Mit der DSGVO kam Unsicherheit unter Website-Betreibern auf – auch beim Thema Cookie-Hinweis. Ist er Pflicht? Drohen Bußgelder, wenn er falsch getextet ist? Antworten auf die wichtigsten Fragen.
Muss sich jeder Website-Betreiber mit dem Thema Cookie-Hinweis befassen?
Mit Cookie-Hinweisen sollten sich alle Website-Betreiber beschäftigen, die auf ihrer Seite mehr bieten als reine Informationen – inzwischen also so gut wie alle. Sobald eine Website beispielsweise ein Youtube-Video zeigt, das Google-Maps-Tool auf der Anfahrts-Seite nutzt, die Reichweite mit Google Analytics misst oder einen Online-Shop bereitstellt, setzt sie Cookies ein – und darüber müssen Nutzer laut Datenschutzgrundverordnung (DSGVO) informiert werden.
Was sind Cookies?
Cookies sind Textdateien, die Webbrowser auf dem Computer von Nutzern speichern. Besucht ein Nutzer eine Website zum ersten Mal, wird ein Cookie im Browser angelegt, der Informationen sammelt. Zu diesen Daten gehört eine zufällig erstellte Nummer, über die eine Website den Nutzer quasi wiedererkennt, wenn dieser sie ein zweites Mal aufruft.
Cookies speichern zudem etwa Einstellungen, die der Nutzer auf der Website vorgenommen hat (beispielsweise zur Sprache), Angaben zur Zeit, die er auf der Seite verbracht hat – sowie persönliche Daten, die Nutzer über Formulare selbst eingegeben haben, etwa Name und Email-Adresse. Zudem legen Cookies Informationen zur Frage ab, welche Unterseiten ein Nutzer besucht oder welche Begriffe er in die Suchmaske eingibt.
Allein mithilfe solcher Cookies ist es etwa möglich, im Online-Shop einen Warenkorb zwischenzuspeichern, die Reichweite einer Seite zu messen – oder personalisierte Werbeangebote einzublenden.
Was ist ein Cookie-Hinweis?
Website-Betreiber sind laut DSGVO verpflichtet, Nutzer darüber aufzuklären, wenn ihre Seite Cookies nutzt, welche Daten diese speichern – und inwieweit sie an Dritte weitergeleitet werden. Eine beliebte Möglichkeit, diese Pflicht zu erfüllen, ist der Cookie-Hinweis, auch Cookie-Banner genannt: eine Einblendung auf der Homepage, die Besucher darüber informiert, dass die Website Cookies setzt – und auf die Datenschutzerklärung mit genaueren Angaben verweist.
Wie ist die aktuelle Rechtslage in Sachen Cookie-Hinweis?
Das große Problem: Die meisten der aktuell genutzten Cookie-Banner sind nicht konform mit dem Datenschutzrecht.
Das hat vor allem drei Gründe:
- Die DSGVO regelt zwar grundsätzliche Pflichten von Website-Betreibern – was genau das für den Cookie-Hinweis bedeutet, ist jedoch umstritten.
- Es fehlen derzeit einheitliche europäische Regelungen zu Cookies, da die geplante ePrivacy-Verordnung bislang nicht verabschiedet ist. Sie soll beispielsweise vorgeben, dass insbesondere Tracking-Cookies nur mit Einwilligung der Nutzer zulässig sind.
- Die meisten Cookie-Banner bieten dem Nutzer derzeit keinerlei Einflussmöglichkeit. Ob er auf „akzeptieren“ klickt oder nicht – das Tracking läuft so oder so. Nur in den wenigsten Fällen können Website-Besucher eine Auswahl treffen.
Entsprechend ernüchternd fällt das Urteil von Experten wie David Oberbeck aus, Rechtsanwalt mit Schwerpunkt Datenschutz und IT-Recht: „Aktuell gleicht die Cookie-Praxis dem Autofahren ohne Sicherheitsgurt vor der Anschnallpflicht: Es gibt keine Vorschriften, jeder macht in Wildwest-Manier, was er will – und beruft sich dabei auf die sogenannte Interessensabwägung.“ Das werde sich jedoch mittelfristig ändern.
