21.09.2021 | Lesedauer: 4 min.
Die nahezu auf jeder Website aufpoppenden Cookie-Banner mögen von vielen Usern als störend empfunden werden, sind aber für die allermeisten Website-Betreiber verpflichtend – zumindest sind sie die übliche Lösung, um dem Datenschutz gerecht zu werden. Wer kein Cookie-Banner auf der eigenen Website eingepflegt hat, riskiert Abmahnungen oder Strafen. Doch eins nach dem anderen …
Was sind Cookies?
Cookies sind Textdateien, die beim Besuch einer Website vom Browser des Nutzers gespeichert werden. Diese Dateien enthalten Informationen über den Nutzer, um diesen zum Beispiel bei einem erneuten Besuch der gleichen Website wiederzuerkennen. Das ist durchaus sinnvoll, denn so bleiben Spracheinstellungen bestehen, und ausgewählte Produkte sind immer noch im Warenkorb, obwohl man zwischenzeitlich die Website verlassen hat.
Auch der Website-Betreiber hat Zugriff auf die Cookies und damit auf diese Informationen. Die bisher genannten Cookies stellen lediglich ein nutzerfreundliches Funktionieren der Website sicher und bereiten Datenschützern keine Kopfschmerzen. Aber Cookies können auch viele weitere Details über den Nutzer sammeln, die sehr genau Aufschluss über sein Surfverhalten und seine Interessen geben. So wird etwa gespeichert, welche Websites und Shops man besucht hat und was man dort getan hat. Auch Alter, Geschlecht und Herkunft können erhoben werden. Die Folgen solcher Cookies dürften jedem Nutzer bekannt sein: Man surft in einem Online-Shop und bekommt danach auf anderen Websites entsprechende Werbung eingeblendet. Man nennt dieses gezielte Neu-Ansprechen eines potenziellen Käufers „Retargeting“ . Dies ist gerade im E-Commerce eine gängige Praxis.
Cookies und der Datenschutz
Es sind vor allem solche „Werbe-Cookies“, die Datenschützer auf den Plan gerufen haben. Denn zum einen lässt sich aus den gesammelten Informationen ein hinreichend exaktes Nutzerprofil anlegen, um von einem „gläsernen Nutzer“ sprechen zu können. Zum anderen handelt es sich dabei in aller Regel um Third-Party-Cookies, also solchen, die von Dritten und nicht dem Website-Betreiber selbst gesetzt werden. Diese Dritten sind typischerweise Werbetreibende. Auf gut Deutsch: Es geraten persönliche Details in die Hände von anderen Leuten, die damit Geld verdienen.
Die DSGVO (Datenschutz-Grundverordnung), die 2018 in Kraft trat, hat die Verwendung dieser Third-Party-Cookies (oft auch Tracking-Cookies oder Targeting-Cookies genannt) eingeschränkt. Denn personenbezogene Daten dürfen gemäß DSGVO nur dann erhoben werden, wenn der Nutzer seine ausdrückliche Zustimmung gegeben hat. Die europäische E-Privacy-Richtlinie präzisiert zusätzlich, dass keine Cookies ohne vorherige Zustimmung des Nutzers gesetzt werden dürfen, wenn sie nicht für die Funktion der Website erforderlich sind. Vor allem nach einigen Präzedenzfällen ist die Rechtslage damit sehr klar.
Diese Anforderungen müssen Website-Betreiber bei Cookies erfüllen
- Technisch notwendige Cookies dürfen ungefragt gesetzt werden, also zum Beispiel Cookies zum Speichern von Login-Daten, Spracheinstellungen oder Produkten im Warenkorb.
- Für alle anderen Cookies muss eine Zustimmung vom Nutzer eingeholt werden. Die übliche Art ist ein Cookie-Banner. In diesem muss der Nutzer durch das Ankreuzen von Kästchen, Bewegen von Schiebereglern o. ä. seine Zustimmung erteilen können. Erst dann dürfen Cookies gesetzt werden („Opt-in“-Verfahren).
- Opt-out-Verfahren (der Nutzer muss aktiv seine Zustimmung verweigern, ansonsten werden Cookies standardmäßig gesetzt) sowie das Beschränken des Angebots, wenn Cookies nicht gesetzt werden, sind nicht erlaubt.
- Websites müssen eine Cookie-Richtlinie enthalten. Diese Erklärung muss in leicht verständlicher Sprache darstellen, welche Cookies auf der Website aktiv sind, welche Daten sie erheben, wer darauf Zugriff hat und wo diese Daten gespeichert werden. Typischerweise wird die Cookie-Richtlinie als Absatz in die Datenschutzerklärung der Website mit aufgenommen.
