Ja, ich will! Aktive Einwilligung der Besucher für Cookies notwendig

(08.06.2020) Die Gerichte - zunächst der EuGH, dann der BGH - sind sich darin einig, dass fortan eine aktive Einwilligung der Besucher notwendig ist ehe Cookies gesetzt werden dürfen. Eine Einwilligung also, die explizit vom Besucher ausgehen muss und dem in der IT gebräuchlichen "Default-Deny" ähnelt. Aus dem seit der Umsetzung der DSGVO gebräuchlichen Opt-Out wird damit ein Opt-In. Seiten- und Shopbetreiber sind abermals gefordert entsprechende Maßnahmen zu treffen.

Bereits am 1. Oktober 2019 entschied der EuGH, dass die gebräuchliche Opt-Out-Lösung nicht den Anforderungen einer wirksamen Einwilligung genügt. Dem ist der BGH nunmehr gefolgt: Der Nutzer muss selbst aktiv zustimmen, ehe (bestimmte) Cookies gesetzt werden dürfen. Das aktuell noch auf vielen Seiten und Portalen zu findende "OK" bei sogenannten Cookie-Bannern ist damit nicht mehr ausreichend.

Was sind Cookies?

„Cookies“ (dt. „Plätzchen“) sind nicht erst seit dem neuesten Urteil des BGH sprichwörtlich in aller Munde. Gemeinhin handelt es sich um Datenpakete von Internetseiten und Webanwendungen die zwischen Rechner und Website ausgetauscht werden um etwa Login-Daten oder Warenkörbe in Shops verfügbar zu halten. Eine Internetseite kann sich dadurch im einfachsten Fall auf die Nutzerbedürfnisse einstellen. - Darüber hinaus spielen diese "Kekse" (Cookies) aber auch für Statistik-Programme oder im Online-Marketing eine wichtige Rolle (Stichwort Remarketing).

The Good, the Bad and the Ugly Cookie

Zunächst anonyme Besucher werden durch Cookies identifizierbar, weshalb sich diese generell keiner großen Beliebtheit erfreuen. Dabei müsste man sich ohne die Guten - sogenannte Session Cookies - in einer Zugangsbeschränkten Seite, wie einem Online-Shop, ständig neu einloggen. Eine Session-ID aber verliert ihre Gültigkeit nach dem Verlassen des Shops und findet keinerlei weitere Verwendung. Content-Management-Systeme (CMS), Shopsysteme aber auch Intranet-Lösungen greifen generell gerne darauf zurück um die Funktionalität des Website-Angebotes aufrecht zu erhalten.

Gemeinhin werden Cookies also nach Ihrer Funktionalität unterteilt.

• Unbedingt erforderliche Cookies
  Nicht persistente Session Cookies die für die Nutzung der Site notwendig sind
• Persistente Tracking Cookies
  Diese ermöglichen ein sessionsübergreifendes Tracking des Nutzers und dessen Präferenzen und werden dauerhaft gespeichert
  • Weiter unterteilbar in First-Party-Cookies und Third-Party-Cookies
    First-Party für Cookies die von der besuchten Site ausgegeben werden und Third-Party Cookies die von einem Dritt-Server ausgespielt (eingeblendete Werbung, etc...) werden.

Was sind notwendige Cookies?

Eine Übersicht derer existiert natürlich nicht, hierzu gehören aber alle für den technischen Betrieb einer Website und deren Funktion erforderlichen Cookies. Gemeint sind hiermit tatsächliche technische Notwendigkeiten, keine wirtschaftlichen Überlegungen wie Statistiken oder Möglichkeiten des Remarketing.

Was ist jetzt neu?

Bislang war es wohl gute Sitte den Nutzer per Cookie-Banner über die verwendeten Cookies zu informieren. Gesetzt wurden diese dennoch und der Anwender musste folgend widersprechen und geeignete Maßnahmen treffen. Diese durchaus gebräuchlichen Cookie-Banner mit teils vorausgefüllten Checkboxen sind nunmehr obsolet. Eine Umstellung von Opt-Out auf Opt-In ist notwendig. Ohne eine explizite Einwilligung des Besuchers ist das setzen von einen oder mehreren Cookies nicht mehr statthaft. Für alle nicht notwendigen Cookies - vor allem für Tracking Cookies oder auch technisch nicht notwendigen Tools und PlugIns - muss zunächst eine echte (aktive) Einwilligung des Nutzers eingeholt werden ehe diese Verwendung finden dürfen. Die Pflichten wurden also vom Anwender auf den Seitenbetreiber verlagert.

