[HandsOnTutorial] Webseite ohne CookieBox rechtssicher betreiben!
Wir schauen uns jetzt gemeinsam an wann, wie und warum ihr über Cookies informieren müsst, was bei der Auswahl und Einrichtung einer Cookie Box für eure Website zu beachten ist und welche Mittel ihr als Internet-User nutzen könnt, um eure Rechte einzufordern. Viel Spaß dabei!
Liebe Datenschutzies willkommen zu meiner persönlichen „Keks-Abrechnung“ mit dem wahnwitzigen Schwachfug der um Cookie-Boxen, Constent-Tools und Einwilligungen durch das Internet kreucht und fleucht. Wir haben deshalb mal alle anwendbaren Gesetzte raus gekramt und ich zeige euch daran gleich wie ihr das Thema ein für alle Mal korrekt in eurer Webseite umsetzten könnt. Das Video eignet sich daher hervorragend für Werbeagenturen, die ihren Kunden einen besseren Service zum Thema Datenschutz liefern möchten. Bevor wir eintauchen sei gesagt, dass dieses Video Teil eine ganzen Serie ist. In dieser könnt ihr lernen wie eurer Webseite auf Datenschutzprobleme überprüft und dann die Ergebnisse richtig versteht und Probleme beheben könnt. Wir zeigen euch damit ein wenig unseres Alltags und freue uns wenn es euch ein besseres Verständnis für Datenschutz und die Arbeit eures Datenschutzbeauftragten gibt. „Nu denn, backen wir mal Plätzchen.“
Beginnen wir die Irrfahrt durch den Cookie-Dschungel mal mit ein paar…
Technischen Basics zu Cookies
Zerlegen wir zunächst mal den gängigsten Schwachfug der Mythen um Cookies. Erstens:
„Cookies sind kleine Textdateien, die beim Surfen im Internet von einer Webseite über deinen Browser auf deinem Gerät gespeichert werden.“
Das ist natürlich nicht wahr. Also zumindest viel zu platt und schwammig ausgedrückt. Der Begriff „Cookie“ kommt aus dem Englischen und bedeutet übersetzt „Keks“. „Ach deshalb macht der Lauch ständig Plätzchen-Witze!“
Das hat weder einen Bezug zur Art noch zur Nutzung dieser Technologien. Cookies beschreiben vielmehr einen Vorgang. Dabei wird durch die Verbindung eures Endgeräts mit einem Zielserver, durch den Server versucht eine Information zu euerem Aufruf zu speichern. Gelingt dieser Versuch, so wird entweder
- Eine Textdatei auf eurem Endgerät angelegt, um darin die notwendigen Informationen zu speichern oder…
- Eine bereits vorhandene Textdatei aus eurem Endgerät ausgelesen und ggf. um Informationen erweitert oder…
- Ein Eintrag in der Datenbank des Webbrowsers auf euerem Gerät oder der gerade genutzten App ausgelesen oder angelegt, um darin Informationen zu speichern.
Das passiert also jedesmal, wenn ihr eine Webseite aufruft die Cookies setzt oder liest (z.B. google.de, facebook.com, amaozon.de, stern.de usw.) und auch bei der Verwendung jedweder App die sich mit einem Internetservice verbindet. „Die bunten Dinger auf eurem Smartphone wie Instagram, WhatsApp, TikTok, LinkedIn, Twitter aber auch Otto, DM, Aldi, Lidl & Co.“ Sprich, Cookies können sowohl durch Webseiten mittels Webbrowser als auch durch alle anderen möglichen Apps und Services angelegt oder ausgelesen werden.
Weiter zum zweiten Mythos:
„Alle Cookies können von jedem Anbieter ausgelesen werden.“
„Hahaha, Nein.“ Das ist natürlich vollkommener Blödsinn. Cookies sind immer an eine Domaine gebunden. Genauer gesagt an die Domaine des Anbieters. Nur von dieser Domaine kann eine Abfrage auf das Cookie erfolgen und auch nur die zu dieser Domaine passenden Cookies können, dann vom Anbieter ausgelesen oder beschrieben werden. Wenn wir zum Beispiel die Website von facebook aufrufen, dann versucht Facebook eine Cookie unter dem Vorzeichen „_fb“ zu setzen. Dieses ist an die Domain facebook.com gebunden und kann nur mit dieser Domain kommunizieren. Sprich surfen wir danach zu Google, dann Google nicht die Daten aus dem Facebook Cookie auslesen. Wichtige Einschränkung Surft ihr mit mehreren Tabs oder Fenstern eures Webbrowsers parallel auf den beiden Webseiten, so können diese ganz ohne Cookies ermitteln welche anderen Webseiten in den anderen Tabs oder Fensters geöffnet sind. Diese Informationen können sie dann in ihrem eigenen Cookie speichern und so immer wieder abrufen.
