Cookies und andere gefährliche Angelegenheiten (Teil 3/3)

von (Kommentare: 0)

Im dritten Beitrag unserer Reihe möchten wir auf die technischen Anforderungen an den DSGVO-konformen Einsatz von Cookies und Inhalten von Dritt-Anbietern eingehen. Eine sehr gute Anleitung speziell zu Cookies findet sich auf der Webseite der britischen Datenschutzbehörde, leider aber auf Englisch. Für die Anwender, die diese Fragen gerne auf Deutsch geklärt haben möchten, erklären wir die wichtigsten Punkte hier nochmals.

Der wichtigste Punkt ist, dass die Webseiten-Besucher sowohl ein Recht auf Information haben, als auch ein Recht auf Selbstbestimmung bezüglich des Setzens von Cookies.

Verschiedene Cookie-Banner

Manche Cookies sind für die Funktionalität der Webseite unerlässlich, andere sind zusätzlich. In Bezug auf beide müssen Besucher informiert werden. Dies wird üblicherweise durch „Cookie-Banner“ umgesetzt. Hier gibt es zwei verschiedene Versionen, beide mit Vor- und Nachteilen.

Die üblichere Version ist eine Art „Pop-up“, das entweder oben oder unten im Bildschirm eingeblendet wird. Meistens wird hier ein Teil der Seite überblendet, manchmal sind diese Pop-ups aber auch sehr schmal. Diese Version macht es möglich, dass Nutzer u. U. noch auf Unterseiten gelangen können, ohne mit dem Banner interagiert zu haben (also ohne irgendetwas zu klicken bzw. zu bestätigen).

Eine Cookie-Wall macht es unmöglich die eigentliche Webseite zu benutzen, ohne sich mit dem Cookie-Banner auseinandergesetzt zu haben. Diese Cookie-Wall überblendet die eigentliche Webseite oder ist eine Seite, die vor die eigentliche Webseite platziert wird. Es ist also unmöglich, etwa auf einer Webseite zu scrollen ohne mit dem Cookie Banner zu interagieren, da nur durch diese Interaktion die eigentliche Webseite freigegeben wird.

Cookie-Banner als „Pop-up“ haben den Vorteil, dass wichtige Seiten, wie das Impressum und die Datenschutzerklärung noch für den Besucher erreichbar bleiben, zumindest sofern diese nicht durch das Fenster überdeckt werden. Allerdings darf auf diesen Unterseiten selbst kein Cookie aktiv sein; diese Seiten müssen in einer „Cookie-freien“ Art und Weise durch den Nutzer besucht werden können.

Cookie-Walls haben den Vorteil, dass durch die Vorschaltung dieser leichter zu erwirken ist, dass tatsächlich ohne Interaktion noch keine Cookies gesetzt werden. Allerdings benötigen auch Sie die Verlinkung zu Datenschutzhinweisen und Impressum, die wiederum „Cookie-frei“ sein müssen.

In der Auswahl Ihres Cookie-Banner müssen Sie aber darauf achten, dass es auf allen Endgeräten und mit allen Programmen gelesen werden kann, die Ihre Besucher verwenden. Dies gilt für mobile Endgeräte genauso wie Desktops, und für alle unterstützten Browser.

Die Banner müssen gut sichtbar sein und klar strukturiert. Der Text darauf sollte leicht verständlich und schnell zu lesen sein.

Cookie Informationen

Direkt vom Cookie Banner, also bevor sie eine Zustimmung oder Ablehnung erteilen müssen, muss der Besucher Informationen über Cookies erhalten. Dies sind Informationen über den Zweck der Cookies, sowie über deren Geltungsdauer. Letzteres muss nicht auf dem Cookie-Banner selbst zu finden sein, es muss aber deutlich sein, wo die Information zu finden ist.

In jedem Fall ist die Datenschutzerklärung noch ein wichtiges Mittel, um Cookies DSGVO-konform einzusetzen.

Einwilligung für Cookies

Cookie Kekse Datenschutz

Jede Datenverarbeitung braucht eine Einwilligung, was heißt, dass auch jede Nutzung von Cookies diese Einwilligung braucht. Für Cookies, deren Nutzung unerlässlich ist, kann die Einwilligung an die Nutzung der Webseite gekoppelt werden – aber eben nur in den Fällen, in denen es technisch nicht möglich ist die Webseiten-Nutzung vom Cookie zu trennen.