Was ist jetzt zu tun?

Weiterhin - ohne Einwilligung erlaubt - sind die für eine Webseite erforderlichen Cookies, beispielsweise:

• Für Shopsysteme die Warenkorb-Cookies
• Für Intranet-Lösungen Cookies für den Login
• Cookies für eine Länder- oder Sprachauswahl
• Cookies für die Cookie Einwilligung selbst

Aber: Die grundsätzliche Informationspflicht bleibt wohl auch in diesen Fällen zunächst bestehen...

Einsatz von Consent-Tools!

An Stelle der bislang verwendeten Cookie-Banner treten nun sogenannte "Consent Tools" die:

• ...eine übersichtliche Darstellung der Cookies gewährleisten
• ...eine Klassifizierung der Cookies (z.B. Notwendig, Marketing, Analyse) ermöglichen
• ...eine Abwahl, aber auch Auswahl einzelner Klassifizierungen umsetzt
• ...alle Cookies (bis auf den Cookie für das Consent-Tool selbst) vor der aktiven Einwilligung blockiert und keine Vorauswahl von Ankreuzkästchen bietet

Die Datenschutzerklärung muss im Weiteren natürlich entsprechend angepasst werden. Für eine individuelle Handlungsempfehlung und Risikoeinschätzung der verschiedenen Möglichkeiten hier ein Querverweis zur weiteren Information:

• Cookie Hinweis: Benötigt jede Webseite einen Cookie Hinweis? - eRecht24

Zitat:
Die zahlreichen rechtlichen Vorgaben im Zusammenhang mit Cookies, Tracking und Einwilligung und können Sie praktisch nur über ein so genanntes Consent Tool in Verbindung mit einer vollständigen
Datenschutzerklärung umsetzen. (Rechtsanwalt Sören Siebert, www.e-recht24.de)

Als Agenturpartner des renommierten eRecht24-Portals haben wir vergünstigten Zugriff auf beides: Eine vollständig angepasste Datenschutzerklärung und das notwendige Consent-Tool.

Zur Verfügung stehen hierfür

Usercentrics

• Das Consent Tool von Usercentrics ist eine individuelle Profi-Lösung und funktioniert zumeist unabhängig vom verwendeten CMS.

Borlabs Cookie:

• Für Internetpräsenzen auf Basis von WordPress als Plugin verfügbar.

Consent Management Provider (CMP):

• Auch das Tool „Consent Management Provider“ funktioniert unabhängig von einem bestimmten CMS.

Darüber hinaus gibt es natürlich noch zahlreiche weitere Anbieter. Allen gemein ist: Diese Tools können / müsen je nach Seite und Anforderung entsprechend eingebunden werden und erfordern eine enge Abstimmung zwischen dem Seitenbetreiber und unserer Agentur. Zudem folgend eine entsprechende Erweiterung der Datenschutzerklärung.

 

Gibt es denn keine andere, einfachere Lösung?

Wir möchten vermuten: Nein - In jedem Fall wird diese dann nur mit sehr viel Aufwand und nicht ohne juristisches Risiko möglich sein.

Fragen Sie uns an....

Wir freuen uns von Ihnen zu hören und stehen Ihnen für Fragen und der geeigneten Umsetzung auf Ihrer Website  jederzeit gerne zur Verfügung.

Ihr Sofortkontakt:

(+49) 08135 - 99 40 40 4
info@ia-scherer.de

 

Bitte beachten Sie:

Wir sind keine Juristen und wollen / können / dürfen auch keinerlei juristische Beratung oder Bewertung vornehmen. Wenden Sie sich im Zweifel und zur Prüfung rechtlicher Angelegenheiten Ihrer Homepage bitte an einen zugelassenen Anwalt. Nur dieser darf Sie rechtssicher beraten.

• Zurück
• Weiter