Neue Datenschutz Regeln bei Cookies
Für Seitenbetreiber ist das Thema Cookies inzwischen zu einer neverending Story um Einwilligungserklärungen geworden. Und die Geschichte geht weiter: Nach einem Urteil des Europäischen Gerichtshofs (EuGH) müssen Betreiber von Internetseiten nun noch komplexere Vorkehrungen treffen, um die Einwilligung ihrer User einzuholen und rechtlich auf der sicheren Seite zu sein.
Ein einfaches Banner mit voreingestellten Ankreuzkästchen erfüllt nach diesem Urteil nämlich nicht mehr die datenschutzrechtlichen Anforderungen. Dadurch ist mit einer verschärften Regulierung in Deutschland zu rechnen. Doch was bedeutet das nun für Seitenbetreiber?
Rechtliche Definitionen und Aufgaben für Unternehmen
Das EuGH-Urteil definiert, dass eine Einwilligung zur Verwendung von Cookies „für den konkreten Fall“ und „unmissverständlich“ erteilt werden muss. Dies bedeutet, dass der Nutzer aktiv zustimmen muss. Ein passives Weitersurfen oder wegklicken eines Banners reichen damit nicht mehr aus. Zusätzlich müssen dem Nutzer klare und verständliche Informationen zur Verwendung seiner Daten zur Verfügung gestellt werden. Außerdem müsse er die Funktionsweise der Cookies verstehen können und über die Funktionsdauer, die Zugriffsmöglichkeiten Dritter und die Empfänger informiert werden.
Rechtlich wäre es leicht zu sagen: „Tracking Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.“ Diese Aussage ist juristisch 100%ig richtig. Sie wird den meisten Unternehmen aber praktisch nicht weiterhelfen. Für sie bedeutet das Urteil, dass sie entweder das Webtracking über Drittseiten deutlich einschränken oder eine aktive Einwilligung mit umfassenden Erläuterungen vorsehen. Die wichtigste Frage für Internetseitenbetreiber ist nun: Wie können sie diese Vorgaben praktisch und effizient umsetzen?
Tools und Tipps zur Umsetzung der Cookie Regeln
Zusammengefasst dürfen Tracking-Cookies also nicht mehr ohne echte Einwilligung der Nutzer gesetzt werden. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden. Zu beachten ist erstmal, dass nicht alle Cookies betroffen sind. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind zum Beispiel Warenkorb-Cookies, Cookies für LogIns, Cookies die eine Länder- oder Sprachauswahl betreffen oder Cookies, die Consent Tools für die Cookie Einwilligung setzen
In der aktuellen Diskussion und bei dem Urteil des EuGH geht es im Wesentlichen um Marketing- und Tracking Cookies. Wir empfehlen deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen.
Empfehlungen von Consent Tools:
+ Cookiebot
Wie schon an verschiedenen Stellen vorgestellt nutzen wir die Lösung von Cookiebot: https://cookie.dsbok.de. Kunden die ein Konto über uns bestellte haben, können die neuen Einstellungen von uns administrieren lassen.
+ Usercentrics
Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung, die im Normalfall oft mehrere hunderte Euro im Monat kosten kann. Das Consent Tool funktioniert für die meisten Webseiten-Typen unabhängig vom verwendeten CMS.
Für DSBOK Kunden bieten wir eine Lösung von Usercentrics an, die ohne Zusatzkosten exklusiv in Mandat enthalten ist und die wichtigsten Tools wie Google Analytics, Facebook Pixel, GoogleMaps, YouTube, Xing, Twitter und Google TagManager umsetzt. Da das Tool unabhängig von einem CMS auf möglichst vielen Webseiten funktioniert, benötigen Sie für die korrekte Einbindung allerdings etwas Programmierer-Know How.
+ Borlabs Cookie: PlugIn für WordPress
Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, empfehlen wir Borlabs Cookie.
+ Consent Management Provider (CMP)
Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS, ist also z.B. nicht auf WordPress beschränkt. Es gibt eine kostenlose Variante mit einigen Einschränkungen und bis zu 10.000 Page Views/ Monat:
Consent Management Provider (CMP)
Checkliste für Consent Tools:
Egal für welches Consent Tool Sie sich entscheiden, prüfen Sie auf jeden Fall, ob folgende Voraussetzungen erfüllt sind:
+ Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein
+ Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken
+ Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden
+ Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein
Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Achten Sie darauf, dass Sie Ihr Consent Tool in Ihrer Datenschutzerklärung darstellen. Zu beachten ist außerdem, dass bei einer Nutzung von Consent Tools die Datenschutzerklärung angepasst werden muss.
