24. Oktober 2019 | Cindy Wüst
Spätestens seit dem Inkrafttreten der DSGVO Anfang 2018 kennt sie wohl jeder: Die berühmt-berüchtigten Cookie-Banner. Sie entstanden aus dem guten Willen der Datenschützer und ploppen seitdem beim Betreten nahezu jeder Website auf. Die Banner informieren den Besucher darüber, dass auf der Seite Cookies verwendet werden. Seien wir ehrlich, diese Information nervt eher, als dass sie hilfreich ist. Es ist immer mindestens 1 Klick zusätzlich erforderlich, wenn man eine Website besucht. Vielleicht wäre eine Lösung besser gewesen, in der jeder Internet-Browser bei jedem Öffnen einmalig über alle Risiken informiert, die im Web auftreten können. Aber so einfach ist es nicht. Es ist um einiges komplexer.
Was sind eigentlich Cookies?
Im Grunde sind es kleine Textdateien, die auf dem PC eines Website-Besuchers gespeichert werden. Diese Textdateien enthalten beispielsweise Informationen, damit der Besucher bei einem erneuten Besuch wieder erkannt werden kann.
Es gibt verschiedene Arten. Die Unterscheidung erfolgt demnach, wie sehr ein Cookie den Datenschutz des Website-Besuchers gefährdet.
Notwendige Cookies dürfen ohne Einwilligung des Besuchers gesetzt werden. Sie sind für den Betrieb einer Website technisch notwendig. Dazu gehören beispielsweise die Session-Cookies für Login und Warenkorb. Sie werden nur für den Zeitraum des aktuellen Website-Besuchs gespeichert. Dadurch können Sie zum Beispiel eine passwortgeschützte Website besuchen, ohne ständig Ihr Passwort neu eingeben zu müssen. Sie sind nur solang gültig, bis der Website-Besuch beendet wird.
Eine zweite Art der Cookies personalisieren eine Website. Sie steigern den Komfort für den Website-Besucher. In diese Gruppe fallen auch die Cookies, die zum Zwecke statistischer Auswertungen gesetzt werden und von Analysetools verwendet werden.
Zur dritten Art gehören die Cookies, die das Verhalten des Besuchers analysieren und für Werbezwecke eingesetzt werden. Da diese viele Informationen sammeln und Besucher auch auf anderen Websites verfolgen, sind sie datenschutzrechtlich am bedenklichsten.
Zu dieser Art gehören die sogenannten Tracking-Cookies. Sie werden dauerhaft auf Ihrem PC gespeichert. Die Anwendung für diese Cookies ist speziell im Marketing angesiedelt. Man unterscheidet zwischen First-Party- und Third-Party-Cookies.
Die First-Party-Cookies werden von der Website, auf der Sie sich befinden, bei Ihnen gespeichert. Sie dienen hauptsächlich der Analyse des Nutzerverhaltens und bieten damit die Möglichkeit, eine Website zu optimieren.
Die Third-Party-Cookies werden von Dritten über Werbebanner oder Retargeting-Pixel auf Ihrem PC gespeichert. Dies haben Sie sicherlich schon einmal erlebt. Das beste Beispiel dafür ist, wenn Sie in einem Onlineshop bestimmte Produkte angeschaut haben und dann auf einmal genau dafür Werbung auf anderen Websites sehen.
Was ist jetzt neu?
Nicht neu ist, dass über die verwendeten Cookies einer Website informiert werden muss. Setzt man nur technisch notwendige Cookies, reicht weiterhin der bisherige Banner aus. Dieser muss auf die Datenschutzerklärung verweisen, in der ausführlich über die gespeicherte Information, den Zweck, die Dauer und den Verantwortlichen informiert wird.
Nun hat der Europäische Gerichtshof am 1. Oktober 2019 ein Urteil gesprochen, nachdem nicht notwendige Cookies ein Opt-In erfordern. Das heißt, sobald Cookies der oben beschriebenen zweiten und dritten Art eingesetzt werden, reicht die bisherige Information nicht mehr aus. Hier muss der Besucher aktiv bestätigen, dass er mit dem Setzen aller Cookies einverstanden ist.
Dies ist schon dann erforderlich, wenn Ihre Website Dienste von Drittanbietern nutzt, die Cookies setzen. Dazu gehört zum Beispiel eine Standortkarte von Google Maps, extern eingebundene Schriftarten von Google Fonts oder Adobe Fonts, eingebundene YouTube-Videos oder auch Google Analytics und andere Analyseprogramme für Websites.
Jede Website muss individuell geprüft und angepasst werden. Nutzen Sie auf Ihrer Website nicht notwendige Cookies, dürfen diese erst geladen werden, wenn der Besucher dem Speichern zugestimmt hat. Eine Google Standortkarte darf beispielsweise somit erst angezeigt werden, wenn der Besucher der Website das auch akzeptiert hat.
Entspricht Ihre Website den rechtlichen Vorgaben nicht, riskieren Sie eine Abmahnung und ein Bußgeld. Dies kann bei einem fehlenden OptIn bis zu 30.000 Euro betragen. Die Abmahngefahr besteht nicht nur durch die Datenschutzbehörde, sondern auch durch Konkurrenten oder Rechtsanwälte.
Hier können Sie das Urteil des Europäischen Gerichtshof nachlesen.