Was ist das EU-Cookie-Gesetz?
Das EU-Cookie-Gesetz, offiziell bekannt als ePrivacy-Richtlinie, ist ein wichtiger Rechtsakt für die Anstrengungen, die Privatsphäre der Nutzer im Internet zu schützen. Es wurde 2002 von der EU verabschiedet, 2009 geändert und hatte ambivalente Auswirkungen auf die Nutzererfahrung bei der Verwaltung von Cookies und Tracking. Die rechtliche Umsetzung auf nationaler Ebene war uneinheitlich und manchmal unzureichend.
Einer der Hauptgründe dafür ist, dass eine Richtlinie – trotz des Spitznamens der Richtlinie von 2002 – kein Gesetz ist.
Wir werden im Folgenden auf die Einzelheiten eingehen.
Haben Sie Zweifel, ob Ihre Website der DSGVO entspricht? Prüfen Sie mit dem kostenlosen Compliance-Test von Cookiebot.
Testen Sie Cookiebot 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.
Die Ursprünge des europäischen Cookie-Gesetzes
Das Hauptziel des europäischen Cookie-Gesetzes ist die Durchsetzung und Sicherung des Rechts auf Privatsphäre durch Datenschutz, wie es in der EU-Charta der Grundrechte (Artikel 8) verankert ist, die besagt:
“jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten” und “diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden”.
Sie besagt ferner, dass jede Person “das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken” hat.
Kurz gesagt: Das EU-Cookie-Gesetz ist eine Cookie-Zulassungsrichtlinie.
Nehmen Sie sich einen Moment Zeit, um sich über Ihre Grundrechte zu informieren.
Absicht und Zweck
Sie war als Schutz des Nutzers gegen das wilde Web mit Online-Tracking, persönlichem Profiling, unerwünschten Marketing-Methoden und unerlaubter Datenerhebung durch Dritte gedacht.
Das Hauptziel bestand darin, “die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation” sicherzustellen, wie es in der Richtlinie heißt.
Laut der New York Times ist Europa heute der führende Tech-Watchdog der Welt. Dies ist zweifellos sowohl auf das geltende EU-Cookie-Gesetz als auch auf die neuere und umfassendere Datenschutz-Grundverordnung (DSGVO) zurückzuführen.
Die kommende ePrivacy-Verordnung, mit der wir uns in einer Minute befassen werden, wird diese Position sicherlich stärken.
Was bedeutet also das EU-Cookie-Gesetz?
Das EU-Cookie-Gesetz regelt im Wesentlichen, was andere Menschen (d.h. Websites, Unternehmen und Dienstleister) mit Ihren digitalen Daten machen dürfen, was sie mit Ihrer Zustimmung tun und ohne Ihre Zustimmung nicht tun dürfen, zu welchen Zwecken und auf welche Weise.
Lesen Sie hier die Datenschutzrichtlinie für elektronische Kommunikation 2009.
Cookie-Rechtsinformationen und Cookie-Einwilligung
Alle Cookie-Einwilligungsbanner und Cookie-Popup-Fenster, auf die Sie stoßen, während Sie sich heute durch das Internet bewegen, spiegeln diese grundlegenden europäischen Rechte auf Privatsphäre wider.
Leider sind viele von ihnen unzureichende Abbilder und teils irreführend.
Die Datenschutzrichtlinie sieht vor, dass keine Cookies und Tracker vor der vorherigen Zustimmung des Nutzers gesetzt werden dürfen, außer denen, die für die Grundfunktion einer Website unbedingt erforderlich sind, d.h. dass eine Website alle Cookies zurückhalten muss, unabhängig davon, ob sie personenbezogene Daten enthalten oder nicht, bis der Nutzer zustimmt.
Doch viele der Banner und Hinweise, mit denen die meisten Menschen vertraut sind, geben einfach an, dass ihre Website “Cookies verwendet, um die Nutzerfreundlichkeit zu verbessern” und überlassen ihnen die alleinige Möglichkeit, auf “o.k.” zu klicken.
Hier erfahren Sie, wie Sie einen guten, kompatiblen Cookie-Hinweis erhalten.
Dies hat zu der zutreffenden Bezeichnung „Zustimmungsmüdigkeit“ geführt. Ihre Daten werden immer noch im Millionen-Geschäft unterhalb des sichtbaren Internets gesammelt und verkauft, aber jetzt müssen die Nutzer bei jedem Besuch einer Website ohne wirkliche Wahlmöglichkeit auf “o.k.” klicken.
Das EU-Cookie-Gesetz regelt Folgendes:
- was Websites, Unternehmen und Dienstleister mit Daten zu tun haben, z.B. die Verwendung personenbezogener Daten für Marketingzwecke,
- wie sie damit umgehen müssen, z.B. anonymisiert und geschützt, sofern nicht anders vereinbart,
- wie und zu welchem Zweck sie sie teilen können.
