zi-co.de

01.10.2019 | Alex Zierlinger

Nervende Kekse: Cookies, Einwilligungsbanner und Analyse-Tools

Man sieht sie derzeit auf fast jeder Webseite: Cookie-Banner. Meistens wird ein kurzer Text eingeblendet: „Diese Seite verwendet Cookies!“, manchmal ist der Text auch deutlich länger, und man kommt nicht wirklich weiter, bis man sich einen Klick auf „OK“ oder „Zustimmen“ abgerungen hat. Ob man als Webseitenbetreiber nun verpflichtet ist, auf Cookies hinzuweisen oder gar eine Einwilligung des Besuchers einzuholen, ist juristisch umstritten. Ein aktuelles Urteil des EuGH hat hier etwas mehr Klarheit geschaffen.

Was sind Cookies und welche Arten gibt es?

Cookies sind kleine Text-Dateien, die auf dem Rechner eines Website-Besuchers gespeichert werden können. Der Webserver kann daran z.B. einen Besucher wiedererkennen oder auch persönliche Einstellungen über die Dauer eines Besuchs hinaus speichern.

Cookies einfach erklärt (datenschutzbeauftragter-info.de)

Eigentlich gibt es nur eine Art von Cookies, entscheidend für die Frage des Datenschutzes ist vielmehr, welche Daten dort gespeichert werden und für welchen Zeitraum. Und hier unterscheidet man grob zwischen zwei sehr unterschiedlichen Kategorien:

1) Session Cookies

Diese auch oft als „technisch notwendige Cookies“ bezeichnete Form speichert für die Dauer eines Besuchs (engl.: Session) z.B. den Login-Status, den Inhalt eines Warenkorbs oder auch bereits ausgefüllte Formulardaten. Ohne diese Cookies wären Funktionen, für die man sich authentifiziern muss, schlichtweg kaum umzusetzen, da der Webserver ohne Cookie nie zuverlässig wissen kann, ob es sich noch um denselben Besucher handelt, der sich gerade eingeloggt hat – oder schon um den nächsten.

Session Cookies werden normalerweise beim Verlassen der Webseite, spätestens beim Schließen des Browsers gelöscht. Beim nächsten Besuch muss man sich daher erneut anmelden, der Warenkorb ist wieder leer und die bereits ausgefüllten Formulare ggfs. auch.

2) Tracking- und Werbe-Cookies

Diese Cookies verbleiben nach dem Besuch einer Webseite langfristig auf dem Rechner des Besuchers. Dadurch wird es ermöglicht, Nutzeraktivitäten zu verfolgen, zu speichern und ein Benutzerprofil zu erstellen. Daten können über mehrere Web-Seiten hinweg erfasst und zusammengeführt werden, Dritt-Anbieter erhalten die Möglichkeit, diese Daten zu verwenden.

Einwilligung notwendig

Für diese Tracking- und Werbe-Cookies ist nach dem aktuellen Urteil des EuGH eine echte und aktive Einwilligung des Besuchers nötig. Session Cookies sind vom aktuellen Urteil nicht betroffen - hier müssen wir wohl weiter auf die ePrivacy-Verordnung (ePVO) warte n, um Klarheit zu erlangen.

EuGH-Urteil zum Cookie-Hinweis

Die inflationär auftretenden "Cookie-Hinweise" ohne echte Abwahl-Option genügen nicht mehr. Vielmehr muss zukünftig für solche Cookies ein „Opt-In“-Verfahren angewendet werden, d.h. der User muss aktiv bestätigen, dass er mit der Verwendung von Cookies einverstanden ist. Tut er das nicht, dürfen Tracking- und Werbe-Cookies nicht verwendet werden.

Das nun noch stärker zu erwartende Aufkommen von Cookie-Bannern mag datenschutzrechtlich notwendig und richtig sein, aber das Verfahren hat einen entscheidenden Nachteil: Die Webseiten-Besucher sind davon genervt.

Bitcom-Studie: Cookie-Banner stören Internetnutzer

Daher stellt sich die Frage, ob man nicht auf Tracking-Cookies und damit auch auf die Cookie-Banner verzichten kann - ohne Zugriffsstatistiken und die Auswertung von Besucherzahlen gleich ganz abzuschalten?

Analyse-Tool ohne Cookies – geht das?

Kurze Antwort: Ja, das geht. Mit kleinen Abstrichen, die bei einer einfachen Zugriffsauswertung aber kaum ins Gewicht fallen.

