Heute dreht sich wieder alles um das Thema Datenschutz, diesmal legen wir den Fokus auf Cookies und das Cookiebanner auf deiner Website! Welche klassischen rechtlichen Fehler machen Gründer, Selbstständige und Startups bei ihrer Gründung und auch danach?
In dieser RAKETENSTART – Folge wirst du lernen, was ein Cookie ist, welche Arten es gibt und was du beim Einbinden eines Banners beachten musst. Außerdem gibt es in dieser Folge noch zwei rechtliche Fehler und Legal Fuckups aus dem Datenschutz, die du als Unternehmer vermeiden solltest.
Wenn du mit deinem Unternehmen eine Website betreibst und dich auch mit den rechtlichen Vorgaben beschäftigt hast, bist du sicherlich in den letzten Monaten bereits häufiger auf die Thematik um die sogenannten Cookie-Banner gestoßen. Auch die Gerichte haben sich in den letzten Monaten umfassend im Rahmen der DSGVO mit der Frage beschäftigt, was bei der Setzung zu beachten ist.
Was sind überhaupt Cookies?
Es handelt sich hierbei um Textdateien, die ein Webbrowser beim ersten Besuch der Website auf dem Computer eines Nutzers speichert. Diese sammeln Informationen, denen eine zufällig gewählte Nummer für den Nutzer zugeordnet wird. Die Website erkennt so den Nutzer wieder, wenn er sie erneut besucht. Sie speichert außerdem Einstellungen, die der Nutzer im Umgang mit der Website vorgenommen hat, z.B. die Sprache, aber auch persönliche Daten wie Mailadressen oder Namen. Sie legen zudem Informationen zum Websiteverhalten des Nutzers an. Besucht dein Kunde zum Beispiel deine Website, so ist es durch sie möglich, dass sein Warenkorbinhalt gespeichert bleibt, selbst, wenn er deine Seite zwischenzeitlich wieder verlässt. Der EuGH und der BGH haben sich inzwischen ausgiebig mit den Vorgaben für die Verwendung von Cookies beschäftigt.
Welche Arten gibt es?
Cookies unterscheiden sich, je nachdem für welchen Zweck sie eingesetzt werden:
- Zum Betrieb der Website notwendige Cookies. Solche, die technisch notwendig sind, damit deine Website ordnungsgemäß betrieben werden kann
- Marketing-Cookies, die zum Aufzeichnen und für Tracking genutzt werden, um das User-Verhalten auszuwerten
- Präferenz-Cookies, die es einer Website ermöglichen, sich an Information zu orientieren, die die Art des Websiteverhaltens bzw. -aussehens beeinflussen, wie etwa deine bevorzugte Sprache
- Statistik-Cookies, helfen dir zu verstehen, wie Besucher mit deiner Website interagieren, indem Informationen anonym gesammelt und gemeldet werden
Wie lange werden sie gespeichert?
Weiterhin unterscheidet man nach der Dauer ihrer Speicherung. Dabei wird zwischen Session-Cookies, also solchen, die mit dem Schließen des Browserfensters wieder verschwinden, und sogenannten Permanent-Cookies unterschieden. Diese sind auch nach dem Schließen des Browsers aktiv und dürfen nur für eine bestimmte Dauer – maximal 12 Monate – bestehen.
Woher stammen Cookies?
Bei der ihrer Setzung sollte außerdem unterschieden werden, von wem sie gesetzt werden. Das können zum Beispiel Erstanbietern oder Drittanbieter sein. Cookies eines Erstanbieters werden in der Regel von der Website und ihrem Betreiber selbst gesetzt, während die Cookies eines Dritten von anderen Websiten gesetzt werden. Dies ist beispielsweise der Fall, wenn ein Analysetool wie “Google Analytics” verwendet wird.
Wie war die Rechtslage bzgl. des Setzens von Cookies und der Integration von Bannern bisher?
