Cookie-Richtlinie richtig formulieren

So muss der Cookie-Hinweis-Text wirklich lauten

Von in Aktuelles
03
Sep
'19

Die Cookie-Richtlinie ist für Website-Betreiber nichts Neues mehr. Wie aber muss der Cookie-Hinweis-Text lauten, damit er gesetzeskonform ist und keine rechtlichen Konsequenzen drohen? Dass viele diese Frage nicht korrekt beantworten können, zeigt jetzt eine Studie.

Tatsächlich entsprechen die meisten Cookie-Hinweise auf EU-Webseiten nicht den offiziellen Vorgaben. Und obwohl die Rechtslage schwammig ist, sollten Sie reagieren.

Cookie-Richtlinie – ein Fallstrick der DSGVO

Seit Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 bereitet die Verarbeitung personenbezogener Daten vielen Unternehmen Kopfzerbrechen. Mit der Aktualisierung der „normalen“ Datenschutzerklärung auf der Website und der Benennung eines Datenschutzbeauftragten ist es nämlich noch längst nicht getan.

Auch die Verwendung von Cookies auf sämtlichen betriebenen Webseiten müssen Sie durch einen Cookie-Hinweis-Text entsprechend ausweisen – und nicht nur das. Es gilt, so mancherlei Fallstricke zu beachten, denn ansonsten kann ein falsch verwendeter Cookie-Hinweis für ziemlich viel Ärger sorgen.

Bevor wir aber dazu weiter ins Detail gehen, hier noch einmal eine kurze und knappe Definition dazu, was Cookies überhaupt sind und wozu sie eigentlich dienen sollen.

Als Symbol für die Cookie-Richtlinie ist auf dem Bild ein Laptop zu sehen, an dem Hände auf den Bildschirm zeigen. Bild: Unsplah/John Schnobrich

Die Einhaltung der Cookie-Richtlinie ist seit der DSGVO Pflicht. Bild: Unsplah/John Schnobrich

Cookies – Definition

Bei Cookies handelt es sich um kleine Dateien, die von besuchten Webseiten auf dem jeweiligen Nutzer-Rechner gespeichert werden. Je nach verwendetem Browser werden Cookies einzeln oder in einer Gesamt-Datei gespeichert. Die Datensätze enthalten beispielsweise Informationen darüber, welche Sprache der Nutzer bevorzugt. Auch, welche Suchbegriffe er eingibt oder (zum Beispiel bei Online-Shops) wie seine Adresse lautet.

Vorteil für den Nutzer: Besucht er die Webseite erneut, wird ihm selbige schneller und passend seiner bevorzugten Einstellungen angezeigt. Wenn Sie noch etwas genauer wissen möchten, was ein Cookies sind, erhalten Sie in unserem IT-Lexikon noch weitere Informationen rund um die Frage „Was ist ein Cookie?“.

Cookies – nutzerbasierte Datenspeicherung

Cookies speichern also Daten, die eindeutig einem Nutzer (beziehungsweise Rechner) zugeordnet werden können. Und Cookies speichern also Daten, die eindeutig einem Nutzer (beziehungsweise Rechner) zugeordnet werden können. Und damit sind sie aus datenschutzrechtlicher Sicht hochrelevant. Allerdings ist die rechtliche Lage in vielen Aspekten noch unklar, was zu einer großen Unsicherheit unter Webseiten-Betreibern führt.

Daran konnte bis dato auch die ePrivacy-Verordnung nichts ändern. Sie sollte 2018 eigentlich zusammen mit der DSGVO in Kraft treten und die alte ePrivacy-Richtlinie ablösen. Die Erwartung war auch, dass sie die Cookie-Richtlinie (auch: Cookie Policy deutsch) endlich ganz konkret regelt. Aber: Bis heute ist die ePrivacy-Verordnung wegen Unstimmigkeiten noch nicht erschienen.

Fakt ist trotz allem: Betreiber von Internetseiten müssen die Nutzer mittels Cookie-Meldung definitiv kund ausdrücklich darauf hinweisen, dass ihre Seite Cookies verwendet. Auf den meisten Webseiten ist das bereits umgesetzt. Allerdings umgehen sie dabei nicht immer die Fallstricke.

