Technologie

Webseiten-Be­su­cher müs­sen ak­tiv Cookies zustimmen

Wer eine Web­sei­te be­sucht, muss dem Ein­satz von Coo­kies zu­stim­men. Fir­men­chefs soll­ten die recht­li­chen und tech­ni­schen Fein­hei­ten mit Ex­per­ten be­spre­chen. Wenn sie Coo­kies oh­ne In­for­ma­tion und Zu­stim­mung ein­set­zen, ris­kie­ren sie Ab­mah­nun­gen so­wie Bußgelder.

Teilen auf

LinkedIn Xing Whatsapp

Kaum haben sich die meisten Unternehmer auf die wesentlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO) eingestellt, da liefert sie das nächste Aufregerthema: Den richtigen Umgang mit Cookies. Beim Besuch einer Webseite werden die kleinen Textinformationen im Internetbrowser des Nutzers gespeichert und beim nächsten Besuch automatisch ausgelesen. Sie erleichtern unter anderem die Navigation im Internet und bestimmte Transaktionen: Das Abspeichern von Warenkörben in Onlineshops etwa oder den Log-In in Onlinekonten. Viele Cookies dienen aber dem Webtracking – zu Marketingzwecken sammeln sie Daten zum Surfverhalten. Die Auswertung solcher Informationen soll helfen, Internetnutzern beispielsweise gezielt Werbung einzublenden. Das ist grundsätzlich auch zulässig – nur muss der Besucher einer Internetseite aktiv dem Einsatz solcher Cookies zustimmen. Dies hat der Europäische Gerichtshof (EuGH) in einem neuen Urteil entschieden und dann auch gleich definiert, was Zustimmung bedeutet. Das entsprechende Kästchen eines Dialogfeldes darf nicht vorausgefüllt sein. Der Nutzer muss das Häkchen selbst aktivieren und dies dann per Klick bestätigen.

EuGH: Inter­net­sur­fer müs­sen ak­tiv Coo­kies zustimmen

Mit seiner Vorgabe, wie Internetnutzer Cookies zustimmen müssen, sorgt der EuGH zum zweiten Mal binnen kurzer Zeit für Unruhe unter Firmenchefs. Im Juli hatte die Richter entschieden, für den Einsatz des Facebook-„Like Button“ auf einer Webseite sei auch deren Betreiber verantwortlich. Wer das „Gefällt mir“-Symbol auf seiner Seite einbinde, hafte ebenso für die Einhaltung der datenschutzrechtlichen Vorgaben wie Facebook. Zu denen gehört etwa, den Nutzer über die Verarbeitung seiner Daten zu informieren. Mit dem Urteil folgte der EuGH einem Grundsatz, den er 2018 aufgestellt hatte. Damals ging es um die datenschutzrechtliche Verantwortung für eine Facebook-Fanpage: Wer eine Facebook-Fanpage betreibt, ist gemeinsam mit dem sozialen Netzwerk dafür verantwortlich, wie Besucherdaten erhoben und verarbeitet werden. Insofern konnten die aktuellen Entscheidungen eigentlich nicht überraschen. Für viele Rechtsexperten ist klar, dass Cookies auch personenbezogene Daten übertragen, sie also unter die DSGVO fallen: Grundsätzlich besteht ein Personenbezug, wenn eine Information die Identifizierung einer Person ermöglicht.

An eigene und frem­de Coo­kies et­wa von Face­book denken

Die Brisanz des Themas belegt eine Prüfung von 40 Webseiten durch die bayerische Datenschutzaufsichtsbehörde. Aus ihrer Sicht erfragte keine die datenschutzrechtlich notwendige Einwilligung über sogenannte Cookie-Banner rechtskonform. Unternehmer müssen wissen: Unabhängig vom Verwendungszweck erheben Cookies – eigene und die von Dritten wie dem Facebook-Like Button – Daten, weshalb Besucher einer Webseite generell über den Einsatz zu informieren sind. Und darüber, welche Daten erhoben und wie sie verarbeitet werden, zu welchem Zweck und aufgrund welcher Rechtsgrundlage, wie lange die Speicherung dauert und wie man ihr widerspricht. Wichtig ist der Hinweis, dass sich aus den Daten Profile über das Verhalten des Nutzers bilden lassen, die eventuell an Dritte/in Drittstaaten gehen. Eine explizite, freiwillige Zustimmung ist per Formular einzuholen, das sich öffnet, bevor Cookies aktiviert sind. In diesem Formular muss der Besucher der Seite aktiv einen Haken setzen und dem Einsatz von Cookies zustimmen. Erst dann darf die Webseite die kleinen Textinformationen automatisch aktivieren lassen.

Den Cookies zu­stim­men las­sen und das gut do­ku­mentieren

Was bedeutet das für Unternehmer? Sie sollten sich als erstes fragen, ob sie überhaupt Cookies brauchen – und das kritisch mit ihren Dienstleistern besprechen. Bietet der Einsatz von Cookies keine erkennbaren Vorteile, ist ein Verzicht die absolut rechtssichere Lösung: Nicht alles, was technisch möglich ist, nutzt automatisch dem Betrieb. Ist der Einsatz der kleinen Textinformationen unternehmerisch sinnvoll, sollte er mit dem Anwalt abgestimmt sein. Der prüft, wie sich die Informationspflichten am besten umsetzen lassen und wie Nutzer am besten den Cookies zustimmen. Um auf Nummer sicher zu gehen, sollte nicht nur aktiv das Anklicken der Box erforderlich sein, die die Zustimmung bedeutet. Sondern der Nutzer sollte auch ausdrücklich die Option bekommen, Cookies abzulehnen. Und die Möglichkeit, eine einmal gegebene Zustimmung bei einem späteren Besuch ganz komfortabel zurücknehmen zu können. Das alles ist natürlich vernünftig zu dokumentieren, für den Streitfall oder eine denkbare Kontrolle durch die Datenschutzbehörde im Rahmen ihrer DSGVO-Prüfungen.

DSGVO wird bald um die ePri­va­cy-Ver­ord­nung ergänzt

Wer auf diese Weise schnell und konsequent reagiert, dürfte sich weder Ärger mit den Datenschützern noch mit möglichen Abmahnern einhandeln. Und er bereitet sich auf die Zukunft vor. Bislang ergeben sich Antworten auf die Frage, wie der Nutzer einer Webseite dem Einsatz von Cookies zustimmen muss beziehungsweise wie er darüber zu informieren ist, aus der europäischen DSGVO und dem hierzulande immer noch gültigen deutschen Telemediengesetz (TMG). Eigentlich hätte aber parallel zur DSGVO eine spezielle Richtlinie in Kraft treten sollen, die genau solche Themen behandelt. Diese ePrivacy-Verordnung durchläuft noch das Gesetzgebungsverfahren der EU und soll frühestens 2020 kommen. Sie dürfte zum Thema Cookies genau das festschreiben, was jetzt der EuGH entschieden hat. Wer heute rasch handelt, wäre also zumindest in diesem Punkt gut auf die kleine Schwester der DSGVO vorbereitet. Ob Ärger mit Cookies droht, lässt sich übrigens als Einstieg ins Thema ganz einfach mit einem Check im Web prüfen.

Hat Ihnen der Beitrag gefallen?

Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Schwerpunktthemen
  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Kein einfaches Thema!
    Am besten hilft ein steuerlicher Berater! Sie haben noch keinen? Dann können Sie auf DATEV SmartExperts nach den passenden Experten suchen.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn