Kaum ein Thema beschäftigt Webseitenbetreiber und auch Anwender so wie Cookies: Es ist quasi nicht mehr möglich, eine Webseite zu besuchen, ohne zu entscheiden, wie mit Cookies umgegangen werden soll. In diesem Artikel möchten wir mal die Basics klären: Was sind Cookies überhaupt, warum gibt es nun diese Cookie-Flut und wie soll man sich als Webseitenbetreiber verhalten?
Inhaltsverzeichnis
Was sind Cookies?
Cookies sind kleine Textdateien, die bei dem Besuch einer Webseite auf deinem Rechner gespeichert werden. In diesen werden dann bestimmte Daten gespeichert – was für Daten, das entscheidet der Programmierer, der den Cookie setzen lässt.
Der Hintergrund ist, dass Webseiten ohne das Hilfsmittel Cookie nur schwer Daten, die du eingegeben hast, speichern können. Sicherlich gibt es technische Finessen, aber am leichtesten ist es, die Daten im Cookie zu speichern.
Häufig verfolgen Cookies einen guten Nutzen: Eine Webseite kann nach erfolgreichem Anmelden einen Cookie setzen und dich beim nächsten Besuch wieder erkennen. Der Vorteil: Du musst dich nicht erneut anmelden.
Auch in Shops ist ein Cookie hilfreich: Wenn der Inhalt deines Warenkorbs gespeichert werden kann, kannst du am nächsten Tag da weiter shoppen, wo du aufgehört hast.
Was sind die Gefahren von Cookies?
Kritisch wird es, wenn Cookies bewusst gespeichert werden, um dich wiederzuerkennen und deswegen beispielsweise Profile erstellen zu können: Eine Webseite kann einen Cookie setzen und mit dessen Hilfe nachvollziehen, wie du dich auf der Webseite bewegst. Man ist nicht mehr der anonyme Besucher, sondern kann identifiziert werden – wennauch ohne Namen.
In Cookies kann auch gespeichert werden, welche Artikel du in einem Shop angesehen hast: Ohne Registrierung kann dann die Webseite deine Vorlieben erkennen und entsprechende Angebote einblenden. Eine perfide Herangehensweise ist auch, dass Preise im Shop automatisch erhöht werden, wenn festgestellt wird, dass du eher wertvolle Artikel anschaust.
Perfektioniert hat dieses Verfahren Google mit dem Analyse-Tool Google Analytics: Das Tool ist weltweit das am meisten eingesetzte Analyse-Tool. Auch hier werden Cookies gesetzt, um dich als Besucher zu identifizieren. Eigentlich haben Cookies nur einen Geltungsbereich auf der eigenen Webseite. Da der Cookie jedoch von Google selbst gesetzt wird, kann er auch auf anderen Webseiten mit Google Analytics ausgelesen und verändert werden: Google kann also ein sehr detailliertes Surfverhalten erkennen und entsprechend reagieren.
Was ist die aktuelle juristische Diskussion um Cookies?
Eine Einordnung ist schwer, da es aktuell keine eindeutige Rechtslage gibt, aber viele Indizien, wo sich die Pflichten hinbewegen können. Aufgrund der unklaren Rechtslage entscheiden sich viele Webseitenbetreiber, lieber etwas mehr Aufwand zu betreiben als zu wenig – und dann abgemahnt zu werden.
Alle Bestrebungen haben aber den Zweck, dass Besucher einer Webseite frei entscheiden können, welche Cookies sie gesetzt haben möchten und welche sie ablehnen. Cookies, die abgelehnt wurden, dürfen auch nicht gesetzt werden.
Die Verordnungen
Aktuell gibt es drei Verordnungen, die relevant sind für die rechtliche Bewertung von Cookies: Die EU-Cookie-Richtlinie, die Datenschutzgrundverordnung (DSGVO) und die ePrivacy-Verordnung.
EU-Cookie-Richtlinie
Die Richtlinie wurde auf EU-Ebene verabschiedet und bedeutet, dass sie in den einzelnen Partnerländern in eigenes Recht umgesetzt werden müssen. In der Richtlinie steht sinngemäß, dass der Nutzer frei entscheiden können muss, welche Cookies er gesetzt bekommen möchte – und auch über den Zweck aufgeklärt werden muss.
