Wie jeder, der im Internet Inhalte zur Verfügung stellt, mussten auch wir vor der Veröffentlichung unserer neuen Internetseite einige rechtliche Fragen klären. Neben Fragen zu Impressum und Datenschutz stellten wir uns schnell die Frage:
„Wie müssen wir eigentlich mit Cookies umgehen? Welche Cookies setzt den unsere Internetseite überhaupt, worauf müssen wir hinweisen und in welcher Form?“
Gerade mit dem aktuellen Beschlüssen des Bundesgerichtshofs wird es Zeit das Thema anzugehen und eine Strategie zu überlegen, wie man zukünftig mit Cookies umgeht.
Zuallererst und zum Verständnis – Was sind den Cookies überhaupt?
Fast jede Internetseite nutzt sie. Denn Cookies sind eigentlich etwas Nützliches – es sind klei-ne Textdateien die beim Surfen auf Internetseiten automatisch auf unseren Computer abgelegt und temporär gespeichert werden. Genauso schnell können sie auch (meist durch den Nutzer) wieder gelöscht werden. Sie erleichtern es Internetseiten uns „wiederzuerkennen“ – somit müssen wir Kundendaten nicht erneut eingeben oder ein Online-Shop merkt sich was wir bereits gekauft oder in den Warenkorb gelegt haben.
Cookies und Datenschutz?
Aber wie häufig gibt es aus sicherheitsrelevanter Sicht auch eine Schattenseite, denn die Daten die dabei gespeichert werden, werden unter Umständen auch für andere Maßnahmen genutzt. Den meisten bekannt ist sicherlich, dass für Werbe- und Marketingzwecke das Nut-zerverhalten des Einzelnen getrackt/analysiert wird, um personalisierte Werbung zu schalten. Aber es gibt noch eine Menge anderer Anwendungen, die sich mittels Cookies umsetzen las-sen.
Wichtig zu wissen ist, dass es ganz unterschiedliche Arten von Cookies gibt.
So gibt es technisch nötige Cookies, die für das reibungslose Funktionieren des jeweiligen Web-Angebots nötig sind, diese geben aber nichts über den Nutzer preis und sind deswegen unbedenklich.
Darüberhinaus gibt es aber auch eine Vielzahl an Cookies, die Aktivitäten rund um das Serve-Verhalten des Endnutzer tracken, um daraus Schlüsse zu ziehen und Profile zu erstellen. Sobald Anwendungen von „Dritten“ im Spiel sind, z.B. Social Media-Einbindungen oder andere Plattformen, wird es kompliziert und es passiert vieles „hinter den Kulissen“ von dem man als Nutzer eines Angebots nichts mehr mitbekommt. Besonders rechtlich bedenklich sind Coo-kies die als Werbeanzeigen „getarnt“ sind (sogenannte Tracking-Cookies), sie tracken als „Externe“ das Nutzerverhalten ( u.a. lesen sie die IP-Adresse aus ) obwohl sie erstmal gar nichts mit der besuchten Website zu tun haben.
Selbst Websiteanbieter wissen möglicherweise gar nicht welche Cookies durch die eigene Präsenz gesetzt werden. So werden unter anderem durch die Nutzung von WordPress oder anderer Website-Baukastensystem wie wix.com oder jimdo.com, automatisiert Cookies ge-setzt oder eben durch platzierte Werbung.
Ganz schnell geht es bei der Erhebung von Cookies auch um den Schutz von persönlichen Daten des Nutzers und damit speziell um das Thema Datenschutz. Ein Endnutzer ist via Cookies recht einfach identifizierbar und seine Aktivitäten im Internet leicht nachvollziehbar. Das führt beinahe unbemerkt und schnell zur Gefährdung der Privatsphäre des Nutzers und ruft die Datenschützer auf den Plan, da das mitunter gegen geltendes Recht verstößt. Kritisch ist es vor allem insbesondere wenn der betroffene Nutzer weder der Erhebung zugestimmt noch in die Nutzung der personenbezogenen Daten eingewilligt hat oder erst gar nicht über Datenerhebung und Speicherung durch Cookies informiert wurde.
Kommen wir also kurz zur rechtlichen Seite der Thematik
Was sagen DSGVO, Telemediengesetz, ePrivacy-VO und EU Cookie-Richtlinie?
Was genau hat der Bundesgerichtshof entschieden? Und was
bedeutet das?
In der EU wird der Umgang mit Cookies seit 2009 durch die so genannte „Cookie-Richtlinie“ geregelt. Sie besagt, dass der Seitenbesucher bereits bei der Speicherung von Informatio-nen über die Setzung von Cookies informiert werden und eine ausdrückliche Einwilligung geben muss, damit überhaupt Cookies gesetzt werden dürfen.
