Was sind Cookies und was haben sie mit der DSGVO und dem Datenschutz zu tun – Das sind Themen, die Websitebetreiber:innen manchmal richtig Bauchschmerzen bereiten können. Aber mit einer Website geht eben auch die Verantwortung für den Umgang mit Daten und den Schutz dieser einher. Ein ganz zentraler Punkt dieses Datenschutzes ist die Verwendung von Cookies. Was genau Cookies sind und ob deine Website ein Cookie-Banner braucht (und was wiederum das ist) schauen wir uns deshalb in diesem Beitrag an.
Bildquelle: https://unsplash.com/de/fotos/7P-wc2Z2Uj
Was sind Cookies?
Starten wir mit der wohl wichtigsten Frage: Was sind Cookies, was machen die so und welche Arten von Cookies gibt es?
Definition von Cookies
Cookies sind kleine Textdateien, die von Webseiten erstellt werden und Informationen speichern. Dabei handelt es sich vor allem um persönliche Informationen wie:
- Mailadressen
- IP-Adressen
- Passwörter
- Dauer und Anzahl der Website-Sitzungen
- Angesehene Produkte etc.
Wichtig zu wissen: Daten wie Mailadressen oder Passwörter werden verschlüsselt auf Servern abgelegt und sind nicht vom Websitebetreiber einsehbar.
Der Name “Cookies” reicht übrigens zurück bis ins Jahr 1994. Der amerikanische Programmierer Lou Montulli suchte eine Möglichkeit, damit Computer sich merken können, auf welchen Webseiten Benutzer:innen schon waren. Er entwickelte einen entsprechenden Programmcode und nannte das Prinzip kurzerhand Cookies.
Die Aufgabe von Cookies
Und warum das Ganze? Entgegen häufiger Meinungen sind Cookies nicht per se schlecht, denn ihr ursprünglicher Zweck ist das Erleichtern der Nutzer:innenerfahrung, indem die Website Personen wieder erkennt und beispielsweise die Sprachauswahl speichert, damit die Sprache nicht bei jedem Websitebesuch erneut ausgewählt werden muss.
Weitere Nutzen sind das Speichern von Login-Daten oder Warenkörben, sowie die Autofill-Funktion von Formularen.
Arten von Cookies
Okay, wir wissen nun was Cookies sind und welche Aufgaben sie haben. Aber Cookies sind nicht gleich Cookies. Denn es gibt verschiedene Arten mit verschiedenen Aufgaben.
Die sogenannten First Party Cookies sind Cookies, die auf dem Server des Websitebetreibers gespeichert werden und nicht durch Drittanbieter gesetzt oder an diese weitergegeben werden. Die Informationen von First Party Cookies werden nur für eine Domain verwendet.
Anders die Third Party Cookies die, wie der Name schon sagt, durch Drittanbieter auf einer Website gesetzt werden. Diese Cookies werden dann von diesen Anbietern über mehrere Websiten hinweg genutzt, um Nutzer:innen wiederzuerkennen.
Soweit, so klar. Neben First Party und Third Party Cookies wird noch in technisch notwendige und technisch nicht notwendige Cookies unterschieden.
Technisch notwendige Cookies sind jene, die zwingend notwendig sind, damit eine Website technisch einwandfrei funktioniert. Diese Cookies können nicht abgelehnt werden. Zu den notwendigen Cookies gehören die sogenannten Session-Cookies, also Sitzungs-Cookies. Diese Cookies löschen sich nach jeder Sitzung beim Verlassen der Seite wieder selbst. Zu Session-Cookies zählen das Speichern von Artikeln im Warenkorb oder das Eingeloggt bleiben während eines Websitebesuchs.
Zu den technisch nicht notwendigen Cookies gehören Statistik- und Marketingcookies, die das Nutzer:innenverhalten auf Webseiten analysieren und speichern und so ganze Nutzer:innenprofile erstellen, auch über mehrere Sitzungen hinweg.
Dazu gehören auch die Trackingcookies, die das Nutzungsverhalten von Personen teilweise bis zu mehreren Jahren verfolgen. Schaltet ein Onlineshop zB Werbung auf einer Website und setzt dort Trackingcookies ein, verfolgt die Werbung den/die Nutzer:in über mehrere Webseiten.
Was du über Cookie-Banner wissen musst
Jetzt weißt du was Cookies sind. Bleibt noch das Cookie-Banner. Klären wir was du über Cookie-Banner wissen musst und checken, ob deine Website ein Cookie-Banner braucht.
Was ist ein Cookies-Banner?