Um genau zu sein, befasst sich das EU-Cookie-Gesetz nicht nur mit Cookies, sondern auch damit, wie die Privatsphäre der Nutzer im Internet im größeren Rahmen durchgesetzt wird. Ein Beispiel dafür ist das Verbot der Verwendung von E-Mail-Adressen für Marketingzwecke ohne vorherige Zustimmung.
Dennoch will das EU-Cookie-Gesetz und nun auch die DSGVO den Nutzern die Möglichkeit der Transparenz geben, da sie Zugang, Einsicht, Berichtigung und Löschung der bereits erfassten Daten verlangen können.
Die kommende ePrivacy-Verordnung soll diese Probleme lösen.
EU-Cookie-Gesetz (ePrivacy-Richtlinie)
Wichtig zu beachten ist, dass das so genannte EU-Cookie-Gesetz kein Gesetz ist – es ist eine Richtlinie.
Die Europäische Union kann rechtliche Entscheidungen auf verschiedene Weisen treffen, in diesem Kontext des Datenschutzes der Online-Nutzer aber vor allem in Form von sogenannten Verordnungen und Richtlinien.
Verordnungen sind EU-Gesetze, die automatisch und einheitlich für alle EU-Länder gelten, ohne dass eine Auslegung und Umsetzung auf nationaler Ebene erforderlich ist. Was immer im Rahmen einer Verordnung in Kraft gesetzt wird, wird in ganz Europa verbindlich und ist sofort durchzusetzen.
Richtlinien hingegen sind EU-Rechtsakte, die jedes Land auf seine Weise auf nationaler Ebene verabschieden und umsetzen muss. Im Zuge des EU-Cookie-Gesetzes musste jeder Mitgliedstaat die Artikel des Datenschutzes und des Rechts auf Privatsphäre, die die Richtlinie vorschreibt, in nationales Recht umsetzen. Kurz gesagt, jedes EU-Land musste seit 2002 Gesetze in seinen eigenen Gesetzgebungsorganen erlassen, um das EU-Cookie-Gesetz zu berücksichtigen und einzuhalten.
Die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy Richtlinie) existiert seit mehr als einem Jahrzehnt (ja, sie ist alt) und könnte inzwischen etwas überholt sein. Es gibt neue technologische Fortschritte, die nicht vollständig abgedeckt werden; die Bestimmungen über die Zustimmung zu Cookies wurden kritisiert, weil sie unzureichend ausgelegt wurden; und es wurden Bedenken geäußert, dass die nationalen Implementierungen ungleiche Wettbewerbsbedingungen mit sich überschneidenden und fragmentierten Rechtsrealitäten geschaffen haben.
Die ePrivacy-Verordnung sorgt dafür, dass diese Probleme behoben werden und der europäische Datenschutz auf eine technologisch aktualisierte, aber auch international einheitliche Ebene gebracht wird, da sie die ePrivacy-Richtlinie auf ein höheres Niveau des europäischen Rechts hebt. Mit anderen Worten: Aktualisierung, Klärung und Modernisierung der Richtlinie von 2002 in eine Fassung, die, wie die DSGVO, verbindlich und einheitlich in allen EU-Ländern ist.
Am 10. Februar 2021 hat sich der EU-Rat auf einen Textentwurf geeinigt und die ePrivacy-Verordnung wird nun in Trilog-Verhandlungen zwischen EU-Parlament, EU-Rat und EU-Kommission übergehen.
Erfahren Sie mehr über den neuen Entwurf der ePrivacy-Verordnung 2021
EU-Cookie-Gesetz vs. DSGVO
Wenn Sie über den Unterschied zwischen dem EU-Cookie-Gesetz und der neueren DSGVO irritiert sind, ist das kein Wunder. Vielleicht haben Sie gedacht, dass das EU-Cookie-Gesetz die DSGVO ist. Das sind die Unterschiede:
Das EU-Cookie-Gesetz oder die ePrivacy-Richtlinie ist ein älterer Rechtsakt, der 2002 verabschiedet und 2009 aktualisiert wurde und sich hauptsächlich mit Cookies, der Datenspeicherung und dem unerwünschten E-Mail-Verkehr befasst. Es ist, wie bereits erwähnt, eine Richtlinie, keine Verordnung.
Die DSGVO, die Datenschutz-Grundverordnung, ist viel neuer und eine Verordnung, d.h. sie ist seit Mai 2018 in allen EU-Mitgliedstaaten verbindlich. Sie hat einen viel größeren Umfang als die Richtlinie, da sie sich auf den Datenschutz konzentriert, unabhängig von der Art der Daten (d.h. nicht nur digitale Nutzerinformationen) und wie Unternehmen und Organisationen Transparenz gewährleisten und die Zustimmung der Nutzer dokumentieren müssen. Tatsächlich erwähnt die DSGVO das Wort “Cookie” nur einmal.
