Wann darf ich Cookies setzen?
von Patricia Lotz
Bild von Steve Buissinne auf Pixabay
Vor kurzem hat der Europäische Gerichtshof (EuGH Urteil Az. C 673/17 „Planet 49“) für bestimmte „Cookies“ das Erfordernis einer aktiven Einwilligung festgelegt. Grundsätzlich betrifft das Urteil jede Art von Technologie, die Informationen auf Nutzer-Endgeräten speichert oder von ihnen ausliest (z. B. Google Werbe-ID, Browser-Fingerprinting-Methoden, Zählpixel) sowie Technologien, die Informationen an Dritte (z.B. Retargeting und Remarketing) weitergeben. Die Einwilligung ist nun für alle Cookies (ich nehme das der Einfachheit halber als Sammelbegriff) notwendig, die für den Betrieb von Webseite/Online-Angeboten „nicht unbedingt erforderlich“ sind.
Da bleibt freilich Vieles diskussionswürdig. Sehr wahrscheinlich aber werden Cookies, die von externen Dritten stammen bzw. Daten an oder über Dritte senden (z. B. an Google beim Einsatz von Google Analytics) und für Marketing-, Analyse- oder Statistikzwecke eingesetzt werden, nach dem Urteil zukünftig nicht als „unbedingt erforderlich“ angesehen werden, insbesondere, wenn sie das Nutzerverhalten über Webseiten geräteübergreifend zusammenfassen. Die Schaltung dieser Cookies wäre dann nur mit vorherige Einwilligung der Webseitenbesucher zulässig (z.B. durch einen Cookie-Consent-Tool).
Die Einzelheiten werden sich wohl erst in den kommenden Monaten „austarieren“. Als erste Hilfe raten wir aber ann, dass die Datenschutzerklärung im Punkt „Cookies“ noch mit erweiterten Hinweisen ausgestattet wird und man die verwendeten Cookies und vergleichbare Tools auflistet. Denn diese Informationspflichten stellte der EuGH für alle Cookies fest (selbst für nicht personenbezogene). Sprechen Sie Ihren technischen Zuständigen für die Webseite an, dass er Ihnen hilft, die nachfolgende Liste für eine Ergänzung der Datenschutzhinweise zu „füttern“:
|
Name des Cookies |
Verwendungszweck |
Speicherdauer |
Art des Cookies* |
Domain/Empfänger |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
*Beispiele für Arten von Cookies:
- Session-Cookies: Cookies die nach dem Ende der Browser-Sitzung wieder gelöscht werden, wenn der Browser geschlossen wird
- persistente oder Protokoll-Cookies: Cookies die für eine vorgegebene Dauer auf dem Endgerät bleiben und ermöglichen den Browser beim nächsten Besuch wiederzuerkennen
- Third-Party-Cookies: Cookies die von Partnerunternehmen bzw. Dritten stammen
- First-Party-Cookies: „eigene“ Cookies Ihrer Webseite
- Flash-Cookies
Eine gute Zusammenfassung zum Urteil finden Sie auch bei unserem Kollegen Baltasar Cevc.
Wir haben bereits darüber berichtet, dass mit der E-Privacy-Verordnung neue Anforderungen an die Einwilligung von Cookies kommen werden. Nach diesem Urteil sollten Sie daher überlegen, ob Sie nicht bereits vorgreifend die zu erwartenden Änderungen umsetzen und den Usern die Möglichkeit bieten, vor dem endgültigen Betreten der Webseite wählen zulassen, welche Cookies er akzeptiert oder nicht. Im Netz finden sich immer mehr Webseiten, vor allem von staatlichen Institutionen, die diesen Weg gehen.
Ist Ihnen dieses alles zu umständlich, sollten Sie sich fragen, welchen Mehrwert Sie überhaupt durch eingesetzte Tracking-Techniken haben. Gerade kleine Online-Shops halten oft ein Tracking-Tool vor, ohne mit diesem zu arbeiten. Das Löschen solcher überflüssiger Tools kann eine Menge an Zusatzarbeit sparen.
Wenn Sie Fragen zum Thema oder der Umsetzung haben, dann wenden Sie sich bitte vertrauensvoll an Herrn Rechtsanwalt Richard Metz, der in unserem Hause für Datenschutzfragen zuständig ist.
- Tags:
- Datenschutz
- Internetrecht