Hier ist Vorsicht geboten: die Tatsache, dass jemand seine Webseite so programmiert hat, dass der Webseiten-Besuch nicht von der Besucher-Analyse getrennt werden kann, heißt nicht, dass beide Prozesse nicht trennbar sind. Dieses Kriterium ist kein Schutz für schlecht programmierte Webseiten. Hier gilt; es sind nur die Cookies nötig, für die es technisch nicht möglich ist, die Webseite ohne sie zu programmieren, auch wenn die Webseite ganz neu aufgesetzt werden würde. In der Praxis sind dies häufig nur Session-Cookies.

Für alle anderen Cookies reicht die bloße Information nicht aus; stattdessen brauchen Sie auch die Einwilligung. Hierbei ist nicht wichtig, ob die Cookies von Ihnen stammen, oder von Dritt-Anbietern gesetzt werden. Wenn der Besuch Ihrer Webseite der Anlass zum Setzen des Cookies ist, dann müssen Sie diese Einwilligung einholen.
Diese Einwilligung muss es möglich machen, aufgetrennt nach Verarbeitungszweck (z. B. „Analyse“, „Personalisierung“, „Marketing“) eine Zustimmung zum Setzen des Cookies zu geben, oder diese zu verweigern. Diese Zustimmung muss aktiv sein, also ein „Opt-in“ und kein „Opt-out“. Das heißt, wenn der Besucher nicht agiert, oder keine Entscheidung trifft, dann dürfen keine Cookies gesetzt sein.

Gleichzeitig muss die Entscheidung freiwillig sein. Das bedeutet, der Besucher darf nicht dahingehend getäuscht werden, dass nur die Zustimmung möglich ist. Der Zustimmungsbutton sollte nicht wesentlich größer sein, als der zur Ablehnung/"mehr Informationen", und es muss dem Besucher klar sein, wofür die Zustimmung gilt (also, dass dies eine Zustimmung zum Setzen von Cookies ist und nicht für den Besuch der Seite notwendig).
Auch wenn Sie den Nutzer ausführlich über die Cookies informieren, die eine Webseite setzt, dürfen Sie den Besuch der Webseite nur als Zustimmung für die Cookies werten, die für diesen Besuch technisch notwendig sind. Formulierungen wie „mit dem Besuch der Webseite stimme ich der Verwendung meiner Daten zu Marketing-Zwecken zu“ sind nie zugelassen.

Der Grund hierfür ist, dass eine Einwilligung nicht an Prozesse gekoppelt werden darf, mit denen Sie technisch nichts zu tun hat. In einem solchen Fall gilt Sie nämlich nicht mehr als freiwillig.

Einwilligung für Drittanbieter

Ähnliches gilt auch für Drittanbieter, wobei hier die Zustimmung/ Information nur dann vor der eigentlichen Nutzung der Webseite angefragt werden muss, wenn die Weiterleitung von Besuchs-Daten sofort mit dem Webseitenbesuch geschieht.
Dies gilt z. B. für Web-Fonts (wobei diese wahrscheinlich (aber nicht sicher) als „notwendig“ betrachtet werden können), oder für Pixel auf der Start-Seite.

Für alle anderen Inhalte (YouTube-Videos, Instagram-Bilder etc.) kann die Einwilligung auch erst dann abgefragt werden, wenn es daran geht, diese Inhalte auch wirklich darzustellen. So kann z. B. ein Video erst dann abgespielt werden, nachdem der Besucher angegeben hat, dieses Video auch wirklich von YouTube nachladen zu wollen; ähnliches gilt für viele derartige Inhalte (Bilder, Karten, etc.).

