Das Cookiebanner gehört heute als fester und häufig leider störender Bestandteil der Nutzererfahrung zum Besuch von Websites dazu. Der Banner fordert dazu auf, die Verwendung von Cookies und damit das Tracking des Besuchers zu erlauben. Die Cookies erfassen dabei vielfältige Daten des Nutzers. Dazu können die absolut notwendigen Informationen für die korrekte Anzeige der Seite ebenso gehören wie persönliche Präferenzen oder Statistiken.
In der Regel geben die Betreiber der Seite die Daten auch an Partner zu Werbe- und Analysezwecken weiter. Dem muss der Besucher der Seite aber erst einmal explizit zustimmen. Und sobald es um die Weitergabe von personenbezogenen Daten geht, kommt mittlerweile die Datenschutz-Grundverordnung ins Spiel. Seit deren Inkrafttreten im Jahr 2018 fragen sich gerade viele kleine und mittelständische Unternehmen, wie sich die Cookie-Banner nun DSGVO-konform gestalten lassen.
Höhere Anforderungen an Cookiebanner
Was für den Besucher nur eine lästige Pflichtübung ist, besitzt für das Unternehmen nämlich eine erhebliche rechtliche Relevanz.
Cookiebanner zeigen die Betreiber von Websites beim ersten Betreten der Seite zumeist im oberen oder unteren Browserbereich an. Sie fordern den Besucher auf, der Setzung von Tracking-Cookies und damit der Datenerfassung zuzustimmen. In der Regel nehmen die Besucher den Cookie-Banner nur aus dem Augenwinkel wahr, schenken ihm keine besondere Bedeutung und klicken mechanisch auf OK. Das ist alleine deshalb häufig schon notwendig, weil das normale Surfverhalten darin besteht, zwischen verschiedenen Websites hin- und herzuspringen. Kaum jemand wird die Zeit aufbringen wollen, sich jedes Mal den Text im Cookie-Banner aufmerksam durchzulesen.
Die Cookies erfüllen dabei für den Seitenbetreiber einen bestimmten Zweck. Die sogenannten Tracking-Cookies erlauben es, Besucher der Seite wiederzuerkennen und deren Surfverhalten zu analysieren. Dazu ist es erforderlich, den Cookie auf der Festplatte des Nutzers zu speichern. Da der Cookie Daten mit personenbezogenem Inhalt erfasst, ergeben sich sofort komplizierte rechtliche Fragestellungen.
Was für den Besucher nur eine lästige Pflichtübung ist, besitzt für das Unternehmen nämlich eine erhebliche rechtliche Relevanz. Seit dem EuGH-Urteil vom 1. Oktober 2019 ist das Cookie-Tracking nur noch mit Einwilligung des Besuchers erlaubt. Und dazu genügt es nicht, einen rein informierenden Text einzublenden. Viele Unternehmen unterschätzen, wie sehr sich die rechtliche Lage seit der Einführung der DSGVO verschärft hat.
Erst Cookie setzen und dann fragen ist nicht erlaubt
Eines ist klar: Die Website darf keinen Cookie auf dem Rechner des Besuchers platzieren, solange der seine Eingaben in den Cookie-Banner noch nicht bestätigt hat. Damit ist es auch nicht möglich, ein Standard-Verhalten zu definieren, bei dem erst einmal ein Cookie aufgespielt und gegebenenfalls entfernt wird, falls der Besucher später doch nicht zustimmt. Die Pflicht zur Information der Besucher besteht bereits seit dem Jahr 2011 und ist Teil der EU-Datenschutzrichtlinie. Mit Einführung der Datenschutz-Grundverordnung hat sich daran auch nichts geändert, die Anforderungen sind nun aber deutlich strenger.
Diese wichtigen Änderungen bringt die DSGVO mit sich
Es sind vor allem zwei neue Anforderungen, die Unternehmen bei der Gestaltung ihrer Website im Blick behalten sollten. Zum einen ist eine Weitergabe von personenbezogenen Daten laut Datenschutz-Grundverordnung nicht mehr erlaubt und Zuwiderhandlungen ziehen hohe Geldbußen nach sich. Das betrifft auch die in Tracking-Cookies gespeicherte Daten und deren Weitergabe. Zum anderen kommt mit der Datenschutzrichtlinie für elektronische Kommunikation (ePR) im Jahr 2019 eine weitere Verordnung hinzu. Diese ist auch als regelrechtes Cookie-Gesetz bekannt und stellt konkrete Anforderungen an die Gestaltung der Cookie-Banner. Eine vorausgehende Einverständniserklärung der Nutzer ist nun zwingend erforderlich.
Pseudonymisierte Daten spielen keine Rolle mehr
Pseudonymisierte Daten spielen keine Rolle mehr
In der Vergangenheit bestand die Möglichkeit, Datenschutzanforderungen durch die Anonymisierung von Daten zu umgehen. Der Paragraph 15 Absatz 3 des Telemediengesetzes sah hier noch eine entsprechende Ausnahmeregelung vor. Diese gehört nun aber der Vergangenheit an. Eine Unterscheidung in Orthonym und Pseudonym erfolgt in der DSGVO nun nicht mehr. Die sich daraus ergebenden Konsequenzen für die Unternehmen sind einfach zu verstehen: Statt eines Opt-Outs ist jetzt nur noch ein Opt-In und damit die ausdrückliche Einwilligung zur Datenerhebung erlaubt.
