Nach jahrelanger Unsicherheit hat der BGH jetzt beim Cookie-Banner für Klarheit gesorgt. Am 28.05.2020 entschied das oberste Gericht Deutschlands, dass Website-Betreiber eine aktive Einwilligung ihrer Website-Besucher zur Nutzung datenschutzrelevanter Technologien benötigen. Bietet der Website-Betreiber diese Möglichkeit nicht, verstößt er gegen die DSGVO.
- Die Möglichkeit, über eine Website zu surfen und den Cookie-Banner dabei ignorieren zu können, bedingt, dass keinerlei Identifikations- oder Bewegungsdaten des Users erfasst werden.
- Jeder User muss ggf. von Beginn an die Möglichkeit der Cookie-Verweigerung bekommen; dementsprechend müssen datenschutzrelevante Technologien solange deaktiviert bleiben, bis der User zustimmt.
- Eine pauschalierte Zustimmung zur Nutzung von Cookies aller Art ohne Möglichkeit der Ablehnung ist nicht gesetzeskonform.
Die damit nötigen Cookie-Banner sind technologisch anspruchsvoll zu implementieren, denn viele Funktionen einer Website erfordern für das erwartete Besucherserlebnis zwingend entsprechende datenschutzrelevante Technologien. Was aber wirklich problematisch wird, ist die Optimierung der Website anhand der Webstatistiken.
Consent-Banner macht BGH-Urteil umsetzbar
Ein Weg, an die aktive Einwilligung zu kommen, ist, dass der bisherige Cookie-Banner einer Art Zustimmungsbox weicht. In dieser „Consent-Banner“ genannten Lösung können die User wählen, ob sie nur der Verwendung von technisch notwendigen oder auch weiteren Cookies zustimmen. Welche Cookies das sind, sollte im Idealfall sogar erklärt werden. Diese Informationen im Consent-Banner müssen wiederum den Angaben in der jeweiligen Datenschutzerklärung entsprechen. Die Datenschutzerklärung wiederum muss am besten direkt auch via Consent-Banner aufrufbar sein. Alldesign hat die Technologien, den Aufwand für die Implementierung und auch die fortfolgende Aktualisierung verschiedener entsprechender Umsetzungen analysiert und bietet unterschiedliche kostenpflichtige und kostenlose Modelle. Klar ist aber bei allen, dass durch die Möglichkeit des Ablehnens von Cookies die Aussagekraft der Webstatistiken sinken wird.
Consent-Banner erschwert Optimierung
Analysen von Fachjuristen zufolge interessiert sich in Deutschland nicht einmal ein Prozent der Website-Besucher für die genauen Umstände der Datenverarbeitung. 99 Prozent aller User wollen schlicht so schnell wie möglich zu den gesuchten Informationen gelangen. Sie klicken bislang auf „Okay“ oder „Zustimmen“, ohne gelesen zu haben, wozu genau sie gerade ihre Zustimmung erteilt haben. Mit der neuen Regelung könnte es verstärkt passieren, dass die Besucher nur noch den technisch nötigen Cookies zustimmen. Damit haben sie dann automatisch alle üblichen Trackingmechanismen ausgeschlossen. Da nicht technisch notwendig, wird so zum Beispiel der Besuch selbst und auch die weitergehende Bewegung auf der Webseite nicht mehr erfasst. So könnten die Auswertungen von Google Analytics aussagen, dass weniger User auf der Website waren, obwohl es vielleicht sogar mehr als im Vormonat waren. Die Suchmaschinenoptimierung wird deutlich schwerer werden.
Gibt es Websites ohne zustimmungspflichtige Cookies?
Websites haben enorm an Leistungsfähigkeit und damit auch an Komplexität gewonnen. Das Abspielen von Videos, die automatisierte Einbindung anderer Website-Inhalte oder User-generated Content, die Nutzung für Gewinnspiele oder als Online-Shop mit Warenkörben und Wunschlisten sind nur einige der Funktionalitäten, die besondere Cookies und Tracking-Mechanismen bedingen. Für die Betreiber der Websites fast noch wichtiger sind die Analyse-Zahlen anhand derer sie stetig Optik, Technik und Content ihrer Internetpräsenz optimieren. Schnell kommt es dann zu Webseiten mit zehn bis zwanzig oder noch mehr zustimmungspflichtigen Tools. Programmierer können auf jeder Website des World Wide Web auslesen, welche Cookies auf der gerade besuchten Website genutzt werden. User nutzen zunehmend PlugIns der Browser, um diese Cookies zu erkennen und ggf. zu blockieren.
Der Heise Verlag fasst die Funktion von Cookies so zusammen:
Cookies sind nützlich
Cookies sind nicht per se datenschutzrechtlich bedenklich. In vielen Fällen ist ihr Einsatz für grundlegende Funktionen der Website erforderlich oder zumindest nützlich, etwa um die bevorzugte Sprache, Seiteneinstellungen oder – im Falle eines Onlineshops – den Inhalt eines Warenkorbes zu speichern. Darüber hinaus werden Cookies aber auch für die Website-Analyse verwendet. So ist es Website-Betreibern möglich, wiederkehrende Besucher zu erkennen, typische Klickpfade zu verfolgen und damit den Content zu optimieren und beispielsweise Absprungraten zu reduzieren.
Cookies sind neugierig
Einen eher schlechten Ruf haben Cookies im Zusammenhang mit Online-Werbung. Mithilfe der kleinen Datenpakete tracken Werbetreibende Internetnutzer über viele Websites hinweg und legen von ihnen individuelle Profile an, um so gezielt personalisierte Werbung anzeigen zu können. Neben Informationen zur verwendeten Hard- oder Software können Cookies auch Informationen beinhalten, die einen Website-Besucher identifizierbar machen: IP-Adresse, E-Mail-Adresse, Name, Telefonnummer oder eine „unique user ID“.
Cookies und die DSGVO
Und an dieser Stelle kommt der Datenschutz ins Spiel. Die DSGVO regelt in Artikel 4, dass auch Online-Kennungen, über die Personen identifiziert werden können, als personenbezogene Daten anzusehen sind, auf die der Datenschutz Anwendung findet. Für den Datenschutz nicht relevant sind somit technisch notwendige Cookies, die keine Wiedererkennung eines Website-Besuchers ermöglichen. Bei der Verwendung von Cookies, die einen Nutzer beispielsweise als „unique user“ identifizieren, ist hingegen der Anwendungsbereich der DSGVO eröffnet.