Beispiel Matomo (ehemals Piwik): Durch den Wegfall des Analyse-Cookies kann das Tool zwar unter Umständen nicht mehr hundertprozentig sicher erkennen, ob es sich bei mehreren Besuchen einer Webseite um ein und dieselbe Person handelt. Aber auch ohne Cookies gibt es technische Möglichkeiten, die legal eingesetzt werden können und eine (allerdings nicht mehr ganz so zuverlässige) Zuordnung zulassen: unter der Bezeichnung Fingerprint erstellt Matomo für jeden Besucher einen Code, basierend auf System-Einstellungen, verwendetem Browser, installierten Browser-Plugins und der IP-Adresse. Diese Daten werden dabei so kombiniert, dass man aus dem erzeugten Fingerprint keine einzelnen Daten mehr auslesen kann. Trotzdem ist der Fingerprint eindeutig: das Tool kann erkennen, ob es sich bei einem späteren Besucher wieder um dieselbe Person handelt.

Fingerprints (Matomo FAQ)

Matomo schützt dabei bestmöglich die Privatsphäre der Nutzer: bei der Berechnung des Fingerprints werden z.B. die besuchte Internet-Adresse und die ID des Matomo-Servers mit einbezogen. Das bedeutet, dass Besucher auf verschiedenen Webseiten auch verschiedene Fingerprints haben und nicht über mehrere Webseiten oder gar Matomo-Installationen hinweg wieder erkannt werden können. Die Erkennung beschränkt sich auf genau eine Domain.

Aber auch hier gilt leider: Es gibt zwar noch kein Urteil, das den Einsatz dieser Technik ohne Einwilligung des Users einschränkt, aber eben noch kein endgültiges Gerichtsurteil, dass eine Verwendung der hier genannten Methode als datenschutzrechtlich einwandfrei zulässt. Wir werden also auch hier weiter abwarten müssen, bis endgültig Klarheit herrscht. Wenn Sie also ganz sicher gehen wollen, kommen Sie auch hier um eine Einwilligung nicht herum!

Matomo ohne Cookies einsetzen

Um das Speichern von Cookies in Matomo zu deaktivieren, muss dem Tracking-Code eine Zeile hinzugefügt werden:

_paq.push(['disableCookies']);

Cookies deaktivieren (Matomo FAQ)

Aber Achtung: Um Matomo DSGVO-konform einzusetzen, sind noch weitere Maßnahmen erforderlich:

  • Anonymisierung der IP-Adresse: Sie können Matomo nach geltender Rechtsauffassung nur dann DSGVO-konform einsetzen, wenn die IP-Adressen der Besucher vor dem Speichern anonymisiert werden. Matomo bietet dies als Einstellung unter „Administration -> Privatsphäre -> Daten anonymisieren“ an.
  • Löschung von Altdaten (bestehende Analyseprofile): Früher erhobene Daten, bei denen die IP-Adresse noch nicht anonymisiert wurde, müssen entweder gelöscht oder nachträglich anonymisert werden. Sie können dies unter ebenfalls „Daten anonymisieren“ in Matomo einstellen.
  • Belehrung über die Widerspruchsmöglichkeit: Auch ohne Cookies müssen Sie in Ihrer Datenschutzerklärung auf die Verwendung des Analyse-Tools und die Widerspruchsrechte der Besucher hinweisen. Die meisten Online-Generatoren für Datenschutzerklärungen beinhalten dafür schon passende Formulierungen.
  • Opt-Out: Sie müssen auch weiterhin dem Besucher die Möglichkeit geben, der Erfassung seines Zugriffs auf die Webseite zu widersprechen und diese Erfassung abzuschalten. Dazu kann aber die Opt-Out-Funktion von Matomo z.B. im Rahmen der Datenschutzerklärung verwendet werden.

Fazit

Wer Cookies einsetzt, muss zukünftig aktiv die Einwilligung der Nutzer dazu einholen – und ein „Nein“ eines Besuchers akkzeptieren. Ein simpler Info-Text mit „OK“ als einziger Option reicht nicht mehr aus.

Für die Zugriffsauswertung einer Firmen- oder Projekt-Webseite benötigen Sie aber nicht zwingend Cookies. Und wenn Sie sich für eine Cookie-freie Analyse entscheiden, können Sie auf das nervige Cookie-Banner vielleicht zukünftig verzichten - wenn denn die Gerichte hier jemals Klarheit schaffen werden.

Über den Autor

Alex Zierlinger | Webdesigner aus Darmstadt

Alex Zierlinger
Webdesigner & PHP-Entwickler
zi-co.de

Diesen Beitrag weiterempfehlen: