Im Mai dieses Jahres hat der Europäische Datenschutzausschuss einen Beschluss veröffentlicht, in dem klargestellt wurde, dass Cookies und alle anderen Trackingtools nur mit ausdrücklicher Einwilligung der Nutzer eingesetzt werden dürfen. Fast gleichzeitig hat auch der Bundesgerichtshof (BGH) für Deutschland entschieden, dass es bei der Setzung von Cookies einer Einwilligung jedes Besuchers bedarf, wenn Cookies nicht funktionsnotwendig sind. Das gilt auch für die Nutzung anderer Technologien zu Tracking- und Analysezwecken.
WAS SOLLTEN SIE JETZT TUN?
(1) Machen Sie eine Bestandsaufnahme aller Cookies und sonstigen Scripte. Eine vollständige Auflistung der Datenverarbeitungen auf Ihrer Internetseite kann in der Regel nur in Zusammenarbeit mit dem jeweiligen Ersteller der Internetseite erfolgen. Sie können im ersten Schritt hierzu jedoch auch folgende kostenfreie Internetseiten und Anwendungen nutzen:
– Webbkoll
– BuiltWith
– Überprüfung der Google-Analytics-Konfiguration
– Ghostery & uBlock Origin (Browsererweiterung für verschiedene gängige Browser)
– Überprüfung der eingesetzten Cookies über den Browser, z.B. über „Web-Speicher“ bei Firefox
(2) Überlegen Sie, zu welchem Zweck die eingesetzten Cookies und Scripte, bzw. die sich dahinter verbergenden Tools verwendet werden. Vor allem: Prüfen Sie, ob die Tools überhaupt aktiv genutzt werden und ob es vielleicht datenschutzfreundliche Alternativen gibt.
(3) Überprüfen Sie, ob die Elemente für das technische Funktionieren der Webseite zwingend nötig sind. Für alle anderen Cookies und Scripte wird eine Einwilligung des Nutzers benötigt. Einwilligungsbedürftig sind bspw. Cookies oder Dienste im Zusammenhang mit statistischer Analyse und Reichweitenmessung, verhaltens- oder standortbezogene Werbung, sozialen Netzwerken, Streaming-Inhalte, die bei Dritten gehostet werden, sonstigen Inhalten Dritter.
(4) Werden einwilligungsbedürftige Cookies oder Dienste eingesetzt, setzen Sie die Einwilligung nutzerfreundlich und rechtskonform um. Eine praktikable Lösung ist die Verwendung sogenannter „Cookie-Banner“ oder „Consent Management“-Dienste, die für alle gängigen Content Management Systeme als Plugins angeboten werden. Die Grundanforderungen an ein solches Banner sind, dass es sofort und gut sichtbar bei Besuch der Internetseite ist und die gesetzliche Pflichtinformationen (z.B. Impressum, AGB, Datenschutzerklärung) nicht überdeckt. Einwilligungsbedürftige Datenverarbeitungen dürfen erst nach aktiver Zustimmung des Nutzers vorgenommen werden. In der Regel muss ein Besuch der Internetseite auch dann möglich sein, wenn der Nutzer keine Einwilligung erteilt. Ausnahmen können sich im Zusammenhang mit kostenpflichtigen Alternativen ergeben; sie müssen im Einzelfall geprüft werden.
Der Hinweistext soll in klarer und verständlicher Sprache zur Art der Daten, der Verarbeitung, Übermittlung und Speicherdauer informieren. Verwenden Sie idealerweise für die Gestaltung drei gleichartige Auswahl-Schaltflächen, ohne vorausgewählte Optionen:
(a) alle Anbieter akzeptieren, (b) alle Anbieter ablehnen, (c) erweiterte Einstellungen.
Mit der Schaltfläche „erweiterte Einstellungen“ sollten Sie detaillierte Informationen zur Verfügung stellen. Das sind die Beschreibung sämtlicher Verarbeitungszwecke und die Nennung aller Drittanbieter als Datenempfänger mit Unternehmensbezeichnung und Anschrift (die Nennung des Namens oder der Cookie-Domain reicht nicht aus) sowie die Angabe der Speicherdauer der Cookies. Wichtig ist auch, dort Einwilligungen für verschiedene Zwecke oder unterschiedliche Drittanbieter gesondert abgeben zu können. Sie müssen auch die Möglichkeit des jederzeitigen Widerrufs, z.B. mittels eines Buttons „Alle deaktivieren“, anbieten.
(5) In einem letzten Schritt kann es notwendig sein, die Datenschutzinformationen Ihrer Internetseite anzupassen.
Das Dresdner Institut für Datenschutz oder Ihr Datenschutzbeauftragter unterstützt Sie gern, auch in Zusammenarbeit mit Ihrer Internet-Agentur.
Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.