Für die Umsetzung sollten sich Seitenbetreiber nicht zu viel Zeit lassen. Es wurden zwar keine Fristen gesetzt, aber die deutschen Gerichte werden sich in ihren Urteilen an die Vorgaben des EuGH halten. Und die Datenschutzbehörden werden wohl ebenfalls dieser Auffassung folgen.
Tipps für Werbetreibende zum Cookie-Urteil:
Schritt: Prüfen
Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:
- Welche Plugins/Tools werden für dieWebsite/App genutzt? Häufig ist dies nicht bekannt, weil ein IT Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App „eingebaut“ haben.
- Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten Ihrer Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter/System? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät Ihrer Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
- Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?
- Speichert das Plugin/Tool Bewegungs oder Aktionsdaten des Benutzers aus denen sich personenbezogene Profile erstellen lassen?
Schritt: Maßnahmen ergreifen
Für jedes Plugin/Tool, für das alle oder einige der obenstehenden Fragen mit „ja“ beantwortet werden, können folgende Maßnahmen teilweise oder gesamt erforderlich sein:
- Schließen Sie mit dem Anbieter des Plugins/Tools eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DS-GVO ab. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine von Ihnen vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
- Informieren Sie die Nutzer Ihrer Website/App über das Plugin/Tool und stellen Sie dafür alle Datenschutzinformationen gemäß Art. 13, 14, 21 DS-GVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DS- GVO zur Verfügung. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
- Holen Sie vor der Aktivierung des Plugins/Tools eine ausdrückliche Einwilligung (Opt- in) der Nutzer ein, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht.
- Dokumentieren Sie den hierfür implementierten Prozess sowie die technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen.
Vorgehen bei Social-Media-Plugins
Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.
Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen sie Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.
Trackingtool auf dem eigenen Server
Wenn das eingesetzte Trackingtool auf der eigenen Serverlandschaft installiert ist und keine Daten an Dritte schickt, ist zu beachten, dass trotzdem für das Tracking eine Einwilligung eingeholt werden sollte. Die Problematik mit dem weiteren Empfänger entfällt an dieser Stelle. Ggf. muss mit der Agentur, die das Plugin/Tool betreut/einrichtet ein AV Vertrag abgeschlossen werden. Hier werden zwar keine personenbezogenen Daten an Dritte weitergegeben aber der Sachverhalt, das aus dem Tracking automatisiert Profile erstellt werden können erfordert die Einwilligung.
Einwilligungserklärungen nutzerfreundlich gestalten
Viele Firmen versuchen die Einwilligung durch Nebensätze wie „… wenn Sie nicht zustimmen, können wir Ihnen eventuell verschiedene Dienste auf unserer Webseite nicht richtig anbieten…“ zu „erzwingen“. Dies stellt im Rahmen der DSGVO ein Problem da, weil zum einen dem User keine nennenswerten Nachteile durch die Verweigerung der Einwilligung entstehen. Zudem gilt bei der Einwilligung „Privacy by design“ und „privace by default“. Design ist hier auf den Inhalt bezogen. Die textliche Gestaltung suggeriert hier, dass der Betroffene das System nicht vollständig benutzen kann, wenn er nicht zustimmt.
Dazu noch ein wichtiger Tipp zum Schluss: Eine gut gemachte Einwilligung, erzeugt mehr Zustimmung beim Betroffenen als eine karge Wort-Wüste die es auf das allernötigste reduziert.
Weitere Informationen zu dem Thema finden Sie in meinem PDF „Cookies und Tracking“, das Sie sich herunterladen können. Kontaktieren Sie mich, wenn Sie mit Ihrem Unternehmen Unterstützung bei der Umsetzung benötigen. Melden Sie sich einfach bei mir und genießen Sie trotz der ganzen Diskussion weiterhin Ihre Kekse zum Kaffee!
Leider werden immer noch viel zu häufig Passwörter benutzt, die Hacker in wenigen Sekunden knacken können. Häufig ist es einfach zu lästig oder man ist zu bequem ein langes sicheres Passwort zu benutzen. Abhilfe schafft der Kryptonizer den ich vom BVD e.V. zugeschickt bekommen habe.