Cookies sind kleine Textdateien, die beim Besuch einer Website vom Internetbrowser heruntergeladen und am Endgerät des Website-Besuchers für eine unterschiedlich lange Dauer gespeichert werden. Beim erneuten Besuch der Website vom gleichen Endgerät bzw. Browser kann die Website das zuvor von ihr gesetzte Cookie wieder auslesen. Cookies dienen dazu, Nutzereingaben zu speichern (z.B. Warenkorb) oder den Website-Besucher zu „kennzeichnen“, um ihn beim nächsten Besuch wiederzuerkennen. Dadurch lässt sich das Besuchererlebnis einer Website verbessern und Produktangebote können optimiert werden. Das bedeutet aber auch, dass mithilfe von Cookies personenbezogene Daten gespeichert werden, weshalb sie in den Bereich der DSGVO fallen. Je nach Zweck können Cookies einwilligungspflichtig sein oder nicht.
Einwilligungspflichtige Cookies
Handelt es sich bei den Cookies, die von der Website gesetzt werden sollen, um einwilligungspflichtige Cookies (das sind alle Cookies außer jenen, die es braucht, um dem User den gewünschten Dienst überhaupt zur Verfügung stellen zu können), muss eine Einwilligung des Website-Besuchers eingeholt werden. Das Cookie darf erst gesetzt werden, wenn eine Einwilligung vorliegt.
Laut DSGVO ist eine Einwilligung eine
Willensbekundung.
Viele Unternehmen haben auf ihren Webseiten die Notwendigkeit einer Einwilligung durch ein Pop-up-Banner am unteren Rand mit folgender oder einer ähnlichen Formulierung gelöst: „Diese Website verwendet Cookies. Es kommt daher zu einer Ermittlung und Speicherung von Daten. Informationen zur Datenverarbeitung sowie zur Möglichkeit, dies abzulehnen, erhalten Sie in der Datenschutzerklärung. [OK]“
Laut EuGH ist der Auftrag an den User, unerwünschte Cookies abzulehnen bzw. abzuwählen (Opt-out) jedoch genau der verkehrte Ansatz, da er der Definition einer „Einwilligung“ (siehe auch Punkt 1) nicht wirklich entspricht. Es soll der User im Gegenteil anklicken (müssen), welchen Cookies er zustimmt (Opt-in), z.B. in Form von Häkchen, die er etwa in einem solchen Cookie-Banner setzt. Zudem muss er natürlich umfassend informiert werden: z.B., wozu diese Cookies dem Unternehmen genau dienen, wie die daraus gewonnenen Informationen weiterverarbeitet werden und auch, welche Auftragsverarbeiter noch darauf Zugriff haben.
Vordergründig bedeutet die EuGH-Entscheidung Arbeit für das Unternehmen, denn Cookie-Banner und Datenschutzerklärungen müssen überarbeitet und an die neuen Bedingungen angepasst werden. Zuerst muss eruiert werden, welche Cookies die Webseite genau setzt, die Banner müssen neu gestaltet werden und schließlich muss auch sichergestellt sein, dass die Website am Ende auch verlässlich nur solche Cookies setzt, denen der Benutzer zugestimmt hat. Das Unternehmen muss also Geld und/oder personelle Ressourcen investieren.
Die größere Sorge der Unternehmen ist jedoch, dass sie die Zustimmung der User nicht mehr bekommen. Natürlich ist personalisierte Werbung auch für den Kunden angenehmer. Aber sie ist und bleibt nun mal Werbung und ob Website-Benutzer dafür wirklich aktiv ein Häkchen setzen, wird sich erst zeigen. Marketing-Experten zumindest sind jetzt bereits der Meinung, dass es Online-Marketing, wie wir es kennen, nicht mehr lange geben wird.
Ja, es ist noch Einiges unklar:
Fazit:
Eineinhalb Jahre nach Ende der DSGVO-Umsetzungsfrist tut sich im Datenschutz mehr denn je. Damit Sie bei Cookie und Co. auf der sicheren Seite bleiben, hier noch ein Tipp für Sie: Rechtssichere Informationen und stets aktuelle Inhalte finden Sie in unserem