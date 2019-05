Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu. Vor einem Jahr war es dann soweit: Die DSGVO trat nach einer zweijährigen Übergangsfrist endgültig in Kraft. Im Schwerpunkt "Ein Jahr DSGVO: die Erneuerung des Datenschutzes" ziehen wir Bilanz über die Auswirkungen und stellen die Änderungen auf den Prüfstand.

Seit dem Start der DSGVO greift das Phänomen der Cookie-Hinweise immer weiter um sich. Kaum ein Webauftritt, bei dem nicht auf der Startseite beim ersten Besuch ein Banner aufpoppt, das – wenn man ehrlich ist – möglichst schnell weggeklickt wird, weil es meist die Inhalte der Seite überdeckt. Ob diese, auch Cookie-Bars genannten, Text-Boxen den Website-Besuchern einen echten Mehrwert bieten, darf bezweifelt werden.

Oftmals sind die Banner nur ein datenschutzrechtliches Feigenblatt. Weil sich die Verantwortlichen meist selbst nicht im Klaren darüber sind, warum man auf der eigenen Website überhaupt auf Cookies hinweisen sollte, wird irgendeine halbgare Erklärung per Copy & Paste von einer anderen Seite übernommen. Frei nach dem Motto "Wenn es die anderen so machen, kann es ja nicht falsch sein".

Das machen Cookies

Cookies sind nicht per se datenschutzrechtlich bedenklich. In vielen Fällen ist ihr Einsatz für grundlegende Funktionen der Website erforderlich oder zumindest nützlich, etwa um die bevorzugte Sprache, Seiteneinstellungen oder – im Falle eines Onlineshops – den Inhalt eines Warenkorbes zu speichern. Darüber hinaus werden Cookies aber auch für die Website-Analyse verwendet. So ist es Website-Betreibern möglich, wiederkehrende Besucher zu erkennen und typische Klickpfade zu verfolgen.

Einen eher schlechten Ruf haben Cookies im Zusammenhang mit Online-Werbung. Mithilfe der kleinen Datenpakete tracken Werbetreibende Internetnutzer über viele Websites hinweg und legen von ihnen individuelle Profile an, um so gezielt personalisierte Werbung anzeigen zu können. Neben Informationen zur verwendeten Hard- oder Software können Cookies auch Informationen beinhalten, die einen Website-Besucher identifizierbar machen: IP-Adresse, E-Mail-Adresse, Name, Telefonnummer oder eine "unique user ID".

Und an dieser Stelle kommt der Datenschutz ins Spiel. Die DSGVO regelt in Artikel 4, dass auch Online-Kennungen, über die Personen identifiziert werden können, als personenbezogene Daten anzusehen sind, auf die der Datenschutz Anwendung findet. Für den Datenschutz nicht relevant sind somit technisch notwendige Cookies, die keine Wiedererkennung eines Website-Besuchers ermöglichen. Bei der Verwendung von Cookies, die einen Nutzer beispielsweise als "unique user" identifizieren, ist hingegen der Anwendungsbereich der DSGVO eröffnet.

Das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten. c't wissen DSGVO im heise shop mehr anzeigen

Rechtsgrundlage für Cookies

Für die Verwendung derartiger Cookies muss daher ein Erlaubnistatbestand des Artikel 6 DSGVO vorliegen. Der Betreiber der Website kann entweder die Einwilligung der Website-Besucher einholen oder sich auf die Erfüllung eines Vertrages beziehungsweise die Rechtsgrundlage der berechtigten Interessen berufen. Zu letzterem zählt unter anderem auch Direktwerbung.

Viele Website-Betreiber waren daher im Umsetzungsprozess der DSGVO frohen Mutes und gingen davon aus, dass auch die umstrittenen Marketing-Cookies wie gewohnt und ohne Einwilligung mittels einer Opt-Out-Lösung genutzt werden könnten. Insbesondere um den Einsatz von Webseitenanalyse-Cookies, etwa bei Google Analytics, machte man sich wenig Sorgen. Denn wenn selbst Direktmarketing als berechtigtes Interesse deklariert wird, müsste dies doch erst recht für die Vorstufe der Marketinganalyse gelten.