consent Framework (TCF) angeht, findet Ihr auch hier.
Was deutsche Webseitenbetreiber, die Daten sammeln, nun beachten sollen
Auch wenn das EuGH-Urteil nicht auf nationaler Ebene fungiert, werden die Vorschriften voraussichtlich in den kommenden Jahren von den EU-Staaten umgesetzt, was auch Deutschland mit einschließt. Sehen Sie sich an, ob Ihre Cookie-Einwilligungserklärungen bereits auf bestmöglichem Stand sind
Achten Sie darauf, dass Ihre Cookie-Banner das notwendige Opt-in haben, um die aktive Zustimmung zur Verarbeitung von Daten zu ermöglichen. Wenn ein Nutzer die Seite zum ersten Mal besucht, muss der Einwilligungs-Banner ersichtlich sein und Verarbeitungsprozesse klar anführen. Dabei muss der Nutzer die Option haben, aktiv einzelne Auswahlen erlauben oder zu deaktivieren.
Zuvor müssen Werbebanner und Ähnliches deaktiviert sein. Des Weiteren ist es wichtig, dass der Nutzer auch jederzeit seine Zustimmung ändern oder zurückziehen kann. Auch zu beachten ist, dass die Links zur Datenschutzerklärung und zum Impressum auch trotz des Cookie-Banners immer ersichtlich bleiben.
Es gibt viele Möglichkeiten, wie Sie Ihr Cookie-Einwilligungsbanner umsetzen können. Wir haben einige gelungene Designs genauer betrachtet und in einem Beitrag vorgestellt. Möglicherweise können Sie sich bei diesen Beispielen für die individuelle Gestaltung von Cookie-Bannern, die ein oder andere Inspiration holen.
Kurz zusammengefasst – Achten Sie auf klar verständliche, präzise und eindeutige Hinweise zur Einwilligung.
Weisen Sie auch daraufhin, dass der Nutzer freiwillig einwilligt oder ablehnt. Vergessen Sie dabei nicht, das Widerrufsrecht zu erwähnen. Dazu gibt es noch mehr Tipps und Tricks zur Erstellung Ihrer Cookie-Einwilligungsbanner.
Haben Sie weitere Fragen zur Thematik oder möchten Sie sich zu Ihrer derzeitigen Cookie-Lösung beraten lassen? Vereinbaren Sie einfach mit unserem Team ein kostenloses 30-minütiges Gespräch zu einem für Sie passenden Zeitpunkt.