Spannenderweise gibt es laut e-Recht24 aber kein entsprechendes Gesetz in Deutschland und das gar von der EU toleriert: Da Deutschland im Telemediengesetz festgehalten hat, dass Besucher auf eine Widerspruchsmöglichkeit hingewiesen werden müssen, reicht dies laut EU.
Dies steht natürlich im Widerspruch zu dem Ziel der Richtlinie und ist entsprechend juristisch sicherlich angreifbar.
Datenschutzgrundverordnung (DSGVO)
Hier wird es schon etwas konkreter: Die Datenschutzgrundverordnung ist seit Mai 2018 auch in Deutschland in Anwendung und regelt vereinfacht ausgedrückt recht klar, dass die Besucher (sogenannte „Betroffene“) vollständige Kontrolle über Tracking und dem Erheben wie Speichern von personenbezogenen Daten haben soll: Es muss erläutert werden, welche Daten erhoben werden, der Nutzungszweck für diese dargelegt und insbesondere die Möglichkeit existieren, der Erhebung zu widersprechen.
Über Cookies konkret spricht sich die DSGVO nicht aus. Man leitet aber dennoch ab, dass ein Cookie eine Person identifizierbar macht und somit unter diese Regelungen fallen muss. Bei manchen Cookies ist dies relativ offensichtlich (bspw. Google Analytics), bei anderen ist es unklar.
Dafür wurde eigentlich die ePrivacy-Verordnung versprochen.
ePrivacy-Verordnung
Die ePrivacy-Verordnung sollte eigentlich zugleich mit der DSGVO herauskommen und Rahmen bieten, wie im elektronischen Verkehr personenbezogene Daten interpretiert und insbesondere der Schutz dieser umgesetzt werden soll. Hier soll also die konkrete Ausfomulierung für Cookies stehen.
Leider warten wir seit 2018 auf die Verabschiedung der Verordnung – außer einem Entwurf liegt bisher leider noch nicht viel vor.
Vorsicht ist besser als Nachsicht
Man kann also gut zusammenfassen: Nichts genaues weiß man nicht.
Es werden nur Wenige komplett ausschließen, dass Cookies nichts mit Tracking und personenbezogenen Daten zu tun haben können. Die Realität belegt uns ja täglich das Gegenteil. Wo aber die Grenzen sind und was die tatsächliche Anforderung ist, verbleibt unklar.
Insbesondere gibt es die sinnvolle Einschränkung in den Verordnungen, dass zwingend zum Betrieb notwendige Cookies eine Sonderrolle erfahren und ggf. keine Einwilligung benötigen. Was aber zwingend notwendige Cookies definiert und ob man zumindest auf diese hinweisen muss, ist nicht eindeutig definiert.
Deswegen ist die allgemeine Herangehensweise bei Webseitenbetreibern, dass man die Richtlinien eher zu streng auslegt und somit Interpretationsspielräumen zugunsten eines Verstoßes schlichtweg vermeidet.
Bestandsaufnahme – Welche Cookies setzt die Webseite?
In der Adresszeile eines jeden modernen Browsers kann man links neben der Adresse ein Schloss oder ein Schild-Symbol anklicken, um weitere Informationen zu den Cookies zu erhalten. Hier sieht man, welche Cookies die Seite setzt. Ein hilfreiches Tool ist auch Cookieserve: Hier gibt man die Adresse an und die Seite versucht, alle Cookies zu erkennen und ihren Zweck auszugeben.
Nicht erschrecken: Das können mehr sein als man im ersten Moment erwartet. Welche davon technische Cookies und somit weniger im gesetzlichen Fokus sind und welche eher kritisch beäugt werden sollten, ist für den Laien nicht immer einfach zu erfassen.
Als Maßstab: Cookies, die von der eigenen Adresse gesetzt werden, sind ein Stück weit unverdächtiger als solche, die direkt von Google, Twitter oder Facebook gesetzt werden. Aber das ist nur eine äußerst schematische Herangehensweise.
