Datenschutz-Kolumne

Auf den Spuren von Cookies und Cookie-Bannern

Was hat es eigentlich mit Cookies auf sich, die beim Surfen im Internet auf dem Rechner abgelegt werden? Das und den Ursprung des Namens erklären unsere Datenschutz-Experten.
22.10.2019, 17:05
Lesedauer: 4 Min
Zur Merkliste
Von Sven Venzke-Caprarese und Dennis-Kenji Kipker
Auf den Spuren von Cookies und Cookie-Bannern

Unsere Datenschutz-Experten widmen sich im neuesten Teil ihrer Kolumne den Cookies.

Andrea Warnecke/dpa

Um Cookies kommt man beim Surfen im Netz nicht herum. Die kleinen Textdateien, die beim Besuch von bestimmten Websites auf dem Rechner abgelegt werden, erfüllen nämlich mehrere wichtige Zwecke: So kann man mit ihnen nicht nur einen bestimmten Internetsurfer im Netz „tracken“, also verfolgen, sondern sich zum Beispiel auch den digitalen Warenkorb vom letzten Schuhkauf abspeichern lassen oder Sprach- und Designeinstellungen von Websites festhalten. Mit dem Einsatz von Cookies verbunden sind natürlich auch Datenschutzrisiken, denn vom technischen Vorgang der Speicherung des Cookies bekommt der Nutzer meistens nichts mit. Spätestens seit dem Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) hat sich hier aber einiges geändert, denn gefühlt springt einem auf fast jeder neu besuchten Seite ein so genanntes „Cookie-Banner“ entgegen. Das ist ein kleines Fenster, welches darüber informiert, dass die Website Cookies nutzt, und das verschiedene Auswahlmöglichkeiten zum Umfang der Cookie-Nutzung zur Verfügung stellt, so beispielsweise, ob nur die technisch notwendigen Informationen gespeichert oder auch Daten zu Marketingzwecken erfasst werden sollen. Aber wenn man ehrlich ist: Wie oft klickt man solch ein Fensterchen im Alltag nicht einfach achtlos weg oder ignoriert es, wenn es mal wieder besonders schnell gehen soll? Und genau da liegt das Problem: Sobald man eine Website einfach so weiternutzt, gibt man hierdurch oftmals schon seine Einwilligung dafür, dass Cookies auf dem Rechner gespeichert werden dürfen. Dies nennt man in der Fachsprache auch „konkludente Einwilligung“. Die Frage ist, ob das Konzept solcher Cookie-Banner für eine juristisch wirksame Einwilligung tatsächlich ausreichend sein kann.

Damit hat sich nun kürzlich auch der Europäische Gerichtshof (EuGH) befasst und mit einem Urteil vom 1. Oktober klare Antwort gegeben: Soll ein Cookie-Banner für eine Einwilligung genutzt werden, darf dies nicht durch ein voreingestelltes Ankreuzkästchen erfolgen, das der Nutzer zur Verweigerung seiner Einwilligung erst abwählen muss. Diese Entscheidung des höchsten europäischen Gerichts dürfte künftig gravierende Auswirkungen auf zahlreiche Websitebetreiber haben. Denn viele der heutzutage genutzten Cookie-Banner gehen davon aus, dass Besucher, die das Banner sehen und die Website trotzdem nutzen, automatisch in das dargestellte Tracking einwilligen. Eine aktive Interaktion mit dem Banner erübrigt sich damit – was bisher natürlich für den Betreiber der Website recht praktisch war. Genau dieser Ansatz ist nach der neuen Rechtsprechung aber nicht mehr haltbar. Vielmehr müssen zukünftig Cookie-Banner benutzt werden, mit denen der Besucher aktiv interagiert. Das bedeutet für ihn im schlimmsten Fall einen Klick mehr – im besten Fall führt das Urteil aber zu einer echten Wahlmöglichkeit des Anwenders.

