EuGH-Urteil zum Cookie-Hinweis

Viele haben bereits von der so genannten "Cookie-Richtlinie" im Rahmen der ausschließlichen Gültigkeit der DSGVO im Mai 2018 gehört. Der EuGH hat nun ein verbindliches Urteil zum "Cookie-Hinweis" gefällt. Wir haben alle relevanten Fakten für Website-Betreiber zusammengetragen.
Urteil des EuGH zum Cookie-Hinweis

Der „Cookie-Hinweis“ spielt bereits seit ausschließlicher Gültigkeit der Datenschutzgrundverordnung (DSGVO) eine zentrale Rolle. Dem aktuellen Urteil des Europäischen Gerichtshofs folgend (EuGH, AZ: C-673/17, Stand: Oktober 2019), gibt es eine Pflicht für Website-Betreiber, ein datenschutzkonformes Cookie-Management einzurichten, sofern Tracking Codes verwendet werden. Ergänzend hierzu müssen informierte Einwilligungserklärungen von den Website-Besuchern genauso eingeholt werden, wie eine Anpassung der Datenschutzerklärung Ihrer Website notwendig sein wird. Im Folgenden klären wir die wichtigsten Fragen:

Was sind Cookies überhaupt und was ist ein Cookie-Hinweis?

Cookies sind erstmal nichts anderes als Text-Dateien, die auf einem Web-Server gespeichert werden und Website-Betreibern und den Servern ermöglichen, Nutzer wiederzuerkennen. Die Vorteile hierfür liegen auf der Hand: Insbesondere Webshops mit Warenkörben, aber auch Online-Portale, Einkaufslisten sowie komplett personalisierte Websites (etwa soziale Netze, Portale, Streaming-Anbieter) sind darauf angewiesen, um den Nutzerinnen und Nutzern ein möglichst reibungsloses und angenehmes Surf-Verhalten zu bieten. Dadurch kann sich zum Beispiel Netflix merken, wo wir unsere letzte Serie aufgehört haben und weiß Amazon auch noch, was wir zuletzt in unseren Warenkorb gepackt haben. Aber auch für Website-Betreiber ist das Feature hilfreich – so können wir ermitteln, wie viele Besucher wann wie lange was auf der Website gemacht haben. Daraufhin können wir unser Angebot anpassen oder sogar in einem weiteren Schritt den Nutzerinnen und Nutzern individuell genau die Angebote zur Verfügung stellen, die sie benötigen. Weiterhin haben Cookies den Vorteil, dass wir auch über den Website-Besuch hinweg tracken können, ob sich Nutzerinnen und Nutzer auf anderen Websites aufhalten – dort können wir dann problemlos unsere Werbung ausspielen und begleiten die Surfenden mit unserer Marketing-Erinnerung weiter.

Bei den Cookies gibt es verschiedene Versionen, von denen wir einige hier beispielhaft aufführen möchten:

  • persistente (langlebige) Cookies, die in der Regel nicht gelöscht werden; sie dienen dazu, bestimmte Erscheinungsbilder immer wieder abzurufen und werden in der Regel durch die Nutzerinnen und Nutzer selbst maßgeblich beeinflusst (etwa das optische Erscheinungsbild einer App oder die Watchlist bei einem Streaming-Anbieter)
  • Session Cookies zeichnen sich dadurch aus, dass sie kurzfristig (der Zeitraum ist hierbei mehr oder weniger frei wählbar) Informationen speichern. Wenn Sie sich zum Beispiel einloggen, den Tab schließen und fünf Minuten wiederkommen, sind Sie häufig noch eingeloggt. Auch Warenkörbe in Shops werden häufig auch nach den Login mit übernommen; Banken hingegen zeigen häufig an, wie lange der aktuelle Login (die aktuelle Session) noch gilt. Dort ist möglich, die Session wieder zurückzusetzen.
  • Tracking Cookies werden insbesondere im Datenschutz eher kritisch gesehen. Für Werbetreibende, insbesondere im Web, können Sie eine sinnvolle Unterstützung darstellen; Tracking Cookies werden – anders als persistente Cookies oder Session Cookies, nicht vom Betreiber-Server gesetzt (und verwaltet), sondern von externen Web-Servern, in der Regel Ad Servern (etwa von Google oder Facebook) verwaltet. Der Vorteil: Selbst dann, wenn Sie Website A verlassen, kann auf Website B (etwa einem Nachrichtenportal) über denselben Werbe-Anbieter eine zu Website A passende Werbung eingespielt werden. Insbesondere im Bereich von Remarketing oder aber auch im (langfristigen) Tracking von Conversions (also Newsletter-Anmeldungen, Käufen, etc.) ist das ein sehr machtvolles Tool 
 
