Wo gelten noch Ausnahmen?
„Diese Website verwendet Cookies“ – beim Besuch von Webseiten stoßen Internetnutzer immer häufiger auf solche Hinweise zum Datenschutz. Die Nutzer der Webseite werden um eine Entscheidung ersucht: „Akzeptieren“ oder „Ablehnen“. Webseitenbetreiber kommen damit ihrer Pflicht nach, über die Speicherung nutzerrelevanter Daten aufzuklären. Laut der E-Privacy-Richtlinie der EU – allgemein bekannt als „Cookie-Richtlinie“ – ist das Speichern dieser Informationen allerdings nur erlaubt, wenn die User darin einwilligen. Ein sogenanntes Opt-in-Verfahren ist demnach – zumindest bei Tracking-Cookies – obligatorisch. Das hat auch der Europäische Gerichtshof in einem neuerlichen Urteil vom Herbst 2019 bestätigt: Nutzer müssen aktiv zustimmen, bevor Cookies gesetzt werden dürfen. „Der EuGH hat für mehr Rechtssicherheit gesorgt. Gleichzeitig sollten viele Unternehmen überprüfen, welche Cookies sie oder ihr Dienstleister verwenden“, mischt sich beim erfahrenen Datenschutzfachmann Dr. Jörn Voßbein in die Genugtuung über das klarstellende Urteil etwas Unbehagen über dessen konsequente Beachtung. Ein Überblick über die Cookie-Landschaft, die geltenden Regeln, die datenschutzkonformen Cookie-Banner und wann Cookies keine Zustimmung benötigen soll zur Aufklärung beitragen:
Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten zum Besuch von Websites und erhöhen damit deren Benutzerfreundlichkeit. Bei Cookies erfolgt grundsätzlich eine Einteilung nach zwei Kategorien: Lebensdauer der Cookies (Session-Cookies, zeitliche begrenze Cookies und permanente Cookies) und nach deren tatsächlicher Funktion (Präferenz-Cookies, Statistik-Cookies und Marketing-Cookies). Wichtiger Hinweis: Für technisch notwendige Cookies, die unterschiedliche Lebensdauern besitzen können, ist keine Einwilligung der Webseitenbesucher erforderlich. Beispiele sind die Warenkorbfunktion, Auswahl der Sprache für eine Session oder kurzfristige Speicherung von Formulardaten.
Technisch notwendige Cookies dürfen laut dem Urteil des EuGHs von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.
Das ist der Unterschied zwischen Opt-out und Opt-in:
- Opt-out: Cookies werden von Beginn an gesetzt – die User können der Datenspeicherung erst nachträglich widersprechen.
- Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst, wenn der Nutzer der Datenspeicherung zustimmt.
Aber: „Laut EuGH gilt die Opt-in-Pflicht auch für Cookies, die keine personenbezogenen Daten verarbeiten. Wie nun aber konkret mit Cookies verfahren werden muss und wie die Ausgestaltung von Cookie-Bannern letztlich rechtskonform gestaltet werden kann, wird derzeit noch diskutiert.“, erläutert Dr. Voßbein.
Datenschutzkonform muss aber schon jetzt der Cookie-Banner gestaltet sein. Dabei sind für Unternehmen einige Dinge grundsätzlich zu beachten: Die Datenschutzerklärung und das Impressum müssen trotz Cookie-Banner aufrufbar sein, erst nach erfolgter Einwilligung dürfen Cookies gesetzt werden, es muss eine echte und eindeutige Handlungswahl für den User bestehen und die grundsätzlichen Angebote der Webseite dürfen nicht von einer Einwilligung abhängen. „Um einen rechtssicheren Einsatz von Cookies zu erreichen, ist das Anlegen von Checklisten für die Vorbereitung und Erstellung des Cookie-Banners hilfreich“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein aus Erfahrung. Bei der datenschutzkonformen Aufstellung von Unternehmenswebseiten unterstützen und beraten auch gerne die UIMC-Mitarbeiterinnen und Mitarbeiter mit ihrem Expertenwissen. Hierzu hat die UIMC beispielsweise eine Praxishilfe erarbeitet, die über http://praxishilfen.uimcollege.de kostenfrei abgerufen werden können.
UIMC Dr. Vossbein GmbH & Co. KG
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
