Cookie-Consent #Cookie-Nonsens
In Europa gilt seit 2018 die Datenschutz-Grundverordnung, die DSGVO 😮 und diese bringt eine sogenannte Cookie-Einwilligungserklärung mit sich — Yeah!
Die DSGVO enthält “Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.” Und diese Verarbeitung soll natürlich die Grundrechte und Freiheit eines jeden Nutzer schützen. Darunter fällt auch die Erlaubnis einzuholen, um personenbezogene Daten, wie z.B. das Surfverhalten überhaupt zu verarbeiten.
Diese Einwilligung wird auch in Artikel 6 — Rechtmäßigkeit der Verarbeitung verdeutlicht:
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Das bedeutet, dass der Nutzer explizit der Datenverarbeitung zustimmen muss. Der Bundesgerichtshof (BGH) hat sein Urteil gefällt: Die Zustimmung zu nicht essentiellen Cookies im Internet darf nicht voreingestellt sein. Bereits im Oktober des vergangenen Jahres hatte der Europäische Gerichtshof (EuGH) entschieden, dass User dem Setzen von diesen Cookies aktiv zustimmen müssen…
Dieses Vorgehen findet man auch häufig bei Newslettern, bei dem der Empfänger sich mit seiner Email-Adresse registriert und in einer ersten Email dann noch einmal dem Empfang einwilligen muss. Dieses Verfahren ist auch unter dem Namen Double-Opt-In bekannt. Um dann auf der sicheren Seite zu stehen, ist es empfehlenswert diese Einwilligungen auch entsprechend zu dokumentieren.
Wie und in welcher Form!? — wird nirgends beschrieben oder definiert!
Bei Webseiten gibt es allerdings verschiedenste Varianten, welche auf der Seite zum Einsatz kommen können. Darunter fallen Serviceleistungen von Drittanbietern, wie zum Beispiel für Werbung (Google AdSense), Anbieter von Analysen Google Analytics) oder auch CSS-/JavaScript-Frameworks, welche über ein CDN (Content-Delivery-Network) von einem externen, gegebenenfalls sogar ausländischen Server bereitgestellt werden, welche bei der Übertragung Cookies auf dem Computer des Nutzers speichern. Sollte ein Nutzer mit dieser Art von Verarbeitung nicht einverstanden seien, müssten sämtliche Anfragen an solche Dienste deaktiviert, beziehungsweise gar nicht erst ausgeführt werden dürfen. Das bedeutet unter anderem, das bei einer Nicht-Einwilligung solche Skripte gar nicht erst ausgeführt werden dürfen! Somit müsste ein Cookie-Consent-Banner zum Beispiel vor allen anderen Funktionen ausgeführt werden und den Ablauf für etwaige Dienste regeln.
Natürlich gibt es auch hierfür etliche Dienstleister, welche einen solchen Service anbieten. Da wären usercentrics, Cookiebot oder Osano nennenswerte Anbieter, denn diese Dienste bieten einen sehr umfangreichen Katalog an Funktionen, welche eingangs beschrieben wurde:
- 3rd-Party-Skripte blockieren,
- Cookie-Überwachung/-Management,
- Automatische Übersetzungen oder
- Einwilligungsdokumentation und vieles mehr.
Alle Services bieten auch die Funktion an, Cookies anhand diverserer Kategorien zu klassifizieren, sodass dem Nutzer noch eine individuelle Anpassung ermöglicht wird. Zum Beispiel könnte ein Nutzer der essentiellen Skripte und der anonymen Auswertung des Surfverhalten zustimmen, allerdings dem sammeln von Marketing-Informationen (und Weitergabe) widersprechen.
Neben der Datenschutz-Grundverordnung gibt es allerdings auch noch das Telemediengesetz (TMG), welches man auch oft in der Angabe im Impressum von Webseiten vorfinden kann:
Impressum Angaben gemäß § 5 TMG
In § 15 im TMG steht geschrieben:
Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.
Also gibt es doch keine “wirkliche Pflicht” der expliziten Einwilligung für die Verarbeitung von Cookies?
Laut eRecht24 lautet die Antwort “Ja”, allerdings sollte man auch den gesamten Artikel über den Sachverhalt vorher lesen. Darüber hinaus teilt eRecht24 sogar den verschiedensten Varianten, welche aktuell in der Praxis vorzufinden sind einen entsprechenden Risikograd zu.
Um also auf Nummer sicher zu gehen, empfiehlt es sich einen Cookie-Banner einzusetzen, welcher gewährleistet, dass andere meldepflichte Dienste erst nach der Einwilligung ausgeführt werden. Allerdings sollte auch bei einem solchen Cookie-Banner darauf geachtet werden, dass dieser nicht über ein Skript von einem externen Server geladen wird, da dies ja wiederum einer eigenen Einwilligung verlangt, was allerdings zum Zeitpunkt dieses Schreiben bei keinem Anbieter vorzufinden war — also eine verzwickte Angelegenheit!