Cookies und Banner überall

Wer kennt sie nicht – die allgegenwärtigen Cookie Banner?

 Seit dem 25. Mai 2011 begleiten uns die Cookie Banner auf unseren Wegen durch das Web. Was hat es mit diesem Datum auf sich? An diesem Tag endete die Übergangsfrist zur Umsetzung der sog. EU-Cookie-Richtlinie. Seither werden Cookie Banner auf fast allen Websites eingebaut.

Die Richtlinie, die übrigens schon 2009 beschlossen wurde, bestimmt, dass für das Setzen von Cookies eine Einwilligung der Nutzer erforderlich ist. Eine Ausnahme gilt nur, wenn Cookies technisch notwendig sind. Entweder, um eine Seite korrekt darzustellen oder um die Funktion der Seite zu gewährleisten.

,,Wer also auf seiner Seite einen Facebook Like-Button oder Google Analytics einbinden möchte, müsste bei strenger Umsetzung der Richtlinie also seine Besucher um Erlaubnis fragen und gleichzeitig darüber informieren, was mit den gesammelten Daten passiert. In anderen europäischen Staaten wird das auch durchaus so gehandhabt.

Der deutsche Gesetzgeber hat die Vorgaben der Richtlinie seit 2009 aber faktisch nur unzureichend umgesetzt. Trotz aller Kritik von Experten wurde vom deutschen Gesetzgeber angenommen, dass die bisherige nationale Lösung ausreiche, um den Forderungen der Richtlinie Genüge zu tun.
Bei dieser „Opt-Out“ genannten Lösung wird darauf gesetzt, dass User, die die Sammlung ihrer Daten nicht wünschen, die Verwendung von Cookies aktiv ablehnen. Daher informieren die Banner lediglich über den Einsatz von Cookies. Nur das Ablehnen der Cookies fordert aktives Handeln durch einen Klick, von einer Einwilligung wird erst einmal ausgegangen.

Spätestens seit Einführung der neuen E-Privacy Verordnung, die EU weit einheitliche Regelungen für den Schutz der Privatsphäre im digitalen Bereich schaffen soll, wäre diese bisherige deutsche Lösung wohl endgültig nicht mehr tragbar. Mit der EU-weiten Einführung dieser Verschärfung wird aller Voraussicht um 2022 gerechnet. Im Vorgriff auf diese erwartete Regelung wird von vielen Webmastern bereits jetzt die vom EuGH präferierte Lösung des „Opt-In“ umgesetzt.

Der Europäische Gerichtshof hat in diesem Jahr in einem Urteil zur Rechtssache „Planet49 (Pressemitteilung) erwartungsgemäß bestätigt, dass die Zustimmung zum Setzen von Cookies eine aktive Handlung sein soll. Das Setzten von Cookies, die nicht technisch notwendig sind, erfordert nach Auffassung des Gerichtes die aktive Einwilligung der betroffenen Person. Ein vorangekreuztes Kästchen oder eine einfache Opt-Out Möglichkeit machen die Einwilligung unwirksam. Das gilt demnach uneingeschränkt auch für deutsche Unternehmen.

Das Urteil ist in seinem Wortlaut eindeutig und klar formuliert. Es bietet wenig Spielraum für eine kreative Interpretation. Ein „weiter so“ soll offenbar ausgeschlossen werden. Das hat Konsequenzen nicht nur für deutsche Webseitenbetreiber, die zur „Verbesserung der Nutzererfahrung“ und für ein „personalisiertes Erlebnis“ Cookies verwenden, sondern auch für den deutschen Gesetzgeber, der nun eindeutig auf die mangelnde Umsetzung von EU Recht hingewiesen worden ist. Wann die allfällige Änderung der deutschen Regelung in Kraft tritt, lässt sich schwierig vorhersagen, allerdings hat das zuständige Bundes-Innenministerium aufgrund des neuen europäischen Datenschutzrechts schon eine Anpassung des Telemediengesetzes geplant. Betroffene Unternehmen, und das dürften alle mit einem eigenen Webauftritt sein, sollten sich also eher früher als später mit dem Thema auseinandersetzen.

Als erstes muss sich der Betreiber einer Website darüber Klarheit verschaffen, welche Plug-Ins, Tracker und ähnliche Dienste auf den eigenen Plattformen überhaupt betrieben werden und Cookies setzen. Welche dieser Dienste technisch notwendig sind und welche nicht in diese Kategorie fallen, ist die nächste Prüfaufgabe. Für die technisch nicht unabdingbar nötigen muss dann eine Einwilligung über ein aktives Opt-In beim Nutzer eingeholt werden. Bei dieser Einwilligung muss auch darüber informiert werden, wie und zu welchem Zweck die Daten verwendet werden.

Warum es nicht empfehlenswert ist, sich auf die Zustimmung der Gerichte zum „deutschen“ Vorgehen zu verlassen, zeigt ein Fall aus Spanien. Dort wurde eine Fluggesellschaft von der spanischen Datenschutzaufsicht wegen Verstoßes gegen nationales Datenschutzrecht mit einem Bußgeld von 30.000 Euro belegt. Die Fluggesellschaft setzt Cookies unter anderem zur Analyse, Statistik, Werbung und Ortsbestimmung ein, auch Pixel-Tags und Web-Beacons von Dritten kommen zum Einsatz. Folgendes Banner, das den bislang üblichen Bannern auf deutschen Websites sehr ähnlich ist, soll Besucher „ausreichend“ informieren:

https://www.vueling.com/de

Das Banner wird dem spanischen Datenschutzrecht, dass ja auch auf der EU-Richtlinie fußt, aber anscheinend nicht gerecht. Vor allem die fehlende Möglichkeit der Datenverfolgung nicht zuzustimmen ist in den Augen der spanischen Behörden ein Verstoß gegen geltendes Recht und im Einklang mit dem Urteil im Fall Planet 49.

Deutsche Websitebetreiber sollten sich also mit der hier üblichen Opt-Out Lösung nicht allzu sicher fühlen. Wenn auch Bußgeldbescheide dieser Größenordnung wohl nicht sofort als unliebsame Weihnachtspost bei deutschen Unternehmen ins Haus flattern dürften, ist eine Anpassung an EU-Recht zeitnah sicher sinnvoll.

 

Bild „DSGVO“ Quelle: Pixabay
Summary
Cookies und Banner überall
Article Name
Cookies und Banner überall
Description
Seit dem 25. Mai 2011 begleiten uns die Cookie Banner auf unseren Wegen durch das Web. Was hat es mit diesem Datum auf sich? An diesem Tag endete die Übergangsfrist zur Umsetzung der sog. EU-Cookie-Richtlinie. Seither werden Cookie Banner auf fast allen Websites eingebaut. Eine Anpassung an EU-Recht ist zeitnah sicher sinnvoll.
Author
Publisher Name
Office360 GmbH
Publisher Logo