GDPR und Zustimmung zu Cookies

Ein Cookie (auch Web-Cookie, Internet-Cookie, Browser-Cookie genannt) ist ein kleines Datenpaket, das von einer Website gesendet und vom Webbrowser des Nutzers auf dessen Computer gespeichert wird, wenn der Nutzer die Website besucht.

Die Datenschutz-Grundverordnung hat Cookies ins Rampenlicht gerückt, da diese in der Regel beim Besuch einer Website ohne Ihr Wissen persönliche Daten speichern. Man kann öffentliche Internet-Websites durchaus mit öffentlichen Bereichen in der realen Welt vergleichen. Wie würden Sie sich fühlen, wenn in der realen Welt jemand damit beginnen würde, persönliche Daten über Sie zu sammeln, ohne dass Sie es bemerken oder sich dessen bewusst sind?

Cookies: GDPR und personenbezogene Daten

Cookies wurden für Websites entwickelt, um Informationen zu speichern, die der Benutzer zuvor auf der Website eingegeben hat, z. B. Namen, Adressen, Kreditkartennummern usw. Sie merken sich auch, ob Sie bereits eingeloggt waren, oder speichern Ihre Einstellungen und Präferenzen für die Website. Cookies, die personenbezogene Daten enthalten, sollten verschlüsselt werden, um zu verhindern, dass Hacker die Informationen lesen oder sogar (mit den Anmeldedaten des Nutzers) Zugang zu der Website erhalten, zu der das Cookie gehört. Erkundigen Sie sich also bei Ihrem Softwareanbieter und Ihrem IT-Supportteam, welche Art von Cookies Ihre Website oder Internet-Software setzt und ob die Inhalte verschlüsselt sind.

Eine besondere Kategorie von Cookies sind die Tracking-Cookies, die in der Regel dazu verwendet werden, langfristige Aufzeichnungen über den Browserverlauf von Personen zu erstellen. Da diese Praxis ganz eindeutig in der Erhebung personenbezogener Daten besteht, fällt sie in den Anwendungsbereich der DSGVO. Die Datenschutz-Grundverordnung verlangt, dass die Erhebung personenbezogener Daten auf ein Mindestmaß beschränkt und begründet ist, d. h. eine Rechtsgrundlage hat. In Anbetracht der fragwürdigen Motive für die Nachverfolgung, die in keinem wirklichen Zusammenhang mit dem vom Kunden gewünschten Dienst stehen, bleibt nur die Möglichkeit, den Nutzer freundlich zu fragen, ob er dies wünscht. Mit anderen Worten: Die Bitte um Zustimmung ist das letzte Mittel.

Google Analytics

Für die meisten Website-Betreiber ist Google Analytics das wichtigste Analysetool. Diese Entscheidung wird höchstwahrscheinlich getroffen, ohne die Auswirkungen auf die Privatsphäre zu bedenken. Google wurde mehrfach zu Geldstrafen verurteilt, weil sein Analysetool die Anforderungen der DSGVO nicht erfüllte. Wenn man dann noch bedenkt, dass Google als Internet-Such- und Werbemagnat jede Bewegung, jeden Wunsch und jedes Motiv der Menschen verstehen will, versteht man, warum wir Sie bitten, datenschutzfreundlichere Alternativen in Betracht zu ziehen.

Informieren Sie sich in unserer Wissensdatenbank über datenschutzfreundliche Alternativen zu google analytics, die ohne Cookies und Cookie-Banner auskommen.

Tipps zu GDPR und Cookies-Zustimmung

Es gibt viele verschiedene kleine Popup-/Banner-Tools, die man seiner Website hinzufügen kann, um die GDPR-Einwilligungsanforderungen zu erfüllen. Wir mögen die Jungs von cookiefirst.com, da sie in Europa ansässig sind und einen fairen Preis haben, aber wie gesagt, es gibt viele andere.
Viele dieser Banner entsprechen nicht den unten aufgeführten Zustimmungsregeln, seien Sie also vorsichtig bei der Auswahl eines Banners.

  • Keine Datenerhebung kann vor Erteilung der Zustimmung erfolgen
  • Die Zustimmung muss detailliert sein. Die Nutzer müssen die Möglichkeit haben, bestimmte Cookies zu aktivieren und dürfen nicht gezwungen werden, entweder allen oder keinem zuzustimmen.
  • Die Einwilligung muss freiwillig gegeben werden, die Nutzer können nicht zu ihrer Zustimmung gezwungen werden. Vergewissern Sie sich, dass auf dem Cookie-Banner die Kontrollkästchen für alle anderen als die wesentlichen Cookies nicht markiert sind. Die Verweigerung des Zugangs für Nutzer, die Tracking-Cookies nicht akzeptieren, wurde bereits von den Datenschutzbehörden geahndet.
  • Die Zustimmung muss ebenso leicht widerrufen werden können, wie sie erteilt wird. Achten Sie beim Cookie-Banner darauf, dass es ebenso leicht zu akzeptieren wie abzulehnen ist. Wenn Ihr Cookie-Banner eine einfache Schaltfläche „Alles akzeptieren“ hat, dann stellen Sie sicher, dass die Schaltfläche „Alles ablehnen“ ebenfalls vorhanden ist. Die Benutzer sollten die Möglichkeit haben, ihre Meinung zu ändern. Stellen Sie also sicher, dass die Benutzer zu Ihrem Cookie-Einstellungsbanner zurückkehren können.
  • Die Einwilligung muss durch klare, knappe und verständliche Informationen für den Nutzer gut begründet sein. Achten Sie darauf, dass Ihr Cookie-Banner keine „dunklen Muster“ verwendet, um die Benutzer auszutricksen, z. B. indem die Schaltfläche „Alles akzeptieren“ grün und die Schaltfläche „Alles ablehnen“ rot ist.

Sehen Sie sich auch unsere
GDPR Fragen und Antworten
 für weitere GDPR-bezogene Informationen.