Ein häufiger Kritikpunkt an Cookies ist, dass diese intransparent verwendet werden und insbesondere Daten von Plattformen wie Google oder Facebook gewinnbringend und damit nachhaltig zu Ungunsten der Internet-Nutzer*innen verwendet werden. So werden zwar Daten nicht personalisiert zur Verfügung gestellt, wohl aber von den großen Plattformen verwaltet und eben auch individuell bestellt. Wenn zum Beispiel ein bestimmtes Kaufverhalten aufgrund der Zugehörigkeit zu einer bestimmten Zielgruppe erwartet werden kann, können etwa Flüge auf derselben Plattform für zwei verschiedene Nutzer aufgrund ihres Aufenthaltorts oder alternativen Surf-Verhaltens mit zwei verschiedenen Preisen angezeigt. Für das werbetreibende Unternehmen ist das natürlich wirtschaftlich interessant. Insbesondere die fehlende Transparenz und die weitgehend unkontrollierte Datensammelwut von Plattformen und Unternehmen steht dabei im Fokus der Datenschützer.

 

Der Cookie-Hinweis hat die Aufgabe, die Nutzer darüber zu informieren, welche Cookies zur Anwendung kommen – und warum. Darüber hinaus sollte Nutzer in der Lage sein, zu bestimmen, welche Cookies sie zulassen möchten – und welche nicht.

Was ist ein datenschutzkonformes Cookie-Management?

Es gibt zwar eine ganze Menge an Browser-Erweiterungen, häufig als so genannte Ad Blocker bezeichnet, die nicht nur auflisten, welche Cookies eine Website einsetzt. Häufig blocken diese Ad Blocker auch für den Genuss einer Website relevante Inhalte oder entziehen Medienhäusern eine wichtige wirtschaftliche Grundlage, in dem sie die Werbung wirklich blockieren, sodass das Medienhaus darüber kein Geld verdienen kann. Browser wie etwa Firefox bieten darüber hinaus von Haus aus eine automatisch aktivierte Tracking Protection an, die das Tracking von Drittanbietern standardmäßig unterbindet.

So oder so: Für die Verwendung von Cookies muss ein so genannter Erlaubnistatbestand nach Artikel 6 DSGVO vorliegen. Der Website-Betreiber kann demnach entweder die Einwilligung der Website-Nutzer*innen einholen oder aber sich auf die Erfüllung des Vertrags beziehungsweise die Rechtsgrundlage der berechtigten Interessen berufen, sprich: nachweisen, dass das Interesse der Nutzung dieser Tracking Cookies nachvollziehbar hoch liegt.

Bis dato war gängige Meinung, dass ein so genannter Opt Out-Cookies ausreichend ist, sprich: Wenn Sie unten eine Leiste einbinden und darüber informieren, dass Sie Cookies verwenden und die Nutzer nach Akzeptanz einfach weitersurfen, waren die Cookies von Anfang an aktiviert und mussten im Bedarfsfall in der Regel umständlich über die Datenschutzerklärung angepasst werden. Das Urteil EuGH schafft hier nun Klarheit: Cookies müssen per default ausgeschaltet sein, die Zustimmung zur Nutzung muss aktiv erfolgen. Das EuGH folgt einer Empfehlung aus dem Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder aus dem April 2018. Kurz und gut: Der Cookie-Hinweis mit der Auswahl des Cookie-Einsatzes wird Pflicht.

Damit ist eine Datenschutzkonformität aber nicht unbedingt gegeben. Zum einen muss dieses neue Banner oder Layer eindeutig darüber aufklären, welche Cookies warum und für was eingesetzt werden, sprich: es muss eine Klassifikation von Cookies in verschiedene Kategorien geben. So ist zum Beispiel jede Form des Trackings (via Google Analytics als Drittanbieter genauso wie Matomo über Server-eigenes Tracking) eine Form optionalen Cookies, da diese für die Funktionsweise der Website in der Regel nicht nötig sind – anders zum Beispiel als Cookies, die Watchlists zusammenstellen, Listen wieder abrufbar machen oder auch Warenkörbe verwalten. Aber auch flächig große Layer, welche die Website unbrauchbar dürften nicht als datenschutzkonform gelten, weil die Einwilligung als nicht freiwillig erteilt gelten könnte – und damit unwirksam ist.