Wir sehen ihn regelmäßig: Den mal mehr oder weniger großen Kasten mit verschiedenen Buttons zum Annehmen und Ablehnen von Cookies, der beim Öffnen einer Website auftaucht. Cookie-Banner können komplett unterschiedlich aussehen, sollten aber immer die gleiche Funktion haben, nämlich die ausdrückliche Wahl für Nutzer:innen, welchen Cookies sie zustimmen wollen und welchen nicht.
Wie man es nicht machen sollte
Viele Webseiten haben ein großes Interesse daran, dass Nutzer:innen allen Cookies, also auch Marketing- und Trackingcookies, zustimmen, um ihre Produkte bestmöglich zu verkaufen. Das führt häufig dazu, dass Personen durch das sogenannte “nudging” (engl. für "Anstoßen" oder "Stupsen") dazu verleitet werden sollen, allen Cookies zuzustimmen.
Zum Nudging gehören beispielsweise eine hierarchische Ungleichheit bei den Buttons im Cookie-Banner. Der Button für “Alle Cookies annehmen” wird dabei oft optisch stark hervorgehoben, wohingegen der für das Ablehnen von Cookies unscheinbarer gemacht wird. Schauen wir uns mal ein Beispiel für Nudging an: Das Cookie-Banner oben hat einen sehr prominenten Button für das Annehmen aller Cookies. Die Möglichkeit verschiedene Cookies abzuwählen findet sich etwas unscheinbar darunter und die Möglichkeit alle Cookies abzulehnen liegt außerhalb der Blickführung, rechts oben. Solche Cookie-Banner laufen nicht nur Gefahr gegen die DSGVO zu verstoßen, sondern machen den Websitebetreiber auch gleich etwas unsympathischer. Denn wir alle haben uns schon einmal geärgert, wenn wir uns haben “nudgen” lassen und ausversehen allen Cookies zugestimmt haben.
Da es EU weit keine einheitlichen Regelungen für Cookie-Banner gibt hat der Europäische Datenschutzausschuss (EDSA) mit einer “Cookie Banner Taskforce” einen Leitfaden erstellt und legt fest, welche Einstellungen bei Cookie-Bannern irreführend sind und potenziell gegen die DSGVO verstoßen:
- kein sofort ersichtlicher Button zum Ablehnen aller Cookies
- bereits vorab angekreuzte Kästchen zur Zustimmung von Cookies
- Nudging durch farblich und in der Größe unterschiedliche Buttons
- kein Button zum Verändern der Cookie-Zustimmung
Wie es richtig geht
Jetzt wissen wir, wie man es nicht macht, aber wie ist es dann richtig? Kommen wir zu den wichtigsten Vorgaben für DSGVO konforme Cookie-Banner:
- Hierarchisch gleichgestellte Buttons (Farbe, Größe etc.) für “Annehmen”, “Ablehnen” und “Einstellungen” (Individuelle Auswahl von Cookies)
- Links zu Impressum und Datenschutzerklärung
- Jederzeit erreichbarer Button oder Verlinkung um die Cookie-Auswahl nachträglich zu ändern
Dieses Beispiel zeigt wie es geht: Einzelne Cookies können ausgewählt werden und sind nicht bereits angekreuzt, die Buttons sind farblich und in der Größe gleichgestellt und es gibt Verlinkungen zum Impressum und der Datenschutzerklärung.
Braucht deine Website ein Cookie-Banner?
Jetzt weißt du einiges über Cookie-Banner, aber stellst dir vielleicht noch die Frage: Braucht meine Website eins? Denn herauszufinden welche Cookies die eigene Website setzt scheint zunächst gar nicht so einfach.
Welche Cookies deine Website setzt kannst du kostenlos mit dem Cookie-Scanner von CCM19 prüfen, einem deutschen Softwareunternehmen. Gib dort deine Website-URL ein und lasse dir anzeigen welche Cookies deine Website setzt und welche davon einwilligungspflichtig sind. Sobald deine Website nicht-essenzielle Cookies nutzt, benötigst du ein Cookie-Banner. Du möchtest Unterstützung bei einem DSGVO konformen Cookie-Banner? Dann schreibe uns, wir unterstützen dich gerne.
Alle Fragen beantwortet?
Dieser Artikel hat dir hoffentlich etwas Klarheit im Cookie-Chaos gegeben und du weißt nun was Cookies sind, ob dein Cookie-Banner DSGVO konform ist und ob deine Website überhaupt eines benötigt. Und nicht vergessen die Datenschutzerklärung immer mitzuaktualisieren. Aber das ist vielleicht ein Thema für den nächsten Beitrag.