Die Praxis zeigt, dass es noch immer große Verwirrung im Bereich Datenschutzerklärung, DSGVO, Cookie & Co gibt. Mit diesem Beitrag möchte ich versuchen dieses Thema etwas verständlicher zu machen.

Rechtshinweis:
Da ich weder Jurist noch Datenschutzbeauftragter bin hat dieser Beitrag keinen Rechtsanspruch.
Die Inhalte sind nach bestem Wissen und gewissen recherchiert und zusammengestellt.
Im Zweifelsfall ist immer ein Fachanwalt oder Datenschutzbeauftragter zu konsultieren.

DSGVO (Datenschutzgrundverordnung)

Die DSGVO regelt für die gesamte EU (mehr oder weniger) einheitlich die Verarbeitung personenbezogener Daten. Dies betrifft nicht nur Internetseiten, sondern alle Formen der Datenverarbeitung (Telefon, Fax, Post, …). Zielsetzung ist hierbei die Transparenz der Datenverarbeitung. Unter Verarbeitung wird letztendlich alles zusammengefasst, was mit Daten geschieht (lesen, ändern, löschen, auswerten, Weitergabe an Dritte, …). Der „Inhaber“ der Daten muss über die Verarbeitung informiert sein und in der Regel zustimmen.

Datenschutzerklärung

Sobald Daten auf einer Internetseite verarbeitet werden (was in der Regel immer der Fall ist) muss über die Datenschutzerklärung ersichtlich sein, welche Daten von wem und wozu verarbeitet werden. Zudem muss die Möglichkeit angegeben werden der Verarbeitung zu widersprechen sowie eine kostenlose Datenauskunft zu erhalten. Die Datenschutzerklärung muss nach Vorgabe der DSGVO vollständig und dennoch übersichtlich und verständlich sein. In der Praxis lesen vermutlich genau so wenig Seitenbesucher die Datenschutzerklärung wie eine AGB (Allgemeine Geschäftsbedingung). Dennoch sollte auf keinen Fall eine Datenschutzerklärung nur kopiert werden sondern individuell und korrekt angepasst sein, da gerade beim Kopieren einer vorhandenen Datenschutzerklärung falsche Inhalte übernommen werden oder Inhalte fehlen. Daher sollte eine Datenschutzerklärung durch einen Fachanwalt oder Datenschutzbeauftragten in Kooperation mit dem Seitenbetreiber erstellt werden.

Alle datenschutzrechtlichen Informationen müssen enthalten sein.
Werden für das Besuchsverhalten auf der Seite Daten verarbeitet (z.B. Matomo, Google Analytics, …) muss dies in der Datenschutzerklärung ersichtlich sein.

Zu viel Informationen sind genau so falsch wie fehlende Informationen.
Wird kein Tracking (z.B. Matomo, Google Analytics, …) verwendet darf dies auch nicht in der Datenschutzerklärung stehen. Dieser Fehler tritt sehr häufig beim Kopieren bestehender Datenschutzerklärungen auf, die nicht individuell angepasst wurden.

Zustimmung der Datenverarbeitung (Cookie Opt-In)

Cookies sind kleine Textdateien, die auf dem lokalen Rechner des Seitenbesucher gespeichert werden. Diese werden für unterschiedliche Zwecke benötigt wie zum Beispiel für das Tracking (Erfassung des Besucherverhalten), Werbeeinblendungen, Videos, Warenkorb, etc. Gesetzt werden diese Cookies entweder durch den Seitenbetreiber selbst (durch entsprechende Plugins wie z.B. WooCommerce) oder durch Drittanbieter (z.B. Google, facebook, …). Der Seitenbetreiber hat dafür Sorge zu tragen, dass alle Coockies aufgelistet werden und eine Möglichkeit zu schaffen, dass ein Seitenbesucher entscheiden kann, welche Cookies gesetzt werden dürfen und welche nicht. Laut dem Urteil des EuGH und des BGH darf keine Vorauswahl erfolgen, sondern der Seitenbesucher muss bevor ein Cookie gesetzt wird aktiv zustimmen (Opt-In). Strittig ist aktuell noch ob diese Zustimmung auch für essentielle Cookies erforderlich ist. Hierbei handelt es sich um Cookies die für die Funktion der Seite zwingend erforderlich sind (z.B. Verwaltung des Warenkorb in einem Onlineshop wie WooCommerce). In der Regel werden daher aktuell auch essentielle Cookies aufgelistet, sind im Gegensatz zu allen anderen Cookies jedoch vorbelegt.

