We want Cookies!

Cookies - welche erlaubt der EuGH?

Erinnern Sie sich noch an das Krümelmonster aus der Sesamstraße? Ohne seine „Cookies“ ging bei ihm gar nichts, und daher ist sein renintenter Ausruf „Ich will Kekse!“ zum geflügelten Wort geworden. Vielleicht stand er ja Pate, denn  auch anwenderfreundlichen Online-Anwendungen brauchen diese „Kekse“. Doch ähnlich wie beim blauen Monster scheinen Cookies auch auf anderer Ebene süchtig zu machen. Denn die Online-Werbeindustrie macht mit Hilfe von Tracking-Cookies daraus einen Milliarden schweren Sport, ohne ausdrückliche Erlaubnis der User möglichst viele zusätzliche Daten sammeln zu sammeln, damit diese an Dritte verkauft werden können. Dazu bedienen sie sich eines Tricks: Bei der Cookie-Abfrage durch den Banner ist die User-Zustimmungen in der Voreinstellung bereits angeklickt. Wegen dieses Mißbrauchs hat der EuGH nun ein Machtwort gesprochen – und sorgt für ordentlich Verwirrung unter den Website-Betreibern und führt zum Schwanengesang bei Online Marketing Anbietern.

Wie kam es dazu?

Die Verbraucherzentrale ging mit einer Klage gegen einen Gewinnspielanbieter vor, weil dieser auf die beschriebene Weise Daten über das Surfverhalten seiner Nutzer sammelte, auswertete und an Werbevermarkter verkaufte. Die Klage landete beim Bundesgerichtshof, welcher sich seinerseits ratsuchend an den Europäischen Gerichtshof mit drei Fragen wandte:

  1. Ist eine Voreinstellung zur Zustimmung (gesetztes Häkchen) als Einwilligung ausreichend?
    Antwort: nein.
  2. Betrifft die Cookie-Einstellung nur die personenbezogenen Daten bzw. sind nur diese relevant?
    Antwort: nein.
  3. Welche Mindestanforderungen müssen Cookies erfüllen?
    Anwort: Angaben zum Datenschutz, über die Funktionsdauer und wer Zugriff hat, sind Pflicht.

Worum geht es?

Zunächst halten wir fest: Wie Sie sehen, betreten wir mit dem aktuellen „Cookie-Urteil“ des EuGH kein rechtliches Neuland. Gemäß DSGVO darf man ohne ausdrückliche Zustimmung des Users keine personenbezogenen Daten sammeln oder weitergeben. Das gilt auch für C0okies. Eine „Opt-out“-Einstellung war und ist in diesem Fall schon immer unzulässig. Das gilt auch und besonders für sogenannte Tracking-Informationen, welche Betreiber von werbefinanzierten Portalen mit Hilfe von Cookies eingesammeln. Diese Informationen inklusive detaillierter Bewegungsprofile der Nutzer dürfen sie an Dritte ohne Zustimmung der Betroffenen nicht weitergeben. Damit wird ein Milliarden Geschäft erschwert, und das haben die Werbervermarkter nicht so gern.

Doch wie kamen diese Anbieter überhaupt auf die irrige Idee,  dass der Nutzer dem automatisch zustimmt, wenn er ein Web-Angebot nutzt? Wir erinnern uns: Man darf Daten abfragen und speichern, wenn diese zur Erfüllung eines Vertrages notwendig sind, aber man muss darauf hinweisen bzw. dokumentieren, wie man damit umgeht, welche Fristen gelten etc. Die (bewusst?) falsche Annahme der Betrieber: Ein User stimmt bei der Nutzung eines „Kostenlos“-Portals automatisch zu und weiss, dass er statt mit Geld mit seinen Daten bezahlt. Die Betreiber gehen also davon aus, dass es sich hierbei um eine für die Vertragserfüllung (welche eigentlich) notwendige Datensammlungen handelt. Das hat der EuGH in seinem Urteil nachdrücklich verneint. Genau so unzulässig ist es übrigens, den User von der Nutzung der Webseite einfach auszuschließen, wenn er aktiv die Zustimmung verweigert.