Etwas vage bleibt das Gericht allerdings bei der Frage, wann Websites überhaupt eine Einwilligung einholen müssen, wenn sie Cookies auf dem Computer speichern wollen. Gerade kleine Gewerbetreibende und Selbstständige aber auch Blogbetreiber werden dadurch ganz erheblich verunsichert. Nicht selten hat das zur Folge, dass Websitebetreiber vorsichtshalber ein Cookie-Banner benutzen, das selbst technisch zwingend notwendige Cookies unter Einwilligungsvorbehalt stellt. Das ist aber eigentlich gar nicht nötig, denn was zur normalen Anzeige der Webseite technisch notwendig ist, ist auch ohne Einwilligung zulässig. Sollten aber Trackingmethoden benutzt werden, die detaillierte Nutzerprofile bilden oder den Besuch einer Internetseite gar ganzen Werbenetzwerken mitteilen, wird es ohne Einwilligung nicht gehen. In diesem Fall sind rechtskonforme Cookie-Banner erforderlich. Dabei ist darauf zu achten, dass den Besuchern der Website in verständlicher Sprache erklärt wird, in was sie da gerade einwilligen. Manchmal ist das bei den komplizierten Methoden der Werbenetzwerke und der Vielzahl an Beteiligten gar nicht so einfach. Oder haben Sie schon einmal wirklich gut erklärt bekommen, wie Remarketing, Conversion Tracking und Real Time Bidding funktionieren beziehungsweise was das überhaupt ist? Hier wird sich in Zukunft wohl einiges ändern müssen.

Kurioserweise äußert sich das EU-Gericht in seinem aktuellen Urteil nicht eindeutig zu einem der interessantesten Gesichtspunkte des Webtrackings, nämlich zur Frage, unter welchen Voraussetzungen man messen darf, wie viele Surfer die eigene Website besuchen. Benötigt man auch hierfür eine Einwilligung? Technisch gesehen gibt es datensparsame Lösungen, die weder vollständige IP-Adressen noch unmittelbar personenbezogene Daten verarbeiten und dem Besucher eine Widerspruchsmöglichkeit anbieten. Sollte nun auch für eine solche „zurückhaltende Besuchermessung“ ohne Weitergabe der Daten an Werbenetzwerke oder sonstige Dritte künftig eine Einwilligung erforderlich sein, dürfte sich der Einsatz von Cookie-Bannern wiederum vervielfachen. Und bei der Gelegenheit dürfte der ein oder andere Websitebetreiber sicher auf die Idee kommen, von der zurückhaltenden Besuchermessung abzuweichen und auf ein umfangreiches Tracking zu wechseln – legitimiert über ein Cookie Banner, das man vorher für eine „zurückhaltende Besuchermessung“ nicht unbedingt brauchte. Hoffnung zur zeitnahen Klarstellung besteht aber dennoch: So dürften die Datenschutzaufsichtsbehörden das an dieser Stelle unklare Urteil des EuGH zum Anlass nehmen, sich zu diesem wichtigen Thema auch selbst zu äußern. Spannend bleibt es also weiterhin.

Und wo es in dieser Kolumne schon um Cookies geht, soll zu guter Letzt auch die eine Frage nicht unbeantwortet bleiben: Warum heißt ein Cookie eigentlich so? Ganz einfach: Weil Cookies wie kleine Kekskrümel in der Lage sind, die Spur des Nutzers im Netz nachzuverfolgen – wie schon die Krumen im Märchen „Hänsel und Gretel“.

Info

Zur Person

Die Experten

Vor dem Hintergrund von Datenklau und Datenschutz beleuchten sie im WESER-KURIER alle zwei Wochen Themen der digitalen Welt. Der Weyher Dennis-Kenji Kipker (32) ist unter anderem als Vorstandsmitglied bei der Europäischen Akademie für Informationsfreiheit und Datenschutz tätig, der Stuhrer Volljurist Sven Venzke-Caprarese (40) arbeitet als Prokurist und Justiziar bei dem Bremer Unternehmen Datenschutz Nord.

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+