Gösta Thomas' Blog

sofort zum Inhalt

Sie sind hier: Blog: EU-Cookie-Richtlinie: wann ist Cookie-Hinweis Pflicht?

EU-Cookie-Richtlinie: wann ist Cookie-Hinweis Pflicht?

11.06.2017

Die EU-Cookie-Richtlinie aus dem Jahr 2009 regelt die Pflicht für Webmaster in der EU, ob sie einen Cookie-Hinweis anzeigen und die Einwilligung der Seitenbesucher zur Speicherung von Cookies einholen müssen. Diese E-Privacy-Richtlinie 2009/136/EG (so der offizielle Name) ist jedoch in schwer verständlicher Juristensprache abgefaßt und hat viel Verwirrung gestiftet. Aber zusätzlich gibt es einen kaum bekannten Hilfetext der EU-Kommission, der leicht verständlich anhand eindeutiger technischer Kriterien erklärt, wann ein solcher Cookie-Balken erforderlich ist.

EU-Dokument mit Hilfetext zur EU-Cookie-Richtlinie:

Dieser (die EU-Cookie-Richtlinie ergänzende) Hilfetext der EU-Kommission ist EU-typisch nur auf Englisch verfügbar, obwohl die (auch schon vor dem Brexit) in der EU meist gesprochene Muttersprache Deutsch ist. Als letztes Update wird der 21/09/2016 angegeben, der Hilfetext ist aber schon älter. Der entscheidende Text befindet sich in der Section 3 (mein Link führt direkt dorthin) und darin wiederum im Listenpunkt 3. Diesen Listenpunkt 3 (im Original beginnend mit Evaluate) habe ich hier ins Deutsche übertragen:

3. Ermitteln Sie für jedes Cookie, ob Seitenbesucher informiert werden und einwilligen müssen oder nicht:

  • Für Sitzungs-Cookies vom Erstanbieter gilt: Besucher müssen nicht informiert werden und nicht einwilligen.
  • Für dauerhafte Cookies vom Erstanbieter gilt: Besucher müssen informiert werden und einwilligen. Verwenden Sie solche Cookies nur, wenn unbedingt erforderlich. Die Speicherdauer darf ein Jahr nicht überschreiten.
  • Für alle Cookies (Sitzungs-Cookies und dauerhafte Cookies) von Fremdanbietern (Drittanbietern) gilt: Besucher müssen informiert werden und einwilligen. Solche Cookies sollten von EUROPA Websites nicht verwendet werden, weil die gesammelten Daten in Gebiete außerhalb des rechtlichen Zuständigkeitsbereichs der EU übermittelt werden könnten.

Hinweis zur Übersetzung: Den Begriff first-party aus dem englischen EU-Originaltext übersetze ich mit Erstanbieter, den Begriff third-party mit Fremdanbieter oder Drittanbieter. Und was wäre dann second-party (der Begriff kommt im Originaltext nicht vor)? Second-party ist der Besucher, der sich in seinem Browser eine first-party-Seite ansieht ;-)

Kurz zusammengefaßt in meinen eigenen Worten: Ein Cookie-Balken ist laut Hilfetext der EU-Kommission dann nicht erforderlich, wenn beim Besucher überhaupt keine Cookies oder nur Sitzungs-Cookies vom Erstanbieter gespeichert werden. In den anderen technisch möglichen Fällen ist ein Cookie-Balken Pflicht.

Begriffsklärung: Cookie-Sorten nach Dauer der Speicherung:

Sitzungs-Cookies (session cookies) werden mit dem Ende der Browser-Sitzung, also wenn der Browser vom Besucher geschlossen wird, automatisch gelöscht. Dauerhafte Cookies (persistant cookies) sind Cookies, die das Ende der Browser-Sitzung überdauern, also nicht gelöscht werden, wenn der Browser geschlossen wird. Wie lange diese Cookies gespeichert bleiben, wird von der Cookie-speichernden Domain festgelegt.

Begriffsklärung: Cookie-Sorten nach Herkunft der Cookies:

Erstanbieter-Cookies werden von der eigenen Domain des Website-Anbieters auf den Geräten der Besucher gespeichert. Beispiel für Erstanbieter: Ich selbst bin Anbieter der Domain goestathomas.de. Für Besucher meiner Seiten ist die Domain goestathomas.de Erstanbieter. Fremdanbieter- oder Drittanbieter-Cookies werden auf den Geräten der Besucher gespeichert, wenn der Website-Anbieter (Erstanbieter) auf seinen Seiten Cookie-speichernde Elemente fremder Domains (Fremdanbieter) eingebunden hat. Beispiel: Der Erstanbieter Max Mustermann hat auf seinen Seiten Werbeanzeigen von Google Adsense eingebunden: dann ist für Besucher der Mustermann-Seiten Google Adsense ein Fremdanbieter.

