IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
von RA Nicolai Amereller

IT-Recht Kanzlei bietet Mandanten kostenlose Cookie-Consent-Lösung bis vsl. zum 15.11.2019

Die IT-Recht Kanzlei freut sich, nach umfassender Marktanalyse nun voraussichtlich bis Mitte November 2019 ihren Mandanten eine innovative, professionelle und vor allem dauerhaft kostenfreie Cookie-Consent-Lösung anbieten zu können. Auf diese Weise können Mandanten der IT-Recht Kanzlei dann ohne Zusatzkosten Einwilligungen für das Setzen von technisch nicht notwendigen Cookies einholen.

Worum geht es?

Das Urteil des EuGH vom 01.10.2019 zur Notwendigkeit der Einwilligung in das Setzen technisch nicht notwendiger Cookies beschäftigt die Webeseitenbetreiber nach wie vor sehr stark.

Seit der Entscheidung des EuGH steht fest: Wer ein technisch nicht notwendiges Cookie auf dem Gerät des Seitenbesuchers setzen (lassen) möchte, darf dies nur, wenn der Seitenbesucher zuvor ausdrücklich darin eingewilligt hat.

Kurzum: Der Seitenbesucher muss „Ja“ zu jedem Cookie sagen, welches beim Aufruf einer Webseite bei ihm gesetzt werden soll und das technisch nicht notwendig für den Betrieb der besuchten Webseite ist.

Von dieser Problematik betroffen sind Webseitenbetreiber (und damit auch Onlinehändler, die einen eigenen Onlineshop betreiben) insbesondere dann, wenn diese cookiebasierte Tracking-, Analyse- und sonstige Marketingtools auf ihren Seiten implementiert haben.

Umfassende Hintergrundinfos zu rechtlichen Situation finden Sie gerne hier.

Welche technische Lösung gibt es?

Doch wie kommt der Webseitenbetreiber in der Praxis an die notwendige Einwilligung des Besuchers, will er weiterhin (rechtssicher) derlei Tools auf seiner Seite betrieben?

Ein bloßer Hinweis auf das Setzen solcher Cookies im Rahmen der vorgehaltenen Datenschutzerklärung oder im Rahmen eines sog. „Cookie-Banners“ auf der Webseite ist keinesfalls ausreichend. Dies stellt jeweils keine Einwilligung, sondern nur eine Information dar.

Klar ist, dass die Einholung der Einwilligung vor dem Setzen des jeweiligen Cookies und in ausdrücklicher und freiwilliger Weise erfolgen muss. Für den reibungslosen Ablauf ist auch erforderlich, dass die Einholung der Einwilligung an zentraler Stelle (z.B. direkt bei Aufruf der Seite als Banner/Popup) durch ein automatisiertes Tool erfolgen muss, welches die Einwilligung auch protokolliert.

Insbesondere dann, wenn mehrere einwilligungspflichtige Cookies gesetzt werden sollen, der Seitenbesucher jedoch nicht in das Setzen aller Cookies eingewilligt hat, muss dies natürlich beachtet werden. Betreibt man auf der Seite z.B. 3 verschiedene, allesamt cookiebasierte Trackingtools, der Besucher willigt aber nur in das Setzen eines Cookies durch ein Tool ein, dann dürfen die beiden anderen Tools bei diesem Besucher nicht „gestartet“ werden.

Andernfalls würde ein solches Cookie ja nicht nur - wie meist bislang - ohne ausdrückliche Einwilligung, sondern klar gegen den erklärten Willen des Besuchers gesetzt werden.

Für die Einholung der erforderlichen „Cookie-Einwilligung“ bietet sich für die Webseitenbetreiber der Einsatz eines sogenannten Cookie-Consent-Tools an.

Mittels dessen wird der Seitenbesucher beim Aufruf der Webseite gefragt, ob er dem Setzen einzelner Cookies zustimmen möchte.

Das Tool speichert diese Eingaben ab und soll in technischer Hinsicht sicherstellen, dass auf dem Gerät des Seitenbesuchers dann auch tatsächlich nur solche Cookies gesetzt werden, in deren Setzung er zuvor eingewilligt hat. Es handelt sich dabei also um eine Art technisch-automatisierten „Cookie-Manager“.

Bekannte Cookie-Consent-Tools sind etwa die Lösungen von Usercentrics, Borlabs oder Cookiebot.