Informieren Sie sich über die DSGVO und lesen Sie den DSGVO-Gesetzestext.
Die vielen Formen von Cookies – die Vielfalt des Online-Tracking
Die Datenschutzrichtlinie für elektronische Kommunikation wurde als EU-Cookie-Gesetz bezeichnet, weil sie sich unter anderem mit… Cookies befasst. Warum? Weil Cookies überall online sind. Wenn Sie eine Website haben, haben Sie Cookies. Wenn Sie eine Website besucht haben, haben Sie sich mit Cookies beschäftigt – ob Sie es nun wissen oder nicht.
Ein Cookie steht sozusagen zwischen einer Website und ihren Nutzern. Es ist eine kleine Datendatei, die eine Website auf den Geräten ihrer Nutzer (Computer, Handy und Tablet) ablegt und die es ermöglicht, diese zu identifizieren und Dinge über sie zu erfahren.
Verschiedene Cookies
Aber so einfach ist es nicht. Tatsächlich gibt es eine Vielzahl von Cookies, die für verschiedene Zwecke unterschiedlich funktionieren, und es ist wichtig zu wissen, auf welche man achten sollte:
Erstanbieter-Cookies sind solche, die auf dem Computer eines Nutzers von der Website, die er besucht hat, abgelegt werden.
Drittanbieter-Cookies sind Cookies, die zu einer Drittanbieter-Website mit Zugriff auf die Erstanbieter-Website gehören.
Letztere können z.B. Cookies einer Social-Media-Plattform sein, die das Verhalten der Nutzer auf einer Website verfolgen und überwachen und deren Zugriff z.B. durch die Implementierung eines “Share-Buttons” oder eines “Kommentars” auf der Ernstanbieter-Website ermöglicht wird.
Mit anderen Worten, wenn du einen Facebook-Share-Button auf deiner Website hast, wird Facebook auch Cookies auf deiner Website haben.
Den Datenschutz erschwert die Tatsache, dass ein Website-Besitzer rechtlich für das verantwortlich ist, was auf seiner Website passiert. Das umfasst den Schutz aller Nutzerdaten vor ihrer potenziellen Ausbeute durch Dritte für die unvereinbare Verwendung bei der Profilerstellung und zielgerichteten Werbung.
Cookie-Management durch Cookie-Banner
Cookiebot ist ein Werkzeug zur Transparenz – die vorherige Zustimmung wird als Ein-/Ausschalten aller Cookies und Tracking, von Erst- oder Drittanbietern, verwendet und gibt dem Website-Besitzer und dem Endnutzer die volle Kontrolle.
Session-Cookies sind temporäre Cookies, die nur für die Dauer ihres Aufenthalts auf einer bestimmten Website, ihrer Session, auf dem Gerät eines Nutzers gespeichert werden. Sobald Sie wegklicken, verfallen diese Cookies. Diese werden typischerweise für Funktionen wie das Aufbewahren der Artikel in Ihrem Warenkorb verwendet, wenn Sie auf die Unterseiten einer Website klicken.
Permanente Cookies sind dagegen Cookies, die im Browser des Nutzers viel länger als nur eine Sitzung, manchmal sogar über Jahre, verweilen. Dies sind oft “notwendige Cookies” und “Präferenz-Cookies”, die Dinge wie Nutzeranmeldung oder Spracheinstellungen auf einer Website handhaben, aber es können auch “Analyse-Cookies”, “Werbe-Cookies” und “Social Media-Cookies” sein, die Aktionen wie persönliche Profilerstellung und gezieltes Online-Marketing ermöglichen.
Andere Möglichkeiten des Trackings
Web-Beacons
Eine weitere Art des Online-Trackings ist ein sogenanntes Web-Beacon.
Dies ist eine von mehreren Tracking-Technologien neben Cookies, die auch Browser-Fingerabdrücke (die Einzigartigkeit Ihres Geräts, wie Einstellungen und Konfigurationen) und Ultraschall-Beacons (hohe Töne, die von einem verwendeten Gerät abgegeben werden, um verbundene Geräte, wie Handies und Tablets, zuzuordnen) beinhalten.
Klicken Sie hier, um mehr über die verschiedenen Tracking-Technologien neben Cookies zu erfahren.
Ein Web-Beacon (auch bekannt als “Pixel-Tags” oder “Clear GIF”) ist ein transparenter Pixel – ja, genau, ein Pixel, d.h. winzig und für das bloße Auge unsichtbar. Web Beacons sind Marker für die virtuellen Gates, die Sie passieren, wenn Sie sich durch das Internet klicken.
