Richtungsweisende Gerichtsurteile im Sommer 2020 machen endgültig klar: das Speichern personenbezogener Daten von Websitebesuchern ohne deren ausdrückliche Zustimmung ist unzulässig. Doch wie holt man die Zustimmung dazu korrekt ein?
Das "Planet 49"-Urteil und der Sieg des österreichischen Datenschutzaktisten Max Schrems über den "EU-US-Privacy-Shield" im Sommer 2020 versetzten einer verbreiteten Praxis den Todesstoß: dem Besucher nur die Wahl zu lassen, jegliche Datenverarbeitung beim Websitebesuch zu akzeptieren oder die Website verlassen zu müssen. Die Einholung der Zustimmung zur Verarbeitung personenbezogener Daten, wie die DSGVO sie von Anfang an meinte, sieht anders aus, als es "Wir nutzen Cookies und mit Nutzung unserer Website akzeptieren Sie das"-Texte einfacher Cookie-Banner nahelegten.
Was sind Cookies und wofür werden sie verwendet?
Cookies sind kleine Textdateien, die am eigenen Computer gespeichert werden und darin Informationen zB. über Ihren Besuch einer Website, Ihren PC und seine IP-Adresse oder die genutzte Browser-Version ablegen, damit diese Website Ihnen all die gewohnten Funktionen (wie zB. den Warenkorb in einem Online-Shop) zur Verfügung stellen oder Sie bei Ihrem nächsten Besuch wieder erkennen kann, damit Sie sich schneller einloggen oder Ihnen passende Produkte gezeigt werden können. Oft werden damit personenbezogene Daten verarbeitet, die zu "Profilen" aggregiert werden können.
Sind Cookies böse oder gefährlich?
Nein, an sich nicht. Doch lassen sich damit, neben ihren nützlichen und erwünschten Funktionen auch zahlreiche weitere Funktionen realisieren, die sie in Verruf brachten: zB. das "Ausspionieren" persönlicher Vorlieben und v.a. der Weiterverkauf von auf diese Weise gesammelten personenbezogenen Profildaten an Dritte zu Werbezwecken. Deshalb verfolgt einen dann der einmal in einem Onlineshop betrachtete Turnschuh sprichwörtlich ein halbes Jahr lang durch das Internet. Für viele Geschäftsmodelle und Werbeformen sind die aktuellen Urteile also ein echtes Problem - für die Internetnutzer in Summe aber ein Segen.
Müssen Website-Besucher alle Cookies zulassen?
Nein, seit die EU die Datenschutzgrundverordnung (DSGVO) in Kraft gesetzt hat (Ende Mai 2018) wird zwischen "essenziellen" und "zustimmungspflichtigen" Cookies unterschieden. Die DSGVO sagt nämlich, dass die Verarbeitung personenbezogener Daten von EU-Bürgern nur unter ganz bestimmten, in der DSGVO aufgezählten Umständen zulässig ist oder nachdem die Betroffenen (also zB. die Besucher einer Website) detailliert über Umfang, Zweck und Empfänger der Datenverarbeitung informiert wurden und dieser aktiv zugestimmt, ihren "Consent" gegeben haben. Nur für technisch unbedingt nötige Zwecke, etwa um die zentralen Funktionen einer Website realisieren zu können, ist keine Zustimmung, sehr wohl aber eine Information notwendig. Alle anderen Datenverarbeitungen dürfen nur nach aktiver Zustimmung erfolgen und müssen auch ablehnbar sein, ohne dass die Website deshalb nicht betreten werden kann.
Welche Cookies sind zustimmungspflichtig und welche nicht?
- Ohne "technisch notwendige" oder "essenzielle" Cookies würde eine Website nicht oder nicht erwartungsgemäß funktionieren. Ein Beispiel dafür wäre wieder der Warenkorb im Online-Shop oder die vom Besucher ausgewählte Sprachversion einer Website. Über den Einsatz solcher Cookies muss man den Besucher zwar informieren, sie dürfen aber ohne Zustimmung bzw. ohne Ablehnungsmöglichkeit eingesetzt werden.
- Mit Cookies zur statistischen Messung und Analyse - ein Beispiel dafür wäre etwa GoogleAnalytics - kann die Leistung einer Website gemessen und verbessert werden und sie unterstützen den Betreiber bei der Beantwortung der Fragen, welche Seiten am beliebtesten sind, welche am wenigsten genutzt werden und wie sich Besucher auf der Website bewegen. Die DSGVO sieht derartige Zwecke nicht als "notwendig" an, daher dürfen solche Cookies erst nach Zustimmung eingesetzt werden bzw. muss sie der Besucher auch ablehnen und sich damit der statistischen Analyse widersetzen können. Da sich damit aber auch zB. Hackerangriffe oder ähnliche Gefahren feststellen lassen, werden auch statistische Cookies manchmal als "technisch notwendig" bzw. "essenziell" im Sinne des "berechtigten Interesses" gem. DSGVO angesehen, was jedoch juristisch noch nicht endgültig geklärt und daher nicht unriskant ist.