Für die bessere Übersicht hat es sich bewährt Cookies einer der folgenden drei Kategorien zuzuordnen:

3 Standardkategorien für Cookies

Quelle: mittwald.de

Korrektur der Cookieeinstellungen

Nachdem Cookies gesetzt sind muss es zudem möglich sein die gesetzten Einstellungen zu verändern oder generell individuelle Einstellungen vornehmen zu können (z.B. Kategorie „Reichweitenmessung“: Google Analytics: nein, Matomo: ja). Diese Detaileinstellungen sollten nicht über das PopUp beim Aufruf der Seite erfolgen sondern zwecks der besseren Übersicht auf einer separaten Seite/ Fenster. Als sinnvoll hat sich hierzu die Seite „Datenschutzerkärung“ im Bereich „Cookies“ erwiesen. Hier sollte entweder direkt die Übersicht vorhanden sein oder ein Link/ Button, der ein PopUp öffnet um die Einstellungen zu korrigieren. Da Cookies erst nach der Zustimmung gesetzt werden dürfen ist es daher ratsam bereits im ersten PopUp (Cookie OptIn) einen Link zu platzieren über den man Detaileinstellungen vornehmen kann. Somit werden Cookies erst nach der Speicherung der Einstellungen gesetzt oder eben nicht.

Informationen zu den Cookies

Nicht nur die Zustimmung ist für jedes einzelne Cookie erforderlich, sondern auch Informationen zu dem Cookie. Je nach verwendeter Lösung müssen diese Informationen manuell eingetragen werden oder werden teilweise automatisch erkannt und müssen dann noch geprüft und ggf. korrigiert werden. Denn verantwortlich ist nicht der Anbieter einer Cookie-OptIn-Lösung sondern der Seitenbetreiber. Erforderlich sind folgende Informationen zu jedem einzelnen Cookie:

  • Zweck und Verwendung des Cookies
  • Empfänger der im Cookie enthaltenen Daten
  • Cookie-setzende Stelle bei sog. Third-Party-Cookies
  • Link zur Datenschutzerklärung bei sog. Third-Party-Cookies
  • Vorliegen einer Anonymisierung
  • Speicherdauer

Probleme

Die richtige Konfiguration des Cookie-OptIn sowie die Gestaltung der Datenschutzerklärung sind nicht die einzigen Herausforderungen an jeden Seitenbetreiber, sondern auch das Verhalten der Seitenbesucher. Erfahrungsgemäß nervt die Abfrage beim Aufruf einer Seite jeden Seitenbesucher und schreckt viele sogar ab. Die Ideallösung wäre somit keine Cookies zu verwenden um auf die Zustimmung zur Datenverarbeitung (OptIn) verzichten zu können. Dies ist jedoch nur bedingt realistisch.

ohne Cookies:
Sofern man auf die Einbindung externer Stellen (Third-Party-Cookies) und auch auf detaillierte Trackinginformationen (Aufenthaltsdauer, Absprung, …) verzichtet und somit ausschließlich essentielle Cookies (z.B. Warenkorb) verwendet ist dies für den Seitenbesucher die „schönste“ Lösung und erspart dem Seitenbetreiber viel Arbeit und Verantwortung. Um dennoch Trackingdaten erfassen zu können bietet sich für WordPress das Plugin Koko Analytics“ an, welches auch ohne Cookie wesentliche Informationen sammelt (Ziel: welche Seiten wurden wie oft aufgerufen, Quelle: woher kamen wie viel Aufrufe). Ohne Cookie kann jedoch nicht zwischen den einzelnen Besuchern unterschieden werden.

mit Cookies:
Nur die wenigsten Besucher machen sich die Mühe die Einstellungen individuell anzupassen. Somit wird in der Regel die Standardeinstellung verwendet, welche ausschließlich essentielle Cookies speichert. Hinzu kommt, dass bereits die Browser selbst die meisten Cookies sperren. Somit greifen die Einstellungen des Cookie-OptIn nur dann, wenn der Browser keine Sperre eingerichtet hat. Hier hat sich mit den aktuellen Browserversionen viel verändert. Früher musste man entsprechende AddOns für Browser installieren um Cookies zu blockieren. Heute sind diese Sperren in den meisten Browsern bereits direkt integriert und im Standard auch aktiviert. Nachdem Mozilla (Firefox) und Apple (Safari) bereits Third-Party-Cookies standardmäßig blockieren folgt nun auch Google (Chrome) dieser Philosophie.
Damit wird das Einbinden von Anzeigen (z.B. Affiliate-Links) auf der eigenen Seite zunehmend eine größere Herausforderung.