Wie wird sich die Rechtslage zum Cookie-Hinweis entwickeln?
In einem aktuellen Verfahren vor dem Europäischen Gerichtshof (EuGH, AZ: C-673/17, Stand: Juli 2019) hat der Generalanwalt für strengere Regeln in Sachen Cookie-Hinweis plädiert. Website-Inhaber sollen Nutzer zukünftig klar und umfassend etwa darüber informieren müssen, welche Art Cookies genutzt werden – und inwieweit Dritte Zugriff auf die erhobenen Daten erhalten. Zudem sollen Nutzer die Möglichkeit bekommen, aktiv in die jeweilige Cookie-Praxis einzuwilligen. Die Variante über ein vorangekreuztes Kästchen im Cookie-Banner genüge nicht, sondern verstoße gegen Bestimmungen der DSGVO.
In vielen Fällen folgen die Richter des EuGH dem Schlussantrag des Generalanwalts. „Urteile wie dieses werden in naher Zukunft eine klare Richtung aufzeigen, wo die Reise hingeht“, so Rechtsanwalt Oberbeck. „Klar ist: Konkrete Regelungen in Sachen Datenschutz bei Cookie-Hinweisen kommen – und erfordern unter Umständen neue technische Lösungen. Der Druck auf Website-Betreiber wird also zunehmen.“
Wenn die meisten aktuellen Cookie-Hinweise gegen Datenschutzrecht verstoßen – droht eine Bußgeld-Welle?
Aktuell ist das Risiko Experten zufolge eher gering, wegen eines zu knapp formulierten oder fehlenden Cookie-Banners eine Abmahnung und ein Bußgeld zu kassieren – auch wenn die DSGVO bei sehr schweren Verstößen gegen den Datenschutz Bußgelder von bis zu vier Prozent des Jahresumsatzes festschreibt. „Es ist wichtig zu wissen, dass extreme Bußgelder nicht kleineren Unternehmen gegenüber verhängt werden – denn sie müssen verhältnismäßig sein“, erklärt Rechtsanwalt Oberbeck. „Die ersten bekannten Bußgelder nach der DSGVO in Deutschland bewegen sich eher im unteren fünfstelligen Bereich – und betreffen auch nicht das Thema Cookie-Banner.“
Was sollten Website-Betreiber in Sachen Cookie-Hinweis unternehmen, um Bußgeldern vorzubeugen?
Sollte doch eine Aufsichtsbehörde eine Website unter die Lupe nehmen, funktioniert eine Argumentation à la „Aber andere Seiten nutzen doch auch Cookies“ nicht. Um das Risiko zu minimieren, empfiehlt Experte Oberbeck eine der folgenden Lösungen.
Die Basis-Lösung (mit minimalem Restrisiko)
- Schritt 1:
Als erstes sollten Website-Betreiber prüfen, ob ihre Seite Cookies setzt. Wenn ein Programmierer die Homepage erstellt hat und diese allein Informationen zum Unternehmen bietet, müssen Betreiber nichts fürchten. Allerdings: Ist eine Website nach dem Homepage-Baukasten-Prinzip erstellt, weist sie häufig voreingestellte Plug-ins auf, die nicht rechtskonform sind. Sogenannte Tracking-Detektoren wie CookieMetrix oder Ghostery helfen, die eigene Seite zu prüfen.
Zudem sollten Betreiber beim Anbieter nachfragen, welche Cookies die Seite setzt – und ihn auffordern, diese zu entfernen, wenn sie nicht zwingend nötig sind (etwa für einen Warenkorb). Passiert das nicht, ist ein Anbieter-Wechsel die sichere Option.
Hat ein Programmierer die Seite erstellt, sollten Website-Inhaber diesen nach der aktuellen Cookie-Hinweis-Praxis fragen – und danach, inwieweit sich der Cookie-Gebrauch stoppen ließe.
