Aktuelles

Zum Inhalt springen
de | en

Schreiben Sie uns eine Nachricht
Kontaktformular

Rufen Sie uns gerne an: 040 - 85 181 400
Telefon

Chatten Sie mit uns
Chat

Nicht mit Kanonen auf Spatzen schießen

Datenschutzkonforme Websites im Spannungsfeld von DSGVO, Cookie-Urteil und ePVO

Personenbezogene Daten im Internet zu schützen, ist eine Herausforderung, für die eine verbindliche Rechtsgrundlage bisher fehlt. Das aktuelle Durcheinander aus ePrivacy-Richtlinie, Cookie-Richtlinie, Telemediengesetz, Datenschutzgrundverordnung, Cookie-Urteil und ePrivacy-Verordnung ruft vielerorts Verunsicherung hervor. Zu groß sind die Interpretationsspielräume für Unternehmen, zu unterschiedlich die sich daraus ergebenden Vorschriften im Umgang mit personenbezogenen Informationen. Unabhängig von der momentanen Situation sollten Unternehmen ihre Corporate Website so aufsetzen, dass sie datenschutzrechtlich auf der sicheren Seite sind.

Der juristische Hintergrund der aktuellen Datenschutzdiskussionen ist sehr komplex. Darum lohnt es sich, die verschiedenen Vorgaben zunächst zueinander in Bezug zu setzen. Die ePrivacy-Richtlinie 2002/58/EG (2002) regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. Die Cookie-Richtlinie 2009/136/EG (2009) ergänzt die ePrivacy-Richtlinie: Anbieter müssen Nutzer aufklären, um Cookies auf ihrem Endgerät speichern zu dürfen. In Deutschland hat der Gesetzgeber die Cookie-Richtlinie durch Anpassungen im Telemediengesetz (TMG) umgesetzt: Unternehmen müssen die Nutzer über das Setzen von Cookies nicht nur informieren, sondern auch eine Möglichkeit zum Widerspruch bieten (Opt-out). Die Datenschutzgrundverordnung (DSGVO, 2018) stellt wiederum einen Basisschutz bei der Verarbeitung personenbezogener Daten sicher.

Gehören Cookies bald der Vergangenheit an?

Ursprünglich sollte die ePrivacy-Verordnung (ePVO) gemeinsam mit der DSGVO in Kraft treten – was nicht gelungen ist, weil sich EU-Parlament, EU-Kommission und EU-Rat bis heute nicht auf einen gemeinsamen Entwurf einigen konnten. Wie bereits die ePrivacy-Richtlinie, soll auch die ePVO personenbezogene Daten in der elektronischen Kommunikation schützen. Dabei stehen Cookies im Zentrum. Um Cookies setzen und Nutzerprofile erstellen zu dürfen, soll der Betroffene aktiv zustimmen müssen (Opt-in) – sofern das Cookie nicht zwingend notwendig ist, um den entsprechenden Service bereitzustellen. Damit konkretisiert die ePVO die teils schwammigen beziehungsweise fehlenden Formulierungen der aktuellen Gesetzgebung im speziellen Bereich der Cookies und der Datenerfassung. Diese Auffassung hat der Europäische Gerichtshof (EuGH) im Oktober 2019 gestärkt. Das vieldiskutierte Cookie-Urteil verbietet Cookie Consent Banner: Sie informieren Nutzer lediglich darüber, dass der Website-Betreiber Cookies setzt. Auch das Zustimmungsfeld bereits mit einem Haken vorauszufüllen, den der Besucher dann entfernen muss, ist nicht mehr erlaubt.

Besucher verständlich aufklären

Um nicht gegen geltendes Recht zu verstoßen und damit empfindliche Bußgelder zu riskieren, sollten Unternehmen besser gestern als morgen aktiv werden. Eine Maßnahme, die sich recht einfach umsetzen lässt, ist die rechtskonforme Gestaltung des Cookie Banners. Sobald Nutzer eine Website besuchen, sollte ein gut sichtbares Banner erscheinen, das sich idealerweise in das Corporate Design der Seite harmonisch einfügt und das Nutzer als organischen Bestandteil der Seite wahrnehmen. Erfahrungsgemäß erhöht das die Bereitschaft, dem Setzen von Cookies zuzustimmen. Der Text des Banners sollte zum einen verständlich erklären, warum das Unternehmen Cookies setzen möchte. Zum anderen muss der Besucher die Möglichkeit erhalten, seine Einstellungen individuell anzupassen. Daneben ist die Datenschutzerklärung direkt im Cookie Banner zu verlinken. Dort sollten User das Banner nachträglich noch einmal aufrufen können, um die ursprüngliche Konfiguration zu ändern.

