Anleitung 3: Was machen wir mit diesen Cookies?
(noch 12 Tage bis zum Inkrafttreten des DSGVO)
Vorab: Cookies sind personenbezogene Daten und werden ab dem 25.05.2018 durch die Datenschutzgrundverordnung geschützt.
Ist-Zustand:
Zum jetzigen Zeitpunkt gilt in Deutschland die sogenannte „Opt-out-Regelung“ für Cookies. Diese Regelung wird durch § 15 Abs. 3 Telemediengesetz (TMG) festgelegt:
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Diese Regelung besagt, dass Seitenbetreiber, auch ohne aktive Zustimmung der Nutzer, Cookies setzen dürfen. Der Nutzer wird darauf hingewiesen, dass Cookies gesetzt werden und erhält einen Link zum Datenschutz. In diesem Fall muss vom Nutzer die Initiative ausgehen, Cookies eigenständig im Browser abzustellen.
In anderen EU-Ländern wird hingegen die „Opt-in-Regelung“ angewendet. Hier wird umgekehrt vorgegangen: Der Nutzer wird umfangreich über Cookies informiert und muss sich mit der Cookie-Nutzung des Seitenbetreibers aktiv einverstanden erklären.
Dadurch stehen Cookies im Spannungsfeld der europäischen und nationalen Regu
lierung. Der Umgang mit Cookies wird seit 2009 durch die europäische E-Privacy-Richtlinie (2009/136/EG) vorgegeben. Jedoch wird in Deutschland, wie oben erwähnt, der Umgang mit Cookies aber durch das TMG geregelt: Die Richtlinie wurde nie in nationales Gesetz umgesetzt.
Da die DSGVO eine europaweite Vereinheitlichung des Datenschutzes zum Ziel hat, sollen nun genau solche Unterschiede, wie die in der Cookie-Nutzung, angepasst werden. Da Cookies, wie eingangs erwähnt, schutzbedürftige personenbezogene Daten sind, gilt auch für sie der Grundsatz des Verbots mit Erlaubnisvorbehalt. In diesem Zuge wird auch die bisherige Cookie-Richtlinie durch eine neue E-Privacy-Verordnung abgelöst, die ab 2019 europaweit einheitlich umgesetzt werden muss.
Und was heißt das nun konkret?
Das heißt zum einen, dass auch hier die DSGVO nicht ganz einwandfrei artikuliert ist, denn es gibt Öffnungsklauseln, die eine individuelle Regulierung verschiedener Bereiche in den Mitgliedsstaaten ermöglichen. Hinzu kommt, dass das TMG nicht vollständig durch die DSGVO außer Kraft gesetzt wird.
Zum anderen heißt das, lieber einmal mehr auf Sicherheit setzen und eine Erlaubnis einholen, als sich selbst durch vermeintliche Faulheit, großen Ärger zu bereiten.
Was empfehlen wir?
Zwingend notwendig ist, dass der Umgang mit Cookies, den erfassten Daten, in der Datenschutzerklärung beschrieben wird. Hier muss stehen, wann Cookies wozu gesetzt werden und wie der Nutzer sie unterbinden kann.
Wer sich zu 100% in Sicherheit wissen will, was die Cookie-Nutzung angeht, blendet auf seiner Seite eine Cookie-Warnung ein. Diese Warnung sollte sofort nach Aufrufen der Seite erscheinen und einen Einwilligungsoption enthalten, die der Nutzer mit einem Klick aktiv bestätigt werden kann.
Wer mutiger ist, blendet auf seiner Seite einen Cookie-Banner ein, so wird es bislang in Deutschland gehalten. Der Banner informiert den Nutzer über die Verwendung von Cookies und verweist auf das Widerspruchsrecht im Datenschutz. Hierbei wird auf die konkrete Einwilligung verzichtet, was das mögliche Risiko dieser Variante ausmacht.
Zum Schluss befinden wir hp.com als Best Practice- Beispiel in Sachen Cookie-Warnung.