Diesen ganzen Prozess habe ich euch schonmal in dem Video: „Warum Google IMMER personenbezogene Daten erhebt.“ ausführlich vorgestellt.
Und noch eine dämliche Aussage zu Cookies will ich kurz debunken.
„Wir nutzen nur notwendige Cookies.“
Das ist der größtmögliche Nonsense den ihr erzählen könnt. Cookies sind technisch nur für einen einzigen Fall notwendig. Zur eindeutigen Bestimmung und Sicherung einer Verbindung. Diese werden dann häufig als „Session-Cookies“ oder zu Deutsch „Sitzungscookies“ bezeichnet. Darin wird dann die „Session-ID“, meist in Form eines verschlüsselten Tokens der wie Buchstaben und Zahlensalat aussieht, gespeichert. Eine solche „Session-ID“ benötigen wir z.B. bei Warenkörben in Online-Shops, damit eure hinzugefügten Waren nicht mit jedem Aufruf eines weiteren Produkts wieder verschwinden. Außerdem werden diese Sitzungs-IDs auch zum speichern eures Login-Status verwendet. Ihr kennt diese Checkboxen in Eingabemasken mit der Aufschrift „Angemeldet bleiben“. Ganz klare Empfehlung macht das niemals. Denn sobald ihr bei einer Webseite angemeldet seit, kann diese Webseite auf weitere Informationen des Webbrowsers zugreifen und diese direkt mit eurer Person verbinden. Dadurch wird das Tracking erheblich vereinfacht und die Daten direkt viel wertvoller. Außerdem werden alle eurer Aktionen auf der Webseite nach der Anmeldung so oder so beim Anbieter in eurem Konto gespeichert und somit ist diese Funktion auch dafür weder hilfreich noch nützlich. „Also für euch, für die Penner von Google, Amazon und Meta natürlich mega gut, wenn ihr dumm seit.“ Seit ihr aber jetzt nicht mehr, nicht wahr? Damit wisst ihr jetzt richtig gut bescheid über Cookies und deren Funktion und wisst, dass sie für euch in nahezu keinem Fall nützlich und schon gar nicht notwendig sind.
Schauen wir uns jetzt also mal an wie ihr als Webseitenbetreiber so alles beachten müsst, für den…
„Richtigen Umgang mit Cookies“
Klären wir zunächst einmal die Unterschiede der Begriffe. Da haben wir Cookie-Banner, Cookie-Box, Cookie-Hinweis und Consent-Management-Tool. Ihr habt sie wahrscheinlich schonmal gehört und sie werden nahezu synonym verwendet. Das ist jedoch nicht ganz richtig, weil sich gewisse Funktionen hier stark unterscheiden können. Cookie-Banner oder Cookie-Hinweise sind Einblendungen die auf die Nutzung von Cookies bzw. Datenverarbeitungen der Webseite hinweisen. Diese werden meist so eingeblendet, dass ohne eine aktive Zustimmung oder Ablehnung per Klick, die Webseite weiter benutzt werden kann. Bekannt von Amazon, PayPal und vielen weiteren Datenschutzfeinden. Cookie-Box beschreibt einen Cookie-Hinweis der über der Webseite dargestellt wird und die Nutzung der Seite so lange verhindert, bis wir eine Auswahl getroffen haben. Consent-Managment-Tools ist der einzig richtige Begriff und auch die einzig richtige Anwendung für euch. Diese werden über der Webseite dargestellt und müssen verhindern, das jedwede unnötige Datenverarbeitung bis zu eurer aktiven Zustimmung unterbunden wird. Consent-Management-Tools von Cookie-Boxen zu unterscheiden ist optisch oftmals nicht möglich und daher werden sie auch oft synonym verwendet. Der funktionelle Unterschied ist jedoch gravierend und daher ist dies eben auch faktisch falsch. Bleibt natürlich noch die Frage offen:
„Wann brauche ich ein Consent-Management?“
Diese beantwortet sich super leicht durch einen keinen Blick in Artikel 5 Absatz. 3 der ePrivacy Richtlinie, dort lesen wir:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Okay, ich übersetz das mal in Deutsch. Jede Information die im Gerät des Besuchers eurer Webseite gespeichert ist (Cookies lesen) oder gespeichert werden soll (Cookies setzen), müsst ihr die aktive Einwilligung der Person vorher eingeholt haben. Außerdem müsst ihr die Person in für sie verständlicher Sprache mit „klaren und umfassenden Informationen“ über die Zwecke, den genauen Umfang und die Art der Daten informieren.