Aller guten Cookies sind drei

Natürlich wollen Unternehmen, dass Nutzer möglichst viele Cookies erlauben (Opt-in). Darum darf es durchaus einfacher sein, den „Akzeptieren“-Button im Banner zu klicken, als die Cookie-Einstellungen zu konfigurieren. Doch Vorsicht: Nutzern eine umfangreiche Liste mit allen eingesetzten Tracking- und Analyse-Tools zu präsentieren oder sie aufzufordern, ihre Cookie-Einstellungen im Browser anzupassen, wirkt sehr abschreckend. Besser ist es, wenige Auswahlmöglichkeiten zu geben und diese kurz zu erklären: Wesentliche Cookies stellen die Funktionalität der Website sicher und lassen sich darum nicht deaktivieren. Funktionelle Cookies dienen dazu, die Website-Nutzung zu analysieren und so ihre Performance sowie Funktionalität kontinuierlich zu verbessern. Marketing-Cookies wiederum sind notwendig, um Benutzerprofile zu erstellen und – auf dieser Basis – personalisierte Werbeinhalte anzuzeigen. Im Hinblick auf das Cookie Banner sind viele Unternehmen verunsichert. Mehr als ein Banner mit übersichtlichen Auswahlmöglichkeiten braucht es üblicherweise nicht. Und manchmal nicht einmal das. Weil die Rechtslage so undurchsichtig ist, wollen manche Unternehmen ein unnötig umfangreiches und damit kostspieliges Banner ausspielen, obwohl sie gar keine oder nur wesentliche Cookies setzen. Für beide braucht es kein Banner. Beispiele sind unter anderem technisch erforderliche Session Cookies zur Speicherung der Spracheinstellung oder Warenkorb-Cookies. Ohne sie wäre es nicht möglich, die gewünschten Artikel im Warenkorb anzuzeigen – eine unverzichtbare Grundfunktion jedes Onlineshops.

Datenkraken die Stirn bieten

Ebenso wichtig wie Cookie Banner, aber ungleich komplexer, ist es, Inhalte von Drittanbietern in eine Website zu integrieren und dabei einen rechtskonformen Umgang mit personenbezogenen Daten sicherzustellen. Um Website-Inhalte auf Social-Media-Plattformen liken und teilen zu können, übertragen die Buttons bei jedem Seitenaufruf sensible Nutzerdaten über das Surfverhalten an den Betreiber des jeweiligen Social Netzworks – unabhängig davon, ob der User Mitglied des Netzwerks beziehungsweise eingeloggt ist. Die über Embedded Cookies erhobenen Nutzerdaten fließen in der Regel an US-amerikanische Server – wo sie nicht mehr dem europäischen Datenschutz unterliegen. Was viele nicht wissen: Website-Betreiber können diese Datensammlung unterbinden. Unternehmen, die zum Beispiel das quelloffene Content-Management-System (CMS) TYPO3 einsetzen, müssen Tracking-Mechanismen aktiv hinzufügen. Seit Version 9 werden in der Standard-Installation keine Cookies mehr gesetzt. Aber auch Unternehmen mit einem anderen CMS sind der Sammelwut von Datenkraken nicht schutzlos ausgeliefert.

