Sicher haben Sie schon von der DSGVO oder der Cookie-Einwilligung gehört, sind sich aber nicht ganz sicher, wie sie auf Sie zutrifft? Das Gesetz der Europäischen Union über die allgemeine Datenschutzverordnung (DSGVO) hat viele Webseitenbesitzer auf der ganzen Welt verwirrt. Dieser Leitfaden beantwortet Ihre Fragen zu Cookies, Datenschutzhinweisen und der DSGVO und hilft Ihnen zu entscheiden, welche Schritte Sie unternehmen müssen, um Ihre Website konform zu gestalten.
Was sind Cookies?
Cookies sind Datenstücke, die beim Laden von Websites erstellt und gespeichert werden (als Textdateien) – so werden Informationen von Website-Besuchern gesammelt.
Cookies haben mehrere Funktionen, wie z.B. die Bereitstellung personalisierter Benutzererlebnisse oder die Schaltung von Anzeigen. Die Cookie-Richtlinie von Automattic zeigt, wie verschiedene Cookie-Typen innerhalb von WordPress.com verwendet werden.
Was ist die DSGVO?
Die DSGVO schützt personenbezogene Daten und die Privatsphäre der Nutzer. Sie ist am 25. Mai 2018 in Kraft getreten. Sie überträgt Unternehmen die Verantwortung für die Art und Weise, wie sie Informationen sammeln, verwenden und speichern, indem sie Geldbußen für Verstöße festsetzen.
Wie gilt die DSGVO für mich?
Jede Website, die Benutzerdaten sammelt, sollte über Cookie-Einwilligungsbanner oder Datenschutzhinweise verfügen. Dies gilt für Unternehmen und Websites auf der ganzen Welt. Aufgrund der grenzenlosen Natur des Internets, wenn jemand in der EU – wo das Gesetz verabschiedet wurde – Ihre Website besuchen und ihre Daten sammeln lassen würde, dann würde das Gesetz (und die Strafen für die Nichteinhaltung) für Ihre Website gelten.
Das DSGVO-Gesetz gilt für Seiten und Plugins, die Daten verarbeiten und speichern. Dazu gehören Kontaktformulare, E-Mail-Marketing-Aktionen und Plugins für Mitglieder.
Warum Cookies für Website-Besitzer wichtig sind
Wenn Sie sich nicht sicher sind, was Cookies sind, gibt es viele gute Online-Inhalte, um Sie auf dem Laufenden zu halten, also werde ich das hier nicht ansprechen. Sie können mit dem Artikel von Wikipedia als Ausgangspunkt nicht viel falsch machen.
Es genügt zu sagen, dass es eher die Ausnahme als die Regel wäre, dass eine Website überhaupt keine Cookies verwendet – wenn Sie also eine Website für kleine Unternehmen (oder so ziemlich jeden anderen Typ) betreiben, möchten Sie darüber nachdenken.
Lassen Sie uns kurz einige typische Anwendungen von Cookies betrachten, damit Sie einen Überblick über die Art der Funktionalität haben, die sie ermöglichen:
- Onlineshop Systeme, die einen “Warenkorb” oder “Warenkorb” verwenden, um sich an Artikel zu erinnern, die der Kunde kaufen möchte, verwenden Cookies;
- Jede Form der Personalisierung der Website (z.B. die bevorzugte Sprache) ist verpflichtet, Cookies zu verwenden, um die Wahl des Benutzers zu speichern;
- Statistische Analysen (wie Google Analytics) verwenden Cookies als grundlegendes Mittel, um einen Nutzer von einem anderen unterscheiden zu können;
- Social Media Marketing (z.B. gezielte Facebook-Werbung) ist auf das Setzen von Cookies angewiesen;
- Content-Management-Systeme wie WordPress verwenden eine Auswahl von Cookies, um Benutzeranmeldungen, Blog-Kommentare und mehr zu verwalten.
- Es ist daher ziemlich klar, warum wir die Verwendung von Cookies in den Griff bekommen müssen – ohne sie würden wir eine Reihe wichtiger Tools verlieren.
Warum Cookies plötzlich komplizierter geworden sind
Die DSGVO sollte nie das A und O des Datenschutzrechts sein – sie sollte immer gleichzeitig mit einem separaten Rechtsakt, der Verordnung über den Datenschutz und die elektronische Kommunikation (oder allgemeiner der Verordnung über den Datenschutz im elektronischen Geschäftsverkehr), eingeführt werden. Beide neuen Regelungen sollten das bestehende Recht ersetzen*.
Während die DSGVO einen breiten Rahmen für die Regulierung bietet, der ein breites Spektrum von Szenarien abdeckt, sollte die ePrivacy-Verordnung die spezifischen Details der Regulierung der elektronischen Kommunikation, die Cookies beinhaltet, behandeln. Die DSGVO sagt praktisch nichts über Cookies aus.
