Seite auswählen

Schreib doch mal was mit Cookies, sagte meine Kollegin zu mir. Und nun sitze ich hier und krümel meine Tastatur mit Keksen voll und überlege dabei, wie ich dieses „spannende Thema“ auf eine nette Art verpacke. Leider meinte meine Kollegin nämlich nicht die leckeren Schoko Cookies, sondern die netten kleinen Code-Schnipsel, die gerne auch im Browser gesetzt und für u. a. das Tracking verwendet werden. Diese digitalen Kekse schmecken zwar nicht jedem, sind dafür aber absolut kalorienfrei.

Für alle, die sich mehr für die Schokovariante des „Kekses“ interessieren, gibt es hier einen Link zu einem leckeren Rezept. Für alle anderen hier nun ein paar Informationen zu Cookies auf Webseiten, wobei ich mich hier an der Orientierungshilfe der Aufsichtsbehörden anlehne.

Bevor wir uns zusammen in ein krümeliges, trockenes Keks-Abenteuer stürzen, hier noch ein wichtiger Hinweis in eigener Sache: Dieser Artikel stellt keine Rechtsberatung dar und wir übernehmen keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen.

Was ist ein Cookie überhaupt und woher stammt der Name?

Wenn wir von Cookies im Bereich der IT reden, dann sind damit kleine Dateien gemeint, die im Cache von deinem Browser gespeichert werden. Diese Dateien sind dazu da, um dich als Nutzer wiederzuerkennen, sodass du zum Beispiel nicht deine Zugangsdaten neu eingeben musst, wenn du eine Seite aufrufst. Manche Cookies enthalten auch personenbezogene Daten – je nach dem, wozu der Cookie gebraucht wird.

Übrigens, woher der Name Cookie stammt, ist nicht zu 100 Prozent geklärt. Allerdings gab ein auf das Jahr 1979 datiertes „magisches Cookie“,  dass dem Programmierer die Position des Lesezeigers anzeigte. Dazu muss man wissen, dass damals ein Computer noch durch Codezeilen-Eingabe benutzt wurde und eine grafische Benutzeroberfläche noch nicht existierte. Wie auch immer, im Jahre 1994 stand der amerikanische Programmierer Lou Montulli vor dem Problem, dass sich sein Browser nicht merken konnte, welche Seiten er schon aufgerufen hatte. Er erinnerte sich an den Magischen Cookie und schrieb ein kleines Programm, dass er „persistent client state object“ nannte. Damit gab er dem jungen Internet eine Art Gedächtnis. Und Montulli nannte sein Programm später schlicht Cookie.

Wer braucht Cookie-Hinweise?

Dazu hole ich mal kurz aus. Grundsätzlich ist es so, dass seit 2009 eine EU-Richtlinie existiert. Die EU-Cookie-Richtlinie ist jedoch kein verbindlicher Rechtsakt, wie zum Beispiel die Datenschutz-Grundverordnung der Europäischen Union. Die Cookie-Richtlinie ist in Deutschland mit dem Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) umgesetzt worden. Nun gibt es seit 2017 eine Initiative der EU-Kommission, die national geregelte Cookie-Richtlinie zu ersetzen. Das Ganze nennt sich e-Privacy-Verordnung. Die e-Privacy-Verordnung ist aber noch nicht in Kraft und somit gibt es de facto noch kein EU-Gesetz, dass den Cookie-Hinweis europaweit regelt.

Betrachtet man nun allein das deutsche Recht, so musst du die Besucher deiner Webseite darüber informieren, denn es gibt die Cookie-Hinweis Pflicht. Anders als die Pflicht für einen Cookie-Hinweis, musst du deine Nutzer nach deutschem Recht nicht in die Cookie-Nutzung einwilligen lassen. Aber jeder, der einen Cookie setzt, muss seine Nutzer eine Information zu kommen lassen, dass dies der Fall ist.

Die Datenschutzaufsichtsbehörden des Bundes und der Länder sehen dies jedoch etwas anders. Die Datenschutzkonferenz stellt sich in der Orientierungshilfe vom März 2019 auf den Standpunkt, dass bei der Verwendung von Cookies nicht nur der Nutzer aufgeklärt werden muss, sondern der Nutzer auch aktiv eine Einwilligung abgeben muss, dass er den Hinweis verstanden hat.

Du merkst, es gibt verschiedene Positionen und Standpunkte und die Rechtslage ist noch nicht so richtig klar. Daher empfehle ich dir, die Zustimmung des Nutzers einzuholen. Denn Vorbeugen ist besser, als nach hinten fallen.

Was muss im Cookie-Hinweis stehen?

Weder die neue Datenschutz-Grundverordnung noch die neue e-Privacy-Verordnung gibt bislang eine genaue Vorgabe, wie ein Cookie Hinweis aussehen muss. Das macht es für dich als Betreiber einer Webseite nicht einfach. Meiner Meinung nach gehören folgende Punkte in deinen Cookie Hinweis:

  1. Der Hinweis, dass du die kleinen digitalen Kekse einsetzt – ist ja klar.
  2. Der Hinweis auf deine Datenschutzerklärung (am besten verlinkt). Denn in der Datenschutzerklärung erklärst du unter anderem, wie deine Cookie-Nutzung realisiert wird und wie du mit den gewonnenen Daten umgehst und natürlich wie der Nutzer der Datenerfassung widersprechen kann.
  3. Ein Call-to-Action, der die Einwilligung bzw. die Kenntnisnahme des Nutzers einfordert und speichert.

Wie muss der Cookie-Hinweis aussehen?

Wie gesagt, ich mache hier keine Rechtsberatung, aber ich lasse dich gerne an unserem Vorgehen teilhaben. Wir verwenden derzeit auf unserer Webseite folge Formulierung für den Cookie-Hinweis auf einem Cookie-Banner:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Stimmen Sie der Verwendung der Cookies zu, klicken Sie bitte „Einverstanden“. Wenn Sie den Einsatz von Cookies ändern oder widerrufen wollen, klicken Sie hier. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.“

Abgerundet wird das Ganze mit einem „Einverstanden“-Button, mit dem wir uns die Einwilligung des Nutzers holen. Übrigens, laut Datenschutzkonferenz reicht ein einfaches „OK“ oder „mit Weitersurfen stimmst du zu“ nicht in deinem Cookie-Banner auf deiner Webseite aus. Die Datenschutzkonferenz erkennt diese Formen nicht als ausdrückliche Einwilligung des Nutzers an.

Cookie-Hinweis mit Hilfe von Plug-ins

Es gibt eine Menge von Plug-ins, die das Thema Cookie-Hinweis gut abdecken. Zwei sehr beliebte und – laut Aussage der Anbieter – auch DSGVO-konforme Plug-ins für WordPress sind WP GDPR Compliance und GDPR. Beide bieten neben dem Cookie-Banner noch eine Menge anderer Einstellungsmöglichkeiten im Hinblick auf deine DSGVO-konforme Webseite.

So, nun sind meine Kekse alle und ich hoffe, du konntest ein paar Informationen für dich, deine Webseite und deine Datenschutzerklärung mitnehmen. Übrigens, falls du ein tolles Cookie-Rezept oder eine Frage bzw. Anregung hast, kannst du gerne einen Kommentar hinterlassen.

 

Marcel Päßler

Unser Analyst Marcel ist gleichzeitig auch unser Datenschutzbeauftragter und wird sich demzufolge intensiv mit den Themen Datenschutz, ePrivacy und DSGVO befassen.

mehr erfahren ...