Wie können Webmaster prüfen, ob und welche Cookies sie verwenden?

Webmaster, die ihre Seiten selber bauen, werden vermutlich wissen, ob sie mit ihren eigenen Seiten Cookies bei ihren Besuchern speichern. Cookies fallen nicht vom Himmel, sondern werden mit Javascript oder PHP erstellt.

Anwender von Content Management Systemen und Baukasten-Systemen sollten sich lieber nicht auf Hilfetexte oder Aussagen ihrer CMS- bzw. Baukasten-Anbieter verlassen (die könnten veraltet oder falsch sein), sondern nach Aufruf ihrer Seiten in der Cookie-Verwaltung des Browsers nachsehen, ob und welcher Art Cookies gespeichert werden.

CMS-Nutzer sollten bei jedem Versions-Update und bei jedem neu installierten Plugin diese Prüfung wiederholen, denn durch CMS-Aktualisierungen oder zusätzliche CMS-Erweiterungen könnten auch neue Cookies erzeugt werden.

Egal, ob Sie Ihre Webseiten selber erstellen oder ein CMS einsetzen: Wer als Webmaster Fremdanbieter-Elemente (zB Werbeanzeigen) verwendet, sollte ebenfalls nicht kritiklos den Anbieter-Aussagen vertrauen, sondern in der Cookie-Verwaltung seines Browsers selbst ermitteln, welche Cookies durch die Fremdanbieter-Elemente beim Besucher gespeichert werden.

Nur am Rande erwähnt, weil nicht Thema dieses Artikels: Manche Internet-Firmen erlassen eigene Cookie-Richtlinien zusätzlich zur EU-Cookie-Richtlinie. So gibt es eine Google-eigene Cookie-Richtlinie für Webseiten-Betreiber, die Adsense-Codeschnippsel auf ihren Seiten einbauen, um mit Werbeanzeigen Geld zu verdienen. Solche Webmaster müssen ggf. also mehrere Cookie-Richtlinien beachten ;-)

Rechtslage nach meiner Meinung, Blick in die Zukunft:

Nach Veröffentlichung der EU-Cookie-Richtlinie haben Dutzende von Rechtsanwälten auf ihren Webseiten lange Artikel zum Thema veröffentlicht (Beispiel: dieser Artikel). Aber kaum einer der Rechtsanwalts-Artikel bietet Rat suchenden Webmastern eine eindeutige Antwort auf ihr Problem. Denn keiner dieser Artikel wertet den von mir oben verlinkten Hilfetext der EU-Kommission aus. Der EU-Hilfetext wird auf den Rechtsanwalts-Webseiten nicht mal erwähnt, scheint völlig unbekannt zu sein.

Nahezu übereinstimmend schreiben die Juristen in ihren Artikeln aber, daß ...

  • eine EU-Richtlinie (also auch die Cookie-Richtlinie) nur mittelbare Wirkung hat, weil sie eine Empfehlung an die EU-Länder darstellt, sie in nationales Recht umzusetzen
  • die EU-Cookie-Richtlinie in Deutschland nicht umgesetzt wurde, also hier gar nicht gilt
  • nach § 15 Abs. 3 TMG (Telemediengesetz) in der Datenschutzerklärung des Webseiten-Betreibers Hinweise auf Cookies und das Widerspruchsrecht ausreichen, um die Besucher zu informieren
  • die EU-Kommission festgestellt hat, daß die derzeit in Deutschland gültigen Gesetze bereits der EU-Cookie-Richtlinie entsprechen

Meine persönliche Meinung: Wer als Webmaster seinen Informationspflichten in der Datenschutzerklärung ausreichend nachkommt und zusätzlich (erforderlich nur bei allen dauerhaften und bei allen Fremdanbieter-Cookies gemäß Sektion 3 des Hilfetextes der EU-Kommission) einen Cookie-Balken anzeigt, hat mehr getan, als derzeit in Deutschland rechtlich erforderlich ist. Dann erfüllt er sogar die weitergehenden Pflichten aus der EU-Cookie-Richtlinie und ist damit auf der sicheren Seite.

Blick in die Zukunft: Ab 25. Mai 2018 sollen zwei neue EU-Verordnungen wirksam werden: Die EU-Datenschutz-Grundverordnung (DSGVO) und die neue EU-E-Privacy-Verordnung: letztere soll die jetzige E-Privacy-Richtlinie (also die EU-Cookie-Richtlinie) ablösen. Im Gegensatz zu einer EU-Richtlinie wird eine EU-Verordnung angeblich sofort nach Inkrafttreten für alle Bürger unmittelbar gültiges Recht (vergleichbar einem Gesetz in Deutschland nach Veröffentlichung).

