Der Europäische Gerichtshof (EuGH) hat am 30. September 2019 entschieden, dass Besucher von Webseiten der Nutzung von Cookies aktiv zustimmen müssen. Die kleinen Textdateien – sog. Cookies – ermöglichen Besucher wieder zu erkennen, speichern die Besuchsdauer und Seitenaufrufe oder die Suchbegriffe.
Was muss auf der eigenen Webseite passieren, um den Vorgaben des EuGH zum Cookie-Urteil zu entsprechen und wie dramatisch ist die Situation eigentlich?
Grundsätzlich regelt die DSGVO den Umgang mit personenbezogenen Daten, um Missbrauch und unerlaubten Zugriff zu verhindern. Was sind personenbezogene Daten bezogen auf die Webseite?
- Name, Geburtstag, Anschrift, E-Mail-Adresse und Telefonnummer.
- Online-Daten sind IP-Adresse und Standortdaten.
- Bei der Nutzung von Online-Shops oder Mitgliederbereichen kommen noch Kundendaten, wie z.B. Bestellungen und Kontodaten, dazu.
Der Umgang mit personenbezogenen Daten wurde bereits im Bundesdatenschutzgesetzt (BDSG) geregelt und durch die DSGVO um einen europaweit gültigen Rechtsrahmen ergänzt. Durch die Fristsetzung zum 25. Mai 2018 waren alle Webseitenbetreiber gezwungen sich mit den eigenen Verantwortlichkeiten auseinander zu setzen. Für viele, besonders kleine Webseitenbetreiber, eine echte Herausforderung. Zusätzlich wurde die Dramatik durch den Mangel an Klarheit in der Umsetzung von gesetzlichen Vorgaben geschürt. Nach gut zwei Jahren sind die meisten Webseiten datenschutzkonform unterwegs und neue Botschaften in Sachen EuGH oder DSGVO bringen die meisten nicht mehr aus der Ruhe. Somit ist das EuGH-Cookie-Urteil nur als eine Ergänzung zu bereits bestehenden Vorgaben zu sehen und setzt das um, was bereits in der Cookie-Richtlinie der EU stand.
Für die eigene Webseite oder Online-Shop kann es sein, dass das EuGH-Cookie-Urteil einiger Anpassungen bedarf. Besonders dann, wenn Tracking-Tools von Drittanbietern im Einsatz sind. Schauen wir uns die Änderungen genauer an.
Das EuGH-Cookie-Urteil regelt zwei zentrale Fragen, die bislang nicht geklärt waren:
- Die voreingestellte Zustimmung von Cookies ist verboten
- Cookies müssen beim Besuch einer Webseite standardmäßig deaktiviert sein
Darüber hinaus müssen Nutzer über die genutzten Anbieter, die Art, Funktion und Speicherdauer der Cookies informieren. Datenschutzerklärung und Impressum müssen mit Nutzung des Cookie-Hinweises voll zugänglich sein.
Offen ist jedoch die Frage in Bezug auf die Nutzung von pseudonymen Cookies, denn das deutsche Gesetzt gibt keine Einwilligungspflicht für sog. pseudonyme Cookies. Hier stehen sich die Interpretationen der Definitionen des Telemediengesetztes (§15 TMG) und der DSGVO unmittelbar gegenüber. Am 30.01.2020 wird darüber verhandelt. Im Kern geht es hierbei um die Frage ob Cookies, die pseudonyme Profile von Nutzern für Werbezwecke erstellen, einer Einwilligung bedürfen oder nicht. Das betrifft vor allem Lösungen für Online-Shops, Online-Marketing und Marketing Automatisierung. Reine Webanalyse-Tools scheinen bislang ausgeschlossen zu sein. Ein Beispiel für Matomo von Malte Engeler.
Was muss auf der eigenen Webseite nun angepasst werden?
Grundsätzlich müssen Sie klären welche Art von Cookies gesetzt werden und darüber informieren, wenn ein Besucher Ihre Webseite oder Ihren Online-Shop erreicht. Leider liefert die ePrivacy Richtlinie keine eindeutige Information darüber wann ein Cookie erforderlich ist. Für uns sind folgende Cookies notwendig, um Funktionalitäten auf Webseiten und Online-Shop sicher zu stellen:
- Login-Status bei Shops und Mitgliederbereichen
- Cookie-Tool zur Speicherung der Einwilligung
- Session-Cookies
- Warenkorb-Cookies bei Online-Shops
- Sprachauswahl
Cookies für Statistiken oder Marketingzwecke sind dagegen nicht unbedingt erforderlich und erfordern “vor” dem Einsatz eine Einwilligung. Ausnahmen sind z. Zt. noch Webanalyse-Tools, die nicht von Drittanbietern verarbeitet werden und keine Tracking-Cookies nutzen. Z.B. Matomo, WP Statistics oder Statify.