Derlei Cookie-Consent-Tools sind grundsätzlich kostenpflichtig. Die Kosten hängen oft vom Leistungsumfang des Tools, Größe des das Tool nutzenden Unternehmens und Zahl der monatlichen Seitenaufrufe ab.

1

Exklusiv für Mandanten der IT-Recht Kanzlei: Kostenfreies, professionelles Cookie-Consent-Tool!

Nach entsprechender Marktstudie, Gesprächen mit diversen Anbietern von Cookie-Consent-Tools und eingehender technischer Analyse der verfügbaren Tools freut sich die IT-Recht Kanzlei, ihren Mandanten nunmehr ab voraussichtlich Mitte November 2019 in Kooperation mit PRIVE (https://www.prive.eu) ein auf der Usercentrics-Technologie basierendes, professionelles Cookie-Consent-Tool anbieten zu können.

Exklusiv: Update-Service-Mandanten der IT-Recht Kanzlei steht dieses Cookie-Consent-Tool kostenfrei zur Verfügung. Den Mandanten entstehen also keinerlei Mehrkosten für die Nutzung dieses Tools!

Was ist PRIVE?

PRIVE ist eine von Anwälten und Datenschutzbeauftragten entwickelte DSGVO-Komplettlösung, mit der Sie den Datenschutz in Ihrem Unternehmen innerhalb kürzester Zeit und ohne Vorkenntnisse organisieren können. Verarbeitungsverzeichnis, TOMs, Cookies, AV-Verträge mit elektronischer Signatur, vielen vorkonfigurierten Vorlagen sowie automatischen Generatoren für Betroffenenanfragen Ihrer Kunden und der Erfassung von Datenpannen. Bei Bedarf können Sie mit einem Klick einen TÜV-zertifizierten Datenschutzbeauftragten oder eine persönliche Beratung zu sämtlichen Datenschutzthemen dazubuchen.“

Aktuell befindet sich die von der IT-Recht Kanzlei angebotene Cookie-Consent-Lösung in abschließenden Tests und Anpassungen, damit für die Mandanten eine möglichst einfache und reibungslose Integration auf die Webseiten ermöglicht werden kann. Das Go-Live ist für den 15.11.2019 angestrebt.

Von folgenden Vorteilen profitieren Update-Service-Mandanten der IT-Recht Kanzlei dabei:

  • Professionelles Cookie-Consent-Tool steht zur Verfügung
  • basierend auf der Technologie von Usercentrics, einem der Marktführer im Bereich Consent-Tools
  • Einfache Integrierbarkeit
  • Unterstützung der gängigen Tacking- und Analysedienste
  • Das Cookie-Consent-Tool wird laufend gepflegt und weiter ausgebaut werden
  • Dauerhaft kostenfreie Nutzung für Update-Service-Mandanten der IT-Recht Kanzlei

Sobald die Cookie-Consent-Lösung der IT-Recht Kanzlei zur Nutzung bereitsteht, werden Update-Service Mandanten darüber informiert werden.

Gibt es auch andere empfehlenswerte Cookie-Consent-Tools?

Es gibt am Markt mehrere empfehlenswerte Cookie-Consent-Lösungen.

Wer als Webseitenbetreiber nicht bis zum 15.11.2019 warten kann oder will, findet hier eine Auflistung möglicher Alternativ-Tools:

ÜCCT 3

Weitere Alternativ-Tools:

ÜCCT2

Aber: Cookie-Consent-Tools sind leider kein „Allheilmittel“

Derzeit ist in Bezug auf Cookie-Consent-Tools (unserer Kenntnis nach) leider keine Lösung verfügbar, die das Setzen technisch nicht notwendiger Cookies ohne Einwilligung zu 100% ausschließen kann. Ein gutes Cookie-Consent-Tool schafft dahingehend ein sehr hohes Schutzniveau, jedoch keinen vollständigen Schutz.

Darüber hinaus ist die korrekte technische Implementierung von Cookie-Consent-Tools oftmals recht anspruchsvoll und setzt gewisse technische Fähigkeiten des Webseitenbetreibers voraus.

Kein lückenloser Schutz

Leider kann auch der Einsatz eines Cookie-Consent-Tools keine vollständige Sicherheit dahingehend bieten, dass unter bestimmten Umständen nicht doch ein technisch nicht notwendiges Cookie ohne Einwilligung gesetzt wird.

Die folgenden Ausführungen sollen die bestehende Problematik nicht ansatzweise technisch tiefgreifend oder gar vollständig darstellen. Vielmehr soll für den typischen Seitenbetreiber die bestehende technische Problematik anschaulich und verständlich dargestellt werden.

Ziel des Cookie-Consent-Tools ist es, den Seitenbesucher davor zu schützen, dass auf dem von ihm beim Seitenaufruf verwendeten Endgerät (z.B. PC, Tablet oder Smartphone) ein technisch nicht notwendiges Cookie gesetzt wird, ohne dass er zuvor „Ja“ dazu gesagt hat.

Bei den derzeit verfügbaren technischen Lösungen findet diese Schutzmaßnahme oft (auch) auf Browserebene statt, d.h., das Cookie-Consent-Tool muss für einen umfassenden Schutz des Seitenbesuchers mit dem von diesem verwendeten Browser „zusammenarbeiten“.

Auf dieser Ebene befindet sich auch die technische Schwachstelle: Es existiert zum einen eine kaum überblickende Vielzahl von Browsertypen (z.B. Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari, Android-Browser u.v.m.). Daneben existieren für nahezu jeden dieser Browsertypen unterschiedliche Versionsstände (z.B. Internet Explorer in den Versionen 8 oder 10, Firefox in den Versionen 60 oder 70 usw.).

In dem Umstand, dass ein Cookie-Consent-Tool auf die Zusammenarbeit mit dem Browser angewiesen ist und der großen Vielfalt an Browsertypen sowie –versionen liegt das Problem der nicht gegebenen, allumfassenden Schutzwirkung für den Seitenbesucher begründet.

Gerade bei der Nutzung älterer Browserversionen haben die Techniker der IT-Recht Kanzlei die Feststellung treffen müssen, dass viele gängige Cookie-Consent-Tools nicht (wie mit aktuellen Browserversionen) funktionieren und dann u.U. kein Schutz des Seitenbesuchers gewährleistet ist.

Kommt eine ältere Browserversion zum Einsatz (so konnte dies etwa beim Einsatz von Internet Explorer 8 – die aktuelle Version ist 10 - nachvollzogen werden), werden unter Umständen – obwohl keine Einwilligung dazu erteilt wurde – Cookies für technisch nicht notwendige Dienste / Tools gesetzt.

Dies bedeutet, dass in solchen Fällen - obwohl der Seitenbesucher der Setzung solcher Cookies nicht zugestimmt hatte - Cookies vereinzelt gesetzt werden, und damit quasi sogar gegen den Willen des Seitenbesuchers. Das Cookie-Consent-Tool „hält“ dann den auf der Webseite laufenden Dienst bzw. das laufende Tool nicht ausreichend vor dem Nutzer „zurück“, der von dem Dienst/ Tool zu setzende Cookies eigentlich gar nicht wünscht.

Technisch lassen sich also „böse“ Cookies ohne Einwilligung auch beim Einsatz eines Cookie-Consent-Tools meist nicht verhindern, da der Schutz auch vom eingesetzten Browser abhängig ist, auf welchen Seitenbetreiber und Cookie-Consent-Tool aber nicht hinreichend Einfluss nehmen können.

Technisch komplexe Implementierung

Die Webseitenbetreiber erwarten von einem Cookie-Consent-Tool eine einfach zu integrierende, möglichst wartungsfreie Lösung.

Tiefgreifende technische Kenntnisse sind in Zeiten von baukastenbasierten Onlineshops oder gar cloudbasierten und skalierbaren Shopsystemen wie etwa Shopify oftmals gar nicht mehr vorhanden.

Insbesondere die Einbindung von individuellem Code in die eigenen Webseiten für jeweils vom Seitenbetreiber genutzte Dienste / Tools dürfte viele Betreiber bereits überfordern.

Die Praxis deckt sich nach den Erfahrungen der IT-Recht Kanzlei leider nicht ganz mit der Erwartungshaltung.

Das jeweilige Cookie-Consent-Tool an sich „auf seine Seite zu bekommen“ ist dabei nicht das Problem.