Cookies vermeiden
Es ist wie mit den Postwurfsendungen im Briefkasten: Was man gar nicht erst zugestellt bekommt, muss man auch nicht wegschmeißen. Gleiches gilt bei Cookies: Cookies, die nicht gesetzt werden, können nicht rechtsverletzend wirken.
Heutzutage ist jeder fremd eingebundene Dienst erst einmal verdächtig, auch eigene Cookies zu setzen. Wenn du Google Analytics nutzt, Google Maps einbindest oder Social Sharing Buttons von Twitter und Facebook nutzt, dann setzen diese auch Cookies. Hier solltest du nachdenken, Plugins wie Shariff für Social Buttons zu nutzen: Diese bauen erst nach Klick auf den Button eine Verbindung zu den Anbietern auf – und das ist wiederum eine explizite Entscheidung des Anwenders.
Auch, wenn es verführerisch ist, sind fremde Einbindungen von YouTube oder Twitter aus Datenschutz- und somit Cookie-Sicht eher zu vermeiden: Denn auch diese setzen ohne weitere Anpassung Cookies – entsprechend musst du Sorge tragen, dass man diese wiederum unterbinden kann.
Sofern möglich, setze einfach Links auf die externen Quellen: Sofern ein Besucher Interesse an den Inhalten hat, kann er bewusst die Links anklicken und wird auf die externe Seite geleitet. So gibt es eine bewusste Entscheidung, fremde Inhalte abzurufen – und du bist wieder fein raus, weil der Besucher gar nicht mehr auf deiner Seite ist.
Datenschutzerklärung ergänzen
Es werden noch einige Cookies übrig bleiben, die aus guten Gründen gesetzt werden. Auf diese muss in der Datenschutzerklärung hingewiesen und der Grund des Setzens dargelegt werden. Auch sind Kontaktdaten von Anbietern der externen Cookies zielführend.
Als Orientierung gibt es einige Datenschutzgeneratoren im Internet, die einen die wichtigsten Arbeiten abnehmen. Empfehlenswert ist beispielsweise der Datenschutz-Generator von Dr. Thomas Schwenke. Aber auch hier sei gewarnt: Natürlich muss der Generator richtig bedient werden. Wenn man wissentlich oder unwissentlich bestimmte Themenbereiche nicht auswählt, obwohl die Webseite durchaus solche Inhalte anbietet, kann der Generator dafür nichts. Auch kann ein Generator nicht jeden Einzelfall abdecken – absolute Sicherheit bietet wiederum nur der Rechtsanwalt bzw. Datenschutzbeauftragte.
Bei der Erhebung von genutzten Cookies können wir gern helfen.
Einverständnis für die Cookies einholen
Der reine Hinweis in der Datenschutzerklärung reicht nicht aus: Der Besucher muss den nicht zwingend notwendigen Cookies explizit zustimmen. Hier gibt es viele Lösungen, die einen als WordPress Plugin unterstützen.
Bei vielen Webseiten ist das Borlabs Cookie Plugin im Einsatz. Es ist zwar kostenpflichtig, unterstützt einen aber gut bei der Konfiguration der Cookies und macht ansehnliche Banner. Zudem blockt es auch gleich Einbettungen wie YouTube, Vimeo oder auch Twitter und Facebook.
Auch gibt es diverse kostenlose Plugins: Die Welt ist hier sehr umfangreich. Insbesondere im Rahmen von generellen DSGVO-Plugins herrscht eine ziemliche Unübersichtlichkeit von Funktionsumfängen und Möglichkeiten. Die eine richtige Lösung gibt es deswegen häufig nicht.
Weniger ist mehr
Wie auch beim Thema Datenschutz generell gilt bei den Cookies: Möglichst wenig fremde Inhalte auf der eigenen Seite einbinden.
Die verbleibenden Inhalte müssen geprüft und dem Besucher zur Freigabe vorgelegt werden. Trifft man keine ausreichenden Vorkehrungen, läuft man Gefahr, einen Verstoß gegen die Datenschutzgrundverordnung zu begehen – und das kann unangenehm enden.