Zu dem Setzen von Cookies herrscht noch immer viel Unsicherheit. Die Vorgaben der DSGVO sind nicht sehr präzise, respektive die Umsetzung in den digitalen Kanälen nicht immer einfach abzuleiten. So sind viele Mythen rund um die Verwendung von Cookies entstanden. In diesem Beitrag räumen wir mit den häufigsten Mythen auf.
Mythos 1: „Wir operieren nur in der Schweiz und brauchen keinen Cookie-Banner.“
Antwort: Ja, aber nur unter bestimmten Bedingungen.
Erklärung:
Wenn die Webseite wirklich nur an Nutzer in der Schweiz gerichtet ist und dies auf der Webseite auch ersichtlich ist, dann ist dies korrekt. Bei genauerem Hinsehen entpuppt sich dann aber meistens doch die Notwendigkeit einer DSGVO-konformen Cookie-Lösung. Wenn Sie mindestens eine der folgenden Fragen mit Ja beantworten müssen, sollten sie erwägen, einen Cookie-Banner einzusetzen:
- Können sich Personen aus der EU bei Ihnen bewerben?
- Vermitteln sie auf der Webseite den Eindruck, dass auch Nutzer ausserhalb der Schweiz angesprochen werden z. B. durch Angabe von Telefonnummern in internationalem Format, freie Eingabe oder Vorauswahl des Landes bei Formularen, Auswahl von für die Schweiz und den Zweck der Webseite nicht notwendige Sprachen und Währungen?
- Gehört zum Zielpublikum auch das Fürstentum Liechtenstein dazu?
- Verwenden sie Tracking-Pixel von ausserhalb der Schweiz tätigen Werbe- und sozialen Netzwerken?
Die ersten zwei Fragen zeigen, dass Ihr Webangebot nicht nur für die Schweiz gilt.
Das Fürstentum Liechtenstein ist Mitglied des Europäischen Wirtschaftsraumes (EWR) und untersteht somit territorial der DSGVO. Die DSGVO regelt auch das Bearbeiten persönlicher Daten von EU-Bürgern ausserhalb der EU. Durch den Einsatz von Tracking-Pixeln unterstützen Sie Facebook & Co. bei der Erstellung von Nutzerprofilen, die für Werbezwecke verwendet werden.
Mythos 2: „Ohne Zustimmung darf kein Cookie gesetzt werden.“
Antwort: Falsch
Erklärung:
Durch jüngste Gerichtsurteile des Europäischen Gerichtshofes hat sich diese Meinung durchgesetzt. Als generelle Regel kann man dies auch so stehen lassen. Für Cookies, die unbedingt für den Betrieb der Webseite erforderlich sind, bedarf es jedoch keiner Zustimmung. Es muss nur über ihren Zweck informiert werden. (z. B. Speichern der Sprachwahl, Speichern des Warenkorbes etc.). Zusätzlich kann für bestimmte Cookies ein berechtigtes Interesse geltend gemacht werden. Zum Beispiel um anonym zu messen, wie die Webseite genutzt wird, um diese zu optimieren.
Für Cookies, die direkt oder indirekt für Marketing- und Targeting-Zwecke verwendet werden ist zwingend die ausdrückliche Zustimmung des Nutzers erforderlich. Sie dürfen erst danach gesetzt werden. Oft setzen auch auf der Webseite eingebundene Drittlösungen Marketing-Cookies (z. B. YouTube, SlideShare etc.).
Mythos 3: „Wir verwenden keine Cookies und benötigen daher auch keinen Cookie-Banner.“
Antwort: Korrekt
Erklärung:
Wenn Ihre Webseite tatsächlich keine permanenten Cookies setzt, dann ist auch kein Cookie-Banner erforderlich. Hier empfiehlt sich jedoch eine akribische Prüfung jeder einzelnen Seite. Eine Webseite die DSGVO-pflichtig ist und keinen Hinweis auf Cookies zeigt, wirkt auf Anhieb verdächtig und lädt ein, diese zu Prüfen.
Mythos 4: „Wir setzen Cookies immer, weisen den Besucher aber darauf hin, dass er Cookies akzeptieren muss, um unsere Webseite zu benutzen. So hat er die Wahl.“
Antwort: Falsch
Erklärung:
Die DSGVO schreibt vor, wie die Zustimmung zu erfolgen hat und zwar bevor die entsprechenden Cookies gesetzt werden:
- Informiert (Zweck)
- Freiwillig
- Aktiv erteilt
- Granular (pro Zweck, keine generelle Zustimmungen)
- Jederzeit so einfach widerrufbar wie sie gegeben wurde
Dieser Mythos verstösst, bis auf den Punkt «Informiert» gleich gegen alle anderen Anforderungen für die Zustimmung nach der DSGVO.
Mythos 5: „Eine Zustimmung muss nur für Marketing Cookies erteilt werden.“
Antwort: Falsch
Erklärung:
Die Zustimmung ist für alle Cookies erforderlich, die nicht unbedingt notwendig sind, oder für die kein stichhaltiges berechtigtes Interesse geltend gemacht werden kann. In bisherigen Urteilen ging es jeweils um Marketing/Targeting Cookies. Vor allem die Definition des berechtigten Interesses ist sehr ungenau und es gab bisher auch noch keine Gerichtsurteile, die dies mitgestalten könnten.
Schlussfolgerung
Wie Sie sehen, kann nicht alles mit einem eindeutigen Ja oder Nein beantwortet werden. Es fehlen noch aussagekräftige Gerichtsurteile oder eine weitere Spezifizierung der DSGVO-Anwendung für die digitale Welt, wie dies in der E-Privacy Regulation erfolgen würde. Diese ist jedoch wegen Uneinigkeit nach wie vor nicht gültig. Wir empfehlen daher, die Entwicklung und Gerichtsurteile zu verfolgen.
Amazee Metrics bietet Unterstützung und Beratung in allen Belangen rund um das Thema Datenschutz im Online Marketing. Gerne beraten wir Sie zu Ihrem individuellen Setup.