Viele haben sicherlich mitbekommen, dass der Bundesgerichtshof am 28.5.2020 über die Verwendung von Cookies entschieden hat. Folgendermaßen kann man das Urteil für Nichtjuristen zusammenfassen:
„Alle Cookies, die nicht zwingend technisch notwendig sind, benötigen eine Einwilligung bevor sie gesetzt werden.“
- Prüfen Sie, welche technisch notwendigen / „essentiellen“ Cookies Sie verwenden. Was genau technisch notwendige Cookies sind, ist nicht definiert, aber man kann davon ausgehen, dass Cookies für die Sprache, einen Warenkorb oder den Login-Status eines Benutzers sowie Cookies, die den Einwilligungsstatus für freiwillige Cookies speichern, als essentielle Cookies betrachtet werden können. Definitiv einwilligungswürdige Cookies sind Cookies, die auf die Erstellung von Nutzerprofilen (Profiling und Tracking) abzielen, Werbe- und Marktforschungs-Cookies sowie die Auswertung des Benutzerverhaltens zur bedarfsgerechten Gestaltung von Telemedien gesetzt werden. Wie auch schon bisher sind Social-Plugins, die eine direkte Verbindung zu sozialen Medien wie Facebook (z. B. Likebutton), Twitter, YouTube, etc. aufbauen, auch einwilligungspflichtig.Bei weiteren Cookiearten, die der Webanalyse, der Reichweitenmessung oder für A-/B-Testing verwendet werden gibt es keine klare Aussage. Es ist wohl davon auszugehen, dass die Aufsichtsbehörden hier auch eine Einwilligung erwarten, Anwälte halten diese Form der Nutzung für vertretbar.
- Welche Tools zur Webanalyse dürfen Sie einsetzen? Wie schon lange bekannt, steht Google Analytics bei den Aufsichtsbehörden in der Kritik, trotzdem gibt es m. E. Einstellungsmöglichkeiten Google Analytics datenschutzkonform einzusetzen (indem man ein Teilen der Daten mit Google unterbindet, und Google diese nicht für eigene Zwecke verwenden darf). Das lässt sich indirekt auch aus der Empfehlung der DSK vom 12.5.2020 herauslesen. Natürlich wird ein Matomo, das auf einem eigenen Server betrieben wird, von den Aufsichtsbehörden bevorzugt. Dass dieses nicht mehr zu jedem Unternehmen und auch nicht in die heutige Zeit passt wird dabei leider nicht betrachtet.
- Wenn Sie nun also eine Einwilligung für einen Teil Ihrer Cookies benötigen, wie muss das umgesetzt werden?
- Es muss transparent, in klarer und deutlicher Sprache über den Einsatz von Cookies informiert werden. Hier müssen Art und Funktionsweise, die Zwecke sowie die Speicherdauer und die Dienstleister, an die die Daten übermittelt werden klar und deutlich, pro Cookie, benannt werden.
- Alle einwilligungsrelevanten Cookies müssen aktiv durch den Benutzer ausgewählt werden. Also keine vorangekreuzten Felder verwenden (ein Opt-Out ist hier nicht zulässig).
- Die Cookies dürfen wirklich erst nach dieser Einwilligung gesetzt werden.
- Es muss auch mit Banner weiterhin ein einfacher Zugriff auf Impressum und Datenschutzerklärung möglich sein.
- Sie dürfen Cookies zu Gruppen zusammenfassen und ein „Alle Akzeptieren“-Button ist auch denkbar, wenn trotzdem einzelne Cookies / oder Gruppen von Cookies auswählbar sind.
- Die Gestaltung der Buttons muss gleichwertig sein, es darf keine farbliche Irreführung stattfinden.
- Beachten Sie, dass Einwilligungen von unter 16-jährigen nicht wirksam sind und somit die Webseite ohne einwilligungsrelevante Cookies ausgeliefert werden sollte.
- Es muss eine genauso einfache Möglichkeit für den Widerruf der Einwilligung geben, wie die Einwilligung eingeholt wurde. Somit wäre die Empfehlung einen einfach erreichbaren Menüpunkt für den Widerruf auf der Webseite einzubauen.
- Nutzen Sie ein Consentmanagement-Tool. Mit beispielsweise Usercentrics oder Borlabs.io finden Sie sehr detailreiche Lösungen, die sich einfach in die Webseite einbinden lassen.
- Denken Sie an die Aktualisierung der Datenschutzhinweise, und dass diese sehr ausführlich über die Cookienutzung informieren.
Für eine ausführliche Betrachtung sowie eine juristische Einordnung verweise ich auf den Blogbeitrag von Dr. Schwenke, der dieses Thema wie immer sehr einfach verdaulich durchleuchtet.