Daraus ergibt sich also, dass nur ein Consent-Management zulässig sein kann. Es heist jedoch nicht, dass bestimmte Tools die sich Cookie-Box oder -Hinweis nennen nicht verwendet werden dürfen. Vielmehr ist es wichtig diese korrekt einzurichten. Wenn eure Webseite keine Cookies setzt und keine anderen externen Verbindungen zu anderen Diensten öffnet, dann benötigt ihr das Consent-Management nicht. Um das herauszufinden benötigt ihr einen detaillierten DSGVO Website-Check, wie ich euch in ersten Video dieser Serie vorgestellt habe. Dort könnt ihr dann sehen, welche Verbindungen ggf. ohne euer Wissen geöffnet werden und könnt diese ausschalten. Speichert und lädt eure Webseite keine Cookies und überträgt nur die notwendigen Daten des Endgeräts an euren Server um eine Verbindung herzustellen, dan benötigt ihr kein Pop-Up das auf Datenverarbeitungen hinweist. In der Datenschutzerllärung muss trotzdem die Verarbeitung der notwendigen Daten beschrieben werden. Das klären wir dann im letzten Video dieser Serie. Es lohnt sich also den Kanal zu abonnieren und die Glocke zu aktivieren, falls ihr das nicht verpassen wollt.
Auf unsere Website hier, könnt ihr einen weiteren Fall sehen. Wir haben ein Consent-Management Tool im Einsatz. Warum? Weil wir die YouTube Videos dieses Kanals dort im Blog als Beiträge einbetten. Wegen der Datenverbindung zu YouTube, werden Daten an Google übertragen und deshalb benötigen wir natürlich vorher eure Einwilligung. Aber wir verlangen diese nicht per se von jedem Besucher. Sondern nur von denen die auch wirklich die Videos schauen wollen. Dafür wird jedes Video zunächst nur mit einem Vorschaubild gezeigt und erst durch einen Klick nach der transparenten Information geladen.
„Mit dem Laden des Videos werden personenbezogene Daten an YouTube (Google LLC) übermittelt und Sie akzeptieren die Datenschutzerklärung des Anbieters.“
Damit ist die aktive Einwilligung erfüllt. Auch das Cookie, welches das Consent-Management-Tool setzt, um diese Einstellung zu speichern, wird erst nach einer solchen Aktion gesetzt. Weil das aber gar nicht mal so leicht ist, schauen wir uns jetzt noch abschließend an:
Wie muss eine Cookie Box eingerichtet sein?
Hierzu gibt es mal so richtig viel tollen Gesetzestext und ich bin mir sicher ihr freut euch schon jetzt, wenn Onkel Stephan wieder Lach-und-Sachgeschichten aus der DSGVO zitiert. „Genau worauf ich gewartet hab. Meine Gebete wurden erhört. Endlich!“ Ganz so schlimm wird es nicht, nur die wichtigsten, versprochen. Die anderen könnt ihr weiter unten im Beitrag auf dieser Webseite nachlesen. Da hat meine Kollegin für euch einen tollen Überblick erstellt. Den verwenden wir so auch bei Diskussionen mit Kunden, Partnern und Behörden. „Also, ich würde mal sagen das lohnt sich fett für euch!“
Wie schon gesagt müsst ihr transparent informieren und die freiwillige Einwilligung einholen. Das haben wir schon in der ePrivacy Richtlinie gesehen. Außerdem greift hier wieder der Paragraph 25 des TTDSG. Außerdem müsst ihr die Besucher über ihre Betroffenenrechte informieren, dazu zählen Recht auf Information, Auskunft, Berechtigung, Datenlöschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Zu finden in Art. 13 – 18 und 20 – 21 der DSGVO. Diese müsst ihr nicht im Consent-Dialog ausführlich erklären, sondern darauf hinweisen und dann in der Datenschutzerklärung ausführen. Am besten verlinkt mit dem Abschnitt, damit der Nutzer schnell dahin navigieren kann. Und bitte den Link automatisch im neuen tab öffnen lassen, weil alles andere ist voll nervig für die Besucher und außerdem total simple für alle Webentwickler einzustellen.
