Bei der DSGVO handelt es sich um ein Regelwerk der größten Initiative zum Datenschutz der letzten 20 Jahre.

Ziel ist es, „natürliche Personen hinsichtlich der Verarbeitung von personengebundenen Daten und der freien Bewegung solcher Daten“ zu schützen, nämlich die Webseiten-Besucher.

Cookies werden nur ein einziges Mal in den 88 Seiten der Verordnung erwähnt, jedoch wirken sich diese wenigen Zeilen erheblich auf die Konformitätsvorgaben von Cookies auf der Webseite aus

„Natürliche Personen sind ggf. mit Online-Identifikatoren verknüpft, […] nämlich etwa Internet-Protokoll-Adressen, Cookie-Identifikatoren oder anderen Kennzeichen […]. Auf diesen werden ggf. Spuren hinterlassen, die – insbesondere in der Kombination mit einzigartigen Identifikatoren und anderen von den Servern empfangenen Daten – zur Erstellung von Profilen der natürlichen Personen und zu deren Identifikation genutzt werden.“

Einfach gesagt: Wenn durch Cookies Personen identifiziert werden können, handelt es sich um personengebundene Daten.

Worum geht es bei Cookies?

Cookies sind kleine Dateien, die beim Browsen durch das Internet automatisch an Ihren Computer versandt und dort gespeichert werden. Es handelt sich um kleine Textmengen, die ohne weiteres abgerufen und gelöscht werden können.

Jedoch sind diese hinsichtlich der Daten über Aktivitäten und Präferenzen von Nutzer sehr aussagekräftig da sie sich zur Identifikation von Personen einsetzen lassen können – ohne ein ausdrückliches Einverständnis.

Das verstößt erheblich gegen geltendes Recht und je weiter sich Datentechnologien entwickeln, desto deutlicher wird die Privatsphäre von Internetnutzern gefährdet.

Oft ist es nicht einmal die von Ihnen benutzte Webseite, die Cookies an Sie versendet, sondern dies erfolgt durch Drittanbieter, welche dies im Rahmen einer Marketingstrategie durchführen. Dieser Prozess erfolgt jedoch gewissermaßen „hinter den Kulissen“.

Nicht alle, doch die meisten und für die Webseitenbetreiber nützlichsten Cookies werden mit der Möglichkeit der Benutzeridentifikation eingesetzt und sind somit Gegenstand der DSGVO.

Es handelt sich um Analyse-, Marketing- und Dienste-Cookies (letzteres ist etwa bei Umfragen und Chats der Fall).

Fragen zu den Themen Datenschutz (Welche Daten werden registriert?) und Transparenz (Wer verfolgt den Benutzer und warum, wo werden die Daten gespeichert und für wie lange?) stellen sich nun.

Darauf ergeben sich Fragen zu den Themen Datenschutz (Welche Daten werden registriert?) und Transparenz (Wer verfolgt den Benutzer und warum, wo werden die Daten gespeichert und für wie lange?).

Als Webseitenbetreiber handeln Sie konform, wenn Sie Ihre Datenverarbeitungsverfahren überprüfen und darauf achten, dass personengebundene Daten gemäß der neuen Bestimmungen bearbeitet werden. Die DSGVO definiert u. a. Namen, Fotos, E-Mail-Adressen, Bankdaten, medizinische Daten oder IP-Adressen als personengebundene Daten.

Sofern Ihre Webseite oder Organisation Daten verarbeitet, die (a) direkt personengebunden sind oder (b) durch Kombination oder Isolierung eine Person identifizieren können, müssen Ihre Verfahren auf ihre Bestimmungskonformität überprüft und ein DSVGO-konformer Cookie-Hinweis angezeigt werden.

Lokalisieren Sie sensible Daten in Ihrem Unternehmen und werten Sie diese aus, überprüfen Sie Ihre Sicherheitsrichtlinien und gewährleisten Sie die technische Sicherheit der Daten.

Achten Sie vor allem auf zwei Aspekte:

Wie speichern Sie Kunden- und Nutzerdaten in Ihrem Unternehmen?

Welche Cookies werden auf Ihrer Webseite eingesetzt (von Ihnen sowie auch von Dritten)?

Eine Richtlinienanpassung besteht zum großen Teil darin, dass Sie die Regelungen zu den Themen Cookies und Einholung entsprechender Cookie-Hinweise überprüfen und ggf. ändern.

Welche Elemente muss ein Cookie-Hinweis / eine Datenschutz-Einverständniserklärung über die Cookie-Nutzung aufweisen?

Gemäß der DSGVO hat ein Cookie Hinweis Text folgenden Merkmale:

• Die Entscheidung erfolgt fundiert. Warum, in welcher Weise und wo werden die personengebundenen Daten eingesetzt? Es muss dem Benutzer eindeutig vermittelt werden, wofür er seine Einverständniserklärung abgibt und er muss in der Lage sein, jederzeit flexibel dem Einsatz von verschiedenen Cookies zuzustimmen und zu widersprechen.
• Der Nutzer kann aus gleichrangigen Optionen auswählen. Dem Benutzer muss auch bei Ablehnung der grundsätzlich erforderlichen Cookies Zugriff auf die Webseite und deren Funktionen gewährt werden.
• Die Entscheidung des Nutzers wird durch eine unmissverständliche, zustimmende und positive Handlung signalisiert.
• Sie ist vor jeglicher Datenverarbeitung abzugeben.
• Die Entscheidung ist jederzeit revidierbar und es muss dem Benutzer leicht fallen, sein Einverständnis rückgängig machen zu können.

