DSGVO: Umgang mit der Cookie-Richtlinie

31.07.2020

von Johannes Stabel
Foto Adobe Stock

Wie erhebe ich DSGVO-konform Daten trotz Cookie Verordnung? Online-Marketing-Experte Johannes Stabel bringt Licht ins Dunkel.

Um Nutzer im Internet wiederzuerkennen und ihren Weg im Internet auswerten zu können, kommt in den meisten Fällen “Cookie Tracking” zum Einsatz. Dabei werden Informationen zum Surfverhalten des Nutzers durch einen Cookie im Browser des Nutzers abgespeichert.

Das Auslesen dieser Informationen ermöglicht es, umfangreiche Aussagen über die Effektivität der Online Marketing Kampagnen zu treffen.  So basiert die Erfolgsmessung der Marketing Kanälen zum allergrößten Teil auf Informationen, die mit Hilfe von Cookies gewonnen und ausgewertet werden (z. B. mit welchen Kanälen mein Kunde Kontakt hatte, wie viel mich ein Neukunde in der Akquise kostet oder wie viel Umsatz dieser einbringt). Doch steht dieses Verfahren zur Datenerhebung schon seit einiger Zeit unter Beschuss.

Die Gesetzeslage

Eine wichtige Auswirkung der Datenschutzverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, war die Neuregelung der Datenschutzerklärung auf Webseiten. Die Frage wie Cookies verwendet werden dürfen, wurde jedoch nicht beantwortet. Dies soll erst mit der ePrivacy Verordnung passieren, die ursprünglich zeitgleich mit der DSGVO umgesetzte werden sollte. Aktuell ist diese immer noch nicht verabschiedet. Einen genauen Termin, wann dies der Fall sein wird, gibt es ebenfalls noch nicht. Daher musste man sich in Deutschland bislang auf das betagte Telemediengesetz (TMG § 15 Abs.3) stützen. Dies wurde allgemein so ausgelegt, dass es ausreichte, den Nutzer auf die Verwendung von Cookies und ein Widerspruchsrecht aufmerksam zu machen.

Während die ePrivacy Verordnung noch diskutiert wird, hat der Europäische Gerichtshof (EUGH) in einem Urteil im Oktober 2019 jedoch eine wichtige Argumentation der ePrivacy Verordnung vorweggenommen. 

Das EUGH entschied, dass Tracking Cookies nicht ohne Einwilligung des Users, also nur mit Opt-In gesetzt werden dürfen. Dies gilt sowohl für personenbezogen als auch anonymisierte Nutzerinformationen. Im Mai hat nun auch der BGH diese Entscheidung für die deutsche Gesetzgebung in seinem Urteil bestätigt.

Bisher war es zwar üblich, dass auf Webseiten auf die Verwendung von Tracking Cookies hingewiesen wurde und der Webseiten Besucher auch Cookie Tracking deaktivieren konnte. Doch war die Verwendung der Cookies per Default bereits bestätigt und Nutzer mussten diese selbst deaktivieren (Opt-Out Verfahren).  Mit dem EUGH und BGH-Urteil hat sich dies nun umgekehrt und es herrscht eine Opt-In Pflicht.

Seitdem herrscht in der Online Marketing Branche berechtigterweise Verunsicherung. Was bedeutet dies nun für die Praxis?

EUGH und BGH-Urteil in der Praxis - Umsetzung der Opt-In Pflicht

Eine gelungene Umsetzung der gesetzlichen Vorgaben zur Opt-In Pflicht, hat Lufthansa auf ihrer Webseite www.lufthansa.com implementiert. Nutzer können hier auswählen, welche Art von Daten sie teilen wollen, durch die Gestaltung der Cookie Bar wird versucht, Einfluss auf den Nutzer zu nehmen und diesen möglichst zum Klicken des Buttons “Alle auswählen” zu motivieren.

Cookie Bar auf www.lufthansa.com

Abbildung 1: Die Cookie Bar auf www.lufthansa.com.

Die Opt-In Pflicht, die sich aus den Urteilen des EUGH und BGH ergibt, schafft für Webseiten Inhaber neue Herausforderungen.