Technisch muss das Consent-Management so eingestellt werden, dass vor allen anderen möglichen Diensten geladen wird. Achtet auf ein Tool, bei welchem ihr „Priorisierung“ für die Cookies und Dienste einstellen könnt und wo diese auch nachgewiesenermaßen funktioniert. Dann ist es wichtig diesen Mist mit „Notwendig, Analysen, Externe Medien und so weiter“ zu vergessen. Das hat keinerlei Wirkung und auch keinen rechtlichen Bestand. Im Gegenteil, ihr dürft dies Kategorien der Dienste zwar nutzen, aber rechtlich gesehen gilt die Einwilligung nur, wenn sie pro Dienst bzw. Cookie gegeben wird. Beispiel: Habt ihr YouTube Videos und Twitter Feed in die Webseite eingebunden und beides bei „Externe Medien“ einsortiert, ist die Einwilligung nicht rechtens, falls der Besucher die einzelnen Dienste nicht auch einzeln bestätigt hat. Deshalb kann ich nur empfehlen, sperrt die Verbindungen und lasst die Besucher am Objekt selbst aktiv einwilligen.
Außerdem dürft ihr keine Standardeinstellungen machen, wo die Haken alle bereits gesetzt sind und der Besucher sie bei Bedarf abwählen darf. Das ist keine aktive Zustimmung und ganz explizit im Erwägungsgrund Nr. 32 in Abs. 3 der DSGVO geregelt:
„Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“
Also macht das besser richtig. Denn hier bekommt ihr keinen Spielraum für Diskussionen. Den hat auch keiner verdient. Is eben Gesetz ne.
Der Europäische Datenschutz Ausschuss (EDSA) hat dazu einen ausführlichen Leitfaden veröffentlicht, den wiedermal Max Schrems mit NOYB ins Rollen gebracht hat. „Der Typ kämpft mehr für die Rechte der Bürger als unsere Regierung. Lobgesang für ihn und Schande für unserer Regierung.“ Dort werden wird z.B. geregelt wie das Consent-Tool aussehen sollte und wie eine „gleichwertige“ Einwilligung bzw. Ablehnung gestaltet werden kann. Auch wird klar gestellt, dass das setzen und lesen von Cookies kein berechtigtes Interesse des Verantwortlichen sein kann. Also nehmt von diesem Mist mit Berufung auf Art. 6 Abs. 1 lit f abstand. Das ist vorsätzliche Täuschung aus mangelndem Interesse und wird richtig teuer, wenn die Behörde mal nachfragt. Zu guter Letzt müssen Besucher ihr Einstellungen jederzeit ändern und Einwilligungen widerrufen können. Dafür kennt ihr bestimmt von manchen Webseite, so ein kleines Symbol links oder rechts unten womit die Datenschutzeinstellungen von jeder Position auf jeder Seite aufzurufen sind. Bei uns könnt ihr euch das sonst ebenfalls anschauen.
So ich hoffe ich habe euch nicht mit zu vielen Paragraphen die Stimmung verdrossen und statt dessen wertvolle Tipps zur Nutzung und Einrichtung von Consent-Management-Tools gegeben. Wenn ihr euch trotzdem nicht sicher seit, dann bieten wir euch dazu gerne eine Online-Kurs mit Schritt-für-Schritt Anleitungen an begleiten euch durch den Prozess. Natürlich beraten wir euch auch gerne individuell. Falls ihr was gelernt habt lasst gerne einen Daumen nach oben da, abonniert den Kanal und aktiviert die Glocke, wenn ihr keine weiteren Videos verpassen wollt und lasst mal hören, wie euch dieses Video geholfen hat oder welche Fragen immer noch offen sind. Ich danke euch für eure Aufmerksamkeit, hier gibt es jetzt noch ein paar richtig nice Videos zum „bingen“ und ich bin raus bis zum nächsten mal. Tschau!
Die Umsetzung (nach EDSA und ePrivacy/TTDSG) im Einzelnen
- Die Auswahl eines geeigneten Consent Tools (häufiger Fehler: das Consent Tool muss auch in die Datenschutzerklärung)
- Der Nutzer soll zukünftig im Sinne einer Opt-In Lösung für jeden Cookie-Einsatz seine ausdrückliche Zustimmung erteilen.
- Ausnahme: Insofern die Cookies für die Nutzung von Anwendungen notwendig sind, bedarf es keiner Einwilligung.