Cookie-Hinweis: Achtung Bußgeld!

Wahrscheinlich haben auch Sie schon sehr häufig beim Aufrufen solcher Websites den berühmten Satz „Diese Website verwendet Cookies” gesehen, der auf eben diese Verwendung hinweisen soll. So weit, so gut. Mittlerweile scheint der Anteil von Seiten, die beim ersten Aufruf keinen entsprechenden Cookie-Hinweis-Text einblenden, zum Glück auch schon verschwindend gering.

Das Problem aber ist, dass der bloße Hinweis durch eine Cookie-Meldung per se nicht ausreichend ist. Eine Studie von Forschern der Ruhr-Universität Bochum und der University of Michigan bewies, dass die meisten Cookie-Hinweise auf europäischen Webseiten nicht den strengen Auflagen der DSGVO entsprechen. Und seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gab es bereits schon einige Bußgelder europäischer Aufsichtsbehörden für den rechtswidrigen Einsatz von Cookies.

Das Bild zeigt eine Tastatur als Vorsicht für Unternehmer auf die DSGVO Rücksicht zu nehmen. Bild: Pexels/Fernando Acros

Jeder Website-Betreiber soll die Einhaltung der DSGVO-Richtlinien prüfen. Bild: Pexels/Fernando Acros

Studie zeigt: Cookie-Richtlinie oft nicht eingehalten

Die Erhebung der beiden renommierten Universitäten zeigt erkenntnisreiche Ergebnisse. Dabei stand vor allem im Fokus, wie Nutzer mit den eingeblendeten Cookie-Hinweis-Texten umgehen und welchen Einfluss die jeweilige Gestaltung selbiger dabei haben kann. Folgendes kann man dabei beobachten:

  • Bei einem Großteil (86 Prozent) der mehr als 5.000 untersuchten Cookie-Meldungen hatten die Nutzer keine Wahlmöglichkeit. Sie konnten der Verwendung von Cookies lediglich über einen „Okay“-Button zustimmen, aber sie nicht ablehnen.
  • Entsprachen die Hinweise den Auflagen der DSGVO, stimmte nur ein kleiner Teil der Studienteilnehmer der Verwendung von Cookies zu.
  • Mehr als die Hälfte der untersuchten Webseiten verwenden farbige Buttons für die Zustimmung der Cookie-Verwendung. Psychologisch betrachtet soll das die Zustimmungsquote erhöhen.

Grundsätzlich gilt: Bezüglich der Farbe oder Gestaltung der Cookie-Hinweis-Texte haben Sie als Webseiten-Betreiber freie Wahl. Gemäß der Datenschutzgrundverordnung muss der Nutzer aber eine direkte Möglichkeit haben, der Cookie-Verwendung zu widersprechen – auch wenn es Ihnen „wehtut“.

Beispiel für einen rechtssicheren Cookie-Hinweis-Text

Um auf der sicheren Seite der Cookie-Richtlinie (auch: Cookie Policy deutsch) zu sein, sollten Sie folgende Maßnahmen ergreifen:

  • Der Cookie-Hinweis-Text auf die Verwendung erscheint beim ersten Öffnen der Website.
  • Die Cookie-Meldung enthält nicht nur den Hinweis darüber, dass Cookies verwendet, sondern auch darüber, welche Informationen genau gespeichert werden und warum.
  • Der Nutzer hat anschließend zwei Buttons zur Auswahl. Entweder stimmt er der Verwendung zu oder er lehnt sie ab.
  • Vor erteilter Zustimmung dürfen Sie keine nutzerbasierten Informationen speichern. Gleiches gilt natürlich, wenn der Nutzer der Verwendung widerspricht.

Unser Tipp: Informieren Sie sich regelmäßig über neue Entwicklungen der Cookie-Richtlinie – besonders auch im Rahmen der kommenden ePrivacy-Verordnung. Sorgen Sie lieber vor, als dass Sie das Risiko einer Abmahnung oder eines Bußgeldes eingehen. Datenschutz- und Webseiten-Experten unterstützen Sie dabei gern – diese finden Sie übrigens auch unter unseren IT-SERVICE.NETWORK Partnern.