Sind alle Cookies ab sofort zustimmungspflichtig?

Die Antwort lautet: NEIN. Aber Sie müssen auf die Verwendung von Cookies unter Einhaltung der Mindestanforderungen hinweisen: Datenschutz, Speicherdauer, Zugriff. Mit dem EuGH-Urteil ist der sogenannte Tracking-Cookie gemeint, der bewusst für das Auswerten von Bewegungsdaten eingesetzt ist.  Das betrifft natürlich alle Website-Analysewerkzeuge. Daher sollten Sie darauf achten, dass Sie hier „Opt-in“, also das bewusste Einschalten, eingestellt haben.

Bei der gerichtlichen Entscheidung ist auch die in Vorbereitung befindliche „E-Privacy Verordnung“ als Erweiterung der DSGVO mit im Spiel. Wir werden zu einem späteren Zeitpunkt darauf eingehen. Aber im wesentlichen geht es darum, dass das Endgerät des Anwenders ein genau so schützenswerter Raum ist, wie die personenbezogenen Daten. Daher wird in Punkto „Cookie“ in Zukunft sehr viel genauer hingeschaut, welche Daten tatsächlich notwendiger Weise abgefragt und gespeichert werden müssen.

Technisch notwendig

Warum brauchen Websites Cookies für den technischen Betrieb? Ein einfaches Beispiel: Stellen Sie sich vor, Sie müssten bei jedem Klick auf einer Website, der eine neue Seite aufruft, angeben, mit welcher Bildschirmauflösung Ihr Endgerät arbeitet und mit welchen Browser Sie arbeiten. Oder Sie bewegen sich in einem Shop und müssten den Warenkorb bei jeden neuen Aufruf manuell neu erfassen. Oder Sie müssen die verwendete Sprache bei jedem Seitenaufruf neu angeben. Dafür brauchen Websites Cookies, also kleine Textdateien, welche der Browser auf dem Endgerät des Users speichert. Im Idealfall sind dies sogenannte „Session-Cookies“. Diese werden beim Verlassen der Website automatisch gelöscht.

Technisch sinnvoll

Im Falle von Website-Analyse Anwendungen sind „persistente Cookies“ notwendig. Denn irgendwie muss der Browser wissen, ob Sie dem Tracking auf einer bestimmten Website zugestimmt oder es abgelehnt haben, damit er das Auslesen der Bewegungsdaten unterbindet. Schließlich wollen Sie nicht jedes Mal neu gefragt werden. Als Website-Betreiber sollten Sie allerdings darauf achten, dass Sie eine Frist angeben, wie lange der persistente Cookie gespeichert wird – und natürlich auch die Einhaltung der Frist sicherstellen.

Bequem für den Nutzer

Nicht alle Cookies sind also „böse“. Denn sie erhöhen sehr oft den Anwendungskomfort und unterstützen Ihre Bequemlichkeit als User. Wir wissen nicht, wie Sie das sehen, doch da wir häufig im Web beruflich recherchieren, empfinden wir personalisierte und profilierte Werbung meist als störend und ablenkend. Bei Suchmaschinen sind auf Cookies und Browserverläufe basierende, vorausgewehrtete Suchergebnisse manchmal irreführend, aber meistens stellen sie eine echte Zeitersparnis dar.

Auch Tracking-Cookies, seriös und ausschließlich für die interne Auswertung der Website-Tauglichkeit eingesetzt, haben ihre Daseinsberechtigung. Schließlich helfen sie, Website-Angebote in Ihrem Sinne als Kunde oder User zu optimieren. Daher kann es sinnvoll sein, sie zuzulassen. Aber man muss Ihnen als User die freie Entscheidung lassen. Und als Anbieter müssen Sie Ihren Kunden und Nutzern diese Entscheidungsfreiheit ebenfalls zubilligen.

Weitere Links und Informationen