Cookies richtig einbinden. Das aktuelle EuGH Urteil

• Dauerhaft gespeicherte Cookies zur Nachverfolgung dürfen nur dann auf den Rechnern von Website-BesucherInnen gespeichert werden, wenn diese ausdrücklich zustimmen. Ganz gleich, ob es sich um personen­bezogene Daten handelt oder nicht. Cookie-Einwilligungs-Banner & detaillierte Informationen sind in Form von einer Opt-In-Lösung ver­pflichtend. Ein Hinweis allein reicht nicht aus. Ein passives, nicht durchgeführtes Weghaken eines Kontrollkästchens ist keine wirksame Handlung zur Einwilligung.
• Zusätzlich sind NutzerInnen zu informieren, wenn Cookie-Daten an Dritte (Google, Facebook, sowie deren Tools etc.) weitergegeben werden.
• Verantwortlich für die richtige Umsetzung sind die Website-Betreiber.

• Seien Sie sich als Website Betreiber bewusst, dass die Verantwortung für die richtige Umsetzung bei Ihnen liegt. Selbst wenn einer Ihrer Online-Partner (zum Beispiel im Rahmen einer Adwords-Kampagne) auf Ihrer Website Cookies verbaut - Sie sind dafür verantwortlich.
• Verwenden Sie die Opt-In Lösung, welche eine aktive Zustimmung zur Verwendung von Cookies verlangt.
• Informieren Sie Ihre Website Besucher umfassend. Geben Sie in der Daten­schutzerklärung Ihrer Website genaue Hinweise darauf, welche Cookies und andere Technologien zur Nachverfolgung für wie lange auf der Website verwendet und an wen Informationen weitergegeben werden.
• Bauen Sie externen Content, wie etwa Youtube Videos datenschutz­konform ein.
• Prüfen Sie regelmäßig sämtliche auf Ihrer Website verbauten Cookies.

Für den konkreten Anlassfall hat der deutsche Bundesgerichtshof beim EuGH angefragt. Ein Anbieter veranstaltete ein Online-Gewinnspiel zu Werbezwecken. Es ging um die Frage, wie die Einwilligung der TeilnehmerInnen für die Weitergabe der personen­bezogenen Daten an Sponsoren und Ko­operationspartner sowie die Speicherung von Informationen auf dem Endgerät eingeholt wurde.

Die Mitspieler erhielten für die Teilnahme am Gewinnspiel zwei Hinweis­texte. Der erste Hinweistext - ohne vorab ausgefüllter Checkbox - bezog sich auf die Weitergabe personen­bezogener Daten für Werbezwecke an 57 Unternehmen bis auf Widerruf. Die Teilnehmer konnten sich zwar bei einzelnen Unternehmen abmelden, eine Mindestanzahl an Zustimmung war jedoch für die Teilnahme am Gewinnspiel notwendig. Anders formuliert: die Teilnahme am Gewinnspiel war nur möglich, wenn die Checkbox aktiviert war.

Der zweite Hinweistext beinhaltete die Zustimmung, dass im Browser ein Cookie eines Webanalyse­dienstes gesetzt werden darf. Dies ermöglichte eine Auswertung des Surf­verhaltens des Nutzers für abgestimmte Werbung. Die Checkbox dieses Hinweistextes war bereits AKTIVIERT vorausgefüllt.

Seit der Umsetzung der Richtlinie der EU (aus 2009) im österreichischen Tele­kommunikations­gesetz (2014) herrschte längere Zeit Rechts­unsicherheit darüber, ob die Ein­willigung über eine klare Zustimmung (Opt-In) des Users erfolgen musste, oder ob es ausreichte, wenn der User lediglich über die Browser-Einstellungen die Möglichkeit hatte, der Verwendung zu wider­sprechen (Opt-Out).

Die Artikel-29-Datenschutzgruppe (ein unabhängiges Beratungsgremium zu Daten­schutzfragen) gab bereits 2014 zu der Regelung eine Stellungnahme ab, die besagt, dass der User für die Verwendung von Cookies AKTIV zustimmen muss, dies freiwillig erfolgt und er vorher detailliert informiert wird. Diese Interpretation hatte zwar keine verbindliche rechtliche Wirkung, war aber dennoch von großer praktischer Relevanz.

Deutschland hat in Fragen Cookie-Zustimmung im Gegensatz zu Österreich in den letzten Jahren einen anderen Weg beschritten. Dort wurde die europäische Vorgabe der Cookie-Richtlinie großzügiger interpretiert bzw. bisher offenbar nicht ausreichend umgesetzt. Für das Speichern von Cookies war lediglich eine Information an den Website-Besucher notwendig, nicht aber die ausdrückliche Zustimmung.

XORTEX hat bereits 2014 für REDX- und TYPO3- Websites eine Lösung entwickelt, die sowohl die Opt-In, als auch die Opt-Out-Variante abdeckt. Durch diese Lösung konnten Sie im Backend bisher selbst auswählen, welche Variante Sie Ihren Besuchern auf der Website präsentieren. Somit blieben Sie flexibel. Jetzt ist die Opt-In Lösung für alle verpflichtend und wir empfehlen dringend, diese Lösung auf der Website anzubieten.

Ein Cookie ist eine Datei, mit der man innerhalb eines bestimmten Zeitraums Informationen im Webbrowser des Nutzers speichert, wobei es unterschiedliche Arten von Cookies gibt:

• Cookies, die für die Funktionalität einer Website technisch unerlässlich sind: Diese sogenannten „Session-Cookies“ dürfen ohne Zustimmung des Besuchers verwendet werden. Sie speichern Daten, um die Benutzer­freundlichkeit auf der Website zu ermöglichen, indem sie sich beispielsweise die Login-Daten oder Spracheinstellungen im Browser, wie auch Produkte im Warenkorb während der Sitzung merken. Diese Session Cookies löschen sich mit dem Schließen des Browsers.
• Cookies, die das Surf-Verhalten der Nutzer mitspeichern (Nachverfolgung): Betroffen sind vor allem Targeting-Cookies, wie auch Tracking-, Analyse- und Social-Media-Cookies. Hier galt bisher schon, dass der User / die Userin einer Verwendung der Cookies zustimmen und vorher detailliert informiert werden muss.
• Nachverfolgungs-Informationen können im Browser nicht nur als Cookie gespeichert werden: Mit anderen Web-Techniken wie den "Local Storage" können ebenfalls dauerhaft Informationen zur Nachverfolgung eines Benutzers abgelegt werden.

Cookies sind per se nichts Schlechtes, im Gegenteil. Sie ermöglichen ein besseres Online-Erlebnis, schnelleres und bequemeres Surfen.