Des Weiteren:

• Der Benutzer hat das Recht, die Löschung sämtlicher personengebundener Daten erfolgreich zu beantragen.
• Sämtliche Zustimmungen zu Cookie-Hinweisen / Datenschutz-Einverständniserklärungen sind aufzuzeichnen.

Woraus besteht ein DSGVO-konformer Cookie-Hinweis?

Die o. g. Bestimmungen machen die vor der Rechtswirksamkeit der DSGVO eingesetzten Cookie-Hinweise nicht mehr notwendig.

Beispiel: Eine stille Einverständniserklärung bzw. eine Zustimmung, die durch das alleinige Besuchen einer Webseite rechtswirksam wird, genügt laut der DSGVO nicht mehr aus.

Dies betrifft hauptsächlich Cookie-Hinweise und Cookie-Banner, die den Satz einblenden „Durch die Nutzung dieser Seite erklären Sie sich zum Einsatz von Cookies einverstanden“. Auch ein einfacher „OK“-Button zum Einverständnis des Cookie-Hinweises ist ebenfalls nicht mehr ausreichend.

Beeinflusst die DSGVO meine Cookie-Richtlinien?

Aufgrund der DSGVO werden Sie verpflichtet, Ihre Cookie-Richtlinien und Cookie-Hinweise zu überprüfen bzw. zu überarbeiten, um eine entsprechende DSGVO-Konformität gewährleisten zu können.

Die Datenschutzrichtlinie erfordert ein vorheriges und fundiertes Einverständnis des Webseitennutzers. Die DSGVO jedoch erfordert zudem eine Dokumentierung jeder einzelnen Einverständniserklärung. Ebenso müssen Sie anzeigen können, welche Benutzerdaten Sie den Diensten Dritter auf Ihrer Webseite zur Verfügung stellen und an welchem geographischen Ort diese gespeichert werden.

DSGVO-konforme Cookie-Hinweise über Datenschutzerklärungen müssen den folgenden Vorgaben entsprechen:

Cookie-Richtlinien müssen transparent sein.

Die Cookie-Richtlinien müssen mit den Bestimmungen im Einklang stehen und dem Benutzer eindeutig über die Art und Weise der Cookie-Nutzung auf der Webseite zu jeglichem Zeitpunkt Auskunft geben.

Überblick und Rechenschaftspflicht für Cookies auf Ihrer Webseite.

Sie werden ggf. Kontrollen unterzogen und müssen erschöpfend Rechenschaft für die Datenverarbeitungsverfahren abgeben, die mit Ihrer Webseite verknüpft sind.

Das ist leichter gesagt als getan, weil die meisten Webseiten sehr viele Cookies Dritter über ihr System leiten.

Das Einverständnis ist durch eine zustimmende Handlung einzuholen.

Die entscheidendste Änderung für die Handhabung von Cookies, Cookie-Hinweisen und der Online-Nachverfolgung im Rahmen der DSGVO ist, dass ein Einverständnis durch eine eindeutige, zustimmende Handlung eingeholt werden muss.

EU-Bürger sind es nun – wenn auch widerstrebend – gewohnt, das Dialogfenster eingeblendet werden, die die Nutzung von Cookies durch einen DSGVO-konformen Cookie-Hinweis angezeigen und gelegentlich zum Klicken auf den „OK“-Button auffordern. Eine Wahl zwischen gleichrangigen Optionen wurde bisher jedoch nicht angeboten.

Mit den neuen Bestimmungen durch die DSGVO ist dies nicht mehr hinreichend. Ein Einverständnis wird hier nur rechtswirksam als zustimmende, positiv angezeigte Handlung, die gleichrangig ist mit der Ablehnung des Einsatzes von Cookies.

Das Einverständnis ist jederzeit optional zurückzuziehen.

Zum müssen Webseiten Nutzer ihr Einverständnis jederzeit zurückziehen können.Sie müssen jederzeit auf den Status ihrer Cookie-Einverständniserklärung zugreifen, deren Einstellung verändern und diese vollständig ablehnen können.

Erneuerung der Einverständniserklärung

Jeweils am Jahrestag der ersten Einverständniserklärung des Benutzers ist diese Einverständniserklärung zu erneuern.

Benutzerfreundlicher Dialog

Die DSGVO sieht vor, dass Cookie-Hinweise inhaltlich Sinn ergeben und verständliche für Nutzer sein müssen. Benutzer müssen entsprechende Vorgänge zur Verarbeitung ihrer Daten transparent nachvollziehen können.

Ebenso soll die Kommunikation mit den Nutzern leicht verständlich erfolgen, so dass sie zwischen verschiedenen – gleichrangigen – Optionen wählen können.

Vorheriges Einverständnis

Die DSGVO sieht vor, dass das Einverständnis im Vorfeld der Cookie-Nutzung abgegeben wird. Nur unbedingt erforderliche Cookies sind bis dahin einzusetzen.

Einverständniserklärungen sind als Nachweise zu archivieren

Sämtliche Einverständniserklärungen sind betriebssicher zu speichern, so dass sie bei Überprüfungen vorgelegt werden können.

Quellen: Cookiebot.com / DSGVO