Die Privatsphäre der Nutzer schützen

Es gibt nämlich Tools, welche die Privatsphäre von Website-Besuchern schützen. Sobald Like- und Share-Buttons in eine Website integriert sind, erfassen üblicherweise Social Plug-ins die IP-Adresse des Nutzers, um seine weiteren Aktivitäten zu protokollieren – auch dann, wenn er die Buttons nicht klickt. Entsprechende Tools hingegen stellen den Kontakt zwischen Social Network und Besucher erst beim Klicken des Buttons her. Damit hinterlassen Nutzer keine ungewollte digitale Spur, und soziale Netzwerke können keine kompletten Surf-Profile erstellen. Andere Tools erlauben, Videos datenschutzkonform in eine Website einzubinden. Auch wenn ein Video direkt in das jeweilige Social Network eingebettet ist, erfolgt der Datentransfer im Hintergrund über den Server des Website-Betreiber. Der Video-Dienst erhält damit nur dessen Daten, nicht aber die des Besuchers.

Manchmal sind zwei Klicks besser als einer

Ein Dienst, der diese Tools noch nicht unterstützt, ist Google Maps. Um dennoch zu verhindern, dass Google Nutzerdaten erfasst, kommen Website-Betreiber um eine Zwei-Klick-Lösung nicht herum. Der Nutzer muss zwei Klicks tätigen, um ein Web-Angebot zu nutzen – was etwas weniger komfortabel ist. Um sich den Standort eines Unternehmens bei Google Maps anzeigen zu lassen oder eine Wegbeschreibung abzurufen, erscheint bei einer Zwei-Klick-Lösung zunächst ein kleines Banner. Es weist den Besucher darauf hin, dass er den Datenschutzbestimmungen des Anbieters, in diesem Fall Google, zustimmen muss, um die interaktive Karte zu nutzen. Erst im Anschluss erfolgt der Datentransfer.

Nicht über das Ziel hinausschießen

Wofür sich ein Unternehmen entscheidet, ist eine höchst individuelle Angelegenheit. Aufgrund der Komplexität ist die professionelle Beratung durch einen auf Datenschutz spezialisierten Anwalt unerlässlich – ebenso wie eine Bedarfsanalyse, die ein erfahrener IT-Dienstleister durchführt. Im Mittelpunkt stehen dabei drei Fragen: Welche Dritt-Technologie setzt ein Unternehmen ein? Woher stammen diese Lösungen? Und garantieren sie nachweislich einen hierzulande als rechtskonform geltenden Umgang mit personenbezogenen Daten? Weiterhin wichtig sind die Fragen: Braucht es Google Analytics? Und welche Daten zu erheben, ist generell sinnvoll? Erfahrungsgemäß ist das Tracking der größte Knackpunkt. Einige Nutzer sind inzwischen für das Thema Datenschutz sensibilisiert und darum zu keinem Opt-in bereit. Andere sind genervt und stimmen dem Setzen von Cookies zu, ohne sich über die Auswirkungen bewusst zu sein. Ein seriöser IT-Dienstleister weist Unternehmen auf die rechtliche Uneindeutigkeit und das damit verbundene Risiko hin. Er sollte für das Thema Datenschutz sensibilisieren, ohne Ängste zu schüren. In der Praxis müssen Unternehmen bei ihrer Corporate Website die richtige Balance zwischen Datenschutz und Usability finden. Und dabei gilt: Nicht mit Kanonen auf Spatzen schießen.

Autor: Radek Paluszak

Alle aktuellen Meldungen

Für Ihre optimale digitale Erfahrung verwendet diese Website Cookies

Wir nutzen Cookies, um Ihnen eine benutzerfreundliche, sichere und effektive Website bereitzustellen. 

Um die Einstellungen zu ändern, klicken Sie bitte auf den Button "Einstellungen".

Was sind Cookies?
Datenschutz/Impressum

Cookie Einstellungen

Wir nutzen Cookies, um Ihnen eine benutzerfreundliche, sichere und effektive Website bereitzustellen. Hier können Sie die Cookies aktivieren oder deaktivieren.

Technische Cookies sind für das Funktionieren der Website erforderlich. Sie lassen sich nicht deaktivieren.