- Alle Cookies zu anderen Zwecken (zB. für Marketing oder Werbung) dürfen ebenfalls erst nach Zustimmung durch den Nutzer eingesetzt werden und müssen ablehnbar sein. Hierzu zählt etwa das sog. "Facebook-Pixel", das es ermöglicht, dem Besucher anhand seiner auf Facebook geäußerten Interessen personalisierte Werbeinserate einzublenden oder speziell zugeschnittene Inhalte anzuzeigen.
Wie macht man "Consent-Management" und welche Folgen kann das für die eigene Website haben?
Was sich in der Theorie recht einfach anhört, ist in der Praxis einigermaßen komplex. Es muss nämlich sichergestellt werden, dass eine zustimmungspflichtige Datenverarbeitung wirklich erst dann stattfindet, nachdem der Benutzer darüber informiert wurde und er selber aktiv zugestimmt hat und diese Entscheidung auch nachträglich belegt werden kann. Dies ist technisch viel aufwändiger als vermutet und lässt sich in der Regel nur über "Consent-Management-Tools" oder "Cookie-Consent-Manager" von Drittanbietern lösen, die natürlich selbst ebenfalls bestimmte Daten über diese Auswahl der Besucher für eine gewisse Zeit speichern müssen, damit sie nicht beim Aufruf weiterer Seiten der gleichen Website immer wieder erneut diese Zustimmung abgeben müssen. Der Website-Betreiber muss diese abgegebenen Zustimmungen (anonymisiert) protokollieren und im Zweifelsfalle nachweisen können, dass er seine Besucherdaten legal verarbeitet. Auch das ist natürlich selbst eine Datenverarbeitung (und u.U. -weitergabe), über die der Besucher informiert werden muss.
Man tut gut daran, dafür nur Anbieter aus der EU zu nutzen, denn mit Toolanbietern zB. aus den USA (und ab Februar 2021 auch Großbritannien) läuft man natürlich Gefahr, den ganzen Prozess ad absurdum zu führen, da damit dann selbst eine verbotene Datenweitergabe ins EU-Ausland vorliegt (siehe EU-Provacy-Shield-Urteil...). Best practice ist, dass man die Verarbeitung selbst erledigt - auch dafür gibt es Lösungen: interact!multimedia betreibt für seine Kunden genau so eine Lösung.
Folge der Einschränkung zB. des Einsatzes von GoogleAnalytics erst nach aktiver Zustimmung durch den Websitebesucher kann natürlich sein, dass die Anzahl damit gemessener Besuche und damit die Aussagekraft der verbleibenden Daten sinkt, weil sie einer "systematischen Verzerrung" unterliegen. Oder dass zB. der auf Facebook "angeworbene" Besucher im eigenen Onlineshop nicht wiedererkannt werden kann - weil er eben genau das nicht will. Diesem Umstand lässt sich mit einer entprechend zielgerichteten, psychologisch durchdachten Gestaltung der Oberfläche und mit einer möglichst transparenten Informationspolitik entgegen treten: je offener und vertrauenswürdiger man dabei gegenüber den Websitebesuchern auftritt, umso eher wird man deren Zustimmung zur Datenverarbeitung erhalten. Außerdem sollte man die Cookie-Consent-Info so einbinden, dass eine möglichst frühzeitige Entscheidung des Besuchers forciert wird (ohne eine bestimmte Entscheidung zu erzwingen, was wiederum nicht zulässig wäre), um zu vermeiden, dass der Consent-Banner einfach ignoriert wird und deshalb statische Daten verloren gehen.
CookieConsent.at: Consent-Management á la interact!multimedia
Wir haben zahlreiche angebotene Consent-Management-Tools für unsere Kunden recherchiert, deren Funktionsumfang geprüft und einige auf der eigenen Website ausprobiert. Nach längeren Tests haben wir uns für eine plattformunabhängige Lösung aus Deutschland entschieden, die unsere Bedürfnsisse und die unserer Kunden besser als alle anderen zu erfüllen imstande ist: sie läßt sich ohne größere Umbauten in bestehende System einbauen, ist fast vollständig funktional und optisch konfigurierbar und erfüllt alle von der DSGVO vorgeschriebenen Anforderungen bis hin zur Möglichkeit, dass der Websitebesucher den Consent-Banner während seine Besuchs erneut aufrufen und seine Entscheidung ändern kann.