Bisher war man sich bei der Umsetzung von Bannern uneinig darüber, wie genau diese ausgestaltet sein müssen. Das führte dazu, dass der Nutzer nicht genau wusste, wann genau und vor allem welche Daten er beim Websitebesuch preisgibt. Cookie-Banner gab es in den verschiedensten Varianten, von einem einfachen Informations-Banner mit Hinweis auf die Cookie-Nutzung, über Versionen, bei denen man durch Weitersurfen automatisch zustimmt, bis hin zu einem Banner, wo der Nutzer anklicken bzw. abwählen kann, welche er zulassen möchte und welche nicht.
Wie sieht die Rechtslage jetzt aus und wie benutzt man Cookies rechtskonform?
Mit der Entscheidung des EuGH ist die Rechtslage jetzt um einiges klarer: Cookies dürfen immer nur dann genutzt werden, wenn der Nutzer aktiv in diese einwilligt und mit dem Setzen des Häkchens (sog. Opt-in-Verfahren) seine Zustimmung erteilt.
Vorangekreuzte Cookie-Einstellungen sind damit nicht mehr zulässig, wodurch das sogenannte Opt-Out-Verfahren nicht mehr als datenschutzkonform erachtet wird. Das Opt-Out-Verfahren umfasst, dass der Nutzer, die Cookies, in die er nicht einwilligen möchte, aktiv abwählen muss, sie aber bereits vorangekreuzt sind. Ausgenommen davon sind die technisch notwendigen Cookies, die zwingend für das Betreiben einer Website erforderlich sind. Diese dürfen weiterhin im Banner vorangekreuzt bleiben. Dies rührt daher, dass ihre Verarbeitung mit dem berechtigten Interesse des Betreibers gerechtfertigt werden kann und keine Einholung der Einwilligung erforderlich ist. Wichtig ist, dass über das Setzen dieser jedoch informiert wird.
Du solltest bei der Verarbeitung der durch Cookies erhobenen Daten darauf achten, dass nur die Daten deines Besuchers benutzt werden, in die er aktiv eingewilligt hat – und dies erst ab dem Zeitpunkt, ab dem die Einwilligung erfolgt ist.
Beim Einstellen deines Banners und deiner Website solltest du also zunächst nur die zum Betrieb notwendigen Cookies automatisch setzen und im Banner darüber informieren. Darüber hinaus solltest du dann die Einwilligung für Weitere einholen und die Setzung dieser erst danach auslösen.
Was passiert, wenn dein Cookie-Verwendung fehlerhaft gestaltet ist?
Sollte die Verwendung fehlerhaft sein, weil du zum Beispiel das Formular noch nicht nach dem Opt-In-Verfahren ausgerichtet hast oder weil du den Websitebesucher nicht richtig über die Setzung aufklärst, stellt dies ein Verstoß gegen das Datenschutzrecht dar. Die DSGVO ahndet Verstöße mit einer Strafe, die bis zu 4 % des Jahresumsatzes betragen kann, es ist also Vorsicht geboten.
Zusammengefasst solltest du für dein Unternehmen folgendes beachten:
Es gibt verschiedene Kategorien von Cookies auf Websites:
- Zum Betrieb der Website notwendige Cookies
- Marketing-Cookies, Präferenz-Cookies, Statistik-Cookies, weitere Cookies
- Der Websitebesucher muss stets mit einem Cookie-Banner über die Verwendung informiert werden.
- Über die genaue Art sowie die Speicherdauer sollte in der Datenschutzerklärung aufgeklärt und informiert werden.
- Für das Setzen von Cookies, die nicht zwingend für den Betrieb der Website notwendig sind, muss eine Einwilligung des Nutzers eingeholt werden.
- Eine im Banner voreingestellte Zustimmung (z.B. durch ein vorangekreuztes Häkchen) reicht daher nicht aus. Der Besucher muss aktiv zustimmen und diese Einwilligung musst du nachweisen können.
- Bis zu dieser aktiven Zustimmung dürfen auf der Website keine Cookies gesetzt werden, die nicht zwingend notwendig sind.
Du solltest also als Unternehmer diese Dinge auf jeden Fall auf dem Schirm haben. Wenn du über weitere rechtliche Themen für deine Gründung oder Selbständigkeit informiert bleiben willst, kannst du dich hier für unseren Newsletter anmelden.