Schon seit Jahren kursieren im Internet die sogenannten Cookie-Banner. Meist kennt man diese in Form einer schmalen Einblendung im Fuß einer Website, die man verschwinden lassen kann, indem man „OK“ anklickt oder sie einfach ignoriert. Sie entstanden in einer Zeit, in der es widersprüchliche Ansichten über die Anwendbarkeit verschiedener Gesetzte gab. Klarheit darüber hätte die schon überfällige ePrivacy-Verordnung bringen sollen, die jedoch noch immer nicht in Kraft getreten ist und wahrscheinlich auch noch ein wenig auf sich warten lassen wird.
Das Thema „Cookies“ wurde nun aber am 01.10.2019 vom Europäischen Gerichtshof entschieden – Urteil siehe hier.
Zuerst einmal: Was machen Cookies?
Cookies sind kleine Textdateien, die von einer Website auf Ihrem Rechner abgelegt werden. Cookies haben unterschiedliche Funktionen und sind nicht alle in einen Topf zu werfen. Sie dienen der Wiedererkennung und der Personalisierung, aber auch der Weiterverfolgung.
Zum einen gibt es die technisch notwendigen Cookies. Sie sorgen zum Beispiel dafür, dass Sie Merklisten, Warenkörbe oder Bestellprozesse, aber auch Logins auf einer Website durchführen können. Das setzen dieser Cookies ist für die technische Funktion der Website oder des Shops unerlässlich und stellt somit den Teil der unumstrittenen Cookies dar, welche in der Regel keiner Zustimmung durch den Nutzer bedürfen. Jedoch muss auch über diese Cookies in der Datenschutzerklärung aufgeklärt werden.
Wann ist die Einwilligung der User nötig?
Ganz anders verhält es sich mit sogenannten Marketing- und Tracking-Cookies. Diese Cookies sind nicht notwendig damit eine Website aus technischer Sicht überhaupt funktioniert, sondern sie bieten dem Betreiber der Website bzw. einem dritten „Cookie-Setzer“ einen Mehrwert, weniger dem User. Daher sind diese Cookies grundsätzlich verboten, mit der Ausnahme, dass der User zu dem Setzen oder Auslesen dieser Cookies freiwillig und aktiv einwilligt. Stillschweigen, Untätigkeit oder bereits ausgefüllte Häkchen und Kästchen sind hier explizit nicht als Einwilligung zu verstehen.
Im Falle dieser Cookies werden die Aktivitäten des Users über die ursprüngliche Website hinaus weiterverfolgt und die Daten häufig an dritte (Third Party Cookies), oft große Datensammler, weitergegeben. Datensammler legen mit den daraus gewonnenen Daten Profile an, damit ist ein User schnell mindestens „berechenbar“, aber oft sogar gläsern und identifizierbar.
Cookies – Wen stört´s?
Welches Ausmaß dies hat, erkennen Sie leicht, wenn Sie sich mal eine große Tageszeitung, ein Magazin oder Online-Shop vornehmen und dort den Cookie-Hinweis (sofern vorhanden) komplett durchlesen. Im Falle eines großen deutschen Magazins, welches ich herausgepickt habe, bis ich auf über 100 Unternehmen gekommen, die unter den Thrid Party Cookies zu finden waren. Die Unternehmen waren quer in der Welt verteilt und hatten Laufzeiten zwischen 7 Tagen und 3 Jahren angegeben. Uns das auf einer einzigen Website.
Erfahrungsgemäß wünschen das die meisten User nicht, insbesondere dann nicht, wenn die Daten an völlig fremde Unternehmen weitergegeben werden und nicht nur dem Betreiber der besuchten Website dienen. In der Vergangenheit wurde dieser Umstand entweder komplett ignoriert, indem es überhaupt keine Erklärung über die Cookies gab oder es wurde halbherzig und falsch umgesetzt. Meinen eigenen Beobachtungen nach sind die meisten Cookie-Banner unzureichend. Fehlerquellen gibt es viele. Sie sollten daher in jedem Fall prüfen (lassen), ob Ihre Website Cookies setzt, darüber hinaus ist zu klären, ob es sich hierbei um Cookies handelt, die eine Einwilligung erfordern. Ist dies der Fall, muss ein Cookie-Banner eingesetzt werden. Sollte Ihr Cookie-Banner nur den „OK“ Button beinhalten können Sie mir Sicherheit davon ausgehen, dass dieser Button nicht die gesetzlichen Bestimmungen erfüllt. Falls Sie bislang auf das sogenannte Opt-Out gesetzt haben, ist dies ebenfalls falsch. Opt-Out bedeutet, dass man ungewünschtes Tracking oder Cookies durch deaktivieren abwählen kann. Man setzt also erst einmal das Einverständnis voraus und lässt dem User nur die Wahl nachträglich die Einstellungen zu verändern. Opt-In ist die aktive Zustimmung durch das gezielte anwählen der Optionen. Dies ist die einzig korrekte Möglichkeit.
Und nun?
Meist können Webseitenbetreiber selbst gar nicht einschätzen, ob die eigene Website Cookies setzt. Oft ist es gar kein Kalkül Cookies zu setzen, sondern es geschieht durch die verwendete Technik oder die anhängigen verwendeten Dienste, über dessen Funktionsweise man sich gar nicht bewusst ist.
Wir beantworten Ihnen gerne Fragen zu diesem Thema.
Ich bin seit 1998 in der Werbebranche tätig und spezialisierte mich nach eineinhalb Jahren “Full-Service-Agentur” 1999 auf Web-Projekte. Ich habe somit noch die Zeit erlebt, in der jede Website individuell programmiert werden musste und ein Handy noch nichts anders als telefonieren konnte. Einige Systeme kamen und gingen. Disruption ist in unserer Branche schon immer ein ständiger Begleiter, weshalb ein wichtiger Teil unserer Geschichte die Weiterentwicklung ist. Meine Themen sind daher nicht nur die Umsetzung und Optimierung von Webseiten oder Shopsystemen, über die ich hier schreibe, sondern auch die Datensicherheit ein wichtiger Bestandteil des Datenschutz. Fragen hierzu beantworte ich gerne.