Sie können es wahrscheinlich schon spüren, dass ein “aber” kommt.
Aber – das Problem ist, dass die ePrivacy-Verordnung nicht rechtzeitig fertig sein wird, um mit der DSGVO übereinzustimmen, und die DSGVO wird sowieso durchgeführt – also sind wir in einer leicht bizarren Vorhöftssituation:
Die DSGVO tritt am 25. Mai 2018 in Kraft;
Es ist unwahrscheinlich, dass die ePrivacy-Verordnung nun bis 2019 in Kraft tritt;
Das bedeutet, dass die bestehende Datenschutzrichtlinie für den elektronischen Geschäftsverkehr, die ersetzt werden sollte, noch in Kraft ist;
Wir wissen, was der aktuelle Entwurf der ePrivacy-Verordnung sagt – also haben wir, vorbehaltlich etwaiger Änderungen, eine vernünftige Vorstellung davon, was er sagen wird;
Aber so, wie die Dinge liegen, werden wir in einer Situation sein, in der wir versuchen, zwei Gesetze einzuhalten, die nie wirklich auf Zusammenarbeit ausgelegt waren und die – in gewisser Weise – miteinander in Konflikt stehen.
Ist eine Einwilligung erforderlich?
Bisher habe ich in diesem Artikel bereits ausdrücklich auf “zustimmungspflichtige Cookies” hingewiesen.
Ich habe das getan, weil Sie nicht davon ausgehen sollten, dass alle Cookies eine Zustimmung erfordern.
Die Leitlinien, die das ICO seit der Umsetzung der DSGVO herausgegeben hat, haben dazu beigetragen, dieses Thema etwas zu klären. Was wir jetzt wissen, ist das:
Wenn es um das Setzen von Cookies auf einer Website geht, ist die Einwilligung die einzige relevante Rechtsgrundlage (Sie können sich beispielsweise nicht auf einen der anderen DSGVO-Rechtsgründe wie z.B. legitime Interessen verlassen). Also, ja – es sei denn, Ihre Cookies fallen in die von mir unten beschriebene Ausnahme, ist eine Zustimmung erforderlich;
Wenn eine Zustimmung erforderlich ist, müssen Sie diese einholen, bevor Cookies gesetzt werden;
Es gibt eine Ausnahme für Cookies, die als “wesentlich” erachtet werden, um einen bestimmten Online-Dienst im Namen von jemandem auszuführen. Für diese Art von “notwendigen” Cookies ist keine besondere Zustimmung erforderlich. Ein Beispiel für solche “wesentlichen” Cookies sind Cookies, die verwendet werden, um Warenkorb-Artikel während eines Online-Shopping-Prozesses zu speichern.
Es ist daher möglich, ohne Einwilligung auf Ihrer Website Cookies zu verwenden, aber nur in dem Fall, in dem alle auf Ihrer Website verwendeten Cookies (rechtmäßig) als “notwendig” betrachtet werden können. Es ist ziemlich klar, dass Cookies für Analysezwecke oder Social Marketing nicht als unerlässlich angesehen werden.
So wie die Dinge liegen, scheint die Situation so zu sein, wenn man konform sein will:
- Sie müssen genau feststellen, welche Cookies auf Ihrer Website verwendet werden – dies wird in jedem Fall unerlässlich sein;
- Sie müssen eine Entscheidung treffen (eine, zu der Sie bereit sind zu stehen), welche dieser Cookies, falls vorhanden, “wesentlich” sind und daher keine Zustimmung erfordern;
- Wenn eines der auf Ihrer Website verwendeten Cookies eine Zustimmung erfordert, müssen Sie dies tun:
- Entfernen Sie sie; oder
- Fügen Sie Ihrer Website eine Form der Cookie-Kontrollfunktion hinzu, um sicherzustellen, dass die Cookies nur dann gesetzt werden, wenn der Benutzer aktiv zustimmt.
- Beide Aktionen werden eine Art technische Entwicklung beinhalten, so dass Sie, wenn Sie nicht selbst in diese Richtung gehen, mit demjenigen sprechen müssen, der sich um Ihre Website kümmert.
Online-Shops & E-Commerce-Systeme
In früheren Rechtsvorschriften, einschließlich der bestehenden Datenschutzrichtlinie für den elektronischen Geschäftsverkehr, gibt es eine Ausnahme von der Verpflichtung, die Zustimmung zu Cookies einzuholen, die zur Erfüllung der Anfrage des Benutzers “unbedingt erforderlich” sind.
