Datenschutz DSGVO: Was passiert jetzt mit meinen Keksen?
Das Jahr 2018 bringt Veränderungen für Cookies:
Am 26. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Eigentlich regelt die DSGVO das Thema Cookies gar nicht neu. Während in Deutschland mit dem Telemediengesetz (TMG) in Bezug auf Cookies bisher aber ein Opt-Out ausreichend war (also die Information, dass Cookies gesetzt wurden und wie man die wieder löschen kann) macht die DSGVO unmissverständlich klar, dass das Opt-In Prinzip gilt. Also muss grundsätzlich zuerst eine Zustimmung vorliegen, erst dann dürfen personenbezogene Daten verarbeitet werden. Und als Grundverordnung "schlägt" die DS-GVO nationale Gesetze wie das TMG.
Gilt das überhaupt für Cookies? Wir denken Ja. Denn personenbezogen sind Cookies schonmal von ihrer Natur her, denn sie liegen bei den Nutzer*innen. Und auch wenn die im Cookie gespeicherten Daten bei deren Besitzern gespeichert werden, der Weg zur Speicherung ist eine Verarbeitung. Also: Check.
Wie aber sieht eine DSGVO-konforme Lösung aus? Reicht dafür einen Balken mit dem Hinweis "Diese Website nutzt Cookies und mit der weiteren Benutzung dieser Seite stimmen Sie der Nutzung von Cookies zu"? Hier habe wir lange erfolglos auf Richtlinien gewartet und unseren Datenschutzbeauftragten gelöchert. Offizielles gibit es da bis heute nicht, aber dafür zunehmend mehr Mails von Kanzleien und Datenschutzdiensten, die mit Beratungsangeboten aufwarten.
Wir haben bereits im Januar alles, was wir dazu in Erfahrung bringen konnten, zusammengetragen und unseren Beratungsleitfaden in ersten Gesprächem mit unseren Kunden und deren Datenschutzbeauftragten konsolidiert. Was wir soweit sagen können: Es gibt nicht "die eine richtige Lösung".
Doch was heißt „informierte Zustimmung“? Was hat es mit „First-“ und „Third-Party-Cookies“ auf sich? Was bedeutet „session-based“ und „persistent“ in diesem Zusammenhang? Und die wichtigste Frage: Müssen Sie auf Ihrer Webseite etwas ändern?
Informierte Zustimmung:
Eine Informierte Zustimmung ist eine von mehreren möglichen Voraustzeungen für die Verarbeitung personenbezogener Daten. Die weiteren möglichen Voraussetzungen sind z.B. die Notwendigkeit zur Durchführung eines Vertrags, an dem die betroffene Person beteiligt ist oder werden soll, gestzliche Bestimmungen etc. - was wir mal außen vor lasse, da dies im Fall von Cookies nicht greift.
Die informierte Zustimmung sollte nach unserem Kenntnisstand mindestens informieren dass Cookies bei Zustimmung gesetzt werden, den Zweck der Cookies allgemein zusammenfassen, einen Link zu weiteren Informationen enthalten, ergänzt um den Hinweis, dass man diese auch löschen kann. Kürzer ist hierbei unserer Meinung nach besser, da die Chance, dass User*innen die Hinweistexte lesen, mit zunehmender Länge abnimmt und sie so ihren Zweck nicht mehr erfüllen.
Typischerweise blendet man diese Information als Cookie Banner ein, das auf jeder Seite der Website erscheint, sofern keine noch keine Zustimmung vorliegt. Wichtig ist dann noch, dass man die verlinkten weiteren Informationen vor Zsutimmung lesen kann. Der Button, mit dem man das Cookie Banner entfernen kann sollte dann eine Zustimmung formulieren: "Schließen" ist dafür ungeeignet, besser wäre ein "OK" wir empfehlen "Einverstanden" - immerhin wird bei Bestätigung ein Cookie gesetzt, das sich die Zustimmung für weitere Seiten und künftige Besuche merkt. Und dafür braucht man bereits eine Zustimmung.
Aus diesem Grund sind auch Formulierungen wie "mit der weiteren Nutzung der Seite erklären Sie sich mit der Nutzung von Cookies einverstanden" ungeeignet - zumindest wenn vor dem Schließen des Bannes die Cookies bereits gesetzt wurden. Diese haben die User*innen nämlich dann erstmal ohne Zustimmung erhalten. Diese Formulierung hilft nur in einem Fall: Wenn Cookies erst nach dem Auslösen bestimmter Aktionen gesetzt werden und dabei nicht abgefragt werden kann, ob dem Cookie Banner zugestimmt wurde. Zum Beispiel bei Einbindung eines Shopsystems, dass Cookies für die Warenkorbfunktion braucht.
Beispiel für eine informierte Zustimmung bei einfachem Cookie-Einsatz (ohne Alternative):
Unsere Webseite setzt Cookies für die statistische Auswertung von Webseitenbesuchen ein. Informationen über die eingesetzten Cookies und wie Sie diese unterbinden oder löschen können, finden Sie in unserer Datenschutzerklärung.