Darf man Google Analytics noch einsetzen?
Es häufen sich die Artikel, in denen davon abgeraten wird Google Analytics weiter zu verwenden. Aus unserer Sicht sind jedoch lediglich bestimmte Sachen zu beachten, um Google Analytics weiter nutzen zu können:
- Vertrag zur Auftragsdatenverarbeitung mit Google schließen
- Opt-Out-Funktion in der Datenschutzerklärung anbieten
- In der Datenschutzerklärung die Nutzung von Google Analytics dokumentieren
- Statt nur Cookie-Hinweis, nun eine Auswahl zum Opt-In/Opt-Out anbieten
- Sicherstellen, dass Google-Analytics bei Seitenaufruf, und noch keiner erfolgten Bestätigung durch den Nutzer, nicht aktiv ist
Wir lösen unsere eigene Cookie-Lösung bei unseren Kunden langsam ab und nutzen dafür zwei Tools, die wir hier empfehlen möchten.
Borlabs Cookies
Dieses Cookie-Tool ist ausschließlich für WordPress-Seiten entwickelt worden und erlaubt ein hohes Maß an Flexibilität in der Nutzung. Es ist ausgesprochen günstig (Jahresbeitrag) und gut dokumentiert, so dass man es ohne großen Aufwand selbst zum Einsatz bringen kann. Borlabs Cookies wird auf der eigenen Webseite installiert.
User Centrics
Diese Cookie-Lösung ist ausgesprochen komfortabel und wird über ein Script in der eigenen Webseite eingebunden. Es ist in fast allen Web- und Online-Shop-Lösungen einsetzbar. Besonders im Zusammenhang mit Tracking-Tools und der Nutzung von Google Analytics und dem Tag Manager ist User Centrics die erste Wahl. Hierbei handelt es sich um einen gehosteten Service mit monatlichen Kosten.
Wenn Sie Fragen zum Einsatz einer Cookie-Lösung haben, stehen wir Ihnen gerne zur Verfügung.
Fazit:
Bereits in 2018 hatten wir uns damit auseinandergesetzt was man tun muss, um eine WordPress-Seite datenschutzkonform zu machen oder wie sich durch die DSGVO der Umgang mit Visitenkarten geändert hat.
Heute stellen wir fest, dass die DSGVO wenig Unruhe auslöst. Es gibt unzählige Beratungsportale, Facebook-Gruppen etc. die es einem ermöglichen die eigene Seite sicher zu machen. Für Marketing-Aktivitäten und die Einbindung von Tracking-Tools, sollte man mit einem Fachmann und einem Datenschutzbeauftragten zusammenarbeiten. Wie im Artikel bereits beschrieben, gibt es immer noch Interpretationslücken zur Umsetzung der Gesetzesvorgaben. Hier sollte man genau abwägen wie man die eigenen Ziele umsetzt und Seitenbesucher darüber informiert.
Die ePrivacy wird auf Dauer hoffentlich dafür sorgen klarere Vorgaben zu liefern, die für Webseitenbetreiber wie auch Besucher erträglich, logisch und umsetzbar sind. Für Online-Marketer und Automatisierungsspezialisten stehen die wirklichen Konsequenzen noch aus. Klar ist, dass sich der Umgang mit Cookies stark verändern wird. Die Browser Mozilla Firefox und Safari sperren bereits die meisten Cookies und Google Chrome wird in Kürze nachziehen. Aus unserer Sicht werden Tracking-Lösungen mit dem eigenen Online-Angebot immer stärker zusammenwachsen. Cookies werden dann nicht mehr notwendig sein, da Webseite und Tracking in einem System miteinander verknüpft sind. Ob hier dann ein Einverständnis für anonymisiertes Tracking eingeholt werden muss oder nicht, klärt sich spätestens am 30.01.2020.
Empfehlung:
Wenn Sie selbst den Zustand Ihrer Seite prüfen möchten, dann empfehlen wir Ihnen den Service von wwwSchutz.de. Dr. Klaus Meffert hat ein intelligentes Tool geschaffen, das in der Lage ist jede Schwachstelle einer Webpräsenz aufzuspüren. Mit wwwSchutz.de bieten wir einen erweiterten Service an, um Probleme mit der Webseite oder dem Online-Shop zu beseitigen.
Gerne übernehmen wir für Sie auch die Implentierung einer der von uns genannten Cookie-Lösungen.
Für ein persönliches Gespräch nutzen Sie unseren Terminplaner und wählen Sie selbst einen gewünschten Zeitpunkt aus.
