Jeder hat schon in irgendeiner Form von Cookies gehört. Als Begriff für Kekse oder im Zusammenhang mit Webseiten. In letzterem Fall stehen sie für Textdateien, die im Browserverlauf des Nutzers Informationen zu jeweils einer besuchten Seite speichern. Bei ihrem Einsatz müssen Websitebetreiber jedoch strenge Regeln befolgen.
„Kekse auf der Webseite – DSGVO-konformer Umgang mit Cookies“
Während das Gebäck eine eher unschuldige Konnotation hat, gelten Cookies im Internet als verpönt. Dabei lassen sich nicht alle Arten von Cookies gleichsetzen.
Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, erklärt:
„Es gibt durchaus Cookies, die für ein reibungsloses Funktionieren von Webseiten notwendig sind.“
Spion oder Helfer
Cookies speichern Nutzerinformationen und erfüllen damit vielfältige Funktionen. Als technisch für den Betrieb einer Webseite erforderlich gelten beispielsweise Login-Cookies, Warenkorb-Cookies oder Cookies für die Länder- oder Sprachauswahl. Sie tragen die Bezeichnung First-Party-Cookies. Demgegenüber speichern Third-Party-Cookies Informationen, die nicht zwingend für den Betrieb der Webseite notwendig sind. Sie dienen in den meisten Fällen dem Tracking des Verhaltens eines Nutzers und zeichnen beispielsweise auf, welche Webseiten er wie oft und wie lange besucht, in welchem Tempo er scrollt oder welche Suchmaschinenanfragen er stellt.
Haye Hösel:
„Damit können einerseits Betreiber die Funktionalität ihrer Webseite optimieren. Andererseits nutzen Webshops diese Tools, um auf die betroffene Person abgestimmte, personalisierte Werbung abzuspielen und so ihren Umsatz zu steigern.“
Neue Regelung des EuGH
Im Oktober 2019 fällte der Europäische Gerichtshof, kurz EuGH, ein Urteil über den Einsatz von Cookies. Demnach sei der Einsatz von Cookies, die für den technischen Betrieb von Websites erforderlich sind, erlaubt. Alle anderen Cookies benötigen eine Einwilligung des Nutzers.
Hösel zeigt auf:
„Eine solche Einwilligung muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen.“
Einwilligungsfelder dürfen nicht vorausgefüllt sein und die Einwilligung darf sich nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein. Darüber hinaus muss die Webseite die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Außerdem muss der Nutzer jederzeit die Möglichkeit haben, die Einwilligung zu widerrufen. Eine Webseite darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist.
Kekse löschen?
Auch wenn das Urteil des EuGH bereits seit einiger Zeit rechtskräftig ist, haben noch nicht alle Webseitenbetreiber ihre Cookie-Policy entsprechend angepasst. Daher empfiehlt beispielsweise die Verbraucherzentrale, Cookies regelmäßig auf allen Geräten zu löschen. Es besteht aber auch die Möglichkeit, im Datenschutzmenü des Browsers festzulegen, dass Cookies automatisch nach dem Beenden jeder Sitzung gelöscht werden sollen.
Der Experter weiter:
„Webseitenbetreiber können sogenannte Consent-Tools einsetzen, also Skripte, die auf einer Webseite das Setzen von Cookies verhindern können, dem Besucher der Homepage erforderliche Informationen bereitstellen und die Einwilligung abfragen. Die Kompatibilität mit verschiedenen Content-Management-Systemen sowie die Kosten für die Tools variieren dabei.“
Bei Nichtbefolgung der gesetzlichen Vorgaben besteht sowohl das Risiko von Bußgeldverfahren durch die Aufsichtsbehörde für Datenschutz als auch von Abmahnungen durch Wettbewerber oder Verbraucherschutzorganisationen.