Vorsicht bei Skripten von Drittanbietern

Wie bereits oben erklärt, muss nicht nur bei Anwendungen von Drittanbietern auf die Einwilligung geachtet werden, da über diese die Drittanbieter-Cookies gesetzt werden.
Auch bei Skripten ist Vorsicht geboten. Skripte sind Code-Segmente, meist in JavaScript oder in Form von Plug-ins, die von Anbietern, wie z. B. für Google Analytics, Google AdWords, Matomo (Piwik) oder Werbe-Netzwerke, zur Verfügung gestellt werden, um die Funktionalität hinsichtlich Analyse und/oder Marketing zu erweitern.Im Skript befindet sich eine URL, die zum Server des Drittanbieters führt, um die gewünschte Funktionalität dem Webseitenbetreiber bereitzustellen. Dies bedeutet, dass der Browser des Besuchers im Hintergrund automatisch Daten von einem Dritten herunterlädt. In diesem Zusammenhang werden auch automatisch die Daten des Nutzers an den Dritten übermittelt.
In den gesendeten Informationen an den Server (Drittanbieter) befinden sich u. a. die IP-Adresse, die Angaben zum Betriebssystem des Endgerätes, die Informationen zu Add-ons, die auf dem Gerät installiert sind, usw. Mit diesen Daten lassen sich, unabhängig davon, dass die IP-Adresse bereits als personenbezogenes Datum angesehen wird, Rückschlüsse auf den Besucher ziehen, wodurch eindeutig eine Weitergabe von personenbezogenen Daten vorliegt.
Für den Seitenbetreiber bzw. dessen Webdienstleister ist es meist einfacher, Dienstleistungen von Dritten in Anspruch zu nehmen, als eigene Lösungen zu entwickeln.

Aus oben genannten Gründen sollten Skripte ebenfalls erst mit Einwilligung des Users geladen werden.

Abfrage vor dem Webseiten Besuch

Keine dieser Abfragen kann erst in der Datenschutzerklärung erfolgen. Die Einwilligung muss jeweils vor dem Setzen des Cookies oder dem Nachladen vom Drittanbieter erteilt werden; in der Datenschutzerklärung ist dies meistens schon längst zu spät. Zudem muss dem Besucher immer klar sein, welcher Vorgang eine zusätzliche Datenverarbeitung auslöst, bevor die Einwilligung informiert gegeben werden kann. Um Cookie Banner kommt man also nicht herum.

Gleiches gilt etwa für „Nutzungsbedingungen“.

Spezielle Regeln für Webseiten, die von Kindern besucht werden?

Generell gelten die gleichen Regeln auch für Webseiten, die von Kindern besucht werden; allerdings müssen Sie hier verstärkt darauf achten, dass die Informationen, die Sie bereitstellen, auch von Kindern verstanden werden können. Wenn Kinder im Internet unterwegs sind, können Sie davon ausgehen, dass diese schon lesen können; ansonsten sollten Sie aber nicht zu viele Annahmen über deren Fähigkeiten machen.

Im Zweifel hat klare und einfache Sprache auch im Umgang mit Erwachsenen noch selten geschadet.

Widerruf

Jede Einwilligung kann widerrufen werden, das gilt auch für Cookies. Sollte ein Besucher im Verlauf seines Besuchs (oder bei einem wiederholten Besuch) sich die Sache anders überlegen und eine bereits erteilte Einwilligung, z. B. für Analyse Cookies, zurückziehen wollen, so muss die Webseite die technischen Mittel bereitstellen, diesen Widerspruch abzugeben. Nach einem Widerspruch müssen dann alle bereits gesetzten Cookies gelöscht werden.

Ein Widerspruch muss grundsätzlich genauso einfach möglich sein, wie die Zustimmung; also einfach durch Klicken eines Buttons auf der Webseite. Natürlich könnten Besucher auch Cookies selbst löschen, schließlich sind das in aller Regel Dateien auf Ihren eigenen Computern. Darauf dürfen Sie sich als Webseiten-Betreiber aber nicht verlassen; denn das Auffinden von speziellen Cookies auf der eigenen Festplatte ist ein größerer Aufwand als das Klicken eines Button - und insofern eben nicht genauso einfach, wie die Einwilligung.
Derartige Buttons oder Links können in der Datenschutzerklärung implementiert werden. Beachten Sie dabei unbedingt, dass es sich hierbei ebenfalls um einen One-Klick-Button handeln muss und der User nicht vorab diverse Add-ons installieren muss, um das Opt-Out durchführen zu können.

Die Informationen darüber, wie ein Widerspruch abgegeben werden kann, sollten gleich im Zuge der Zustimmung gegeben werden.

Und nochmal von vorne?