Allerdings ist eine EU- Richtlinie nicht gleich als Gesetz zu verstehen, sondern muss in den einzelnen EU-Ländern umgesetzt werden (eigentlich bis 2011). Das ist bisher in Deutschland noch nicht geschehenen, da hier argumentiert wird, dass das bestehende Telemediengesetz (TMG) das Thema Cookies ausreichend beschreibt. Somit gilt die Richtlinie in Deutschland aktuell (eigentlich) nicht.
Aber es gilt in Deutschland §15 Abs. 3 Telemediengesetz (TMG), das besagt, dass es aus-reicht den Besucher über das Setzen von Cookies zu informieren und auf sein Widerspruchs-recht aufmerksam zu machen, z.B. mit einem Cookiehinweis mit Link zur Datenschutzerklärung. Laut §13 Abs.1 S.2 (TMG) ist eine Informationspflicht darüberhinaus erst bei Speiche-rung personenbezogener Daten zu erfolgen und auch erst bei der Speicherung dieser muss eine Einwilligung erfolgen.
In der DSGVO, die seit Mai 2018 gilt, gibt es keine Aussagen über die Nutzung von Cookies, das Thema „Tracking und Cookies“ soll die zusätzliche ePrivacy-Verordnung der EU regeln, die ursprünglich zeitgleich mit der DSGVO in Kraft treten sollte. Geplant ist sie inzwischen für 2020?! Sie soll die Cookie-Richtlinie ablösen und gilt dann direkt (keine Richtlinie, sondern eine Verordnung!) für alle EU-Mitgliedstaaten.
Die DSGVO fordert bisher nur neue Richtlinien für den Aufbau die Datenschutzerklärung, denn hier müssen zur Zeit bereits alle Rechtsgrundlagen zur Verwendung von Cookies be-nannt werden.
Somit gibt es trotz der Richtlinie der EU im deutschen Recht bisher keine Pflicht für die Nut-zung von Cookies eine Einwilligung des Nutzers einzuholen, allerdings gilt eine Informations-pflicht über die Rechtsgrundlagen in der Datenschutzerklärung zu informieren.
Seit Ende Mai 2020 ist es jetzt „amtlich“ der Bundesgerichthof (BGH) hat sich dem Urteil de Europäische Gerichtshofs (EuGH) von Oktober 2019 angeschlossen.
Websitebetreiber brauchen zukünftig eine aktive Einwilligung des Nutzers, wenn sie Cookies nutzen wollen, vorausgewählte Checkboxen (Opt-Out) im Banner oder ganz ohne Auswahlmöglichkeiten genügen nicht mehr um dem Nachzukommen.
Was folgt daraus für Anbieter von Internetangeboten?
Rechtlich wird es in Zukunft eher komplizierter als einfacher, was den Schutz von Daten im Internet betrifft. Um sicher zu gehen ist es wichtig sich Gedanken über das Thema zu ma-chen und daraus seine Schlüsse zu ziehen.
Als erstes gilt es herauszufinden welche Cookies eine Website nutzt um darauf dann der In-formationspflicht und gegebenenfalls der Einwilligungspflicht nachzukommen.
Also: Wie prüfe ich ob und welche Cookies (m)eine Internetseite verwendet?
Es gibt einige Onlinetools, die man nutzen kann um Internetseiten auf Cookies zu untersu-chen. So kann man z.B. www.cookiebot.com/de (ist für kleine Seiten und für einen Domain umsonst, dann mit Kosten verbunden) oder www.cookiemetrix.com nutzen, um dieses Thema zu untersuchen und Aussagen über Cookies zu bekommen.
Oder man nutzt die Einstellungen in den Browsern um etwas über die Cookies zu erfahren.
In Firefox sieht das ungefähr so aus:
- Über Rechtsklick das Firefox-Kontextmenü aufrufen.
- Den Menüpunkt Element untersuchen auswählen. Man öffnet damit die Entwicklertools.
- Der Reiter Web-Speicher gibt Auskunft über die Cookies.
- Links in der Spalte findest du den Punkt Cookies, diese werden dann in der rechten Spalte an gezeigt.
Für weitere Browser gibt es ähnliche Vorgehensweise: Auf der Seite www.lykeup.de gibt es eine gute Anleitung dazu.
Jetzt wissen wir welche Cookies gesetzt werden, aber was hat das für Auswirkungen?
Wenn ein Seitenbetreiber seine Seite Datenschutzkonform aufbauen will und sich gegen Abmahnungen schützen will, muss diese Information für Ihn interessant sein.
Brauchen Seitenbetreiber zur Zeit überhaupt einen Hinweis zu ihren Cookies oder gar eine Einwilligung? Und wenn ja für welche Cookies?
