Auch wenn die Adventzeit naht, geht es in diesem Blogpost nicht um Weihnachtskekse, sondern um ein Gerichtsurteil zu Cookies, das in den letzten Wochen für einige Aufregung gesorgt hat. datenwerk meint dazu: don't panic!
Warum die Aufregung?
Anfang Oktober sorgte ein europäisches Gerichtsurteil für Aufregung, in dem folgendes festgehalten wurde: Bei Cookies, für deren Speicherung rechtlich eine Einwilligung erforderlich ist, muss diese Einwilligung aktiv durch die NutzerInnen erfolgen. Dies betrifft alle einwilligungspflichtigen Cookies und ist keine neue Erkenntnis, sondern schon im Art. 5 Abs. 3 Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der Fassung vom 25. November 2009 zu finden. Im Rahmen der Einwilligung müssen die UserInnen auch über die Funktionsdauer und zur Zugriffsmöglichkeit Dritter (Art. 13 DSGVO) informiert werden, so das Urteil weiter.
Die Berichterstattung über das Gerichtsurteil führte nun zur Aufregung: Die Verwendung von Cookies ohne Einwilligung sei untersagt, war zu lesen. Lieblingsbeispiel vieler JournalistInnen war dabei Google Analytics. Tatsächlich ist alles etwas komplizierter.
Wann braucht es eine Cookie-Einwilligung?
Welche Cookies laut EU-Richtlinie Richtlinie 2009/136/EG einwilligungspflichtig sind, regelt in Österreich das Telekommunikationsgesetz (TKG) in § 96 Abs 3. Nicht einwilligungspflichtig ist,
wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Das gilt auf jeden Fall für Cookies, die zum Funktionieren einer Webseite notwendig sind (z.B. Cookies für den Warenkorb oder Sprachwechsler). Für Cookies, die die Nutzung einer Webseite tracken (z.B. Google Analytics, Matomo) hingegen, muss man sich folgende zwei Fragen stellen:
- Ist potentiell ein Personenbezug herstellbar? Dieser muss nicht sofort vorhanden sein, sondern könnte auch nachträglich durch Anreicherung der Daten herstellbar sein. Wer diese Frage mit "Ja" beantwortet, verwendet einwilligungspflichtige Cookies.
- Brauche ich diese Cookies, um meinen KundInnen die Services anbieten zu können, die sie sich wünschen? Wer diese Frage mit "Ja" beantwortet, nutzt Cookies, die nicht einwilligungspflichtig sind.
Tracking ≠ Tracking
Wer sich bereits mit Google Analytics auseinander gesetzt hat, weiß, dass die Tracking-Bandbreite groß ist: von anonymisierten Reichweitendaten, die erheben, welche Produkte und Angebote für die KundInnen überhaupt relevant sind, bis hin zu personenbezogenen Werbe- und Remarketingformen. Nur wer weiß, welche Inhalte die NutzerInnen als anonyme Masse auf der Webseite aufrufen, kann ansprechende Angebote definieren. In diesem Fall ist der oben zitierte §96 TKG relevant, der festhält, dass diese Cookies nicht einwilligungspflichtig sind.
Wie reagieren UserInnen auf Cookies?
Für einwilligungspflichtige Cookies braucht es also die aktive Zustimmung der UserInnen z.B. durch Cookie-Banner. In diesen muss eine aktive Zustimmung der UserInnen per Klick erfolgen. Allerdings zeigen Studien, dass Cookie-Banner kaum geklickt werden, egal ob sie oben oder unten auf der Seite platziert sind. Wir erwarten daher, dass Overlays, die beim Erstaufruf einer Seite auf die Einwilligung hinweisen, präsenter werden.
Die aktuellen Entwürfe der e-Privacy-Verordnung lassen hoffen, dass UserInnen die Einwilligung erleichert wird. So könnten Browser verstärkt die Aufgabe von Cookie-Bannern übernehmen, sodass NutzerInnen einmalig ihre Präferenzen im Browser festlegen statt individuell pro Seite. Einen ersten Einblick in diese Funktion liefert der Browser Firefox bereits: Wer in der Adresszeile "about:protections" eingibt, sieht schon jetzt, wie viele Skripte Firefox gerade blockiert.
Falls du unsicher bist, ob du einwilligungspflichtige Cookies verwendest, wie du auf sie verzichten kannst und wie du die Einwilligung der NutzerInnen korrekt einholst, schreib den ExpertInnen von datenwerk unter office@datenwerk.at.