Mitarbeitende diskutieren in einem Meeting. Bild: Unsplah/Headway

Datenschutz- und Webseiten-Experten helfen bei den neuen Entwicklungen der Cookie-Richtlinie. Bild: Unsplah/Headway

02.10.2019 – Update: Vorauswählen der Zustimmung unzulässig

Der Europäische Gerichtshof hat jetzt entschieden, dass es unzulässig ist, die Cookie-Zustimmung vorauszuwählen (beispielsweise wie im Fall des Gewinnspielanbieters Planet49, der ein Häkchen im Zustimmungsfeld setzte, das Nutzer aktiv entfernen mussten). Für alle EU-Unternehmen bedeutet das, entsprechend nachzurüsten.

29.05.2020 – Update: Zustimmung des Nutzers erforderlich

Auch der deutsche Bundesgerichtshof hat nun entschieden, dass der Besucher einer Website der Erhebung und Speicherung von Cookies aktiv zustimmen muss. Damit ist das Ende der voreingestellten Häkchen nun endgültig beschlossen.

Der Branchenverband Bitkom hat das aktuelle Urteil scharf kritisiert. Es treffen nicht nur die Betreiber von Webseiten, sondern auch die Besucher selbst, da Cookies – zum Beispiel in Online-Shops – das Nutzererlebnis verbessern. Fakt ist nun aber: Auf alle Webseitenbetreiber kommen nun wieder Aufwände zu. Bislang ist allerdings noch nicht einmal wirklich klar, welche Cookie nun als zwingend notwendig gelten und welche nicht.

03.09.2021 – Update: Wiederruf gestrichen

Die jüngsten Formulierungen der ePrivacy-Verordnung ermöglichen nach wie vor, dass persönliche Daten über Cookies auch weiterhin für Werbezwecke gesammelt werden. Die Möglichkeit für Nutzende, die Einwilligung zum Verarbeiten ihrer persönlichen Daten jederzeit widerrufen zu können, wurde jedoch komplett gestrichen. Weiter fehlt der Passus fürs Einwilligungs-Management über den Browser. Die Passage, die den Schutz der Privatsphäre in Browsern zur Standardeinstellung machen sollte, wurde auch gestrichen.


Alle Tipps und Informationen zur DSGVO finden Sie natürlich ebenfalls hier bei uns im Blog.


Weiterführende Links:
Bitkom, Lutzabel, PSW Group Consulting


Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Robin Pfeifer, 3. September 2019 um 12:17

Wohl wahr, aber euer eigener Cookie-Hinweis entspricht dem nicht im geringsten. Bloß OK und Link zur Datenschutzerklärung reichen eben nicht aus. 12 Tracker werden gesetzt, keine Zustimmung oder gar Ablehnung möglich, und vor allem keine Blockade der Tracker vor erteilter Zustimmung.

Antworten

    IT-SERVICE.NETWORK-Team, 4. September 2019 um 10:19

    Hallo Herr Pfeifer!

    Sie haben vollkommen recht, auch wir haben noch etwas Nachholbedarf in Bezug auf die Cookie-Richtlinie und gehen das Thema schnellstmöglich an.

    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Erik, 17. November 2019 um 15:35

Hallo, ich benutze keine Cookies! Außnahme sind die, die zwingend notwendigen. Muss ich da eine Zustimmung wirklich einholen? Das macht ja kein Sinn. Bei mir steht im Banner, dass ich notwendige Cookies benutze. Einen „Ablehnen“ Button gibt es aber nicht, da die Website ohne Cookies nicht funktionieren kann.

Antworten

    IT-SERVICE.NETWORK Team, 17. November 2019 um 15:58

    Hallo Erik,

    wenn du wirklich nur technisch notwendige Cookies nutzt, musst du kein „Ablehnen“ anbieten. Wir würden dir aber empfehlen, den Cookie-Text entsprechend zu kennzeichnen und die Nutzer deutlich darauf hinzuweisen, dass abgesehen von zwingend notwendigen Cookies, die die Funktionalität der Seite gewährleisten, keine weiteren (Tracking-)Cookies benutzt werden. So agierst du transparent und rechtlich sauber.

    Viele Grüße
    Dein IT-SERVICE.NETWORK Team

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.