Die endgültigen Inhalte der geplanten Datenschutz-Grundverordnung und E-Privacy-Verordnung stehen zwar noch gar nicht fest. Dennoch bieten eifrige Geschäftemacher schon jetzt kostenpflichtige Seminare an.

Aktualisierung am 18.05.2018: Die neue EU-E-Privacy-Verordnung wird nicht zusammen mit der DSGVO am 25. Mai 2018 in Kraft treten, sondern vermutlich erst im Jahr 2019. Die bisherige EU-Cookie-Richtlinie wird also EU-seitig am 25. Mai 2018 noch nicht abgelöst. Das bedeutet natürlich auch, daß der zugehörige Hilfetext der EU-Kommission weiterhin gültig ist.

Aktualisierung am 14.07.2019: Eine ganz hervorragende Sammlung von Fragen und Antworten zum Thema Cookies und Tracking im Hinblick auf die DSGVO bietet diese Datenschutz-Seite (Stand: April 2019, auch als PDF-Datei abrufbar).

Hinweis auf Cookies in der Datenschutzerklärung:

Unabhängig von irgendwelchen Cookie-Balken: Nach deutschem Recht muß eine Datenschutzerklärung auf der Website des Anbieters vorhanden sein, in der auch erläutert wird, ob Cookies verwendet werden und, wenn ja, was für welche: Dauer der Speicherung (Sitzungs-Cookies oder/und dauerhafte Cookies, Herkunft (Erstanbieter-Cookies oder/und Fremdanbieter-Cookies, Verwendungszweck).

Cookie-Balken (Cookie consent): Fertig-Scripte aus dem Netz:

Für Webseiten, die einen Cookie-Balken brauchen: Zur Anzeige von Cookie-Hinweis und Einwilligungs-Knopf werden im Netz verschiedene Fertig-Lösungen angeboten, zB auf dieser (Google-eigenen) Seite. Zwei Tipps von mir: (a) Sinnvoll ist auf jeden Fall, ein Script vom eigenen Server zu verwenden (also eine Erstanbieter-Lösung). Drittanbieter-Lösungen von fremden Servern ermöglichen zusätzliche Ausspionierung sowohl der Besucher als auch des Seitenbetreibers durch diese Dritten. (b) Ein Cookie consent-Bausatz, der jQuery-Bibliotheken benötigt, verlangsamt den Seitenaufbau beim Besucher. Besonders für bislang jQuery-freie Webseiten kommt eine solche Lösung daher nicht in Frage.

Cookies aus meiner Sicht als Webseiten-Besucher:

Alle Browser können vom Benutzer angewiesen werden, Cookies zu speichern oder nicht, und zwar getrennt nach Erstanbieter- und Fremdanbieter-Cookies. Und alle Browser ermöglichen seitenspezifische Ausnahmen von der festgelegten Grundregel (im klassischen Opera bis Version 12 besonders benutzerfreundlich erreichbar). In allen Browsern kann man bereits gespeicherte Cookies auch wieder löschen.

Ich selbst verweigere global die Speicherung von Cookies, habe aber seitenspezifische Ausnahmen festgelegt für Websites, auf denen ich Vorgänge durchführe, die die Speicherung von Cookies technisch erforderlich machen: Bankgeschäfte oder Bestellungen im Netz, Schreiben von Forums-Beiträgen oder Blog-Kommentaren.

Reine Infoseiten ohne jede Möglichkeit zur Interaktion benötigen keine Cookies, um (wie oft behauptet wird) benutzerfreundlich zu werden. Der angebliche Grund der besseren Benutzererfahrung wird von Webmastern, deren Seiten Teil von Werbenetzwerken sind, nur vorgeschoben. Oder von Webmastern, die Besucher-Statistiken per Auftragsdatenverarbeitung von Fremdfirmen erstellen lassen (siehe hierzu auch diesen Blog-Artikel).

Als globaler Cookie-Verweigerer speichere ich natürlich auch keine opt-out-Cookies, weder von Google Analytics noch von sonstwem. Gegen die Erfassung durch solche Tracker wehre ich mich mit Einträgen in der hosts-Datei. Und reine Infoseiten, die mich mit einem Cookie-Balken nerven, besuche ich einmal und nie wieder: Got it? ;-)

veröffentlicht in kat_Webdesign

 
Text suchen im Blog

Suche nach vollständigen Zeichenketten (wie einge­tragen)

... im Fließtext (empfohlen):
 und      oder
... in Überschriften:
Inhalte und Gestaltung urheberrechtlich geschützt - ©2024 Gösta Thomas - Alle Rechte vorbehalten.
Kontakt | Datenschutz | Letzte Änderung: 08.11.2022, 16:10 | Mein Netz-Werk läuft unter CMSimple.