Die Platzierung von Tracking-Cookies auf Websites gehört schon längst zur Norm, um User-Bewegungen auf Websites, deren Käufe und Einstellungen, sowie IP-Adresse und geografischen Standort nachvollziehen zu können – wertvolle Insights, die gern zu Online-Marketing Zwecken ausgenutzt werden.
Doch mit der DSGVO gibt es seit 2018 ein europaweites Gesetz, das die Rechte der Nutzer im Hinblick auf die Verarbeitung ebendieser Daten bestärken soll.
Seit Inkrafttreten der Allgemeinen Datenschutz-Grundverordnung (kurz: DSGVO) muss Ihre Website die Nutzer darüber aufklären, welche Cookies im Hintergrund gesetzt werden sowie welche Arten von personenbezogenen Daten diese tracken. Damit sind solche Daten gemeint, die natürliche Personen direkt oder indirekt identifizieren können, wie zum Beispiel durch Namen, Adresse, Geschlecht o.ä. Auch die IP-Nummer des Nutzers gehört dazu. Vor allem Marketing-Cookies, aber auch Statistik-, und Präferenz-Cookies greifen gern auf diese Art der Daten zu, speichern sie oder verarbeiten sie als Third Party weiter. Eine Ausnahme sind technisch notwendige Cookies, die lediglich für die Funktionsweise der Website implementiert sind.
Ein wichtiges Element der DSGVO ist demnach die Cookie-Zustimmung, die als Rechtsgrundlage dienen kann, um weiterhin Cookies auf Websites verwenden zu können, die personenbezogene Daten verarbeiten. Hierbei gibt die DSGVO vor, dass eine Website personenbezogene Daten von Benutzern nur dann erfassen darf, zum Beispiel durch die Verwendung von Cookies, wenn die User ihre ausdrückliche Zustimmung zu den spezifischen Zwecken ihrer Nutzung gegeben haben. Die Zustimmung muss eindeutig auf einer freiwilligen und klaren bestätigenden Entscheidung beruhen, stellt darüber hinaus der Europäische Datenschutzausschuss (EDPB) in seinen Richtlinien zur Zustimmung von Mai 2020 klar.
Ausdrückliche Zustimmung mit einem Cookie-Hinweis einholen
Für Website-Betreiber bedeutet dies, dass sie, um User-Tracking weiterhin zu gewährleisten und gleichzeitig mit dem Gesetz konform zu sein, demnach die Zustimmung der Nutzer einholen sollten. Cookies und ähnliche Tracker dürfen dann erst aktiviert werden, wenn die User ihr Einverständnis gegeben haben. Am häufigsten wird hierzu ein Cookie-Hinweis auf der Website implementiert, der in Form eines Pop-up Fensters oder eines Banners beim ersten Besuch des Users auftaucht.
Denn die DSGVO legt außerdem fest, dass die Zustimmung vor jeder Datenerfassung oder -verarbeitung eingeholt werden muss – nicht erst, wenn bereits Daten im Hintergrund getrackt werden, die anderen Zwecken dienen als der technischen Bereitstellung der Website. Ein Cookie-Hinweis sollte immer das Recht auf Privatsphäre der User respektieren und ausreichend Informationen bereitstellen, die es dem Nutzer erleichtern dieses Recht geltend zu machen.
DSGVO-Anforderungen an Cookie-Hinweise
Für die ausdrückliche Zustimmung durch Cookie-Hinweise legt die DSGVO klare Anforderungen fest. Demnach müssen Websites, die Cookies verwenden, eine klare und unmissverständliche Zustimmung der Nutzer einholen bevor sie personenbezogene Daten verarbeiten. Der Cookie-Hinweis sollte leicht verständliche Angaben machen zu Art und Zweck jedes einzelnen Cookies, das in Funktion ist. Zudem muss es Usern ermöglicht werden eine Einwilligung zu jeder einzelnen Kategorie von Cookies zu erteilen sowie zu widerrufen. Die Einverständniserklärungen müssen dann sicher und vertraulich dokumentiert sein sowie mindestens alle 12 Monate erneuert werden.
Fazit: An Cookie-Hinweisen und Bannern geht seit der DSGVO kein Weg vorbei. Im Kern sollen sie dem Schutz der Nutzer und ihrer Daten dienen, tun dies aber nur, wenn die Website-Betreiber sich an die Datenschutz-Anforderungen halten und eine korrekte Implementierung vornehmen. Online-Tracking ist dann nur möglich, wenn die Nutzer ihre ausdrückliche Zustimmung gegeben haben – Cookie-Hinweise sind hier ein sinnvolles Tool.