Der „Cookie-Hinweis“ spielt bereits seit ausschließlicher Gültigkeit der Datenschutzgrundverordnung (DSGVO) eine zentrale Rolle. Dem aktuellen Urteil des Europäischen Gerichtshofs folgend (EuGH, AZ: C-673/17, Stand: Oktober 2019), gibt es eine Pflicht für Website-Betreiber, ein datenschutzkonformes Cookie-Management einzurichten, sofern Tracking Codes verwendet werden. Ergänzend hierzu müssen informierte Einwilligungserklärungen von den Website-Besuchern genauso eingeholt werden, wie eine Anpassung der Datenschutzerklärung Ihrer Website notwendig sein wird. Im Folgenden klären wir die wichtigsten Fragen:
Was sind Cookies überhaupt und was ist ein Cookie-Hinweis?
Cookies sind erstmal nichts anderes als Text-Dateien, die auf einem Web-Server gespeichert werden und Website-Betreibern und den Servern ermöglichen, Nutzer wiederzuerkennen. Die Vorteile hierfür liegen auf der Hand: Insbesondere Webshops mit Warenkörben, aber auch Online-Portale, Einkaufslisten sowie komplett personalisierte Websites (etwa soziale Netze, Portale, Streaming-Anbieter) sind darauf angewiesen, um den Nutzerinnen und Nutzern ein möglichst reibungsloses und angenehmes Surf-Verhalten zu bieten. Dadurch kann sich zum Beispiel Netflix merken, wo wir unsere letzte Serie aufgehört haben und weiß Amazon auch noch, was wir zuletzt in unseren Warenkorb gepackt haben. Aber auch für Website-Betreiber ist das Feature hilfreich – so können wir ermitteln, wie viele Besucher wann wie lange was auf der Website gemacht haben. Daraufhin können wir unser Angebot anpassen oder sogar in einem weiteren Schritt den Nutzerinnen und Nutzern individuell genau die Angebote zur Verfügung stellen, die sie benötigen. Weiterhin haben Cookies den Vorteil, dass wir auch über den Website-Besuch hinweg tracken können, ob sich Nutzerinnen und Nutzer auf anderen Websites aufhalten – dort können wir dann problemlos unsere Werbung ausspielen und begleiten die Surfenden mit unserer Marketing-Erinnerung weiter.
Bei den Cookies gibt es verschiedene Versionen, von denen wir einige hier beispielhaft aufführen möchten:
- persistente (langlebige) Cookies, die in der Regel nicht gelöscht werden; sie dienen dazu, bestimmte Erscheinungsbilder immer wieder abzurufen und werden in der Regel durch die Nutzerinnen und Nutzer selbst maßgeblich beeinflusst (etwa das optische Erscheinungsbild einer App oder die Watchlist bei einem Streaming-Anbieter)
- Session Cookies zeichnen sich dadurch aus, dass sie kurzfristig (der Zeitraum ist hierbei mehr oder weniger frei wählbar) Informationen speichern. Wenn Sie sich zum Beispiel einloggen, den Tab schließen und fünf Minuten wiederkommen, sind Sie häufig noch eingeloggt. Auch Warenkörbe in Shops werden häufig auch nach den Login mit übernommen; Banken hingegen zeigen häufig an, wie lange der aktuelle Login (die aktuelle Session) noch gilt. Dort ist möglich, die Session wieder zurückzusetzen.
- Tracking Cookies werden insbesondere im Datenschutz eher kritisch gesehen. Für Werbetreibende, insbesondere im Web, können Sie eine sinnvolle Unterstützung darstellen; Tracking Cookies werden – anders als persistente Cookies oder Session Cookies, nicht vom Betreiber-Server gesetzt (und verwaltet), sondern von externen Web-Servern, in der Regel Ad Servern (etwa von Google oder Facebook) verwaltet. Der Vorteil: Selbst dann, wenn Sie Website A verlassen, kann auf Website B (etwa einem Nachrichtenportal) über denselben Werbe-Anbieter eine zu Website A passende Werbung eingespielt werden. Insbesondere im Bereich von Remarketing oder aber auch im (langfristigen) Tracking von Conversions (also Newsletter-Anmeldungen, Käufen, etc.) ist das ein sehr machtvolles Tool
Der Cookie-Hinweis hat die Aufgabe, die Nutzer darüber zu informieren, welche Cookies zur Anwendung kommen – und warum. Darüber hinaus sollte Nutzer in der Lage sein, zu bestimmen, welche Cookies sie zulassen möchten – und welche nicht.
Was ist ein datenschutzkonformes Cookie-Management?
Es gibt zwar eine ganze Menge an Browser-Erweiterungen, häufig als so genannte Ad Blocker bezeichnet, die nicht nur auflisten, welche Cookies eine Website einsetzt. Häufig blocken diese Ad Blocker auch für den Genuss einer Website relevante Inhalte oder entziehen Medienhäusern eine wichtige wirtschaftliche Grundlage, in dem sie die Werbung wirklich blockieren, sodass das Medienhaus darüber kein Geld verdienen kann. Browser wie etwa Firefox bieten darüber hinaus von Haus aus eine automatisch aktivierte Tracking Protection an, die das Tracking von Drittanbietern standardmäßig unterbindet.
