Weblösungen am Puls der Zeit, innovativ und massgeschneidert.

#Blog

Intersim AG Programmieren Security

vor einem Monat

Cookie - Handling

Seit Inkrafttreten der DSGVO erscheint auf fast jeder Webseite bei erstmaligem Aufruf ein Cookie-Banner. Wir erklären Ihnen, was es mit diesem auf sich hat und welche Regeln es im Zusammenhang mit der neuen Datenschutzverordnung zu beachten gibt.

IVAN SCHWAB-GERMANN CEO

Cookie – Handling / DSGVO Anwendung exemplarisch gezeigt

Was sind Cookies?

Cookies sind Daten, die von einer Website, die Sie besuchen, auf Ihrem Computer gespeichert werden. Cookies speichern Informationen wie z. B. Ihre bevorzugte Sprache oder andere persönliche Seiteneinstellungen. Wenn Sie später diese Website erneut besuchen, übermittelt der Browser die gespeicherten Cookie-Informationen an die Seite zurück. Dadurch können individuelle und für Sie passende Informationen angezeigt werden.
Cookies werden auch verwendet, um das Verhalten der Besucherinnen und Besucher zu analysieren und marketingmässig zu verwenden.

 

Was bisher geschah

Mit Inkrafttreten der DSGVO ist es zwingend notwendig, Besucher*innen mindestens auf verwendet Cookies aufmerksam zu machen (Cookie-Hinweis). Das – und nicht mehr - wurde in einer ersten Welle auch getan. Die Zeit bis zur Umsetzung der Ansprüche der DSGVO im Mai 2018 war für viele eher knapp, deshalb waren auch pragmatische Lösungen gefragt.

In der DSGVO ist die Ausgestaltung/Ausprägung der Lösung nicht definiert. Das sollte in der ePrivacy-Verordnung geregelt sein (spezielle Bereiche zum Thema Datenschutz im Internet - und dort im Speziellen zu Cookies und Tracking). Die ePrivacy-Verordnung ist aber noch nicht fertig und eingeführt (wird wohl noch etwas dauern).

Grosse Unterschiede innerhalb der EU in der Interpretation – EuGH Entscheid

Also haben erst mal die verschiedenen Länder die EU Interpretationen installiert. Diese Interpretationen sind aber von Land zu Land verschieden. So reichen in Spanien und Italien Cookie-Hinweise, wohingegen in Frankreich eine explizite Zustimmung mit der Möglichkeit zur Ablehnung gegeben sein muss.

Der Europäische Gerichtshof (EuGH) hat in einem Urteil am 1. Oktober 2019 bestimmt, dass zur Erfüllung der Informationspflicht auch Angaben zur Funktionsdauer der Cookies und zur Zugriffsmöglichkeit Dritter gemacht werden müssen (gilt übrigens gemäss EuGH auch für NICHT personenbezogene Daten).

Gemäss EuGH verlangt die DSGVO explizit eine aktive Einwilligung und bezeichnet Stillschweigen (bereits angekreuzte Kästchen oder Untätigkeit) ausdrücklich als ungenügend. Der Prozess resp. das Urteil des EuGH betraf leider ausschliesslich den Einsatz von Cookies zu werblichen Zwecken. Die EuGH hatte bis jetzt keine Gelegenheit, sich dazu zu äussern, wann die Ausnahmen für technisch notwendige Cookies tatsächlich greifen und somit keine Einwilligung erforderlich ist. Das ist aber eigentlich was uns alle interessiert.

Umsetzung gemäss Risikoeinschätzung

Da die rechtliche Lage noch nicht geklärt ist und in den verschiedenen Ländern um uns herum unterschiedliche Interpretationen kennen, gehen einige Webseiten-Inhaber dazu über, volle Transparenz zu schaffen. Zeitgleich haben sich einige Anbieter von Standardlösungen am Markt etabliert, die in beliebige Seiten eingebunden werden können (Dienste sind in der Regel kostenpflichtig). z.B. https://cookiefirst.com, https://usercentrics.com/de/website-consent-management/, im Bereich Wordpress https://de.borlabs.io/borlabs-cookie/, https://www.civicuk.com/cookie-control/index, https://www.osano.com/cookieconsent.

Es liegt in der Verantwortung der Webseiten-Betreiberin abzuschätzen, wie gross das Risiko ist, verklagt zu werden, weil das Cookie-Handling nicht den Anforderungen gemäss DSGVO entspricht.

Eine «einfache Umsetzung» mit «nur» einer Bestätigung birgt sicher ein höheres Risiko. Auf der anderen Seite stellt sich die Frage, ob der Aufwand für eine Umsetzung, bei der Besucher*innen alle Einstellungen vornehmen, überhaupt notwendig ist.

 

Fazit – die Web-Welt tut sich schwer mit DSGVO

Mit der Integration eines Produkts der genannten Anbieter (oder Eigenbau) ist die Webseiten-Betreiberin rechtlich auf der sicheren Seite. Ansonsten geht sie ein gewisses Risiko ein. Deshalb sieht man nun öfter die "Full-Featured" Lösungen. Die Geschichte geht sicher noch weiter und es ist zu wünschen, dass die EU auch in dieser Sache Klarheit schafft.

Diese Mini-Problematik zeigt exemplarisch, dass sich die Web-Welt auch über zwei Jahre nach Inkrafttreten der DSGVO mit einer vernünftigen Umsetzung schwer tut. So wertvoll die Ansätze und Inhalte zweifellos sind, so schwierig gestaltet sich die machbare und sinnvolle Umsetzung.