Weiterhin ist es nicht ausreichend, nur die Einwilligung durch den Besucher zu erreichen. Diese muss das Unternehmen auch dokumentieren. Das gehört zu den grundsätzlichen Anforderungen der Grundverordnung an den Datenschutz. So haben die Kunden zum Beispiel auch das Recht, alle über sie gespeicherten Daten einzusehen und zu erfahren, wo diese gespeichert sind. Sogar deren Löschung dürfen sie fordern. Das Unternehmen trifft in jedem Fall die Beweislast bei allen rechtlichen Fragen, die sich aus der Nutzung der Tracking-Cookies heraus ergeben.
Nicht DSGVO-konforme Banner ziehen hohe Bußgelder nach sich
Kleine und mittlere Unternehmen fürchten die finanziellen Belastungen, die sich aus einem nicht DSGVO-konformen Cookie-Banner ergeben. Diese Bußgelder können ihrer Höhe nach erheblich sein. Die Verordnung sieht bei Verstößen empfindliche Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des jährlichen Umsatzes vor. Wer eine oder mehrere Websites betreibt, ist hier also einer ständigen Gefahr ausgesetzt, auch dann, wenn das eigene Geschäftsmodell überhaupt nicht auf die Verwertung von personenbezogenen Daten angewiesen ist. Rechtliche Risiken ergeben sich alleine aus dem Betrieb der Website und der ist praktisch immer mit der Erfassung von Tracking-Cookies verbunden.
In der Praxis ergeben sich viele Fallstricke
Viele KMU sind überrascht, welche unscheinbaren Details bereits zum Scheitern einer gesetzeskonformen Umsetzung eines Cookie-Banners führen können. Es ist zum Beispiel noch nicht einmal erlaubt, im Auswahlfeld das Kästchen für die Einwilligung als Default-Option anzukreuzen. Selbst wenn der Nutzer noch auf OK klicken muss, darf dieses Kästchen nicht vorangekreuzt sein. Jedes Tool, das der Websitebetreiber für das Cookie-Tracking nutzt, muss er einzeln im Banner aufführen. Allerdings ist es erlaubt, die Einwilligung für die verschiedenen Tools zusammenzufassen.
Nur wenige Unternehmen schenken dem Thema die erforderliche Aufmerksamkeit
Gerade KMU wissen häufig nicht, welche Tragweite die Datenschutz-Grundverordnung und ePR für den Betrieb der eigenen Websites besitzen.
Gerade KMU wissen häufig nicht, welche Tragweite die Datenschutz-Grundverordnung und ePR für den Betrieb der eigenen Websites besitzen. Einige kleinere Unternehmen sind sich noch nicht einmal darüber im Klaren, dass sie Tracking-Cookies verwenden. Hier ist eine eingehende Analyse durch einen externen Berater sicherlich sinnvoll, welcher genau feststellen kann, auf welchem Stand sich ein Angebot aktuell befindet. Im Idealfall sollte ein umfassendes Cookie-Management erfolgen. Eine entsprechende Lösung sollte den Nutzern alle relevanten Informationen zu den verwendeten Tracking-Technologien zur Verfügung stellen. Es sollten Auswahlmöglichkeiten gegeben sein, welche Informationen übermittelt werden dürfen und der Besucher sollte auch die Möglichkeit erhalten, diese Auswahl zu einem späteren Zeitpunkt zu ändern. Eine Nutzung der Website muss auch dann möglich sein, wenn der Besucher die Deaktivierung aller Tracking-Cookies wünscht. Zudem ist es wichtig, dass eine regelmäßige Erneuerung der Einverständniserklärung erfolgt, zum Beispiel in einem Intervall von 12 Monaten. Ein effektives Cookie-Management kümmert sich um alle diese Fragen.
Sind in einem Unternehmen die erforderlichen technischen Fähigkeiten nicht vorhanden, ein solches Management zu etablieren, helfen externe Dienstleister weiter. Nicht selten ist eine zusätzliche Softwarelösung erforderlich, weil das Content Management System die umfassenden Aufgaben nicht mehr wahrnehmen kann, die sich aufgrund der Anforderungen aus Datenschutz-Grundverordnung und ePR für die Gestaltung der Cookie-Banner ergeben. Die Lösung ist hier ein dezidiertes Cookie Consent Management.
Cloudshift bietet mit dem cloudshift Cookie Consent eine geeignete Software für die Gestaltung von Cookie-Bannern an, die allen modernen rechtlichen Anforderungen genügen und dem Besucher alle erforderlichen Auswahl- und Einstellmöglichkeiten für die Erfassung- und Weitergabe der Daten geben. Die Lösung lässt sich praktisch in jede bestehende Website und jeden Onlineshop einbinden. Zudem unterstützt die Software mehrsprachig betriebene Websites.
Einer der entscheidenden Vorteile unserer Softwarelösung besteht in der Erfüllung der Dokumentationspflichten. Das System stellt sicher, dass nicht nur die Einwilligung in die Nutzung der Tracking-Cookies erfolgt ist, sondern diese auch dokumentiert wird.
Nehmen Sie jetzt Kontakt zu uns auf und erfahren Sie, wie Ihr KMU von den Vorzügen eines fortschrittlichen Cookie Consent Managements für einen besseren Datenschutz profitiert. Wir bieten maßgeschneiderte Softwarelösungen auch für Ihr Unternehmen an, helfen Ihnen bei der Implementierung und stehen jederzeit beratend zur Seite.