Cookie-Informationen einblenden
Session Cookie
Anbieter: atlantis dx GmbH
Zweck: Dienen zum Speichern der Cookie-Einstellungen, Login und Einstellungen, die auf der Seite vorgenommen werden.
Cookie Name: cookie_consent, cookie_gtm_consent, fe_typo_user, be_typo_user
Laufzeit: Sitzung, Cookie-Einstellungen bis zu einem Jahr
Anbieter: Social Intents LLC
Zweck: Dienen dem Bereitstellen einer Chat-Funktion für ein gesteigertes Nutzererlebnis in der Kontakteaufnahme und eine beschleunigte Anfragenbearbeitung.
Cookie Name: _fprom_track, _gid, _fprom_code, _ga_FY4VS8GPKL, _gcl_au, _uetvid, _fbp, _ga, _uetsid, ln_or, AWSALBCORS, AWSALB, sipv_, si_convert-, JSESSIONID, _dd_s
Laufzeit: bis zu zwei Jahren
Cookie-Informationen ausblenden

Wir nutzen Performance- und Tracking-Cookies, um unsere Website weiter zu verbessern und Ihnen eine Benutzererfahrung ermöglichen zu können, die auf Ihre Bedürfnisse zugeschnitten ist.

Cookie-Informationen einblenden
Google Analytics
Anbieter: Google LLC
Zweck: Dienen der Erfassung von Daten zu Besuchen des Benutzers auf der Website (wie z.B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten geladen wurden), um das Nutzererlebnis optimieren zu können.
Cookie Name: _ga, _gat, _gid
Laufzeit: bis zu zwei Jahren
Matomo
Anbieter: InnoCraft Ltd.
Zweck: Dienen der Erfassung von Daten zu Besuchen des Benutzers auf der Website (wie z.B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten geladen wurden), um das Nutzererlebnis optimieren zu können.
Cookie Name: _pk_id#, _pk_ref#, _pk_ses#, MATOMO_SESSID
Laufzeit: bis zu einem Jahr
Cookie-Informationen ausblenden
Was sind Cookies?

Was sind Cookies?

Cookies sind kleine Textdateien, die in der Regel aus Buchstaben und Zahlen bestehen und auf Ihrem Computer, Tablet, Mobilgerät oder einem ähnlichen Gerät abgelegt werden, wenn Sie eine Website mit Ihrem Gerät aufrufen. Cookies werden von Ihrem Webbrowser akzeptiert und dienen dazu, Ihr Gerät zu identifizieren.

Cookies werden von uns verwendet, um die Leistungsfähigkeit unserer Websites zu erhöhen, um Informationen über Ihren Besuch auf unserer Website zu sammeln und zu übermitteln. Bei den Informationen handelt es unter anderem über die Anzahl der Besuche, die durchschnittliche Verweildauer, die aufgerufenen Seiten, den Browserverlauf auf der Website sowie weitere statistische Werte.

Technische Cookies
Sie sind zwingend notwendige Cookies, um den Betrieb der Website sicherzustellen und Funktionen der Seite, wie die Navigation, nutzen zu können oder Zugriff auf geschützte Bereiche der Website zu erhalten. Hierbei handelt es sich vorrangig um Session Cookies (Sitzungscookies) oder Verbindungscookies.

Unbedingt notwendige Cookies werden nicht dauerhaft auf Ihrem Computer oder Gerät gespeichert und werden gelöscht, wenn Sie den Browser schließen.

Performance- und Tracking-Cookies
Es handelt es sich vor allem um Analytische- und Performance-Cookies, die statistische Daten zum Nutzungsverhalten sowie zur Leistungsfähigkeit der Website speichern.

Diese Art von Cookies ermöglicht es uns, die Anzahl der Besucher und Traffic-Quellen zu erfassen, zu zählen sowie um die Leistung unserer Website messen und zu verbessern. Sie helfen uns herauszufinden, ob bei bestimmten Seiten Probleme auftreten oder Fehlermeldungen erscheinen, welche Seiten am beliebtesten und am unbeliebtesten sind und wie Besucher auf der Website navigieren.

Mithilfe dieser Informationen können wir unsere Website verbessern, um die Benutzerfreundlichkeit zu erhöhen, eine intuitivere Navigation zu ermöglichen und somit unseren Nutzern allgemein ein positiveres Erlebnis zu bieten.

Analytische und Performance-Cookies werden nicht gelöscht, wenn Sie den Browser schließen, und werden daher dauerhaft auf Ihrem Computer oder Gerät gespeichert.

Datenschutz/Impressum