Wie Sie Cookies zukunftssicher nutzen

Bild: Kristina Landina auf Pixabay

25.02.2020 - Die Nutzung von Cookies stellt Websitebetreiber immer wieder vor (neue) Herausforderungen. Fachanw�ltin Kathrin Sch�rmann beschreibt in diesem Leitfaden und anhand von Checklisten, welche rechtssicheren L�sungen es gibt.

von Frauke Schobelt , Kathrin Sch�rmann

Seit Jahren m�ssen sich Websitebetreiber mit Cookies auseinandersetzen. Dabei treffen sie unweigerlich auf verschiedene Fragen: Welche darf man nutzen? Wann ben�tigt man eine Einwilligung? Braucht es ein Cookie-Banner? Wie wird es gestaltet? Wie muss man �ber Cookies informieren? Sp�testens seit dem EuGH-Urteil zu 'Planet49' wird die Beantwortung dieser Fragen immer wichtiger - auch angesichts eines weiteren bevorstehenden Urteils und einer geplanten Gesetzes�nderung. Was bei der konkreten Umsetzung der rechtlichen und marketingrelevanten Anforderungen bei der Nutzung von Cookies jetzt und in Zukunft zu beachten ist:

Welche Cookies darf man nutzen?

Mithilfe von Cookies k�nnen Besucher wiedererkannt werden, indem Daten mit einem Kennwert auf dem eigenen Ger�t gespeichert werden. Diese Cookies haben dann einen Personenbezug und ben�tigen zu ihrer Nutzung eine Rechtsgrundlage. Dies gilt auch f�r �hnliche Technologien wie Tracking-Tools, mit denen ein Besucher und sein Verhalten erkannt wird.

First Party-Cookies und technisch erforderliche / notwendige Cookies
Setzt und verwaltet man selbst Cookies auf der eigenen Website, die keine Daten an Dritte weitergeben, handelt es sich um sogenannte First-Party-Cookies. Sie dienen meist grundlegenden Websitefunktionen oder Pr�ferenzen des Nutzers. Sind die Cookies f�r den Websitebetrieb (technisch) erforderlich, spricht man von notwendigen Cookies. Sie werden etwa f�r die Anmeldefunktion oder den Warenkorb einer Website ben�tigt.

Third-Party-Cookies und Weitergabe an Dritte
Cookies, die von anderen Unternehmen und Seiten erzeugt und verwaltet werden und Daten an diese �bermitteln, werden Third-Party-Cookies genannt. Das sind etwa Cookies, die von Werbetreibenden zu Marketingzwecken, zur Schaltung personalisierter Werbung oder zur (seiten�bergreifenden) Nutzungsanalyse verwendet werden. Mithilfe dieser Cookies k�nnen beispielsweise Nutzerprofile erstellt werden.

Rechtsanw�ltin Kathrin Sch�rmann

Bild: Sch�rmann Rosenthal Dreyer

Ben�tigt man immer eine Einwilligung?

In Deutschland wurde die EPrivacy-Richtlinie, welche eine Einwilligung f�r alle nicht notwendigen Cookies vorsieht, bisher nicht richtig im Telemediengesetz (TMG) umgesetzt. Aus diesem Grund war die Nutzung von Cookies sehr umstritten. Nach �berwiegender Ansicht finden sich die Rechtsgrundlagen f�r die Nutzung von Cookies mit Personenbezug aktuell (noch) in der DSGVO, wozu insbesondere die Einwilligung und das berechtigte Interesse z�hlen. Welche Rechtsgrundlage man w�hlt, h�ngt ma�geblich vom konkreten Cookie, dem Zweck, der Art und dem Umfang der Datenverarbeitung ab.

Notwendige und First-Party-Cookies k�nnen h�ufig auf ein berechtigtes Interesse gest�tzt werden. F�r Third-Party-Cookies und Tracking-Technologien hingegen wird in der Regel eine Einwilligung erforderlich sein, weil durch sie eine umfangreiche Datenverarbeitung und Weitergabe der Daten an Dritte stattfindet.

In Voraussicht auf die zuk�nftige Rechtslage kann man bereits jetzt empfehlen, sich auf die Einwilligung als zentrale Rechtsgrundlage einzustellen. In diese Richtung gehen alle bisherigen Entscheidungen. Am 28. Mai 2020 wird ein Urteil des BGH zu Cookies erwartet, der dies nach dem EuGH-Urteil zu "Planet49" wohl erneut bekr�ftigen wird. Auch der Gesetzgeber ist nicht unt�tig: Er m�chte das TMG �ndern und die Einwilligungspflicht f�r nicht notwendige Cookies in Deutschland normieren. Und schlie�lich betonen auch die Datenschutzbeh�rden regelm��ig, wie eng sie den Anwendungsbereich des berechtigten Interesses auslegen. Viele Aufsichtsbeh�rden machten zuletzt sogar deutlich, dass sie den Einsatz von Google Analytics nur mit Einwilligung f�r zul�ssig erachten.

Checkliste f�r die Kategorisierung von Cookies

Speichert der Cookie Daten mit einem Personenbezug?
F�r welchen Zweck wird der Cookie eingesetzt?
Ist der Cookie technisch f�r den Betrieb der Website erforderlich, etwa f�r das Login?
Wird der Cookie von Dritten gesetzt, etwa f�r seiten�bergreifende Nutzungsanalyse?
Werden Daten an Dritte weitergegeben?

Braucht man ein Cookie-Banner? Wie muss man �ber Cookies informieren?

