16 | Cookies nur mit Einwilligung

Was das EuGH schon im Oktober festgelegt hat, wurde nun durch den Bundesgerichtshof (BGH) in einem ersten Urteil bestätigt: der Speicherung von Cookies muss aktiv zugestimmt werden.

Seit Oktober 2019 diskutieren Datenschützer, Webagenturen, die Werbewirtschaft und nicht zuletzt Unternehmen darüber, wie man mit Cookies korrekt umgeht. Das Cookies eine Einwilligung brauchen, ist sicherlich schon längst als Standard gesetzt. Auch wenn es noch längst nicht auf allen Webseiten die Umsetzung gefunden hat. Doch im Detail muss man genauer hinsehen und prüfen, um welche Cookies es geht und wie man die Einwilligung sicher einholt.

Technisch notwendige Cookies, etwa beim Login in einen Webshop, sind von diesen Regelungen ausgenommen.

Hauptsächlich geht es um die Cookies und Tracking-Codes, die Userdaten speichern und ggf. auch direkt weiterleiten. Hier ist gerade Google mit seinem Auswertungstool Analytics oft in der Kritik genannt. Wer diese Dienste nutzt, braucht eine „aktive Einwilligung“. O.k. soweit sind die Regeln klar.

Aber: gehe ich auf Webseite und der Einwilligungsbanner kommt, dann sehe ich, welche Einstellungen als Default gesetzt sind. Im Fall des o.g. BGH-Urteils waren Häcken bereits gesetzt bei Rubriken. Der User hätte diese rausnehmen können oder sich Details anschauen können. Für viele bietet diese Funktion alles, was dem User helfen sollte, eine Eintscheidung zu treffen. Jedoch wurde das voreingestellte Ankreuzkästchen als „genügt nicht“ deklariert. Diese Kästchen müssen alle leer sein und erst bewußt vom User auszwählen sein.

https://www.handelsblatt.com/technik/it-internet/eugh-urteil-harter-schlag-fuer-die-werbewirtschaft-speicherung-von-cookies-ist-nur-mit-einwilligung-erlaubt/25073442.html

Was hier als maximaler Datenschutz benannt wurde, stellt aber für den Nutzer eine weitere Hürde und wieder mehr Klicks dar. Muss das wirklich sein oder könnte man auf diese Mehrbelastung nicht verzichten, so der Branchenverband BITKOM.

Leider verursacht dieses Urteil bei den Webseiten-Betreibern wieder Aufwand, der oft nicht zu rechtfertigen ist. Man müsste unterscheiden, ob Cookies oder Codes personenbezogene Daten wirklich weitergeben bzw. speichern oder ob es nur die IP-Adresse ist. Das wäre ein richtiger Ansatz.