Was es zu berichten gibt

Erzählen Sie's ruhig weiter!

"Cookie-Richtlinie": Ein Leitfaden für Website Betreiber

Verwenden Sie auf Ihrer Website Cookies? Wenn ja, dann sind Sie gesetzlich zur Umsetzung der "Cookie-Richtlinie" verpflichtet. Hat diese lange Zeit ein Schattendasein gefristet, wird deren Umsetzung in den letzten Monaten jedoch verstärkt Aufmerksamkeit gewidmet. Vor allem bei großen, bekannten Anbietern ist die Umsetzung der Richtlinie verstärkt zu beobachten. Wir haben uns dem Thema ausführlich gewidmet und möchten mit diesem Beitrag sowohl relevante Information als auch Hilfestellung zur Umsetzung der Cookie-Richtlinie anbieten.

Was regelt die Cookie-Richtlinie?

Die umgangsprachlich bezeichnete "Cookie-Richtlinie" - gemeint ist die E-Privacy-Richtlinie 2002/58/EG - ist eine EU-Richtlinie, welche darauf abzielt, den Datenschutz für Internet User zu erhöhen. Dies soll unter anderem dadurch erreicht werden, dass der User der Verwendung von Cookies zustimmen muss, bevor diese auf Websites eingesetzt werden dürfen (Cookies sind kleine Dateien, die der zeitlich beschränkten Speicherung von u.a. personenbezogenen Daten dienen).

Aufgrund der etwas undurchsichtigen Rechtslage und den beobachteten großen Unterschieden in der Art, wie die Zustimmung der User zur Verwendung von Cookies eingeholt wird, haben wir den Salzburger Experten für Internet Recht, Dr. Peter Harlander, mit einem Gutachten beauftragt. Die wesentlichen Auskünfte daraus dürfen wir Ihnen im Folgenden zusammenfassen.

Wann betrifft mich als Website-Betreiber die Cookie-Richtlinie überhaupt?

Sobald Sie Cookies auf Ihrer Website einsetzen (oder dies über einen eingebundenen fremden Dienst passiert), sind Sie zur Umsetzung der Richtlinie verpflichtet.
Grundsätzlich gilt: Die E-Privacy-Richtlinie betrifft nicht nur den Einsatz von Cookies, sondern auch alle anderen personenbezogenen Daten, die auf der Website vom User abgefragt und gespeichert werden. Sobald Sie also personenbezogene Daten abfragen und/oder diese in Cookies (oder anderwertig) speichern, sind Sie verpflichtet, die Richtlinie umzusetzen.

Informationspflicht

Für alle abgefragten personenbezogenen Daten inklusive deren Speicherung besteht eine Informationspflicht des Website-Betreibers. Zu informieren ist über:

• die ermittelten, verarbeiteten, übermittelten personenbezogenen Daten
• die Rechtsgrundlage
• den Zweck
• die Speicherdauer

Eine derartige Information muss nach Datenschutzgesetz immer sehr detailliert inklusive der Auflistung der ermittelten Daten erfolgen. Üblicherweise werden diese Informationen auf einer eigenen Unterseite der Website, die alle datenschutzrelevanten Informationen enthält (oft heißt der Menüpunkt "Datenschutz & Cookies") bereit gestellt, oder es erfolgt eine Datenschutzerklärung im verbindlichen Website-Impressum.

Hinweis: Ein Problem im Zusammenhang mit der Informationspflicht sind alle Fremddienste (z.B. Web Tracking Tools wie Google Analytics, Social Plugins etc.), bei denen diese Informationen gar nicht verfügbar sind. Eine datenschutzrechtlich einwandfreie Information ist hier derzeit nicht durchführbar.

Einwilligung zur Verwendung von Cookies

Der Einsatz von Cookies darf nur erfolgen, wenn der Nutzer seine Einwilligung dazu erteilt hat. Dem Benutzer muss also zur Kenntnis gebracht werden, welche Daten erhoben und in welchen Cookies diese wie lange gespeichert werden - um diese Cookies verwenden zu können, muss der User dem Einsatz dieser Cookies zustimmen.
Wie diese Zustimmung vom User eingeholt werden kann, können Sie sich u.a. auf der BlueChip Website ansehen (www.bluechip.at) - siehe auch weiter unten --> Handlungsempfehlung.

Hinweis: Das Gesetz bietet eine Ausnahme für technisch zur Erbringung des vom Benutzer gewünschten Dienstes unbedingt erforderliche Cookies. „Technisch unbedingt erforderlich“ und „vom Benutzer gewünscht“ sind sicher eng auszulegen und ermöglichen z.B. Session-Cookies für Warenkorb-Funktionen, aber keine Cookies zur Anpassung der Website an das Benutzerverhalten oder zur Analyse.

Handlungsempfehlung

Bei der Auseinandersetzung mit dem Thema wird schnell klar: Jene Akteure, die die "Cookie-Richtlinie" bereits umgesetzt haben, tun dies in sehr unterschiedlicher Art und Weise was v.a. die Einwilligung des Users zur Verwendung von Cookies betrifft. Einige weisen nur sehr dezent auf die Verwendung von Cookies hin und entscheiden sich für eine Opt-Out Lösung, während andere eine strenge Umsetzung mit klarem Opt-In als angebracht sehen.

O-Ton Dr. Harlander:
"Eine verbindliche Auskunft, wie der Gesetzestext zu interpretieren ist und wie sich die Sache entwickelt, ist mangels Rechtsprechung oder Literatur derzeit nicht möglich. Die letzten Jahre hat die Regelung ein klares Schattendasein gefristet. Das könnte sich aber durch die Diskussion in Deutschland ändern."

Vor diesem Hintergrund ist es ratsam, zumindest die Mindestanforderungen der Richtlinie umzusetzen. Das Mindesterfordernis kann in Art und Weise wie beispielhaft auf www.bluechip.at umgesetzt werden:

  • Mittels einer gut ersichtlichen Einblendung, eines sogenannten "Overlays" (z.B. ganz unten oder auch mittig auf der Website) wird der User auf die Verwendung von Cookies hingewiesen. Außerdem wird er darüber aufgeklärt, dass er die gewährten  Möglichkeiten zur Verwendung von Cookies in den Browsereinstellungen selbst verändern kann.
  • Über einen "OK"-Button wird die aktive Zustimmung des Users zur Verwendung der Cookies eingeholt.
  • Über einen Details-Button kann der User vor der Einwilligung detaillierte Informationen zu den eingesetzten Cookies bzw. die gesamte Datenschutzerklärung abrufen. Dies kann im Website-Impressum oder einer eigenen Subseite erfolgen.

Hilfestellung bei der Umsetzung & weitere Auskünfte

Gerne unterstützen wir Sie bei der technischen Umsetzung der Cookie-Richtlinie auf Ihrer Website.
Dies beinhaltet

  • die Prüfung, ob Sie überhaupt eigene Cookies verwenden (extern angebundene Systeme sind von der Prüfung ausgenommen)
  • wenn ja: die Gestaltung des Overlays zur Einwilligung (die Einblendung mit Basis-Infos und dem OK- bzw. Details-Button) sowie
  • die Bereitstellung der Informationen für die Datenschutzerklärung zu den eingesetzten Cookies.

(Achtung: Ob Ihre Website alle Datenschutz-relevanten Informationen und Auflagen erfüllt, kann letztlich nur ein Rechtsexperte prüfen.)

Ihr Ansprechpartner bei BlueChip:
Manfred Egger (em@bluechip.at)