Als Cookies werden Textdateien bezeichnet, die von den Servern beim Aufruf einer Webseite auf PC, Tablet oder Smartphone übertragen und dort gespeichert werden. Sie dienen vor allem zur Identifikation der Seitenbesucher oder speichern Informationen über die Aktivitäten des Nutzers auf den Webseiten. Aus diesem Grund werden auf so gut wie allen Webseiten Cookies eingesetzt.
Im Rahmen der DSGVO und zukünftig auch dank der E-Privacy-Verordnung ist der Einsatz von Cookie-Bannern verpflichtend. Besucher einer Webseite, die Cookies verwendet, müssen darauf hingewiesen werden, ob und welche Technologien eingesetzt werden. Es genügt dabei nicht, nur auf den Einsatz von Cookies hinzuweisen, eine Einwilligung durch den Nutzer durch einen Klick ist nötig. Erst nach der Bestätigung dürfen Daten übertragen werden, im Falle einer Ablehnung, „Opt-out“ genannt, dürfen keine Daten erhoben werden.
Einsatz von Consent Management Lösungen
Es wird empfohlen, auf eine Consent Management Lösung zurückzugreifen, um alle Anforderungen der DSGVO zu erfüllen. Consent Management Lösungen sind Software-Anwendungen, die in die Website eingebunden werden. Sie bieten Werbungstreibenden, Webseitenbetreibern und Online-Händlern eine sichere Möglichkeit, die Zustimmung der Nutzer direkt über die Webseiten einzuholen und zu verwalten sowie zu dokumentieren, ob Benutzerdaten gespeichert und verarbeitet werden dürfen.
Unterschieden werden diese Anwendungen in der Regel in
-
Technologien, die die Kernfunktionalitäten der Webseite aktivieren, ohne die die Seite nicht funktionieren würde (technisch notwendig oder wesentlich; können nicht abgeschaltet werden)
-
Technologien, die es dem Betreiber ermöglichen, die Nutzung der Webseite zu analysieren, um die Leistung zu messen und die Seite zu verbessern
-
Technologien, die von Werbetreibenden eingesetzt werden, um redaktionelle Inhalte oder Anzeigen zu platzieren und zu schalten, die für die Interessen des jeweiligen Besuchers relevant sind.
Anforderung an einen Consent Management Provider (CMP)
CMPs lösen nicht nur das technische Problem des Cookie Banners. Mit dem Einsatz sollten auch rechtliche Themen und Anforderungen zuverlässig und mit dem notwendigen Wissen abgedeckt sein (es müssen zum Beispiel alle Cookies erfasst und eine Unterscheidung nach Notwendigkeit und Einsatzgebiet der Cookies getroffen werden). Die Gestaltung des CMP muss rechtlich korrekt sein, aber zugleich möglichst umfassend das Einverständnis für das Tracking abholen. Ohne eine wirksame Einwilligung dürfen keine Besucher gezählt werden. Auch funktionieren keine Google Remarketing-Kampagnen und keine Marketing-Automationen mit HubSpot und vergleichbaren Anwendungen. Neben dem Einsatz eines CMP muss auch die Datenschutzerklärung an die jeweils genutzten Cookies angepasst werden.
CMP als kostenlose Opensource Version oder im Abomodell
Zur Auswahl stehen einige Opensource-Programme, wie Kiprotect – Klaro!, Quantcast und Conversant, aber auch zahlreiche Lösungen, die mit monatlichen Kosten verbunden sind. Hierzu zählen Usercentrics aus Deutschland, Consentmanager.de des schwedischen Unternehmens Jaohawi, Faktor.io aus den Niederlanden und Didomi aus Frankreich. Die kostenfreien Varianten benötigen einen technisch höheren Sachverstand, müssen stärker angepasst werden und verfügen zum Teil nur über eingeschränkte Funktionen.
Markus Heinhaus, TÜV-zertifizierter Datenschutzbeauftragter und Auditor bei PRO DSGVO, rät Unternehmen aus Hotellerie und Gastronomie, einen DSGVO Sachverständigen bei der Auswahl des richtigen CMP mit einzubeziehen. „Kostenlose Tools sollten Funktionen wie zum Beispiel verschiedene Sprachversionen und Anpassungsmöglichkeiten des Cookie-Fensters an das Design des Unternehmens bereitstellen. Ebenso sollten Form, Verortung und die Größe des Banners individuell angepasst werden können. Denn ist das Pop-up-Fenster zu groß, verlassen viele Besucher die Seite wieder.“
Aktuelle EuGH-Urteile
Der Europäische Gerichtshof hat sich mehrfach mit dem Thema Cookie-Banner auseinandergesetzt und es bleibt dabei, dass Tracking-Cookies nicht mehr ohne tatsächliche Einwilligung des Nutzers gesetzt werden dürfen. Es ist irrelevant, ob die gespeicherten Daten personenbezogen oder anonym sind. Rechtlich weiterhin erlaubt sind sogenannte „First Party Cookies“, die beim ersten Besuch einer Webseite nötig sind, wie zum Beispiel Warenkorb-Cookies, Cookies für Log-Ins oder die Sprachauswahl betreffend und natürlich jene, die Consens-Management-Lösungen für die Cookie-Einwilligung setzen.