Datenschutzkonformes Cookie-Management in Form eines Cookie-Hinweises muss also per default alle Cookies deaktivieren und den Nutzern die Wahl geben, mit welchen Cookies die Seite (ggf. unter Einschränkung der Nutzerfreundlichkeit) genutzt werden können soll. Das bedeutet demnach auch, dass die Hinweise aus dem Cookie-Hinweis auch wirklich Anwendung finden müssen, sprich: Die Cookies müssen auch deaktiviert bleiben. Aus der Opt-Out-Version der Cookies wird eine Opt-In-Version.

Welche Lösungen können wir Ihnen für Ihr Content Management System (WordPress, Contao, ProcessWire) anbieten?

Soweit, so alles klar – aber was heißt das denn nun für Sie konkret.? Abhängig von den zur Anwendung kommenden Content Management Systemen sowie den zur Anwendung kommenden Cookies sehen die Lösungen ganz unterschiedlich aus. Im Rahmen der Zusammenarbeit unserer Kunden supporten wir neben rein gecodeten Applikationen und Lösungen folgende andere Content Management Systeme standardmäßig – alles weitere selbstverständlich wie immer auf Anfrage:

  • WordPress:
    • Variante 1: Wir lizensieren und implementieren ein Standard-mäßiges. Neben einem einmaligen Aufwand für die Implementierung und Konfiguration fallen außerdem pro Jahr weitere 15 EUR netto als Lizenzkosten für das entsprechende Plugin und Updates an. Eine zusätzliche Anpassung der Datenschutzerklärung durch Ihren Datenschutzbeauftragten ist notwendig. 
    • Variante 2: Über unseren Partner im Bereich Datenschutz bieten wir Ihnen ein Plugin an, dass selbständig neue Cookies auf der Seite entdeckt und auch dynamisch rechts- und abmahnsicher die Richtigkeit der Datenschutzerklärung sicherstellt – geprüft durch ein Vier-Augen-Prinzip der Datenschutzexperten. Neben dem identischen einmaligen Aufwand für die Implementierung und Konfiguration fallen außerdem pro Jahr 238,80 EUR netto (19,90 EUR netto / Monat) Lizenzkosten an, welche direkt über den Partner abzuwickeln sind. 
  • Contao: Anders als bei WordPress arbeiten wir hier nur mit einem Partner zusammen, welcher der WordPress-Variante 1 entspricht. Wir bieten neben einem einmaligen Aufwand für die Implementierung und Konfiguration eine Aufstockung der jährlichen Lizenzkosten in Höhe von 15 EUR netto / Jahr an. Eine zusätzliche Anpassung der Datenschutzerklärung durch Ihren Datenschutzbeauftragten ist notwendig.
  • ProcessWire: Ähnlich zu Contao arbeiten wir hier nur mit einem Partner zusammen, welcher der WordPress-Variante 1 entspricht. Wir bieten neben einem einmaligen Aufwand für die Implementierung und Konfiguration eine Aufstockung der jährlichen Lizenzkosten in Höhe von 15 EUR netto / Jahr an. Eine zusätzliche Anpassung der Datenschutzerklärung durch Ihren Datenschutzbeauftragten ist notwendig.
 
Bei allen Systemen ist außerdem möglich, komplett auf Cookies zu verzichten; in vielen Fällen schränkt das aber die Funktionalität und es gibt keine Möglichkeit mehr, die Nutzer zu tracken.
Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

Weitere Beiträge in unserem Blog

Allgemein

Hunde im Agentur-Büro – unser Fazit nach zwei Jahren

Kennt ihr schon unsere wilden Vierbeiner Walt und Askan? Die beiden sind mittlerweile schon zwei Jahre fester Bestandteil unseres Teams und unterstützen uns seitdem als Kartonzerkleiner und Feelgood-Manager. Hier sagen wir euch, wie es ist Hunde mit im Büro zu haben und geben euch hilfreiche Tipps und Tricks.

Weiterlesen »

ANGEBOT ANFRAGEN

Wenn Sie Ihre E-Mail-Adresse, Ihren Namen und optional Ihre Telefon-Nummer hinterlassen, stellen wir Ihnen schnell und unverbindlich ein Angebot über die gewünschte Leistung zur Verfügung.