Cookies sind für die Bereitstellung dieser Art von Funktionalität unerlässlich, weshalb ihre Verwendung nach der geltenden Datenschutzrichtlinie für den elektronischen Geschäftsverkehr als legitim angesehen wird. Es gibt keinen Grund zu der Annahme, dass sich das durch die ePrivacy-Verordnung ändern wird.
Aus Sicht von DSGVO würden wir auch vorschlagen, dass die Verwendung solcher Cookies im Rahmen der Erfüllung eines Vertrages, an dem die Person beteiligt ist, legitim ist. Dies ist eine zusätzliche gesetzliche Grundlage für die Verarbeitung der Daten (Artikel 6 Absatz 1 Buchstabe b)).
Daher sollten Ihnen die zu diesem Zweck verwendeten Cookies keine zusätzlichen Sorgen bereiten. Allerdings sollten Sie die Verwendung solcher Cookies in Ihrer Datenschutzerklärung weiterhin hervorheben, auch wenn Sie sich nicht auf die Zustimmung verlassen.
Website-Analyse-Tools
Die Verwendung von Website-Analytics, insbesondere von Google Analytics, ist die Kategorie der Cookies, die den größten Teil der Websites kleiner Unternehmen betrifft.
Bei der ersten Umsetzung der DSGVO gab es eine deutliche Grauzone, ob die allgemeinen Regeln für Cookies – und insbesondere die Notwendigkeit, vorab eine Zustimmung für ihre Verwendung einzuholen – wirklich für die Arten von Cookies gelten würden, die von Analysetools gesetzt werden.
Im Wesentlichen denke ich, dass wir alle hofften, dass sie es nicht tun würden. Denn wenn Sie einen Website-Besucher fragen müssen, ob es für Sie in Ordnung ist, seinen Besuch in Ihren Analysen zu verfolgen, dann wird Ihre Analyse Ihnen zwangsläufig immer nur einen Teil des Bildes von der Leistung Ihrer Website liefern. Es untergräbt den eigentlichen Zweck der Verwendung von Analytik.
Social Media Marketing
Der Einsatz von Social Media Marketing, meist Facebook-orientierte Werbung, stellt aus Datenschutzsicht eine etwas komplexe Situation dar.
Der Großteil der Datenerhebung und -verarbeitung erfolgt auf der Facebook-Plattform, und Facebook ist für die meisten dieser Dienste der Datenverantwortliche. Daher hat Facebook erhebliche DSGVO-Verpflichtungen, einschließlich der Einhaltung der eigenen Bedingungen und der Datenschutzrichtlinie DSGVO.
Als Teil dieser Verpflichtung enthalten die Nutzungsbedingungen für Werbetreibende von Facebook die Anforderung, dass alle Werbetreibenden einen “klaren und deutlichen Hinweis” auf die Verwendung der Cookies und anderer Technologien, die für diese Werbung erforderlich sind, anzeigen müssen.
Funktionsbasierte Cookies
Es ist üblich, insbesondere bei Websites, die auf einem CMS wie WordPress basieren, Cookies zu verwenden, um bestimmte Arten von Funktionen bereitzustellen – zum Beispiel ist es auf einer mehrsprachigen Website wahrscheinlich, dass ein Cookie verwendet wird, um die Sprachpräferenz des Benutzers zu speichern. Oder auf einer Website, die Popup-Fenster verwendet, kann ein Cookie verwendet werden, um zu verfolgen, dass ein Benutzer das Popup bereits gesehen hat, und zu verhindern, dass es wiederholt ausgelöst wird.
Diese Art von Cookies, insbesondere wenn sie von einem Software-Plugin erzeugt werden, können aus Datenschutzsicht etwas komplexer sein – denn es kann notwendig sein, den Code, der diese Cookies liefert, so anzupassen, dass sie nur dann gesetzt werden, wenn eine Person ihre Zustimmung gegeben hat.
Ob dies möglich ist oder nicht, hängt von der genauen Art des Cookies selbst ab, und es ist daher wahrscheinlich, dass Sie mit demjenigen sprechen müssen, der Ihre Website betreut.
Fazit
Sie benötigen in jedem Fall ein Cookie-Banner, wenn Sie Daten von Besuchern der Europäischen Union sammeln. Im Allgemeinen verlangen nur EU-Rechtsvorschriften Cookies-Banner, was bedeutet, dass Sie die Pflicht haben, diese nur Ihren EU-Besuchern zu zeigen. Da Sie jedoch nicht kontrollieren können, wer Ihre Website besucht und Sie höchstwahrscheinlich Tracking-Technologien (Google Analytics, Facebook Pixel, HubSpot, Plugins, Social Media Buttons) verwenden, ist es ratsam, ein Cookie-Banner zu haben, um sich selbst zu schützen.