Den Browsercache leeren Symbolbild

Die Sache mit den Cookies

Seit Ende Mai 2018 ist die Datenschutz-Grundverordnung (DS-GVO) anwendbar. Das hat für Unternehmen und auch Privatpersonen einige Änderungen gebracht, sichtbar sind auf Websites vor allem die „Cookie-Banner“, die die Einwilligung zur Datenspeicherung einfordern.

Im Oktober 2019 hat der Europäischer Gerichtshof (EuGH) entschieden, dass das Setzen von Cookies die Einwilligung des Internetnutzers/der Internetnutzerin benötigt. Im Mai 2020 hat nun auch der Bundesgerichtshof (BGH) in diesem Sinne entschieden.

Seit dem 1. Dezember 2022 gelten die Cookie-Regeln aus § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (kurz: TTDG). Es ist nun verpflichtend für Websitebetreiber*innen von Nutzern und Nutzerinnen eine Einwilligung für alle Cookies einzuholen, die für den Onlinedienste nicht unbedingt erforderlich sind. Leider gibt es aber keine klaren Aussagen darüber, wo die Grenze gezogen wird. Das werden wohl in Zukunft die Gerichte klären.

Aber was sind Cookies?

Cookies sind kleine Textdateien, die auf dem lokalen Rechner gespeichert werden und zum Beispiel Informationen zur Uhrzeit, Sprache und Seiteneinstellungen enthalten können. Wenn Sie sich auf einer Website angemeldet haben, speichert das Cookie Ihre Login-Daten, sodass Sie sich während Ihres Besuches nicht immer wieder neu anmelden müssen. Auch kommen Cookies zum Einsatz, wenn Sie in einem Online-Shop Produkte in den Warenkorb legen und sich anschließend weiter auf der Website umsehen. Diese Art von Cookies erleichtern die Bedienung einer Website und sind technisch häufig erforderlich. Es handelt sich meist um Session-Cookies. Sie behalten ihre Gültigkeit nur während Ihres Besuchs auf der jeweiligen Website und werden wieder gelöscht, wenn Sie die Website verlassen oder das Browserfenster schließen. Interaktive Websites wären ohne diese Cookies nicht denkbar. Für diese Cookies ist es nicht nötig eine Erlaubnis einzuholen.

Cookies zu Werbezwecken

Etwas anders verhält es sich mit Tracking-Cookies. Tracking-Cookies hinterlassen dauerhaft Spuren auf Ihrem Rechner, können Ihre Wege durch das Internet umfassend nachverfolgen und merken sich Ihr Surfverhalten. Sie sind zum Beispiel ein Marketing-Instrument für Firmen, die Ihnen personalisierte Werbung oder Produktempfehlungen anzeigen. Für diese Cookies ist in jedem Fall eine Einwilligung beim Besuch der Website erforderlich und zwar bevor sich die Websitebesucher*innen auf der Website umschauen. Es reicht nicht, ein Pop-up-Fenster zu öffnen, das pauschal eine Einwilligung einfordert oder gar ohne Wirkung bleibt, egal ob der Okay-Button gedrückt wurde oder ob nicht. Es ist nötig, dass die Besucherinnen und Besucher der jeweiligen Internetseite selber wählen können, ob und in welchem Umfang Daten gespeichert werden dürfen.

Beispiel eines Cookie-Consent-Banners

Ein Cookie-Consent-Banner mit ausgeschalteten Cookies

Es gilt also: Ohne eine im Vorfeld aktiv gegebene Erlaubnis dürfen keine Tracking-Cookies gesetzt werden.

Wenn Sie keine Werbeanzeigen schalten und Google Analytics nicht benutzen, stehen die Chancen gut, dass Ihre Website kein Cookie-Banner benötigt. Überprüfen können Sie Ihre Website mit Hilfe eines Online-Tools wie z.B. cookieserve.com.

Google Fonts und andere Quellen von Dritt-Anbietern

Ein weiteres datenschutzrechtliches Problem sind Schriften und Skripte aus dem Internet. Eigentlich ist es eine praktische Angelegenheit: Google stellt eine riesige Auswahl Schriften zur Verfügung, die unentgeltlich auf Websites eingesetzt werden können. Eine tolle Sache, denn damit endete die Zeit der langweiligen Systemschriften auf Internetseiten und das Schriftdesign kann nun auf fast allen Betriebssystemen ungefähr gleich aussehen. Auch Bibliotheken oder Skripte - wie jQuery - können direkt vom Entwicklungsserver ausgeliefert werden. Das hat alles eine Reihe von Vorteilen, aber auch datenschutzrechtliche Nachteile. Bei Aufruf einer Website, die Elemente (Schriften, Skripte) von Dritt-Anbietern enthält, werden Informationsstücke zum Server des Anbieters geschickt. Und da diese Server häufig in den USA stehen, die auf europäische Datenschutzvorstellungen pfeifen, ist das ein Problem, das dem Gesetzgeber missfällt. Im Januar 2022 hat das Landgericht München geurteilt, dass der Einsatz von Google Fonts ohne Einwilligung rechtswidrig ist. (Siehe auch „Schadensersatz-Urteil: Google Fonts und die DSGVO”)

Aber an dieser Stelle ist Abhilfe einfach: Seitdem 2018 die DS-GVO wirksam geworden ist, lege ich Google Fonts und Skripte direkt auf dem Server der Kund*innen ab. Das ist kein großer Aufwand und unterbindet die Zugriffe zu Dritt-Anbietern. Allerdings sollte man dann prüfen, ob die verwendete Schrift und die eingebundene Version der Bibliothek oder der Skripte noch dem aktuellen Stand entspricht.

 

Zurück