Gestaltung von Einwilligungslösungen für Cookies

von (Kommentare: 0)

Nach dem Grundsatzurteil des EuGH vom 01.10.2019 (Az. C-673/17) unterliegen alle technisch nicht notwendigen Cookies einer Einwilligungspflicht des Besuchers.

Was sind technisch nicht notwendige Cookies?

Grundsätzlich fallen unter diese Rubrik alle Cookies, welche für den Betrieb einer Website und die Bereitstellung spezifischer Funktionen einer Webseite nicht zwingend technisch erforderlich sind. Insbesondere sind hier alle Cookies aus Drittanbieter zu nennen, mit denen zu Marketing-, Marktforschungs-, Marktanalyse oder Kooperationszwecken ein bestimmtes Surfverhalten von Seitenbesuchern nachvollzogen werden soll.

Daher sind folgende Cookies einwilligungspflichtig:

  • Cookies von Tracking- und Analysetools
  • Cookies für Affiliate-Dienste
  • Cookies für Remarketing-Dienste
  • Cookies für Retargeting-Dienste
  • Cookies der Social-Media-Plugins (Facebook, Instagram, LinkedIn, Pinterest, Twitter)
  • Cookies von Video-Embedding-Anwendungen (Vimeo, Youtube)
  • Cookies von skalierbaren zentralen Messverfahren (SZM)
  • Online-Kartendienste wie Google Maps und OpenStreetMaps

Was sind technische Cookies?

Technisch notwendige Cookies sind alle, welche für den Betrieb einer Website und deren Funktionen erforderlich sind. Diese sind nicht einwilligungspflichtig. Sie müssen nicht als Einwilligungsoption in einem Banner bzw. Einstellungsfenster bei Seitenaufruf angezeigt werden. Es genügt eine Erwähnung in der Datenschutzerklärung - diese muss aber vorhanden sein!

Technisch notwendige, aber nicht einwilligungspflichtige Cookies gelten:

  • Session-Cookies, welche die Einstellungen des Nutzers speichern (beispielhafte Warenkörbe, Spracheinstellung oder Log-In-Daten)
  • Flash-Cookies zur Wiedergabe von Medieninhalten
  • Cookies, die von eingebundenen Zahlungsdiensteanbietern (unabhängig von einer konkreten Zahlung) gesetzt werden - vorausgesetzt, sie analysieren kein Nutzungsverhalten, sondern dienen ausschließlicher der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungsberechtigung
  • Opt-Out-Cookies, mit denen Cookie-Einwilligungen widerrufen werden können

Die Pflicht zur Einwilligung entfällt zudem (gemäß Art. 5 Abs. 3 der Cookie-Richtlinie 2002/58/EG), wenn der alleinige Zweck für die Cookie-Setzung die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist.

Nicht einwilligungspflichtig sind daher auch Cookies aus

  • Live-Chat-Systemen und
  • Messenger-Diensten

Gibt es technische und gestalterische Anforderungen an Cookie-Banner bzw. an die Einwilligung?

In der Praxis haben sich zur Umsetzung der Rechtsvorgabe sogenannte "Cookie-Banner" oder "Cookie Consent Tools" bewährt. Hierbei wird durch eine vorgeschaltener Abfrage beim erstmaligen Aufruf der jeweiligen Webseite entsprechende Informationen angezeigt und der Besucher kann entsprechend der Nutzung zustimmen.

Hierbei sind allerdings technische und gestalterische Punkte zu beachten:

  1. Auswahlmöglichkeit und Information über die jeweiligen Cookies

    - jeder Cookie muss aufgeführt werden
    - jeder Beteiligte muss entsprechend offen gelegt werden - auch der Zweck, für welchen der jeweilige Cookie gesetzt wird

  2. Kein Cookie-Einsatz vor Einwilligung

    Es dürfen keinerlei Cookies voraktiviert sein oder im Hintergrund laufen. Alle Cookie-Scripte müssen blockiert sein.

  3. Protokollierung & Speicherung der jeweiligen Einwilligung

    Für die Erfüllung der einwilligungsbezogene Nachweispflichte ist eine sogenannte „indirekte Nutzeridentifizierung“ ausreichend. Hierbei wird die die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist nicht erforderlich. Diese Methode genügt als Nachweis - sie hat den Vorteil, dass der betroffene bei einem erneuten Aufruf der Webseite den entsprechenden Banner bzw. das entsprechende Tool nicht mehr angezeigt bekommt.

  4. Widerruf möglich und muss durchführbar sein

    Jede Einwilligung muss widerruflich und einfach sein. Eine "one-Klick-Widerrufsmöglichkeit" sollte implementiert werden - zum Beispiel über die Datenschutzerklärung oder einen Menüpunkt / Schaltfläche "Cookie-Einstellungen"

Wie sieht es da mit Tracking-Tools wie z. B. mit Google-Analytics aus?

Sämtliche Tracking-Tools, welche auf Cookie-Basis aufgebaut sind und technisch nicht notwendige Cookies setzen, sind einwilligungspflichtig. Dies gilt auch für Google Analytics und ähnliche Systeme.

Kann ich überprüfen, ob meine Webseite Cookies verwendet?

Ja - grundsätzlich ist eine Überprüfung möglich. Die kann über den Browser, über spezielle Webseiten oder über spezielle Apps bzw. Softwarelösungen (z. B. Maxa Cookie Manager, Ghostery, etc.) möglich.

Es gibt online einige Tool, mit denen man eine Webseite hinsichtlich der Nutzung von Cookies überprüfen kann. Dazu gehören z.B. cookiemetrix.com und dataskydd.net.

Wenn Sie Ihre Webseite programmieren haben lassen oder sich unsicher sind, welche Cookies genutzt werden, so sollten Sie dies prüfen - oft werden Bestandteile wie zum Beispiel die Nutzung von Google-Maps, falscher Einsatz von Youtube-Videos, der Einsatz eines Banners (zum Beispiel Bewertungen, etc.) oder die Nutzung von speziellen Schriftarten (zum Beispiel Google-Fonts) übersehen. Dies führt zu einem Risiko, dass die datenschutzrechtliche Betrachtung der Webseite risikobehaftet ist bzw. dass die Datenschutzerklärung falsch ist.

Was bedeutet dies für mich als Webseitenbetreiber?

Wir empfehlen allen Seitenbetreibern, die für technisch nicht notwendige Cookies keine (nach den obigen Maßstäben) hinreichenden Lösungen besitzen, alle betroffenen cookie-basierten Anwendungen bis auf Weiteres abzuschalten (zum Beispiel Google-Analytics). Die bisher gängige Lösung mit der reinen Einblendung mit dem Hinweis wie zum Beispiel "Diese Webseite verwendet Cookies..." oder ähnliches ist nicht ausreichend und rechtlich sehr risikoreich.

Im Zweifelsfall raten wir unseren Kunden, bis zur weitere Definition oder Klärung der individuellen Lösung eine Abschaltung der entsprechenden Dienste.

Nur so lassen sich rechtliche Risiken vermeiden.

Zurück

Kommentare

Einen Kommentar schreiben

Was ist die Summe aus 2 und 1?