Fazit:

Aktuell deutet einiges darauf hin, dass sich „die Welt der Cookies“ drastisch ändern wird. Dies erlebt man in den letzten Tagen bereits durch verschärfte Maßnahmen direkt in den Browsern auf die man als Seitenbetreiber keinen Einfluss hat. Neben dem Thema Werbung betrifft dies natürlich auch verstärkt das Tracking (Google Analytics, Matomo, …), also die Analyse wie frequentiert eine Seite eigentlich ist. Für diverse Informationen ist hier das Setzen von Cookies erforderlich, denen der Seitenbesucher vorab (Opt-In) jedoch zustimmen muss (Urteil des EuGH und BGH).

Cookie-OptIn: Zustimmung erforderlich

BEVOR ein Cookie gesetzt wird muss diesem zugestimmt werden.

Beschränkt man sich auf die wesentlichen Informationen (Ziel: welche Seiten wurden wie oft aufgerufen, Quelle: woher kamen wie viel Aufrufe) kann dies direkt im WordPress ohne Cookies und somit ohne Zustimmung des Seitenbesucher abgebildet werden.(Ziel: welche Seiten wurden wie oft aufgerufen, Quelle: woher kamen wie viel Aufrufe). Neben dem bereits bekannten Plugin „Statify“ gibt es noch das Plugin „Koko Analytics„, welches ebenfalls ohne Cookie auskommt und Benutzergruppen ausgeblendet werden können, damit nur „echte“ Seitenbesucher erfasst werden und keine Redakteure und Admins.

Für eine datenschutzkonforme Analyse ohne Cookies empfehle ich daher den Einsatz von „Koko Analytics„.
Im Gegensatz zu Matomo & Co. fehlen hierbei zwar diverse Informationen wie die Verweildauer, Absprungrate, etc., aber man hat zuverlässige Realdaten über die Aufrufzahlen einzelner Beiträge.

Die Einbindung von Anzeigen (Werbung) wird aufgrund der Gerichtsentscheide und der Standardsperren in den Browser künftig ein noch umfangreicheres Thema werden. Viele Werbeanbieter setzen bislang eigenständig Cookies, welche über das jeweilige Cookie-OptIn jedoch abgefragt werden müssen obwohl diese in den meisten Fällen bereits durch die Browser gesperrt werden. Es ist daher davon auszugehen, dass sich das Verhalten von Cookies durch Drittanbieter verändern wird, doch bis dahin ist jeder Seitenbetreiber in der Pflicht seine Seite datenschutzkonform zu betreiben.

Interpretation des EuGH-Urteil vom 01.10.2019:

  1. Es sind sowohl die Bestimmungen der DGSVO als auch der ePrivacy-Richtlinie anzuwenden.
  2. Für bestimmte Arten von Cookies sei eine aktive Einwilligung erforderlich und zwar unabhängig davon, ob diese personenbezogene Daten enthalten oder nicht!
  3. Eine aktive Einwilligung in diesem Sinn liege nicht vor, wenn der Nutzer lediglich die Möglichkeit hat, das bereits gesetzte Häkchen im Rahmen eines Einwilligungstextes wieder zu entfernen, um die Verwendung von Cookies zu verhindern.
  4. Der Webseitenbesucher muss vor der Einwilligung auch über die Funktionsdauer der Cookies und der Empfänger der in den Cookies enthaltenen Daten informiert werden.

Opt-Out ist out und verboten.

Datenübermittlung in die US (Schrems II-Entscheidung):

Der europäische Gerichtshof hat in der „Schrems II-Entscheidung“ (EuGH, Urteil vom 16.07.2020, Az.: C-311/18) den Privacy-Shield für unwirksam erklärt. Dies bedeutet: Wenn Daten in die USA übermittelt werden, kann sich nunmehr nicht mehr auf den Privacy-Shield berufen werden. Es wird darauf hingewiesen, dass die Änderungen betreffend der Datenübermittlung in die USA allenfalls etwaige Risiken minimieren können, jedoch keineswegs ein Risiko vollkommen ausschließen können. Sämtliche Übermittlungen von personenbezogenen Daten in Drittstaaten, insbesondere die USA, erfolgen grundsätzlich auf eigenes Risiko!