- Schritt 2:
Der Website-Anbieter will die Cookies nicht entfernen – und ein Wechsel wäre zu aufwändig? Oder ein Verzicht auf Cookies ist unmöglich, weil die Seite etwa einen Online-Shop präsentiert? Dann sollten Website-Betreiber einen ausführlichen Cookie-Hinweis auf der Startseite einblenden – und darin auf die Datenschutzerklärung verlinken. Wer bereits einen kurzen Cookie-Hinweis ohne Link hat, sollte diesen ergänzen.
Die laut DSGVO gesetzlich vorgeschriebene Datenschutzerklärung muss dann einen ausführlichen Abschnitt zum Thema Cookies aufweisen: Unternehmer sollten hier erklären, dass sie sich auf Grundlage der Interessensabwägung für den Gebrauch von Cookies entschieden haben. Und anschließend genau benennen, welche Cookies die Seite setzt, welche Daten diese konkret erheben – und welche eingebundenen Plug-ins und Tools von Drittanbietern Cookies nutzen.
Hier sollte außerdem stehen, welcher Kategorie die einzelnen Cookies angehören – ob es sich also etwa um Sitzungs-Cookies (oder „Session-Cookies“) handelt, die automatisch gelöscht werden, wenn der Nutzer die Sitzung beendet. Oder beispielsweise um permanente Cookies (oder „Protokoll-Cookies“), die etwa persönliche Einstellungen von Nutzern wiederherstellen – und erst nach einem definierten Ablaufdatum verschwinden.
„Sollte je eine Aufsichtsbehörde eine Website in den Blick nehmen, hilft eine solche Datenschutzerklärung zu belegen, dass der Inhaber alles getan hat, um die Rechte der Nutzer zu wahren“, erklärt Rechtsanwalt Oberbeck.
- Schritt 3:
Sofern die Homepage ein Kontaktformular bereitstellt, sollte die Datenerhebung zwischen Website und Besucher verschlüsselt erfolgen – nach aktuellem „TLS“-Standard. Auch das hilft, im Zweifelsfall vor Aufsichtsbehörden zu bestehen.
Die Premium-Lösung (ohne Restrisiko)
- Schritt 1:
Website-Betreiber können ihren Programmierer statt eines Cookie-Hinweis ein sogenanntes „Consent-Banner“ („Consent“ = „Zustimmung“) gestalten lassen: Dieses ist der eigentlichen Website vorgeschaltet – und holt die aktive Einwilligung des Besuchers in die Cookie-Nutzung ein.
Ein Consent-Banner sollte über die Art und den Zweck der Cookies informieren. Außerdem muss es eine Checkbox geben, die der Besucher selbst anklickt. Schließlich sollte der Hinweistext deutlich machen, dass sich die Einwilligung jederzeit widerrufen lässt. Nur so ist garantiert, dass Besucher ihre Einwilligung „vorab, freiwillig, aktiv und mit dem Wissen um das Recht auf Widerruf“ erteilen, wie es die DSGVO vorschreibt.
- Schritt 2:
Nun sollten Website-Betreiber eine umfangreiche Datenschutzerklärung erstellen, die das Thema Cookies aufgreift (s. Schritt 2, Basis-Lösung).
Wie kommen Website-Betreiber an Muster für gute Cookie-Hinweistexte?
Es stehen verschiedene, teilweise kostenlose Generatoren bereit, um den Cookie-Hinweis-Text möglichst konkret an die individuelle Cookie-Praxis von Website-Inhabern anzupassen – wie etwa avalex.de oder Datenschutz-Generator.de . Diese eignen sich für die allermeisten Seiten.
Wer jedoch beispielsweise einen Online-Shop betreibt oder seine Seite über personalisierte Werbung finanziert, sollte sich unbedingt von einem IT-Rechtsexperten beraten lassen. Die Kosten für einen anwaltlich formulierten Cookie-Hinweis samt Datenschutzerklärung liegen in einfachen Fällen zwischen 300 und 600 Euro.
gelesen in: impulse.de | der Newsletter für Unternehmer vom 16. Juli 2019 von Kathrin Halfwassen