Basisinformationen im Banner
Grunds�tzlich braucht jede Website, die Cookies verwendet, ein Cookie-Banner. Dieses muss die Basisinformationen �ber die verwendeten Cookies bereithalten. Dazu z�hlen die Arten der genutzten Cookies und ihre Zwecke, also wof�r mithilfe der Cookies Besucherdaten verarbeitet werden. F�r weitergehende Informationen sollte etwa auf die Datenschutzerkl�rung verlinkt werden. Besonders wichtig wird das Banner jedoch, wenn dar�ber eine Einwilligung eingeholt wird. Dann muss es dar�ber informieren, dass die Einwilligung freiwillig und jederzeit widerrufbar ist.

Zus�tzliche Informationen in der Datenschutzerkl�rung
Neben diesen Informationen muss in der Datenschutzerkl�rung detailliert �ber Cookies aufgekl�rt werden. Dabei gelten dieselben Informationspflichten wie auch bei anderen Datenverarbeitungen nach der DSGVO. Hervorzuheben ist jedoch, dass bei Cookies insbesondere �ber die Speicherdauer der einzelnen Cookies und die Weitergabe an Dritte und die Empf�nger der Daten informiert werden muss.

Checkliste f�r die Informationspflichten

Wird �ber die Arten und Zwecke (z. B. Nutzungsanalyse, Personalisierung, Marketing) der Cookies informiert?
Verweist das Banner zu Detailinformationen (z. B. Link zu Datenschutzerkl�rung)?
Wird mitgeteilt, wenn die Daten an Dritte weitergegeben werden?
Stellt das Banner klar, dass eine Einwilligung freiwillig und widerrufbar ist?
Wird �ber die Speicherdauer der Cookies informiert?

Wie gestaltet man ein Cookie-Banner?

Bei der konkreten Gestaltung eines Cookie-Banners mit Einwilligung besteht durchaus Spielraum, um den Bed�rfnissen des Marketings und des Websitebetreibers gerecht zu werden.

Einwilligung: Die freie Wahl erm�glichen
Damit die Zustimmung freiwillig ist, muss die M�glichkeit bestehen, die Nutzung der Cookies zu erlauben oder sie abzulehnen. Das k�nnte beispielsweise so aussehen: Den Button zur Zustimmung aller Cookies k�nnte man farbig gestalten, um ihn hervorzuheben. Daneben k�nnte man einen Button anbieten, der die individuelle Auswahl der Kategorien von Cookies erm�glicht, denen man zustimmen m�chte. Dort w�re auch, wenn man keine Auswahl trifft, das Ablehnen aller Cookies m�glich. Es sollte bei der konkreten Ausgestaltung darauf geachtet werden, dass der Besucher die freie Wahl zwischen Zustimmen und Ablehnen beh�lt und es ihm nicht unn�tig kompliziert gemacht wird.

Technische Voraussetzungen
Auf technischer Ebene muss man daf�r sorgen, dass die (ausgew�hlten) Cookies erst gesetzt werden, wenn der Besucher zugestimmt hat. Davor d�rfen nur die notwendigen Cookies genutzt werden. Das bedeutet: auch wenn der Nutzer keine Entscheidung trifft, d�rfen keine optionalen Cookies verwendet werden. Dar�ber hinaus darf das Cookie-Banner nicht die Links zum Impressum oder zur Datenschutzerkl�rung verdecken.

Textl�nge
Au�erdem muss man bei der Gestaltung des Banners darauf achten, dass man die unterschiedlichen Endger�te der Besucher ber�cksichtigt. Zu lange Texte im Banner erm�den schnell und nerven erst recht, wenn sie den halben Bildschirm, etwa auf einem Smartphone, einnehmen. Darum gilt es, einen gelungenen Kompromiss aus n�tigen Informationen im Text und der Textl�nge zu finden.

Checkliste zur Ausgestaltung des Cookie-Banners

K�nnen sich die Nutzer frei zwischen Zustimmen und Ablehnen entscheiden?
Werden die optionalen Cookies erst gesetzt, nachdem der Nutzer zugestimmt hat?
Bleiben trotz des Cookie-Banners Impressum und Datenschutzerkl�rung erreichbar?
Hat das Cookie-Banner eine angemessene Textl�nge auf unterschiedlichen Endger�ten?

Bereit f�r die Zukunft?

Wer sich jetzt bereits auf die k�nftige Rechtslage vorbereitet und eine rechtskonforme L�sung zur Nutzung von Cookies mit Einwilligung entwickelt, muss sich nicht um das bevorstehende Urteil des BGH oder die �nderung des TMG sorgen. Die Einwilligung zur Nutzung von Cookies kann rechtskonform sein und zugleich die Interessen von Marketing und Websitebetreiber angemessen ber�cksichtigen. Ist Ihre Website bereit f�r die Zukunft? Falls nicht, dann ist es h�chste Zeit, das zu �ndern!

Zur Autorin: Kathrin Sch�rmann ist Rechtsanw�ltin und Partnerin bei der Tech-Kanzlei Sch�rmann Rosenthal Dreyer und spezialisiert auf das digitale Business. Ihre Schwerpunkte sind Datenschutz & Wettbewerbsrecht, ihr Fokus unter anderem KI, Big Data und Kundenbindung.

Diskussion:

Von: Florian M�ller, Online Solutions Group, 26.02.2020

Zu: Wie Sie Cookies zukunftssicher nutzen

Sehr geehrte Frau Sch�rmann,
die Website Ihrer Kanzlei fragt nach keiner Einwilligung und setzt ungefragt Cookies u.a. zu Google Analytics. Au�erdem nutzt Ihre Seite Drittdienste, �ber die in Ihrer Datenschutzerkl�rung nicht informiert (Google Fonts)
Wieso setzen Sie Ihre Empfehlungen nicht auf Ihrer Website um?
Beste Gr��e, Chris T. Mueller
Quelle: https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fwww.srd-rechtsanwaelte.de%2F

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr