Cookies, Sachertorte und andere Sünden!
Nein! Es geht nicht nur um Cookies!
Cookies sind in aller Munde. Die DSGVO soll schuld daran sein, dass jetzt überall diese nervigen Cookie-Banner hochpoppen, wenn man doch einfach nur die Website betrachten möchte.
Ich möchte hier einmal klarstellen, was ein Cookie überhaupt ist, dass es nicht (nur) um Cookies geht und was das mit der Sachertorte zu tun hat.
Was ist ein Cookie?
Ein Cookie besteht aus Name, Wert und Ablaufdatum und kann bis zu 4096 Byte groß sein. Auf vielen Websites heißt es „Cookies sind kleine Textdateien…“. Das stimmt schon lange nicht mehr. Ein Cookie kann im Webbrowser des Endgerätes gespeichert werden, welches die Website besucht. Die Speicherung des Cookies wird von der besuchten Website veranlasst. Sobald das Ablaufdatum erreicht ist, wird das Cookie automatisch gelöscht oder man löscht es manuell.
Cookies können z.B. dafür verwendet werden, den Inhalt eines Warenkorbs während des Aufenthalts in einem Online-Shop zu speichern oder Artikel in der Merkliste eines Onlineshops zu speichern, damit man diese beim nächsten Besuch wieder zur Verfügung hat. Derartige Cookies werden oft als notwendige oder als funktionale Cookies bezeichnet.
Für derartige funktionale Cookies braucht es auch keine Einwilligung in Form eines Cookie-Popups!
Warum sind Cookies böse?
Cookies sind nicht böse und können alleine für sich auch keinen Schaden anrichten.
Cookies werden aber oft dafür verwendet, den Besucher wiederzuerkennen und dies wird in den meisten Fällen für Werbung oder zur Messung von Werbemaßnahmen genutzt.
Remarketing- oder Retargeting-Cookies funktionierten bisher so:
Bei dem Besuch einer Website eines Onlineshops für Schuhe wird ein Cookie eines in die Website integrierten „Werbe-Trackers“ gesetzt, welches eine ID, also eine Zahl enthält, die der Werbetracker generiert hat. Nun besucht der potenzielle Kunde Tage später die Website eines Online-Magazins und erhält plötzlich wie von Zauberhand Werbung für GENAU die Schuhe, die ihm im Online-Shop schon so gefallen haben. Dies ist aber keine Zauberei, sondern eigentlich ganz einfach: in der Website des Magazins ist genau der gleiche Werbe-Tracker integriert, der auch schon in der Website des Schuh-Onlineshops integriert war. Er findet das Cookie und liest die ID aus, welche drinnen steht. Zu der ID hat er sich gemerkt, dass der potenzielle Kunde am allerlängsten eben dieses eine Paar Schuhe angeschaut hat und deshalb zeigt er ihm nun genau diese Werbung.
Auch wenn 3rd Party-Cookies langsam verschwinden, weil mehr und mehr Browser diese nicht mehr zulassen, werden Cookies weiterhin dazu verwendet, den Website-Besucher wiederzuerkennen, um z.B. zu messen wo er herkommt, ob er schon mal da war, usw.
Aber nicht nur mittels Cookies können Daten im Browser des Nutzers über die Sitzung hinaus gespeichert werden, es gibt auch noch den „Local Storage“, „Session Storage“ und weitere Möglichkeiten, die unter dieselben Gesetzmäßigkeiten fallen.
Aber auch ohne im Browser Daten abzulegen, versuchen die Tracker der Werbenetzwerke die Besucher wiederzuerkennen und „Profile“ zu bilden.
Es geht also doch nur um Cookies?
Nein eben nicht, im beschriebenen Beispiel kommt nicht nur ein Cookie zum Einsatz, sondern eben auch der genannte Werbetracker. Was ist nun ein Werbetracker? Ein Werbetracker ist ein Programm/ein Tool, welches in eine Website integriert ist, welches genau diesen Zweck hat: Daten über das Verhalten des Websitebesuchers zu sammeln, um an anderer Stelle und zum späteren Zeitpunkt möglichst maßgeschneiderte Werbung anzeigen zu können.
