Cookies

Entscheidung des Bundesgerichtshof

Mit dessen Urteil vom 28. Mai 2020 sind verbreitete Lösungen wie "Diese Website benutzt Cookies. Wenn du die Website weiter nutzt, gehen wir von deinem Einverständnis aus" nicht mehr möglich. Cookies, die für den Betrieb einer Internetseite nicht zwingend erforderlich sind, dürfen nur noch nach einer aktiven Einwilligung gesetzt werden.

Nutzer:innen entscheiden

Relevant ist nicht mehr der Standort des Servers auf dem die Website liegt, sondern der Standort des Nutzers was insbesondere amerikanische Branchengrößen wie Facebook und Google zu Anpassungen an europäisches Recht zwingen soll.

Session Cookies

Dies sind alle Cookies die allein der Funktionsfähigkeit der Webseiten dienen bzw. stark vereinfacht solche die keine Daten weitergeben. Beispiele: Session Cookies für Sprachauswahl, Kaufprozesse (Warenkorb) sowie zur reinen Vorbereitung und Legitimierung vom Zahlungen sowie Einstellungen für technisch nicht erforderliche Cookies.

Eine ausdrückliche Einwilligung ist nicht erforderlich, aber auch rein technische Cookies müssen in der Datenschutzerklärung dokumentiert werden.

Tracking und Third Party Cookies

Hierzu zählen zum einen Kekse zur Analyse des Nutzerverhaltens und für das Marketing, insbesondere alle Arten von Keksen für Statistiken (z.B. Google Analytics) sowie Marketing Cookies aus Programmen für Affiliates und alle Arten von sozialen Medien und Dienste von Google für Videos, Karten u.ä. Im groben lassen sich diese als Tracking Cookies und Third Party Cookies zusammenfassen.

Eine Zustimmungen bzw. Ablehnung ist ausdrücklich einzuholen und muss aktiv geschehen, z.B. durch freiwilliges Ankreuzen. Zweck, Einsatzweise, Funktionsdauer und das sogenannte "berechtigte Interesse" ist in der eigenen Datenschutzerklärung darzulegen und zu dokumentieren.

Keiner ist unfehlbar

Cookie Banner verdeckt Links zu rechtlich relevante Seiten wie Impressum und Datenschutzerklärung; ohne Zustimmung ist kein Zugang zu diesen Seiten möglich; kritische Kekse (Tracking und Third Party) werden Besucher:innen ohne Zustimmung sofort untergejubelt; unerwünschte Cookies müssen erst abgewählt werden (besonders kritisch in Kombination mit farblichen Flächen), die Möglichkeit eines nachträglichen Opt-Out genügt nicht; Einwilligungen können nicht widerrufen werden oder Kekse werden nach Widerruf nicht gelöscht.

Vermeidbar

Optisch hervorgehobene Fläche zum Akzeptieren aller Cookies; Vorauswahl von Cookies (häufig anzutreffen wenn es um Tracking geht); Buttons für Zustimmung oder Ablehnung in unterschiedlichen Farben, Schriften und Größen; Cookies werden fehlerhaft beschrieben; Einwilligungen wurden nicht dokumentiert; im Falle von Dritthostern, sogenannten Cookie Consent Banner Herstellern, wurde kein Auftragsverarbeitungsvertrag vereinbart.

Inhalte von Dritten z.B. Schriften

Nicht nur bei Cookies auch für die Verarbeitung persönlicher Daten wird eine Einwilligung benötigt. Vielen ist auch nicht bewusst, dass das Laden von Schriften direkt von Dritten einen Verstoß gegen die Datenschutzgrundverordnung darstellen kann "da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss". Mehr Infos im Newsticker.

Prüfe wer sich ewig bindet

Gehen Sie in sich! Werden außer Session Cookies wirklich Tracking und Third Party Cookies benötigt? Sind für die letzten beiden keine erkennbaren Vorteile vorhanden ist ein Verzicht die günstigste und rechtssicherste Variante.

Zahlreiche neuere Generationen von Browsern gehen zwischenzeitlich dazu über in den Standardeinstellungen Third Party Cookies zu blockieren, dies gilt für Brave z.T. für Safari und Firefox. Google hat mit Chrome zwischenzeitlich nachgezogen.

Bei unklaren oder sehr komplexen Projekten sollte der Einsatz sowie Hinweise auf Cookies und die Datenschutzgrundverordnung unbedingt mit entsprechend spezialisierten Anwält:innen zu besprochen werden.

Mehr zum Thema Web Service aus der Praxis auf meiner Site www.servicepraxis.com/cookie-management.