Vor einiger Zeit haben wir bereits einmal über die aktuelle Einschätzung von Cookies auf Webseiten geschrieben (siehe hier) – jetzt gibt es endlich Klarheit, was erlaubt ist, und was nicht. Denn wie Sie vielleicht der Presse entnommen haben, gibt es ein aktuelles Urteil des Europäischen Gerichtshof (EuGH) zum Thema „Cookies auf der Webseite“.
Hinweis: Wir sind keine Juristen, so dass diese Information auch keine rechtliche Beratung darstellt, sondern lediglich unsere Einschätzung der rechtlichen Situation hinsichtlich ihrer Umsetzung auf der Webseite widerspiegelt.
Worum geht’s?
Was sind eigentlich Cookies? Und – betrifft mich das überhaupt?
Ja, „leider“. Praktisch keine Webseite kommt mehr ohne Cookies aus.
Cookies sind kleine Textdateien, die der Webbrowser auf dem Computer des Nutzers speichert. Das dient dazu, individuelles Nutzerverhalten zu speichern, indem sie sich zum Beispiel „merken“, welche Seiten bereits aufgerufen wurden und diese so schneller öffnen können. Aber auch Login-Daten, Surfverhalten, verschiedene Einstellungen gehören dazu. Diese Daten kann der Webseitenbetreiber etwa für Marketing nutzen.
Im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO) war dieses Thema lange umstritten. Zuletzt vertrat man allgemein die Rechtsauffassung, dass ein einfacher Cookie-Banner und die Deklaration der Verwendung von Cookies in der Datenschutzerklärung ausreiche. Das Banner müsse lediglich die Möglichkeit bieten, dass man das Cookie-Setzen zur Kenntnis nimmt und mit einem „OK“ bestätigt. Deshalb sah das bei vielen Webseiten bislang etwa so aus:
Was darf sein, was darf nicht sein?
Nun hat der EuGH aber Klarheit geschaffen. Nun muss unterschieden werden zwischen rein funktionalen Cookies, die technisch notwendig sind – hier darf die Einwilligung voreingestellt sein – und sogenannten einwilligungsbedürftigen Cookies (Werbecookies, etwa beim Einsatz von Google Analytics, Facebook-Pixeln, Hubspot u.ä.). Bei letzteren muss der User explizit seine Einwilligung geben. Vorher dürfen diese Cookies nicht gesetzt werden! Das muss technisch verhindert werden.
In dieser Art sollte der User auf einer Webseite nun empfangen werden:
Das setzt voraus, dass man im Hintergrund definiert, welche Cookies zu welchen Kategorie gehört. Weiterhin gilt natürlich, dass man das auch seinen Datenschutzbestimmungen deklarieren muss. Dazu muss man natürlich überhaupt wissen, welche Cookies die eigene Webseite so setzt. Was bei einer Kombination aus Contentmanagement-System wie WordPress, Designs und weiteren sogenannten Plugins nicht trivial ist.
Da die Art des Umgangs mit Cookies so ziemlich das erste ist, was man auf einer Webseite sieht, ist dieses Thema besonders „beliebt“ für Abmahnungen. Und da diese Regelung grundsätzlich schon seit Einführung der DSGVO gilt (mit dem EuGH-Urteil nun nur noch mal bestätigt), gibt es auch keine Übergangsfrist – es ist sofort umzusetzen.
Für WordPress gibt es Plugins, die die Umsetzung ermöglichen. Nach einigen Recherchen können wir da das (kostenpflichtige) Cookie-Plugin von borlabs empfehlen, das wir nun schon für einige unserer Kunden eingebaut haben.
Sie brauchen Hilfe bei der Umsetzung in WordPress? Sprechen Sie uns gerne an!