Jeder hat schon in irgendeiner Form von Cookies gehört. Sei es als englischer Begriff für Kekse oder im Zusammenhang mit Webseiten. In letzterem Fall stehen sie für Textdateien, die im Browserverlauf des Nutzers zu jeweils einer besuchten Seite gespeichert werden. Während das Gebäck eine eher unschuldige Konnotation hat, gelten Cookies im Internet als verpönt. Dabei lassen sich nicht alle Arten von Cookies gleichsetzen. Welche notwendig sind.
„Es gibt durchaus Cookies, die für ein reibungsloses Funktionieren von Webseiten notwendig sind“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.
Spion oder Helfer
Cookies speichern Nutzerinformationen und erfüllen damit vielfältige Funktionen. Als technisch für den Betrieb einer Webseite erforderlich gelten beispielsweise Login-Cookies, Warenkorb-Cookies oder Cookies für die Länder- oder Sprachauswahl. Sie tragen die Bezeichnung First-Party-Cookies. Demgegenüber speichern Third-Party-Cookies Informationen, die nicht zwingend für den Betrieb der Webseite notwendig sind. Sie dienen in den meisten Fällen dem Tracking des Verhaltens eines Nutzers und zeichnen beispielsweise auf, welche Webseiten er wie oft und wie lange besucht, in welchem Tempo er scrollt oder welche Suchmaschinenanfragen er stellt. „Damit können einerseits Betreiber die Funktionalität ihrer Webseite optimieren. Andererseits nutzen Webshops diese Tools, um auf die betreffende Person abgestimmte, personalisierte Werbung abzuspielen und so ihren Umsatz zu steigern“, so Haye Hösel.
Neue Regelung des EuGH
Im Oktober 2019 fällte der Europäische Gerichtshof, kurz EuGH, ein Urteil über den Einsatz von Cookies. Demnach sei der Einsatz von Cookies, die für den technischen Betrieb von Websites erforderlich sind, erlaubt. Alle anderen Cookies benötigen eine Einwilligung des Nutzers. Hösel zeigt auf: „Eine solche Einwilligung muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen.“ Einwilligungsfelder dürfen nicht vorausgefüllt sein und die Einwilligung darf sich nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein. Darüber hinaus muss die Webseite die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Außerdem muss der Nutzer jederzeit die Möglichkeit haben, die Einwilligung zu widerrufen. Eine Webseite darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist.
Kekse löschen?
Auch wenn das Urteil des EuGH bereits seit einiger Zeit rechtskräftig ist, haben noch nicht alle Webseitenbetreiber ihre Cookie-Policy entsprechend angepasst. Daher empfiehlt beispielsweise die Verbraucherzentrale, Cookies regelmäßig auf allen Geräten zu löschen. Es besteht aber auch die Möglichkeit, im Datenschutzmenü des Browsers festzulegen, dass Cookies automatisch nach dem Beenden jeder Sitzung gelöscht werden sollen. „Webseitenbetreiber können sogenannte Consent-Tools einsetzen, also Skripte, die auf einer Webseite das Setzen von Cookies verhindern können, dem Besucher der Homepage erforderliche Informationen bereitstellen und die Einwilligung abfragen. Die Kompatibilität mit verschiedenen Content-Management-Systemen sowie die Kosten für die Tools variieren dabei“, so der Experte. Bei Nichtbefolgung der gesetzlichen Vorgaben besteht sowohl das Risiko von Bußgeldverfahren durch die Aufsichtsbehörde für Datenschutz als auch von Abmahnungen durch Wettbewerber oder Verbraucherschutzorganisationen.
Foto: Shutterstock