Das ganze Spiel muss übrigens u. U. mehrmals wiederholt werden ... nämlich immer dann, wenn sich die spezifischen Prozesse, in die der Besucher einstimmt, ändern. Wenn Sie also ein neues Analyse-Tool verwenden, ist auch eine neue Einwilligung notwendig, oder wenn Sie z. B. die „Lebensdauer“ der Cookies ändern.
Ansonsten sollte aber so selten wie möglich, um Einwilligung gefragt werden; weswegen es nötig sein kann, die Cookie-Auswahl selbst in einem Cookie zu speichern.

Und wenn der Besucher seine Cookies immer löscht?

Es kann natürlich vorkommen, dass ein Besucher seine Cookie-Präferenzen einmal gesetzt hat (z. B. Analyse Cookies erlaubt, sonst aber keine), gleichzeitig aber seinen Browser so eingestellt hat, das Cookies mit dem Schließen des Browsers gelöscht werden.
In diesem Fall werden Sie diese Präferenzen also jedes Mal neu abfragen, denn Sie können ja nicht wissen, welche das letzte Mal ausgesucht wurden.
Dies ist aber ein Sonderfall, der selten zu Problemen führen wird – denn die meisten Besucher, die solche Einstellungen vorgenommen haben, wissen noch davon, und wissen auch, welche Folgen das dann für sie hat.

Fazit

Die Sache mit den Cookies ist nicht ganz einfach und durchaus etwas tricky in der Umsetzung, sofern man alle datenschutzrechtlichen Punkte beachtet und diese korrekt umsetzt. Jedoch gelten die in unserer Reihe erklärten Cookie-Regeln nicht erst seit dem EuGH-Urteil oder sind aus diesem abzuleiten. Viele Beschlüsse, Urteile und Vorgaben im Dokument der Datenschutzkonferenz (DSK) gibt es bereits seit mehreren Jahren und waren bereits vor Einführung der EU-Datenschutzgrundverordnung (DSGV) relevant.

Doch zu diesem Zeitpunkt war das Interesse der Webseitenbetreiber nicht sonderlich groß, da die „Gefahr“ bzgl. möglicher Bußgelder sehr gering war. Doch mit Einführung der DSGVO haben sich die Bußgelder beträchtlich erhöht und eine Datenverarbeitung ohne Einwilligung kann jetzt mit bis zu 20 Mio. Euro oder 4% des weltweiten Vorjahresumsatzes (je nachdem, was höher ist) geahndet werden. Selbstverständlich müssen auch diese Bußgelder seitens der Behörden „verhältnismäßig“ sein. Abmahnanwälte versuchen bereits ihr Glück, mittels fehlender Einwilligung Umsatz zu „erwirtschaften“. Ein Salzburger Anwalt fordert derzeit von einem deutschen Unternehmen pro Cookie „ohne Einwilligung“ 1.000,- Euro zzgl. 1.000,- Euro für seine Tätigkeit (insgesamt 12.000,- Euro) für eine Klientin, schrieb „DiePresse“ in einem Artikel vom 19.08.2019. Wie dieser Fall ausgeht, wird sich noch zeigen.

Das Beispiel zeigt, dass es in der aktuellen Situation durchaus Sinn macht, sich mal mit der eigenen Webseite und den dort implementierten Tools und deren Cookies zu beschäftigen und das, wenn nötige, Cookie-Banner korrekt einbinden zu lassen.

Die dacuro GmbH prüft bei all ihren Kunden obligatorisch die Webseite auf Datenschutzkonformität. Denn neben dem Cookie-Banner gibt es auf einer Homepage weit mehr Punkte, die aus datenschutzrechtlicher Sicht berücksichtigt werden sollten. Denn Ihre Webseite ist nicht nur Ihre positive Außendarstellung für Ihre Kunden, sie ist auch ein möglicher Angriffspunkt für Externe, die Ihnen nicht wohlgesonnen sind. Aus diesem Grund sollten Sie hier sicher aufgestellt sein.
Selbst wenn Sie nicht unser Kunde sind, prüfen wir Ihre Webseite gerne auf die wichtigsten Datenschutzpunkte, die beachtet werden müssen, sodass Sie hier nicht angreifbar sind. Sprechen Sie uns an, wir freuen uns.

TAGS

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 2 und 9?

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.