(Button:) EINVERSTANDEN
First Party und Third Party Cookies
Vereinfacht gesagt sind Cookies, die der Server ihrer Website setzt, First-Party Cookies. Cookies, die sich in die Website eingebundene Elemente (z.B. Iframes oder Skripte) von den Servern Dritter holen, sind Third-Party Cookies. Dazwischen gibt es allerdinge eine Grauzone. So bietet Google Anwender*innen seiner Statistik-Lösung "Google Analytics" an, mit Google einen Auftrags-Daten-Verarbeitungs-Vertrag (kurz ADV-Vertrag) abzuschließen. Einige Datenschützer sind der Auffassung, dass Google als ihr Erfüllungsgehilfe dann eine First Party sei. Dieser Auffassung schließen wir uns nicht an. Immerhin ist Google eine US-amerikanische Firma, die laut einer Bestimmung des Homeland Security Act von Sicherheitsbehörden der USA aufgefordert werden kann, Spionagesoftware in ihre Lösungen einzubauen. Zweck eines hohen Datenschutzniveaus sollte ja sein, solche Risiken kontrollieren zu können, daher müsste hierbei eine Information erforderlich sein. Etwas anders sieht das aus, wenn es um die Statistik-Software PIWIK / Matomo geht. Diese hosten wir in der Regel auf einem Multi-Mandanten-Server um den Aufwand für die Software-Pflege für alle Kunden gering zu halten. Der Server gehört uns und nicht unseren Kunden, allerdings haben wir mit diesen einen ADV-Vertrag. Wir leben nicht von Daten wie Google und haben unseren Hauptsitz nicht in den USA. Sind wir damit anders zu beurteilen? Wir sagen im Zweifelsfall "nein" und empfehlen daher auch unsere PIWIK-Cookies als Third-Party Cookies zu bewerten, zumal spätestens bei der nächsten Frage ohnehin eine Zustimmung erforderlich wird:
Session-basierter oder persistenter Cookie?
Cookies sind - je nach Zweck - in der Regel mit einer Gültigkeitsdauer versehen, nach der sie der Browser löschen kann. Um beim Beispiel des Warenkorbs zu bleiben - dafür braucht man nur einen Session-Based Cookie. Habe ich doch nichts gekauft, muss ich meinen Warenkorb bei einem neuen Besuch einen Monat später dann natürlich neu befüllen. Bin ich aber nur kurz zwischendurch ans Telefon gegangen, währenddessen meinem Laptop der Akkus ausgegangen ist, wäre es ärgerlich meinen Einkauf nicht fortsetzen zu können. Session-based muss daher nicht nach Beendigung des Browsers heißen. Wo kann man da die Grenze ziehen? In einem Ratgeber für Agenturen, die wie wir Webseiten für die Europäische Kommission programmieren, haben wir dazu einen Hinweis gefunden. Demnach wäre die Grenze zu persistent ab drei Wochen Gültigkeit gegeben. PIWIK / Matomo speichert einen Cookie mit einer Gültigkeit von vier Wochen. Damit ist das Thema geklärt: Für persistente Cookies braucht man immer eine informierte Zustimmung, selbst wenn sie vom eigenen Server stammen.
Müssen Sie auf ihrer Website etwas ändern?
In der Regel ja. Um eine Zustimmung tatsächlich bereits vor dem Setzen eines Cookies zu erhalten müsste der Cookie-Banner entweder dem Aufruf der Startseite (die wie bisher gelich mit dem Setzen von Cookies beginnt) vorgeschaltet werden. Es gibt durchaus Beispiele für diese Lösungen. Die aus unserer Sicher bessere Variante ist, alle Cookies nutzenden Funktionen zunächst abfragen zu lassen, ob dem Cookie Banner bereits zugestimmt wurde. Diese müssen dazu leicht umprogrammert werden, was die Lösung afwändiger macht. Dennoch haben sich bislang alle, mit denen wir bisher gesprochen haben, für diese Varinate entschieden.
Die Alternative auf die Nutzung von Cookies setzenden Funtionen (meist nur die Statistik-Software) erstmal zu verzichten und die Rechtsprechung zu dem Thema oder aber die in Planung befindlche e-Privacy Richtlinie abzuwarten möchten wir nicht verschweigen. Letztere soll nämlich die ganze Cookie-Thematik neu und besser regeln. Allerdings befindet sich die Richtlinie noch in der Diskussion. Bis da Klarheit besteht, können noch ein paar Jahre ins Land gehen. So lange auf Stastiken zu verzichten, sollte gut überlegt sein.
Gerne prüfen gerne gemeinsam mit Ihnen, was sich bei Ihnen ändern müsste und wie die neuen Anforderungen schnell und effektiv umgesetzt werden können.
Kontaktieren Sie uns, um einen Beratungstermin zum Thema Cookies mit uns zu vereinbaren!