Was hat die Sachertorte damit zu tun?
Die Sachertorte kommt aus Wien , aber nicht nur die Sachertorte, sondern auch die NGO Noyb (https://noyb.eu) von Max Schrems, Österreichs prominentestem Datenschutzaktivisten. Max Schrems stammt allerdings aus Salzburg, man könnte also auch noch eine Mozartkugel dazulegen .
Bis zum Juli 2020 regelte das Privacy-Shield Abkommen einen freien Datenverkehr zwischen der EU und den USA. Aufgrund der Tatsache, dass US-Überwachungsgesetze wie FISA und der Cloud Act US-Behörden umfassende Zugriffsrechte auf bei US-Unternehmen gespeicherte Daten erlauben, hat Max Schrems ein Verfahren angestrengt und der Europäische Gerichtshof hat in seiner Entscheidung am 16. Juli 2020 das Privacy-Shield Abkommen für ungültig erklärt. Seit dem sind die USA ein unsicheres Drittland, was den Datenschutz aus Sicht der DSGVO betrifft.
So, wie spielt das nun alles zusammen?
In unserem Beispiel mit dem Werbetracker haben wir nun mehrere Komponenten:
- Das Cookie, welches auf unserer Hardware gespeichert wird, um uns wiederzuerkennen.
- Der Werbetracker, eine Software die unsere Daten zu einem bestimmten Zweck verarbeitet.
- Das Unternehmen, welches den Werbetracker betreibt und in den USA sitzt.
Welche Gesetze regeln nun was?
Cookies werden von der E-Privacy-Richtlinie geregelt (in Österreich umgesetzt durch das TKG, in Deutschland durch das TTDSG).
- Die Verarbeitung von Daten zu einem gewissen Zweck wird von der DSGVO geregelt.
- Der Datenexport in ein unsicheres Drittland wird von der DSGVO geregelt.
In unserem Beispiel bedeutet das: Wir müssen darauf hinweisen, dass wir ein Cookie zu Marketingzwecken verwenden wollen. Wir verarbeiten Daten zu Marketingzwecken, die nicht notwendig sind, um dem User die Website zu zeigen, sondern einzig und allein dafür dienen, Produkte zu bewerben. Dann schicken wir die Daten für diese Verarbeitung auch noch an ein US-Unternehmen, welches die Daten aber nicht nur dafür verwendet, sondern von tausenden Websites Informationen sammelt und eine riesen Wissensdatenbank über den Nutzer aufbaut und wer weiß was noch damit macht.
Dies alles geht (wenn überhaupt) nur mit Einwilligung.
Und die DSGVO regelt sehr streng, wie eine Einwilligung auszusehen hat.
Sie muss freiwillig und durch eine bewusste Handlung gesetzt sein , sie muss leicht widerrufbar sein, sie muss verständlich sein, sie muss nachweisbar sein, man darf nicht zu einer Einwilligung gedrängt werden (nudging), Ablehnen muss gleich einfach sein wie zustimmen, etc.
Fazit: Was bedeutet das nun für meine Website?
Dies bedeutet, wenn man Analyse-, Werbetracker oder ähnliches auf seiner Website/in seinem Webshop nutzen möchte, kommt man an einer Einwilligung nicht vorbei und diese muss alle Kriterien erfüllen, ansonsten ist sie ungültig. Gute Cookie-Popups decken all diese Aspekte ab, schlechte nur einen Teil davon und die ganz schlechten fragen zwar um Erlaubnis und die Tracker sind bereits vorher eingebunden.
Auch „cookieless tracking“, was immer öfter propagiert wird, löst eben nur eines der Probleme, denn die Verarbeitung der Daten womöglich in einem Drittland ist immer noch einwilligungspflichtig.