Cookies

Kekse können einem auf den Keks gehen!

Cookies, e-Privacy- und Datenschutzgrundverordnung sowie gestiegene Sensibilität und Sparsamkeit im Umgang mit persönlichen Daten, wozu auch die (wenn auch meist nur temporär) vom Provider zugeordnete Adresse gehört, sind eine nahezu unendliche Geschichte, bei der auch heute noch viel falsch und wenig richtig gemacht wird. Ich gebe im folgenden meine intensiven Erfahrungen zum Thema wider, diese stellen weder eine Rechtsberatung dar noch können diese eine solche ersetzen. Alle Angaben daher ohne Gewähr.

Grundlage

Entscheidung des Bundesgerichtshof

Mit dessen Urteil vom 28. Mai 2020 sind verbreitete Lösungen wie "Diese Website benutzt Cookies. Wenn du die Website weiter nutzt, gehen wir von deinem Einverständnis aus" nicht mehr möglich. Cookies, die für den Betrieb einer Internetseite nicht zwingend erforderlich sind, dürfen nur noch nach einer aktiven Einwilligung gesetzt werden.

E-Privacy-Verordnung

Nutzer:innen entscheiden

Relevant ist nicht mehr der Standort des Servers auf dem die Website liegt, sondern der Standort des Nutzers was insbesondere amerikanische Branchengrößen wie Facebook und Google zu Anpassungen an europäisches Recht zwingen soll.

Technische Kekse

Session Cookies

Dies sind alle Cookies die allein der Funktionsfähigkeit der Webseiten dienen bzw. stark vereinfacht solche die keine Daten weitergeben. Beispiele: Session Cookies für Sprachauswahl, Kaufprozesse (Warenkorb) sowie zur reinen Vorbereitung und Legitimierung vom Zahlungen sowie Einstellungen für technisch nicht erforderliche Cookies.

Eine ausdrückliche Einwilligung ist nicht erforderlich, aber auch rein technische Cookies müssen in der Datenschutzerklärung dokumentiert werden.

Nicht notwendige Kekse

Tracking und Third Party Cookies

Hierzu zählen zum einen Kekse zur Analyse des Nutzerverhaltens und für das Marketing, insbesondere alle Arten von Keksen für Statistiken (z.B. Google Analytics) sowie Marketing Cookies aus Programmen für Affiliates und alle Arten von sozialen Medien und Dienste von Google für Videos, Karten u.ä. Im groben lassen sich diese als Tracking Cookies und Third Party Cookies zusammenfassen.

Eine Zustimmungen bzw. Ablehnung ist ausdrücklich einzuholen und muss aktiv geschehen, z.B. durch freiwilliges Ankreuzen. Zweck, Einsatzweise, Funktionsdauer und das sogenannte "berechtigte Interesse" ist in der eigenen Datenschutzerklärung darzulegen und zu dokumentieren.

Häufige Fehler

Keiner ist unfehlbar

Cookie Banner verdeckt Links zu rechtlich relevante Seiten wie Impressum und Datenschutzerklärung; ohne Zustimmung ist kein Zugang zu diesen Seiten möglich; kritische Kekse (Tracking und Third Party) werden Besucher:innen ohne Zustimmung sofort untergejubelt; unerwünschte Cookies müssen erst abgewählt werden (besonders kritisch in Kombination mit farblichen Flächen), die Möglichkeit eines nachträglichen Opt-Out genügt nicht; Einwilligungen können nicht widerrufen werden oder Kekse werden nach Widerruf nicht gelöscht.

Zumindest Fragwürdig

Vermeidbar

Optisch hervorgehobene Fläche zum Akzeptieren aller Cookies; Vorauswahl von Cookies (häufig anzutreffen wenn es um Tracking geht); Buttons für Zustimmung oder Ablehnung in unterschiedlichen Farben, Schriften und Größen; Cookies werden fehlerhaft beschrieben; Einwilligungen wurden nicht dokumentiert; im Falle von Dritthostern, sogenannten Cookie Consent Banner Herstellern, wurde kein Auftragsverarbeitungsvertrag vereinbart.

Randnotizen

Inhalte von Dritten z.B. Schriften

Nicht nur bei Cookies auch für die Verarbeitung persönlicher Daten wird eine Einwilligung benötigt. Vielen ist auch nicht bewusst, dass das Laden von Schriften direkt von Dritten einen Verstoß gegen die Datenschutzgrundverordnung darstellen kann "da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss". Mehr Infos im Newsticker.

Empfehlungen

Prüfe wer sich ewig bindet

Gehen Sie in sich! Werden außer Session Cookies wirklich Tracking und Third Party Cookies benötigt? Sind für die letzten beiden keine erkennbaren Vorteile vorhanden ist ein Verzicht die günstigste und rechtssicherste Variante.

Zahlreiche neuere Generationen von Browsern gehen zwischenzeitlich dazu über in den Standardeinstellungen Third Party Cookies zu blockieren, dies gilt für Brave z.T. für Safari und Firefox. Google hat mit Chrome zwischenzeitlich nachgezogen.

Bei unklaren oder sehr komplexen Projekten sollte der Einsatz sowie Hinweise auf Cookies und die Datenschutzgrundverordnung unbedingt mit entsprechend spezialisierten Anwält:innen zu besprochen werden.

Mehr zum Thema Web Service aus der Praxis auf meiner Site www.servicepraxis.com/cookie-management.

Bildnachweis: Tools und Tipps © B&N Internet-Marketing