Cookies richtig einbinden. Das aktuelle EuGH Urteil
Das aktuelle Urteil des Europäischen Gerichtshofes zum Thema Cookie-Richtlinie wird derzeit allseits diskutiert. Was darf ich als Website-Betreiber noch? Was nicht? Was ist unbedingt erforderlich, um gesetzeskonform zu sein? Wir von XORTEX möchten an dieser Stelle Klarheit schaffen und Empfehlungen aussprechen. Eines jedoch gleich vorweg:
- Die Erkenntnisse sind für Österreich nicht neu. Der Anlassfall verändert aber die Rechtslage für Deutschland.
- Zum Schutz von personenbezogenen Daten hat die EU bereits 1995 eine Richtlinie verordnet, welche mit der DSGVO nochmals verschärft wurde.
- Dauerhaft gespeicherte Cookies zur Nachverfolgung dürfen nur dann auf den Rechnern von Website-BesucherInnen gespeichert werden, wenn diese ausdrücklich zustimmen. Ganz gleich, ob es sich um personenbezogene Daten handelt oder nicht. Cookie-Einwilligungs-Banner & detaillierte Informationen sind in Form von einer Opt-In-Lösung verpflichtend. Ein Hinweis allein reicht nicht aus. Ein passives, nicht durchgeführtes Weghaken eines Kontrollkästchens ist keine wirksame Handlung zur Einwilligung.
- Zusätzlich sind NutzerInnen zu informieren, wenn Cookie-Daten an Dritte (Google, Facebook, sowie deren Tools etc.) weitergegeben werden.
- Verantwortlich für die richtige Umsetzung sind die Website-Betreiber.
- Seien Sie sich als Website Betreiber bewusst, dass die Verantwortung für die richtige Umsetzung bei Ihnen liegt. Selbst wenn einer Ihrer Online-Partner (zum Beispiel im Rahmen einer Adwords-Kampagne) auf Ihrer Website Cookies verbaut - Sie sind dafür verantwortlich.
- Verwenden Sie die Opt-In Lösung, welche eine aktive Zustimmung zur Verwendung von Cookies verlangt.
- Informieren Sie Ihre Website Besucher umfassend. Geben Sie in der Datenschutzerklärung Ihrer Website genaue Hinweise darauf, welche Cookies und andere Technologien zur Nachverfolgung für wie lange auf der Website verwendet und an wen Informationen weitergegeben werden.
- Bauen Sie externen Content, wie etwa Youtube Videos datenschutzkonform ein.
- Prüfen Sie regelmäßig sämtliche auf Ihrer Website verbauten Cookies.
Wir wissen aus Erfahrung: Das richtige Einbinden und das laufende Prüfen der Cookies auf der eigenen Website ist aufwändig. Oft verbauen Drittfirmen Cookies, welche ebenfalls in den Datenschutzhinweisen genannt werden müssen. Wir unterstützen Sie gerne bei der Erfüllung dieser Aufgabe.
Das Cookie-Monitoring von XORTEX überwacht Ihre Website. In automatisierten, laufenden Prüfungen behält es Ihre Cookies und Nachverfolgungs-Markierungen im Auge. Das System alarmiert Sie, sobald sich neue Cookies einschleichen. Voraussetzung dafür sind diese Erstmaßnahmen:
- Prüfen, welche Cookies und andere Markierungen zur Nachverfolgung auf Ihrer Website verbaut sind
- Setup des Cookie-Monitorings
- Kontrolle, ob sämtliche Cookies und andere Nachverfolgungs-Informationen erst dann aktiv werden, wenn Ihre Website-Besucher die Zustimmung geben
- Einstellen der Opt-In Lösung, falls noch nicht passiert
- Eventuelle Styling-Anpassungen beim Cookie-Banner
Für den konkreten Anlassfall hat der deutsche Bundesgerichtshof beim EuGH angefragt. Ein Anbieter veranstaltete ein Online-Gewinnspiel zu Werbezwecken. Es ging um die Frage, wie die Einwilligung der TeilnehmerInnen für die Weitergabe der personenbezogenen Daten an Sponsoren und Kooperationspartner sowie die Speicherung von Informationen auf dem Endgerät eingeholt wurde.
Die Mitspieler erhielten für die Teilnahme am Gewinnspiel zwei Hinweistexte. Der erste Hinweistext - ohne vorab ausgefüllter Checkbox - bezog sich auf die Weitergabe personenbezogener Daten für Werbezwecke an 57 Unternehmen bis auf Widerruf. Die Teilnehmer konnten sich zwar bei einzelnen Unternehmen abmelden, eine Mindestanzahl an Zustimmung war jedoch für die Teilnahme am Gewinnspiel notwendig. Anders formuliert: die Teilnahme am Gewinnspiel war nur möglich, wenn die Checkbox aktiviert war.
