DSGVO: Umgang mit der Cookie-Richtlinie
31.07.2020 - Lesezeit: 5 Minuten
Wie erhebe ich DSGVO-konform Daten trotz Cookie Verordnung? Online-Marketing-Experte Johannes Stabel bringt Licht ins Dunkel.
Um Nutzer im Internet wiederzuerkennen und ihren Weg im Internet auswerten zu können, kommt in den meisten Fällen “Cookie Tracking” zum Einsatz. Dabei werden Informationen zum Surfverhalten des Nutzers durch einen Cookie im Browser des Nutzers abgespeichert.
Das Auslesen dieser Informationen ermöglicht es, umfangreiche Aussagen über die Effektivität der Online Marketing Kampagnen zu treffen. So basiert die Erfolgsmessung der Marketing Kanälen zum allergrößten Teil auf Informationen, die mit Hilfe von Cookies gewonnen und ausgewertet werden (z. B. mit welchen Kanälen mein Kunde Kontakt hatte, wie viel mich ein Neukunde in der Akquise kostet oder wie viel Umsatz dieser einbringt). Doch steht dieses Verfahren zur Datenerhebung schon seit einiger Zeit unter Beschuss.
Die Gesetzeslage
Eine wichtige Auswirkung der Datenschutzverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, war die Neuregelung der Datenschutzerklärung auf Webseiten. Die Frage wie Cookies verwendet werden dürfen, wurde jedoch nicht beantwortet. Dies soll erst mit der ePrivacy Verordnung passieren, die ursprünglich zeitgleich mit der DSGVO umgesetzte werden sollte. Aktuell ist diese immer noch nicht verabschiedet. Einen genauen Termin, wann dies der Fall sein wird, gibt es ebenfalls noch nicht. Daher musste man sich in Deutschland bislang auf das betagte Telemediengesetz (TMG § 15 Abs.3) stützen. Dies wurde allgemein so ausgelegt, dass es ausreichte, den Nutzer auf die Verwendung von Cookies und ein Widerspruchsrecht aufmerksam zu machen.
Während die ePrivacy Verordnung noch diskutiert wird, hat der Europäische Gerichtshof (EUGH) in einem Urteil im Oktober 2019 jedoch eine wichtige Argumentation der ePrivacy Verordnung vorweggenommen.
Das EUGH entschied, dass Tracking Cookies nicht ohne Einwilligung des Users, also nur mit Opt-In gesetzt werden dürfen. Dies gilt sowohl für personenbezogen als auch anonymisierte Nutzerinformationen. Im Mai hat nun auch der BGH diese Entscheidung für die deutsche Gesetzgebung in seinem Urteil bestätigt.
Bisher war es zwar üblich, dass auf Webseiten auf die Verwendung von Tracking Cookies hingewiesen wurde und der Webseiten Besucher auch Cookie Tracking deaktivieren konnte. Doch war die Verwendung der Cookies per Default bereits bestätigt und Nutzer mussten diese selbst deaktivieren (Opt-Out Verfahren). Mit dem EUGH und BGH-Urteil hat sich dies nun umgekehrt und es herrscht eine Opt-In Pflicht.
Seitdem herrscht in der Online Marketing Branche berechtigterweise Verunsicherung. Was bedeutet dies nun für die Praxis?
EUGH und BGH-Urteil in der Praxis - Umsetzung der Opt-In Pflicht
Eine gelungene Umsetzung der gesetzlichen Vorgaben zur Opt-In Pflicht, hat Lufthansa auf ihrer Webseite www.lufthansa.com implementiert. Nutzer können hier auswählen, welche Art von Daten sie teilen wollen, durch die Gestaltung der Cookie Bar wird versucht, Einfluss auf den Nutzer zu nehmen und diesen möglichst zum Klicken des Buttons “Alle auswählen” zu motivieren.
Die Opt-In Pflicht, die sich aus den Urteilen des EUGH und BGH ergibt, schafft für Webseiten Inhaber neue Herausforderungen.
Johannes Stabel
Die Lufthansa unterscheidet außerdem zwischen notwendige und freiwillige Cookies. Die notwendigen Cookies sind verpflichtend und können nicht deaktiviert werden. Hierzu zählen Cookies, die für die Funktion der Webseite zwingend benötigt werden (z.B. zur Speicherung des Warenkorbs, des Log-Ins, oder der Länder- oder Sprachauswahl). Die freiwilligen Cookies sind in “Statistik”, “Komfort” und “Personalisierung” unterteilt und ermöglichen es dem Nutzer abgestuft die eignen Daten zur Verwertung zuzulassen (etwa pseudonymisierte Informationen zum Nutzerverhalten oder Retargeting Daten).
Checkliste für Webseitenbetreiber
Da die gängige Methode der einfachen Cookie-Hinweisbanner (Consent) oder Opt-Out Banner nicht abmahnsicher sind, sollten bisherige Berechtigungen zur Erfassung und Personalisierung von Nutzerdaten überprüft und überarbeitet werden.
- Webseiten Besucher müssen Verwendung der Cookies aktiv zustimmen
- Dies kann über einen Cookie Banner wie im Lufthansa Beispiel erfolgen
- Opt-In Verfahren ist laut Gesetz ab sofort verpflichtend, technisch notwendige Cookies sind davon ausgenommen
- zusätzlich besteht eine Informationspflicht zur Auflistung der Cookies, der Cookie Inhaberschaft, der Cookie Laufzeiten und dem Zweck der Verwendung
- Umsetzung der Informationspflicht z.B. in Datenschutzerklärung auf der Webseite oder direkt im Cookie Banner
- IP-Adressen weiterhin anonymisieren
- Impressum- und Datenschutzhinweis notwendig (muss auf allen Seiten der Webseite immer sichtbar sein und darf vom Cookie Banner nicht verdeckt werden)
- Zur Sicherheit Informationen im Cookie Banner mit aufführen
- Empfehlung zusätzlich die Möglichkeit zum Opt-out für Tracking in der Datenschutzerklärung
Die Opt-In Pflicht, die sich aus den Urteilen des EUGH und BGH ergibt, schafft für Webseiten Inhaber neue Herausforderungen. Die Verwendung einer Cookie Bar, wie im Lufthansa Beispiel, ist ein guter Weg, um die neuen gesetzlichen Vorgaben zur Opt-In Pflicht umzusetzen.
Wie Webseitenbetreiber ab sofort mit deutlich weniger getrackten Nutzern aussagekräftige Performance Analysen erstellen und ihre Online Marketing Aktivitäten optimieren können, ist dabei eine ganz andere Frage.
Disclaimer: internetwarriors bietet keine rechtliche Beratung an. Die eingesetzten Lösungen werden individuell nur mit DSG-konformen Best Practice Lösungen erarbeitet.