Datenschutz und Cookies, was hat sich durch die DSGVO geändert?
Mit der DSGVO soll die Erhebung und die Verarbeitung personenbezogener Daten allgemeingültig geregelt werden. Was genau personenbezogene Daten sind, ist gar nicht exakt definiert und teilweise reine Auslegungssache. Prinzipiell handelt es sich immer dann um personenbezogene Daten, wenn es anhand dieser Informationen möglich ist, eine Person eindeutig zu identifizieren. Die IP-Adresse eines Internet Anschlusses beispielsweise ist schon eine solche Information, die mit ein wenig Recherche zweifelsfrei einem bestimmten Nutzer zugeordnet werden kann.
Nutzerdaten und Surfverhalten
Nahezu alle Webseiten verwenden Cookies, um Nutzern das Surfen auf der Seite zu erleichtern und Daten über das Nutzerverhalten zu sammeln. Viele Dienste würden ohne Cookies gar nicht funktionieren. Cookies speichern alle Nutzerdaten, die im Internet entstehen. Im Prinzip handelt es sich um kleine Datenpakete welche zwischen Computern ausgetauscht werden. Webseiten können, wenn sie Cookies einsetzen, Nutzerdaten lokal und serverseitig speichern, um einzelne Funktionen verschiedener Webanwendungen nutzerfreundlicher zu gestalten. Anhand der Cookies kann eine Webseite quasi erkennen, wer sie besucht, woher er kommt und kann dementsprechend darauf reagieren, etwa indem zu dem jeweiligen Nutzer und seinem Surfverhalten passende Werbung angezeigt wird. Im Bereich Online-Marketing spielen Cookies eine dementsprechend große Rolle.
Cookie Banner auf Webseiten
Im Zusammenhang mit der DSGVO hat sich in Bezug auf Cookies vor allem eins geändert: Die meisten Internetseiten begrüßen ihre Besucher mit einem Cookie-Hinweis, einem sogenannten Cookie-Banner. Ob eine Webseite einen solchen Cookie Banner zwingend braucht, ist nach bestehende Rechtslage nicht klar ersichtlich, sondern muss im Einzelfall abgewogen werden. Unter folgendem Link finden sich weiterführende Informationen rund um das Thema Cookie Banner.
EU-Recht gegen nationales Recht
Der rechtliche Umgang mit Cookies ist innerhalb der sogenannten Cookie-Richtlinie geregelt. In Deutschland ist diese Richtlinie bislang aber nicht umgesetzt worden, was für reichlich Unsicherheiten sorgt. Zwar ist die Regelung bereits auf EU-Ebene beschlossene Sache, Deutschland hat es aber bislang verschlafen diese auch in nationales Recht zu implementieren. Bislang besteht also rechtlich noch keine Pflicht, Nutzer auf die Verwendung von Cookies aufmerksam zu machen, bzw. dieser Verwendung zuzustimmen. Noch kurioser wird es, wenn die EU-Kommission erklärt, dass Deutschland die Cookie-Richtlinie der DSGVO gar nicht umsetzen muss, da die bisherige deutsche Regelung ausschließlich einen Hinweis auf das Widerspruchsrecht vorsieht. Was sollten Webseitenbetreiber nun tun?
Klarere Regelungen ab 2020
Klare Regelungen in Bezug auf den Umgang mit Cookies sollen zukünftig mit der E-Privacy-Verordnung geschaffen werden. Diese unterscheidet ganz klar zwischen Cookies, welche ausschließlich für technische Zwecke genutzt werden (etwa um zu registrieren welche Einkäufe im Warenkorb abgelegt werden) und solchen die für Tracking oder Werbezwecke zum Einsatz kommen. Webseiten die nur technische Cookies einsetzen, müssen demnach nicht mehr um eine Zustimmung seitens der Nutzer fragen. Auch soll die Verordnung Tracking Walls beseitigen, mit denen Nutzer die Cookies nicht akzeptieren, derzeit noch vom Zugriff auf entsprechende Webseiten gehindert werden. Ursprünglich sollte die E-Privacy-Verordnung zeitgleich mit der DSGVO in Kraft treten, voraussichtlich wird dies aber erst im Jahr 2022 geschehen. Webseitenbetreiber sollten jedoch nicht bis dahin warten, um entsprechende Maßnahmen zu ergreifen, sondern bereits jetzt folgende Aspekte beachten:
- Cookie Banner vorsorglich einführen: Um die Informationspflicht zu erfüllen sollten Cookie Banner jetzt schon eingeführt werden. Hierzu sollten Nutzer darauf hingewiesen werden, was genau mit ihren gesammelten Daten geschieht. Der Nutzer sollte sowohl die Möglichkeit haben dem zuzustimmen als auch abzulehnen.
- Cookies sollten erst dann geladen werden, wenn der Nutzer zugestimmt hat, um nicht gegen die DSGVO zu verstoßen. Sofern der Nutzer nicht zustimmt, darf er nicht vom Besuch der Seite ausgeschlossen werden.
- Die Zustimmung des Nutzers muss rechtssicher dokumentiert werden. Nur so kann sie im Falle einer Abmahnung als Beweisstück geltend gemacht werden. Aus diesem Grund ist es erforderlich diverse Datenpunkte mit zu speicher, etwa Zeitstempel, User-Agent oder die genaue Version der Einwilligungstexte.
- Weiterhin sieht die DSGVO vor, dass der Einwilligung genauso einfach widersprochen werden kann, wie es möglich war einzuwilligen.
Cookies sind eine Medaille mit zwei Seiten. Einerseits ermöglichen sie es Webseiten nutzerfreundlich zu gestalten, andererseits ist der Umgang mit personenbezogenen Daten höchst umstritten und noch immer nicht in allen Details geklärt. Viele Betreibern von Websites reagieren hier ähnlich genervt wie auf die aktuelle Diskussion rund um den Artikel 13. Um auf Nummer sicher zu gehen, sollten Webseitenbetreiber schon jetzt Maßnahmen einleiten, die die Nutzung von Cookies mit der voraussichtlich in Jahren in Kraft tretenden E-Privacy-Verordnung konform zu machen. Zwar sind über deren endgültigen Inhalt bis heute keine bindenden Entscheidungen getroffen worden, dennoch ist es wichtig, sich als Webseitenbetreiber mit allen möglichen Szenarien auseinanderzusetzen vorzusorgen.