Der zweite Hinweistext beinhaltete die Zustimmung, dass im Browser ein Cookie eines Webanalysedienstes gesetzt werden darf. Dies ermöglichte eine Auswertung des Surfverhaltens des Nutzers für abgestimmte Werbung. Die Checkbox dieses Hinweistextes war bereits AKTIVIERT vorausgefüllt.
- Art und Funktionsweise der Cookies: Meint die Information an die Nutzer, über die Art der Daten und zu welchem Zweck sie verarbeitet werden.
- Lebensdauer von Cookies: Für wie lange die Cookies gesetzt sind.
- Identität der Dienstleister, die die Cookies verarbeiten: Bedeutet also, dass alle Drittanbieter zu nennen sind, welche Informationen aus Cookies erhalten.
Wir beantworten alle Cookie-Fragen für Ihre Website.
Seit der Umsetzung der Richtlinie der EU (aus 2009) im österreichischen Telekommunikationsgesetz (2014) herrschte längere Zeit Rechtsunsicherheit darüber, ob die Einwilligung über eine klare Zustimmung (Opt-In) des Users erfolgen musste, oder ob es ausreichte, wenn der User lediglich über die Browser-Einstellungen die Möglichkeit hatte, der Verwendung zu widersprechen (Opt-Out).
Die Artikel-29-Datenschutzgruppe (ein unabhängiges Beratungsgremium zu Datenschutzfragen) gab bereits 2014 zu der Regelung eine Stellungnahme ab, die besagt, dass der User für die Verwendung von Cookies AKTIV zustimmen muss, dies freiwillig erfolgt und er vorher detailliert informiert wird. Diese Interpretation hatte zwar keine verbindliche rechtliche Wirkung, war aber dennoch von großer praktischer Relevanz.
Deutschland hat in Fragen Cookie-Zustimmung im Gegensatz zu Österreich in den letzten Jahren einen anderen Weg beschritten. Dort wurde die europäische Vorgabe der Cookie-Richtlinie großzügiger interpretiert bzw. bisher offenbar nicht ausreichend umgesetzt. Für das Speichern von Cookies war lediglich eine Information an den Website-Besucher notwendig, nicht aber die ausdrückliche Zustimmung.
XORTEX hat bereits 2014 für REDX- und TYPO3- Websites eine Lösung entwickelt, die sowohl die Opt-In, als auch die Opt-Out-Variante abdeckt. Durch diese Lösung konnten Sie im Backend bisher selbst auswählen, welche Variante Sie Ihren Besuchern auf der Website präsentieren. Somit blieben Sie flexibel. Jetzt ist die Opt-In Lösung für alle verpflichtend und wir empfehlen dringend, diese Lösung auf der Website anzubieten.
Der rasche Weg zu mehr Information
Ihr Projektmanager berät Sie gerne
Sie haben noch keinen eigenen XORTEX Projektmanager? Worauf warten Sie noch!
Ein Cookie ist eine Datei, mit der man innerhalb eines bestimmten Zeitraums Informationen im Webbrowser des Nutzers speichert, wobei es unterschiedliche Arten von Cookies gibt:
- Cookies, die für die Funktionalität einer Website technisch unerlässlich sind: Diese sogenannten „Session-Cookies“ dürfen ohne Zustimmung des Besuchers verwendet werden. Sie speichern Daten, um die Benutzerfreundlichkeit auf der Website zu ermöglichen, indem sie sich beispielsweise die Login-Daten oder Spracheinstellungen im Browser, wie auch Produkte im Warenkorb während der Sitzung merken. Diese Session Cookies löschen sich mit dem Schließen des Browsers.
- Cookies, die das Surf-Verhalten der Nutzer mitspeichern (Nachverfolgung): Betroffen sind vor allem Targeting-Cookies, wie auch Tracking-, Analyse- und Social-Media-Cookies. Hier galt bisher schon, dass der User / die Userin einer Verwendung der Cookies zustimmen und vorher detailliert informiert werden muss.
- Nachverfolgungs-Informationen können im Browser nicht nur als Cookie gespeichert werden: Mit anderen Web-Techniken wie den "Local Storage" können ebenfalls dauerhaft Informationen zur Nachverfolgung eines Benutzers abgelegt werden.
Cookies sind per se nichts Schlechtes, im Gegenteil. Sie ermöglichen ein besseres Online-Erlebnis, schnelleres und bequemeres Surfen.
Sie haben mehr Interesse an XORTEX? Wir freuen uns auf ein gemeinsames Gespräch!