So oder so: Für die Verwendung von Cookies muss ein so genannter Erlaubnistatbestand nach Artikel 6 DSGVO vorliegen. Der Website-Betreiber kann demnach entweder die Einwilligung der Website-Nutzer*innen einholen oder aber sich auf die Erfüllung des Vertrags beziehungsweise die Rechtsgrundlage der berechtigten Interessen berufen, sprich: nachweisen, dass das Interesse der Nutzung dieser Tracking Cookies nachvollziehbar hoch liegt.
Bis dato war gängige Meinung, dass ein so genannter Opt Out-Cookies ausreichend ist, sprich: Wenn Sie unten eine Leiste einbinden und darüber informieren, dass Sie Cookies verwenden und die Nutzer nach Akzeptanz einfach weitersurfen, waren die Cookies von Anfang an aktiviert und mussten im Bedarfsfall in der Regel umständlich über die Datenschutzerklärung angepasst werden. Das Urteil EuGH schafft hier nun Klarheit: Cookies müssen per default ausgeschaltet sein, die Zustimmung zur Nutzung muss aktiv erfolgen. Das EuGH folgt einer Empfehlung aus dem Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder aus dem April 2018. Kurz und gut: Der Cookie-Hinweis mit der Auswahl des Cookie-Einsatzes wird Pflicht.
Damit ist eine Datenschutzkonformität aber nicht unbedingt gegeben. Zum einen muss dieses neue Banner oder Layer eindeutig darüber aufklären, welche Cookies warum und für was eingesetzt werden, sprich: es muss eine Klassifikation von Cookies in verschiedene Kategorien geben. So ist zum Beispiel jede Form des Trackings (via Google Analytics als Drittanbieter genauso wie Matomo über Server-eigenes Tracking) eine Form optionalen Cookies, da diese für die Funktionsweise der Website in der Regel nicht nötig sind – anders zum Beispiel als Cookies, die Watchlists zusammenstellen, Listen wieder abrufbar machen oder auch Warenkörbe verwalten. Aber auch flächig große Layer, welche die Website unbrauchbar dürften nicht als datenschutzkonform gelten, weil die Einwilligung als nicht freiwillig erteilt gelten könnte – und damit unwirksam ist.
Datenschutzkonformes Cookie-Management in Form eines Cookie-Hinweises muss also per default alle Cookies deaktivieren und den Nutzern die Wahl geben, mit welchen Cookies die Seite (ggf. unter Einschränkung der Nutzerfreundlichkeit) genutzt werden können soll. Das bedeutet demnach auch, dass die Hinweise aus dem Cookie-Hinweis auch wirklich Anwendung finden müssen, sprich: Die Cookies müssen auch deaktiviert bleiben. Aus der Opt-Out-Version der Cookies wird eine Opt-In-Version.
Welche Lösungen können wir Ihnen für Ihr Content Management System (WordPress, Contao, ProcessWire) anbieten?
Soweit, so alles klar – aber was heißt das denn nun für Sie konkret.? Abhängig von den zur Anwendung kommenden Content Management Systemen sowie den zur Anwendung kommenden Cookies sehen die Lösungen ganz unterschiedlich aus. Im Rahmen der Zusammenarbeit unserer Kunden supporten wir neben rein gecodeten Applikationen und Lösungen folgende andere Content Management Systeme standardmäßig – alles weitere selbstverständlich wie immer auf Anfrage:
- WordPress:
- Variante 1: Wir lizensieren und implementieren ein Standard-mäßiges. Neben einem einmaligen Aufwand für die Implementierung und Konfiguration fallen außerdem pro Jahr weitere 15 EUR netto als Lizenzkosten für das entsprechende Plugin und Updates an. Eine zusätzliche Anpassung der Datenschutzerklärung durch Ihren Datenschutzbeauftragten ist notwendig.
- Variante 2: Über unseren Partner im Bereich Datenschutz bieten wir Ihnen ein Plugin an, dass selbständig neue Cookies auf der Seite entdeckt und auch dynamisch rechts- und abmahnsicher die Richtigkeit der Datenschutzerklärung sicherstellt – geprüft durch ein Vier-Augen-Prinzip der Datenschutzexperten. Neben dem identischen einmaligen Aufwand für die Implementierung und Konfiguration fallen außerdem pro Jahr 238,80 EUR netto (19,90 EUR netto / Monat) Lizenzkosten an, welche direkt über den Partner abzuwickeln sind.
- Contao: Anders als bei WordPress arbeiten wir hier nur mit einem Partner zusammen, welcher der WordPress-Variante 1 entspricht. Wir bieten neben einem einmaligen Aufwand für die Implementierung und Konfiguration eine Aufstockung der jährlichen Lizenzkosten in Höhe von 15 EUR netto / Jahr an. Eine zusätzliche Anpassung der Datenschutzerklärung durch Ihren Datenschutzbeauftragten ist notwendig.
- ProcessWire: Ähnlich zu Contao arbeiten wir hier nur mit einem Partner zusammen, welcher der WordPress-Variante 1 entspricht. Wir bieten neben einem einmaligen Aufwand für die Implementierung und Konfiguration eine Aufstockung der jährlichen Lizenzkosten in Höhe von 15 EUR netto / Jahr an. Eine zusätzliche Anpassung der Datenschutzerklärung durch Ihren Datenschutzbeauftragten ist notwendig.