Die Herausforderungen bestehen vielmehr darin, dass Cookie-Consent-Tool so an die auf der jeweiligen Seite eingesetzten weiteren Tools und Dienste anzupassen bzw. entsprechend zu konfigurieren, um in der Praxis dann eine möglichst breite Filterwirkung zu erzielen.

Dies gilt zudem nicht nur für die erstmalige Integration des Cookie-Consent-Tools, sondern vielmehr auch für die Zukunft, wenn neue Tools/ Dienste hinzukommen bzw. bei den technischen Mechanismen bestehender Tools/ Dienste Änderungen seitens des Anbieters erfolgen.

Davon betroffen sind nach den Erkenntnissen der IT-Recht Kanzlei alle gängigen Cookie-Consent-Tools. Weitere Informationen finden Sie auch hier.

Cookie-Consent-Tool macht viele Anwendungen sinnlos

Durch den Einsatz von Cookie-Consent-Tools wird sich in der Praxis ein ganz neues Bewusstsein der Internetnutzer bilden, was den Schutz von deren Privatsphäre betrifft.

Kaum ein durch ein Cookie-Consent-Tool informierter Seitenbesucher wird noch Wert darauf legen, sich technisch nicht notwendige Cookies „unterjubeln“ zu lassen, so dass die meisten cookiebasierten Tracking-, Webanalyse- und Remarketing-/Retargeting-Dienste bei Abhängigkeit von einer Einwilligung ihre Funktionalität weitgehend verlieren dürften.

Mehr dazu lesen Sie hier.

Empfehlung: Entschlacken Sie Ihre Webseite!

Nachdem die Bedeutung bzw. der Nutzen vorgenannter „Überwachungstools“ in nächster Zeit ohnehin stark abnehmen dürfte und auch ein Cookie-Consent-Tool wie geschildert keine vollständige Rechtssicherheit in Bezug auf die Setzung technisch nicht notwendiger Cookies schaffen kann, lautet die Empfehlung ganz klar:

Entfernen Sie nicht zwingend benötigte Anwendungen und Dienste, die technisch nicht notwendige Cookies setzen von Ihrer Webseite!

Ein Cookie-Consent-Tool kann immer nur eine Ergänzung zur Schaffung der nötigen Rechtssicherheit sein. Je mehr Anwendungen und Dienste, die technisch nicht notwendige Cookies setzen wollen von Ihnen auf Ihrer Seite eingebunden sind, desto höher ist das Risiko, dass – trotz Cookie-Consent-Tool – ein solches Cookie ohne Einwilligung gesetzt wird.

Kann auf entsprechende Dienste nicht verzichtet werden, kommt u.U. auch eine nicht cookiebasierte Nutzung z.B. via lokalem Browserspeicher (local storage - hier beschrieben etwa für Google Analytics) in Betracht, wobei es auch hier nur eine Frage der Zeit sein dürfte, bis gegen diese „Umgehung“ vorgegangen wird.

Fazit

Update-Service Mandanten der IT-Recht Kanzlei können voraussichtlich ab Mitte November 2019 kostenfrei ein professionelles Cookie-Consent-Tool nutzen.

Damit kann ein hohes Maß an Rechtssicherheit in Bezug auf notwendige Einwilligungen beim Setzen technisch nicht notwendiger Cookies geschaffen werden. Zu beachten gilt es jedoch, dass ein Cookie-Consent-Tool (oftmals) keinen lückenlosen Schutz bieten kann und immer nur als Ergänzung zur angebrachten Entschlackung der eigenen Webseite von nicht zwingend benötigten, cookiebasierten „Überwachungstools“ gesehen werden sollte.

Noch ein abschließender Hinweis: Der Einsatz eines Cookie-Consent-Tools betrifft nur eigene Webauftritte wie eigene Webseiten und eigene Onlineshops.

Verkaufsauftritte auf Verkaufsplattformen wie Amazon oder eBay sind von der Einwilligungsproblematik für technisch nicht notwendige Cookies aus Sicht des jeweiligen Verkäufers nicht betroffen.

Sie möchten Ihren Internetauftritt mit abmahnsicheren Rechtstexten der IT-Recht Kanzlei absichern, etwa eine DSGVO-konforme Datenschutzerklärung nutzen? Details zu den Schutzpaketen finden Sie hier.

Autor:
Nicolai Amereller
Rechtsanwalt

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de