Bezüglich der Nutzung von Cookies gibt es bei Betreibern von Internetseiten viele Unklarheiten und rechtlich ist dies auch nicht ganz einfach zu beurteilen. Was genau muss also gemacht werden und ab wann kann eine Abmahnung folgen? Technisch notwendige Cookies müssen zur Zeit noch nicht deklariert werden, da sie keine Nutzerdaten erheben. Aber in der Datenschutzerklärung müssen alle Details dazu beschrieben sein. Erhebt man zusätzlich Cookies, z.B. durch Schaltung von Werbung oder zur Erstellung von Besuchsstatistiken muss darauf hingewiesen werden. Deshalb arbeiten viele Internetauftritte zur Zeit mit einem Cookie-Hinweis/Cookie-Banner auf ihrer Seite und informieren den Nutzer am Anfang über die Nutzung von Cookies mit Hinweis/Verlinkung zu ihrer Datenschutzerklä-rung. Es gibt dabei verschiedene Modelle, mit oder ohne Button für eine Bestätigung. Wobei unklar ist, was passiert, wenn man das Banner ohne Bestätigung einfach „wegklickt“? Diese Variante ist zur Zeit die meist genutzte, abgemahnt wird man mir dieser Variante scheinbar noch nicht, da man seiner Informationspflicht nachkommt.
Vor allem für so gennante Tracking-Cookies ist diese Praxis aber sehr umstritten und es Bedarf eine Variante die eine Zustimmung des Nutzers zulässt. Deshalb findet man neuerdings häufiger auch die Möglichkeit auszuwählen welche Cookies man als Nutzer setzen möchte, die über die technisch notwendigen hinaus gehen.
Diese Art des Umgangs mit Cookies (Cookie-Einwilligung) nimmt die neuesten Erkenntnisse der Datenschützer bereits mit auf, obwohl sie rein rechtlich bisher noch nicht umgesetzt werden müssen. Bereits auf den ersten Blick muss erkennbar sein, welche Cookies zugelassen oder ausgeklammert werden können. Es sollte so konkret wie möglich bestimmt werden, welche Daten erhoben, wofür sie genutzt und weitergegeben werden. Der Nutzer muss aus-drücklich bestätigen das er zustimmt. Vor der Zustimmung dürfen noch keine Daten übertra-gen werden. Auch ist es für die rechtlich sicherste Umsetzung wichtig, dass der Benutzer die Möglichkeit zu einem Opt-in bekommt. Dass heißt er kann selbstständig Häkchen setzen, welche Cookies er zulassen möchte – das Gegenteil nämlich ein Opt-Out, wird zur Zeit noch „lieber“ genutzt. Hier muss der Benutzer nämlich erst abwählen, was er nicht nutzen möchte. (Bequemlichkeit!!)
Risikoreich lebt, wer gar nicht auf Cookies hinweist, sondern nur in den Datenschutzerklärungen darüber informiert. Dazu ist jeder Betreiber einer Internetpräsenz spätestens seit des In-krafttretens der DSGVO verpflichtet, hier kann jetzt bereits abgemahnt werden bzw. werden ggf. Bußgelder erhoben.
Fazit – Was bedeutet das für Handwerksunternehmen und ihre Internetseiten?
Es ist also wichtig zu schauen welche Cookies gesetzt werden und einen Umgang damit abzuleiten, um sich Datenschutzkonform zu Verhalten und Abmahnungen zu entgehen. Mit der den Gerichtsurteilen des EuGH und der bald kommenden ePrivacy-Verordnung der EU wird es eine Verschärfung der Rechtslage geben und man sollte sich bis dahin mit dem Thema auseinandersetzen.
Dass heißt für alle Handwerksunternehmen, die eine Website betreiben:
- Herausfinden welche Cookies die eigene Website nutzt.
- Als Unternehmer und mit einer eigenen Unternehmenswebsite ist man den Seitenbesuchern gegenüber zu Transparenz verpflichtet und muss sie zumindest in der Datenschutzerklärung (seit der DSGVO) ausführlich darüber informieren welche Cookies über die technischen Cookies hinaus gesetzt werden und was diese für Daten sammeln. Hier sollte man sich wirklich gut informieren oder ggf. Hilfe holen.
- Die Erstellung eines Cookiehinweises mit Einwilligung, mit der Möglichkeit für den Nutzer zu bestimmen welche Cookies gesetzt werden, ist die aktuell sicherste Methode um Datenschutzkonform zu handeln. Datenschützer und die Datenschutzkonferenz (DKS) legen zumindest für Tracking-Cookies nahe, sich eine vorherige Einwilligung durch den Nutzer zu holen, über alle anderen Cookies gibt es bisher nur die Pflicht zu informieren, allerdings legt das EuGH bereits nahe diesen Weg zu wählen, der über die reine Information hinaus geht.
- Für die Checkboxen auf jeden Fall Opt-In statt Opt-Out wählen.
- Informiert bleiben, wie es mit der ePrivacy-Verordnung der EU voran geht und bedenken, dass die Urteile des EuGH 2019 und BGH 2020 bereits die Richtung vorgibt.
- Damit Rechnen, dass die Nichteinhaltung der DSGVO und bald auch der ePrivacy Verordnung durchaus mit Abmahnungen und Bußgeldern geandet werden kann.