Da derzeit die Anforderungen an das Verwenden von sog. Standardvertragsklauseln unklar ist und viele Anbieter solche noch nicht zur Verfügung stellen, erscheint es zurzeit sinnvoll auf eine Einwilligung nach Art. 49 Abs. 1 DSGVO zu setzen. Der Nutzer muss jedoch deutlich über die Risiken informiert werden, die ein Datentransfer in einen unsicheren Drittstaat mit sich bringt. Umstritten ist bislang, wie umfangreich diese Unterrichtung sein muss. Bei den gängigen Anbietern wie beispielsweise Google oder Facebook, bietet es sich an, eine solche Einwilligung mit der Cookie-Einwilligung zu verknüpfen. Beim Newsletter-Diensteanbieter Mailchimp sollte bereits im Rahmen der Registrierung eine Einwilligung eingeholt werden.

Interpretation des BGH-Urteil vom 28.05.2020 (Planet 49):

Der BGH (Bundesgerichtshof) hat mit Urteil vom 28.05.2020 (Az.: I ZR 7/16) ausdrücklich bestätigt, dass das Setzen von Cookies für Tracking- und Analyse-Zwecke durch den Webseitenbetreiber einer aktiven Einwilligung des Seitenbesucher bedarf. Eine vorausgefüllte Check-Box genügt den Anforderungen an einer aktiven und informierten Einwilligung grundsätzlich nicht. Reine „Alibi- Cookie-Banner“, bei denen der User nur die Möglichkeit zur Zustimmung hat, sind aller spätestens nach dieser Entscheidung klar rechtswidrig.

Das EDPB (European Data Protection Board) bestätigte zunächst die bisherige Auffassung, dass alle Cookies zwingend einer Einwilligung bedürfen. Hiervon ausgenommen sind nur technisch notwendige Cookies, etwa zur Wiedererkennung der Nutzer. Das bedeutet zum Beispiel, dass Tracking-Cookies zu Zwecken der Werbung und Kundenanalyse definitiv erst dann geladen werden dürfen, wenn eine entsprechende Einwilligung durch den User erteilt wird.

Neu ist vor allem die Stellungnahme des EDPB betreffend der sog. „Cookie-Wall“. Bei einer Cookie-Wall handelt es sich um eine Websitesperre, wodurch die Website erst zugänglich ist, wenn insbesondere Werbe/Tracking-Cookies akzeptiert werden. Problematisch an den Website-sperren ist insbesondere die Anforderungen an das Kopplungsverbot. Nach Ansicht des EDPB ist eine „Cookie-Wall“ nur unter engen Voraussetzungen rechtskonform nutzbar. Unzulässig wäre eine „Cookie-Wall“ insbesondere dann, wenn sich die jeweilige Website ausschließlich mittels Werbung, auf Basis von Werbe/Tracking-Cookies finanzieren würde. Im Umkehrschluss bedeutet dies: Eine „Cookie-Wall“ wäre nach Ansicht des EDPB dann zulässig, wenn der Anbieter auch eine Alternative ohne Tracking anbietet, was z.B. auch ein Bezahldienst sein kann.

Quellen:
https://t3n.de/news/google-chrome-google-macht-ernst-1306493/
https://t3n.de/news/bgh-urteil-cookie-tot-seht-ein-1285293/
https://www.mittwald.de/

Noch ein „Schmankerl“ zum Schluss:
Selbst t3n, die diverse Beiträge zum Thema Cookies und DSGVO bereitstellen, halten sich bislang selbst nicht an die Vorgaben aus Ihren eigenen Beiträgen:

t3n verwendet nur OptOut und keine Zustimmung zur Datenverarbeitung beim Newsletter

t3n verwendet nur OptOut für Cookies und keine Zustimmung zur Datenverarbeitung beim Newsletter.

Auch die große deutsche Zeitung mit 4 Buchstaben verwendet nur eine Cookie-OptOut-Lösung, die zudem nach wenigen Sekunden automatisch ausgeblendet wird. Zudem kann bild.de bereits jetzt nicht mehr mit aktivem Blocker angezeigt werden:

Auch bild.de verwendet noch fälschlicherweise eine Cookie-OptOut-Lösung und sperrt die Darstellung bei aktivem AdBlocker.

Auch bild.de verwendet noch fälschlicherweise eine Cookie-OptOut-Lösung und sperrt die Darstellung bei aktivem AdBlocker.

 

WordPress Cookie Hinweis von Real Cookie Banner