Die Lufthansa unterscheidet außerdem zwischen notwendige und freiwillige Cookies. Die notwendigen Cookies sind verpflichtend und können nicht deaktiviert werden. Hierzu zählen Cookies, die für die Funktion der Webseite zwingend benötigt werden (z.B. zur Speicherung des Warenkorbs, des Log-Ins, oder der Länder- oder Sprachauswahl). Die freiwilligen Cookies sind in “Statistik”, “Komfort” und “Personalisierung” unterteilt und ermöglichen es dem Nutzer abgestuft die eignen Daten zur Verwertung zuzulassen (etwa pseudonymisierte Informationen zum Nutzerverhalten oder Retargeting Daten).

Checkliste für Webseitenbetreiber

Da die gängige Methode der einfachen Cookie-Hinweisbanner (Consent) oder Opt-Out Banner nicht abmahnsicher sind, sollten bisherige Berechtigungen zur Erfassung und Personalisierung von Nutzerdaten überprüft und überarbeitet werden.

  • Webseiten Besucher müssen Verwendung der Cookies aktiv zustimmen
  • Dies kann über einen Cookie Banner wie im Lufthansa Beispiel erfolgen
  • Opt-In Verfahren ist laut Gesetz ab sofort verpflichtend, technisch notwendige Cookies sind davon ausgenommen
  • zusätzlich besteht eine Informationspflicht zur Auflistung der Cookies, der Cookie Inhaberschaft, der Cookie Laufzeiten und dem Zweck der Verwendung
  • Umsetzung der Informationspflicht z.B. in Datenschutzerklärung auf der Webseite oder direkt im Cookie Banner
  • IP-Adressen weiterhin anonymisieren
  • Impressum- und Datenschutzhinweis notwendig (muss auf allen Seiten der Webseite immer sichtbar sein und darf vom Cookie Banner nicht verdeckt werden)
  • Zur Sicherheit Informationen im Cookie Banner mit aufführen
  • Empfehlung zusätzlich die Möglichkeit zum Opt-out für Tracking in der Datenschutzerklärung

Die Opt-In Pflicht, die sich aus den Urteilen des EUGH und BGH ergibt, schafft für Webseiten Inhaber neue Herausforderungen. Die Verwendung einer Cookie Bar, wie im Lufthansa Beispiel, ist ein guter Weg, um die neuen gesetzlichen Vorgaben zur Opt-In Pflicht umzusetzen.

Wie Webseitenbetreiber ab sofort mit deutlich weniger getrackten Nutzern aussagekräftige Performance Analysen erstellen und ihre Online Marketing Aktivitäten optimieren können, ist dabei eine ganz andere Frage.

Disclaimer: internetwarriors bietet keine rechtliche Beratung an. Die eingesetzten Lösungen werden individuell nur mit DSG-konformen Best Practice Lösungen erarbeitet.

Johannes Stabel

Über den Autor

Bild: Johannes Stabel

Johannes Stabel ist seit 2009 in der Agenturszene im Bereich Performance Marketing und Paid Ads tätig. Als Chief Operating Officer bei der Berliner Online Marketing Agentur internetwarriors ist er für die strategische und fachliche Leitung aller operativen Prozesse zuständig.

Die kanalübergreifende Betrachtung, Bewertung und Aussteuerung aller Online Marketing Maßnahmen gehört zu seinen Kernkompetenzen.

Das könnte Sie auch interessieren

Wenn die besten Virenscanner und Passwörter nicht mehr helfen

Bild: Tastatur / Free Stock

17.07.2020

IT-Experte Christoph Ritter über die Methoden von Cyber-Kriminellen – inklusive Tipps, wie man sich vor ihnen schützen kann.

mehr

Die Nagelprobe für Markenkommunikation

Bild: Die Nagelprobe für Markenkommunikation

13.05.2020

Offen, wahrhaftig und zuerst nach innen – so gelingt Kommunikation in Krisenzeiten. Wie die Berliner Volksbank das umsetzt, erläutert Frauke van Bevern, Bereichsleiterin Marke und Kommunikation. 

mehr

Kreativität braucht unproduktive Zeiten

22.11.2019

Wie können wir in digitalen Zeiten den Überblick behalten und gesund bleiben? Antworten gibt Professor Michael Kastner, Leiter des Instituts für Arbeitspsychologie und Arbeitsmedizin IAPAM in Herdecke und Berlin.

mehr