- Diese Vorgaben gelten, sobald sich das Endgerät des Nutzers innerhalb der EU befindet. Website-Betreiber können sich also nicht durch ein Auslagern der Datenverarbeitung außerhalb Europas „retten“.
Wie sieht ein Datenschutz-konformes Cookie-Banner aus?
In einem kurzen Text des Banners wird erklärt, dass standardmäßig nur technisch notwendige Cookies verwendet werden, nach Zustimmung aber auch Cookies externer Dienste aktiviert werden können. In dem Text wird auf die Cookie-Richtlinie oder Datenschutzerklärung der Website verwiesen. Mittels Kästchen kann der Nutzer „nur notwendige Cookies“, „Statistik-Cookies“, „Marketing-Cookies“ o. ä. auswählen oder pauschal allen zustimmen. Oft sind erklärender Text und die detaillierte Cookie-Auswahl in zwei Schritte bzw. Fenster aufgeteilt.
Verwendet meine Website überhaupt Cookies?
Die allermeisten Websites verwenden Cookies – und nicht nur solche, die für die Funktion notwendig sind. Wer beispielsweise mit Google Analytics seine KPIs im Auge behält, hat schon mindestens ein zustimmungspflichtiges Cookie an Bord. Zum Erkennen der verwendeten Cookies, ebenso zum Erstellen von Cookie-Bannern gibt es diverse Tools und Plugins.
Tools zum Erstellen von Cookie-Bannern
Je nach verwendetem CMS oder E-Commerce-System stehen andere Cookie-Tools und -Plugins zur Auswahl. Manche von ihnen binden nicht nur das Cookie-Banner auf der Website ein, sondern scannen diese auch immer wieder und erweitern die Datenschutzerklärung automatisch je nach gefundenen neuen Cookies. Einige Beispiele für Cookie-Tools:
cookiebot.com
Eine CMS-unabhängige Möglichkeit, Cookies zu verwalten. Ein großer Vorteil: Für bis zu 100 Seiten ist das Tool kostenlos. Ebenfalls scannt es automatisch (je nach Einstellung) die Webseite auf neue Cookies und kann den Datenschutz automatisch um entsprechende Cookie-Informationen erweitern. Allerdings ist die Einrichtung nicht einfach, wenn man sich nicht sehr gut mit HTML auskennt.
borlabs.io
Ein Plugin für WordPress, das ab jährlichen Kosten von 39 Euro zu haben und sehr leicht selbst zu installieren ist. Die Konfiguration mancher Cookies kann jedoch etwas kompliziert werden; hier muss vieles von Hand erfolgen. Auch kann das Tool nicht automatisch Cookies auf der Website erkennen; diese müssen also selbst gefunden werden.
Cookie Consent Tool
Ein kostenloses Tool von und für Shopware. Da einfach und verständlich gestaltet, dürfte es für viele Shopware-Nutzer die naheliegendste und attraktivste Lösung für Cookie-Banner sein. Ab Shopware 5.6.3 ist es bereits in standardmäßig enthalten, sodass nicht einmal ein extra Plugin benötigt wird.
Muss ich mit Strafen rechnen, wenn ich kein Cookie-Banner auf der Website habe?
Es besteht tatsächlich die Gefahr von rechtlichen Konsequenzen, wenn kein Cookie-Banner auf der Website enthalten ist, die Datenschutzbestimmungen hinsichtlich Cookies nicht vollständig sind sowie bei ähnlichen Verstößen. Konkret heißt das: Abmahnungen werden versandt oder sogar Bußgelder erhoben. Für Aufsehen hat ein Gerichtsurteil in Spanien gesorgt, bei dem einer Fluggesellschaft 30.000 Euro Strafe berechnet wurden wegen nicht DSGVO-konformer Cookie-Verwaltung. Das Thema Cookies ist also definitiv ernst zu nehmen.
Sie benötigen Hilfe beim Thema Cookies?
Mein Team und ich unterstützen Sie gerne beim Einbinden von Cookie-Bannern und beraten Sie zu einer Datenschutz-konformen Cookie-Policy.
Weiterführende Links:
Cookies und DSGVO: https://www.cookiebot.com/de/dsgvo-cookies/
E-Privacy-Richtlinie und weitere rechtliche Infos: https://www.ionos.de/digitalguide/websites/online-recht/cookie-richtlinie/
Was sind Cookies? https://www.ionos.at/digitalguide/hosting/hosting-technik/was-sind-cookies/