Es erzählt seinen Betreibern von Ihrem Weg auf die Website, wie Sie dorthin gekommen sind und ob es über einen Link in einem Newsletter oder einer Social Media Werbung war.
Dieses Tracking wird von Websites verwendet, um die Wirkung ihrer Marketingstrategien einzuordnen. Die Daten können aber auch mit den persönlichen Kontoinformationen der Nutzer kombiniert werden, um umfassende Profile von einzelnen Personen zu erstellen.
Es mag harmlos sein, bietet aber die Möglichkeit, dass Dritte die Daten für eine umfassende Profilerstellung tracken, die gegen Datenschutzgesetze wie das EU-Cookie-Gesetz verstoßen könnte.
Für eine sachkundige und anregende Vertiefung besuchen Sie The Privacy Project, eine interaktive Essay-Sammlung der New York Times zum Thema Datenschutz.
Zusammenfassung: Wie hält man das EU-Cookie-Gesetz ein?
Also… viele Regeln, Richtlinien, Vorschriften und verschiedene Cookies. Es kann kompliziert werden.
Die wichtigsten Dinge, die man als Website-Besitzer beachten sollte, sind folgende:
- Sie müssen dem Nutzer alle auf Ihrer Website verwendeten Cookies und Tracker im Klartext zur Verfügung stellen, damit er eine informierte Entscheidung über die Einwilligung oder den Widerruf der Einwilligung treffen kann.
- Sie müssen alle Cookies und Tracker auf Ihrer Website zurückhalten (außer denen, die für das Funktionieren Ihrer Website unbedingt erforderlich sind), bis Sie eine klare und ausdrückliche Zustimmung des Nutzers für jede Art von Cookie und Tracker erhalten haben.
- Die Einwilligung muss freiwillig erteilt werden und niemals z.B. als Bedingung für die Nutzung eines Dienstes.
- Sie sind für die Daten der Nutzer auf Ihrer Website verantwortlich. Es liegt an Ihnen, diese vor der Ausbeute durch Dritte zu schützen. Seien Sie sich bewusst, welche Tracker von Drittanbietern auf Ihrer Website beherbergt werden könnten, z.B. durch Video-Plugins und Social Media-Implementierungen.
Wenn Sie sich für Cookiebot als Lösung entscheiden, werden Ihnen alle oben genannten Funktionen in einer einfachen Software-Implementierung zur Verfügung gestellt. Klicken Sie hier, um es kostenlos zu testen.
FAQ
Was ist das EU-Cookie-Gesetz?
Die ePrivacy-Richtlinie (mit dem Spitznamen EU-Cookie-Gesetz) ist eine europäische Richtlinie, die die Verwendung von Daten im Bereich der elektronischen Kommunikation in der EU regelt. Das EU-Cookie-Gesetz regelt die Verwendung von Daten durch Websites, Unternehmen und Dienstanbieter, wie sie damit umgehen, sie nutzen und zu welchem Zweck sie sie weitergeben dürfen.
Testen Sie kostenlos, ob Ihre Website mit der DSGVO und der ePrivacy-Richtlinie konform ist
Was ist die DSGVO?
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das die Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union regelt. Die DSGVO schreibt vor, dass Websites vor der Verarbeitung von personenbezogenen Daten die klare und positive Einwilligung der Nutzer einholen müssen.
Was ist eine gültige Cookie-Einwilligung auf Websites?
Eine gültige Einwilligung von Endnutzern, ihre persönlichen Daten durch Cookies und Tracker auf einer Website verarbeiten zu lassen, muss ein informierter, klarer und bejahender und eindeutiger Hinweis auf ihre Wünsche sein. Das bedeutet, dass Websites nicht notwendige Cookies, die persönliche Daten verarbeiten, erst dann aktivieren dürfen, wenn die Nutzer ihre ausdrückliche Zustimmung gegeben haben.
Erfahren Sie mehr über die gültige Zustimmung auf Websites in der EU
Wie kann meine Website DSGVO-konform werden?
Wenn Ihre Website Cookies und Tracker von Dritten verwendet (z. B. durch die Verwendung von Social-Media-Links, Analytics-Tools oder Marketing-Plug-ins), müssen Sie die vorherige und ausdrückliche Einwilligung Ihrer Website-Besucher erfragen und einholen.
Ressourcen
Die Allgemeine Datenschutz-Grundverordnung (DSGVO)
Vorschlag für die ePrivacy-Verordnung
Die Europäische Kommission über EU-Datenschutzvorschriften
Die Europäsche Kommission über Arten von EU-Rechtsvorschriften
The NY Times on the existing EU cookie laws (in Englisch)
European Data Protection Supervisor
Charta der Grundrechte der Europäischen Union
Review of the ePrivacy Directive by the European Parliament Think Tank (in Englisch)
The Privacy Project, a NY Times interactive essay collection on data privacy (in Englisch)