Unpslash Photo
Photo by Mae Mu on Unsplash.com

Cookie-Consent #Cookie-Nonsens

In Europa gilt seit 2018 die Datenschutz-Grundverordnung, die DSGVO 😼 und diese bringt eine sogenannte Cookie-EinwilligungserklĂ€rung mit sich — Yeah!

Die DSGVO enthĂ€lt “Vorschriften zum Schutz natĂŒrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.” Und diese Verarbeitung soll natĂŒrlich die Grundrechte und Freiheit eines jeden Nutzer schĂŒtzen. Darunter fĂ€llt auch die Erlaubnis einzuholen, um personenbezogene Daten, wie z.B. das Surfverhalten ĂŒberhaupt zu verarbeiten.

Diese Einwilligung wird auch in Artikel 6 — RechtmĂ€ĂŸigkeit der Verarbeitung verdeutlicht:

Die Verarbeitung ist nur rechtmĂ€ĂŸig, wenn mindestens eine der nachstehenden Bedingungen erfĂŒllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten fĂŒr einen oder mehrere bestimmte Zwecke gegeben;

b) 


Das bedeutet, dass der Nutzer **explizit **der Datenverarbeitung zustimmen muss. Das zeigt auch ein aktuelles Urteil vom Bundesgerichtshof: [

BGH-Urteil: User mĂŒssen der Cookie-Verwendung zu Werbezwecken aktiv zustimmen

Der Bundesgerichtshof (BGH) hat sein Urteil gefĂ€llt: Die Zustimmung zu nicht essentiellen Cookies im Internet darf nicht voreingestellt sein. Bereits im Oktober des vergangenen Jahres hatte der EuropĂ€ische Gerichtshof (EuGH) entschieden, dass User dem Setzen von diesen Cookies aktiv zustimmen mĂŒssen


Dieses Vorgehen findet man auch hÀufig bei Newslettern, bei dem der EmpfÀnger sich mit seiner Email-Adresse registriert und in einer ersten Email dann noch einmal dem Empfang einwilligen muss. Dieses Verfahren ist auch unter dem Namen Double-Opt-In bekannt. Um dann auf der sicheren Seite zu stehen, ist es empfehlenswert diese Einwilligungen auch entsprechend zu dokumentieren.

Wie und in welcher Form!? — wird nirgends beschrieben oder definiert!

Bei Webseiten gibt es allerdings verschiedenste Varianten, welche auf der Seite zum Einsatz kommen können. Darunter fallen Serviceleistungen von Drittanbietern, wie zum Beispiel fĂŒr Werbung (Google AdSense), Anbieter von Analysen (Google Analytics) oder auch CSS-/JavaScript-Frameworks, welche ĂŒber ein CDN (Content-Delivery-Network) von einem externen, gegebenenfalls sogar auslĂ€ndischen Server bereitgestellt werden, welche bei der Übertragung Cookies auf dem Computer des Nutzers speichern. Sollte ein Nutzer mit dieser Art von Verarbeitung nicht einverstanden seien, mĂŒssten sĂ€mtliche Anfragen an solche Dienste deaktiviert, beziehungsweise gar nicht erst ausgefĂŒhrt werden dĂŒrfen. Das bedeutet unter anderem, das bei einer Nicht-Einwilligung solche Skripte gar nicht erst ausgefĂŒhrt werden dĂŒrfen! Somit mĂŒsste ein **Cookie-Consent-Banner zum Beispiel vor allen anderen Funktionen **ausgefĂŒhrt werden und den Ablauf fĂŒr etwaige Dienste regeln.

Cookie-Einwilligungsbanner von usercentrics (Screenshot: https://usercentrics.com/de/)

NatĂŒrlich gibt es auch hierfĂŒr etliche Dienstleister, welche einen solchen Service anbieten. Da wĂ€ren usercentrics, Cookiebot oder Osano nennenswerte Anbieter, denn diese Dienste bieten einen sehr umfangreichen Katalog an Funktionen, welche eingangs beschrieben wurde:

Alle Services bieten auch die Funktion an, Cookies anhand diverserer Kategorien zu klassifizieren, sodass dem Nutzer noch eine individuelle Anpassung ermöglicht wird. Zum Beispiel könnte ein Nutzer der essentiellen Skripte und der anonymen Auswertung des Surfverhalten zustimmen, allerdings dem sammeln von Marketing-Informationen (und Weitergabe) widersprechen.

Individuell anpassbarer Cookie-Banner von Osano (Screenshot: https://mystartseite.net/)

Neben der Datenschutz-Grundverordnung gibt es allerdings auch noch das Telemediengesetz (TMG), welches man auch oft in der Angabe im Impressum von Webseiten vorfinden kann:

Impressum Angaben gemĂ€ĂŸ § 5 TMG




In § 15 im TMG steht geschrieben:

Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.

Also gibt es doch keine “wirkliche Pflicht” der expliziten Einwilligung fĂŒr die Verarbeitung von Cookies?

Laut eRecht24 lautet die Antwort “Ja”, allerdings sollte man auch den gesamten Artikel ĂŒber den Sachverhalt vorher lesen. DarĂŒber hinaus teilt eRecht24 sogar den verschiedensten Varianten, welche aktuell in der Praxis vorzufinden sind einen entsprechenden Risikograd zu.


Um also auf Nummer sicher zu gehen, empfiehlt es sich einen Cookie-Banner einzusetzen, welcher gewĂ€hrleistet, dass andere meldepflichte Dienste erst nach der Einwilligung ausgefĂŒhrt werden. Allerdings sollte auch bei einem solchen Cookie-Banner darauf geachtet werden, dass dieser nicht ĂŒber ein Skript von einem externen Server geladen wird, da dies ja wiederum einer eigenen Einwilligung verlangt, was allerdings zum Zeitpunkt dieses Schreiben bei keinem Anbieter vorzufinden war — also eine verzwickte Angelegenheit!

Autor
  • Manuel Steinberg
Veröffentlichung
  • 6.6.2020
zuletzt aktualisiert
  • 1.5.2021