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung: Das Vorab-Ankreuzen von Kästchen für die Zustimmung führt nicht zu einer gültigen Einwilligung, wie sie
der Datenschutz-Grundverordnung (siehe insbesondere Erwägungsgrund 32: „Schweigen, angekreuzte Kästchen oder Untätigkeit sollten daher nicht als Einwilligung gelten“) oder in Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation. - Der EDSA erinnert daran, dass nach der DSGVO standardmäßig keine zustimmungspflichtigen Cookies ohne Zustimmung gesetzt werden dürfen und dass diese Zustimmung „durch eine positive Handlung des Nutzers zum Ausdruck kommen muss“.
- Das Ablehnen der Cookies muss leicht ermöglicht werden/ Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung: in diversen Bannern gibt es eine Schaltfläche zum Akzeptieren von Cookies sowie eine weitere, die den Zugang zu den Optionen ermöglicht, eine Schaltfläche zum Ablehnen von Cookies fehlt.
Die europäischen Datenschutzbehörden waren sich hierbei einig, dass das Fehlen einer Schaltfläche „Ablehnen“ für Cookies nicht mit der ePrivacy-Richtlinie oder der DSGVO vereinbar ist und einen Verstoß darstellt.
Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden
Eingebettete Textlinks zur Ablehnung
- Die Mitglieder der Taskforce waren sich einig, dass in jedem Fall klar angegeben werden sollte, worum es auf dem Banner in dem Banner geht, was der Zweck der erbetenen Zustimmung ist und wie die Zustimmung zu Cookies erteilt werden kann.
- In jedem Fall darf ein Website-Betreiber die Cookie-Banner nicht so gestalten, dass die Nutzer den Eindruck haben, dass sie eine Einwilligung geben müssen, um auf den Inhalt der Website zugreifen zu können
- Die einzige angebotene Handlungsalternative (außer der Erteilung der Zustimmung) besteht aus einem Link hinter Formulierungen wie „ablehnen“ oder „ohne Zustimmung fortfahren“, eingebettet in einen Textabsatz im dem Cookie-Banner, hier aber nur mit ausreichend visueller Unterstützung
- Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.
- Die Mitglieder der Taskforce waren sich einig, dass ein allgemeiner Standard für Banner in Bezug auf Farbe und/oder Kontrast den für die Datenverarbeitung Verantwortlichen nicht auferlegt werden kann. Um die Konformität eines Banners zu beurteilen, muss von Fall zu Fall überprüft werden, ob die verwendeten Kontraste und Farben für die Nutzer nicht offensichtlich irreführend sind und nicht zu einer unbeabsichtigten und damit ungültigen Einwilligung der Nutzer führen.
- Darüber hinaus wird auf der zweiten Ebene (des Banners) unterschieden zwischen der Ablehnung von Lese-/Schreibvorgängen und dem potenziellen Widerspruch gegen die Weiterverarbeitung, der als im berechtigten Interesse des für die Datenverarbeitung Verantwortlichen.
Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies:
- die Rechtsgrundlage für das Setzen/Lesen von Cookies gemäß Artikel 5 (3) kann nicht im berechtigten Interessen des für die Verarbeitung Verantwortlichen liegen
Keine permanente Möglichkeit, die Zustimmung zu widerrufen
- Wenn die für die Verarbeitung Verantwortlichen eine Option für den Widerruf der Einwilligung anbieten, werden offenbar verschiedene Formen von Optionen angezeigt werden. Insbesondere haben sich einige für die Verarbeitung Verantwortliche nicht dafür entschieden, die Möglichkeit zu nutzen, ein auf allen Seiten der Website ein kleines, ständig sichtbares Symbol anzuzeigen, das den betroffenen Personen die Möglichkeit gibt zu ihren Datenschutzeinstellungen zurückzukehren, wo sie ihre Einwilligung widerrufen können
- Die Betreiber von Websites sollten leicht zugängliche Lösungen einführen, die es den Nutzern ermöglichen, ihre jederzeit widerrufen können, z. B. durch ein Symbol (ein kleines, ständig sichtbares Symbol) oder einen Link, der an einer sichtbaren und standardisierten Stelle.
- Website-Betreibern kann jedoch nur vorgeschrieben werden, dass leicht zugängliche Lösungen implementiert und angezeigt werden angezeigt werden, sobald die Zustimmung eingeholt wurde, aber sie können nicht dazu verpflichtet werden, eine spezielle Lösung für den Widerruf zu finden
- Der Widerruf muss ebenso einfach sein wie die Erteilung der Einwilligung.