Mit Inkrafttreten der EU-DSGVO am 25. Mai 2018 haben auch Schweizer Firmen viel zu tun. Ein Punkt, der vor allem für Betreiber kommerzieller Websites wichtig ist, ist die Verwendung von Cookies. Worum handelt es sich dabei? Cookies sind kleine Dateien, die beim Surfen auf dem Computer des Nutzers gespeichert werden. Cookies beinhalten persönliche Informationen wie z. B. Ihre bevorzugte Sprache. Wenn Sie sich beim erneuten Besuch einer Website darüber wundern, dass beim Ausfüllen eines Anmeldeformulars Ihre Adresse bereits im Feld vorgeschlagen wird, so hat dies mit Cookies zu tun.

Diese kleinen Dateien werden von vielen Sites auf dem Computer des Nutzers gespeichert, um sich ebensolche Einstellungen merken zu können. Dadurch, dass sie jedoch nicht so leicht zu erkennen sind, und damit mehr oder weniger ohne Zutun des Besuchers auf seinem Computer abgelegt werden, stellen sie auch ein datenschutzrechtliches Problemfeld dar.

Die DSGVO hat keine konkrete Richtlinie zum Einsatz von Cookies. Allerdings zu personenbezogenen Daten. Und darunter fallen die meisten Cookies. Denn: Cookies können eine Vielzahl von Informationen beinhalten, die den Besucher persönlich identifizierbar machen (wie Ihren Namen, Ihre Adresse, Ihre E-Mail-Adresse oder Telefonnummer). Eine genaue Erläuterung dazu finden Sie im Beitrag von Rechtsanwalt Rolf Lüpke. Nutzen Sie Google Analytics um das Nutzungsverhalten von Besuchern zu tracken? Bieten Sie einen Newsletter an? Haben Sie ein Kontaktformular auf Ihrer Website eingebaut? Dies sind nur drei gängige Beispiele aus einer Vielzahl von Situationen, in denen personenbezogene Daten anfallen. Auch für Sie als Websitebetreiber in der Schweiz hat die DSGVO Bedeutung. Mit einer kommerziellen Website bieten Sie Ihre Dienstleistungen und Waren an. Sobald Ihre Website von Personen aus der EU besucht werden kann und Sie deren personenbezogene Daten verarbeiten, gilt die DSGVO auch für Sie.

Wie kann das nun aussehen? Die gängigste Form ist es, einen Cookie-Hinweis auf der Website zu erstellen, der beim erstmaligen Besuch als Pop-Up auftaucht. Für k-webs.ch und unseren Techblog unter blog.k-webs.ch haben wir dies folgendermassen umgesetzt:

Cookiehinweis k-webs Techblog

Wichtig beim Platzieren des Cookie-Hinweises: Pflichtangaben wie etwa das Impressum oder der Link dazu dürfen nicht verdeckt sein. Beim erstmaligen Aufrufen der Website erscheint ein Cookie-Hinweis. Unter “Mehr Infos” gelangt man zu unserer Cookie Policy und weiter zur Datenschutzerklärung, wo auf die Möglichkeiten und Konsequenzen, der Cookie-Deaktivierung hingewiesen wird.

Mit dieser einfach umzusetzenden Massnahme können Sie bereits einen kleinen Schritt in Richtung DSGVO Compliance unternehmen. Wir unterstützen Sie gerne bei der Erstellung eines Cookie-Hinweises für Ihre Website.

Cookie-Hinweis auf Webseiten der EU: Quatsch oder Pflicht?

Viele Seitenbetreiber konfrontieren ihre Besucher mit einem Cookie-Hinweis auf der Webseite. Die meisten Nutzer sind davon aber ziemlich genervt. Brauchen Seitenbetreiber einen solchen Cookie Hinweis überhaupt? Oder ist sogar eine Einwilligung nötig? Welche Hinweise müssen dann in der Datenschutzerklärung stehen? Und wie genau sollte der Text für die Cookie Warnung aussehen?

Cookies und die EU-Cookie-Richtlinie

Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat. Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde aber bis jetzt noch gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern (auch die Schweiz) umgesetzt werden. Da das in der EU noch nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht. Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG Deutschland). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.

Das deutsche Recht kennt aktuell trotz der EU Cookie Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen. Um die Sache noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko, wenn Sie keinen Cookie Hinweis auf Ihrer Webseite anbieten.

Ist ein Cookie Hinweis Pflicht, was können Webseitenbetreiber konkret tun?

Die rechtlich sicherste Antwort:

Seitenbetreiber sollten die Einwilligung der Nutzer einholen. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegenfalls weiter gegeben werden. Der Nutzer muss diesen Text mit einem Klick bestätigen.

Der Mittelweg:

Sie informieren den Nutzer beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht (Cookie Banner), verzichten aber auf eine Einwilligung. Der Nutzer muss hier also nicht klicken und bestätigen.

Der etwas risikoreichere Weg

Seitenbetreiber, die kein Google AdSense nutzen (siehe Punkt 3.) können auch abwarten, ob und wie Deutschland die Richtlinie in den nächsten Monaten umsetzt gg. noch umsetzt und solange darauf vertrauen, dass es hier erst einmal nicht zu rechtlichen Auseinandersetzungen kommt.

Wichtig:

In ALLEN Varianten sollten Sie aber einen entsprechenden Passus zu Cookies und Hinweise für den Nutzer, wie er das Setzen von Cookies verhindern kann, in Ihre Datenschutzerklärung aufnehmen. Sie können dazu unseren kostenlosen Datenschutz-Generator verwenden:

Wichtig:

Zum Mai 2018 trat die DSGVO in Kraft. Diese regelt zwar die Frage der Cookies nicht ausdrücklich, das macht dann ab 2019 die ePrivacy-Verordnung. Alle Webseitenbetreiber, die Cookies nutzen, müssen aber seit Mai 2018 Ihre Datenschutzeklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.