Cookie-Richtlinie Hinweis in Wordpress Websites

In letzter Zeit stolpert man immer öfter auf Webseiten über Aufforderungen zu einer Cookie-Zustimmung – meist in einem Balken ganz oben oder ganz unten am Bildschirmrand. Stellt sich die Frage:

Muss eine Website das haben? Oder nur bestimmte? Oder reicht eine Datenschutzerklärung im Impressum?

Kurz gesagt:
Die meisten EPU / KMU Websites werden diesen Cookie Balken nicht brauchen, wenn sie eine bestimmte Einstellung für Google Analytics setzen.

Hinweis14.5.2018: Dieser Beitrag wurde in Bezug auf die DSGVO überarbeitet.

Im folgenden eine Zusammenstellung der Informationen über Cookie-Hinweise / Zustimmungsanforderungen, die Ihnen die eigene Entscheidung erleichtern soll, ob auch Sie einen Cookie-Informationsbanner auf Ihrer Website haben sollten oder nicht.

Hinweis:
Da ich keine Anwältin bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und nicht um eine Rechtsberatung. Bei konkreten Fragen und für rechtsichere, textliche Formulierung kontaktieren Sie bitte Ihre Rechtsberatung.

Was sind Cookies

Cookies sind kleine Textdateien, in auf Ihrem Computer gespeichert werden, während Sie eine Website besuchen. In Cookies wird Ihr Verhalten auf einer Website gespeichert. Das hat meist eine dieser 3 Gründe:

  • Usability / verbesserte Funktionalität
    Durch das Speichern in Cookies ersparen Sie sich das erneute eingeben von Login-Daten oder die neuerliche Auswahl einer Sprache. Bei Shops kann der Einkaufsprozess damit optimiert werden.
  • Statistische Analyse
    Cookies liefern Ihr Verhalten beim Website-Besuch für Auswertungen von Analyse-Tools wie zum Beispiel Google Analytics.
  • gezielte Werbung
    Cookies sind auch dafür verantwortlich, wenn Sie sich auf einer Website über ein Produkt informieren und Tage später auf einer ganz anderen Website dazu Online-Werbung eingeblendet bekommen.

Aus BesucherInnen-Sicht kann man über die eigene Browser-Einstellung (Stichwort Datenschutz / Privatsphäre) einfach das Speichern von Cookies verhindern. Das entbindet Website Anbieter aber nicht von Ihrer Verpflichtung, auf die Speicherung von „personenbezogenen Daten“ gesondert hinzuweisen.

Rechtliche Regelung für Cookies in Österreich

Die rechtlichen Regelungen für Cookies auf einer Website betreffen nur personenbezogene Daten (zu denen auch die IP-Adresse zählt), wenn nur nicht-personenbezogene Daten in Cookies gespeichert werden, sind die Datenschutzregelungen nicht relevant.

In Österreich gelten für personenbezogene Daten

  • EU-Datenschutz-Grundverordnung (DSGVO) und ergänzenden Verordnungen in Österreich (ab 25. Mai 2018 wirksam)
  • die EU Datenschutzrichtlinie 2009/136/EG über die Speicherung von personenbezogenen Daten („EU Cookie Richtlinie“)
  • das § 96 Abs 3 des Telekommunikationsgesetz, in dem diese EU Richtlinie in Österreich umgesetzt wurde
  • Das „Arbeitspapier“ der sogenannte Artikel 29-Gruppe (ein europäisches Datenschutzgremium, dem Vertreter der nationalen Datenschutzbehörden angehören) (2)

Wer braucht einen Cookie Hinweis / Cookie Zustimmung

Die Regelungen gelten für alle Website-Verantwortlichen. Aber nicht alle Websites speichern Cookies mit personenbezogenen Daten.
Woher weiss man denn überhaupt als Website-Verantwortliche/r, ob Cookies im Einsatz sind und ob personenbezogene Daten darin gespeichert werden?

Wenn Google Analytics aktiviert ist, dann werden auch personen-bezogene Daten gespeichert bzw. übertragen (es gibt jedoch auch die Möglichkeit, das auszuschalten – siehe unten).

Shops verwenden Cookies, um den Einkaufsablauf zu verwalten. Lt. ARGE Daten (1) ist das ohne Cookie Hinweis möglich, wenn die Daten nicht länger als für den Einkauf erforderlich gespeichert werden.

Bei WordPress Plugins ist es oft nicht so klar, ob sie Cookies speichern, da hilft nur eine Recherche (Ihr Webmaster weiss wie).

Werbefinanzierte Websites brauchen die Zustimmung für die Speicherung personenbezogener Daten und damit den Cookie-Banner. (1)

Weitere Beispiele finden Sie unter den „10 Basics am Weg zur DSGVO konformen Website“ (Punkt 5. Kontrollieren, ob ein Cookie Pop-up notwendig ist).

Welche Cookies auf Ihrer Website gespeichert werden, können wir mit Tools für Sie testen.

Zustimmung zu Cookies in welcher Form?

In Österreich galt lange der Hinweis im Impressum (in einer Datenschutzerklärung) als ausreichend bzw. die Browser-Einstellung des Website-Benutzers für eine Speicherung von Daten in Cookies als ausreichende Zustimmung.

Nach einer Klarstellung der Artikel-29-Datenschutzgruppe (2) muss die Information über Ermittlung und Speicherung von personenbezogenen Daten und die Zustimmung jedoch bestimmte Kriterien erfüllen:

  1. Spezifische Informationen.
    Die Einwilligung ist nur dann gültig, wenn sie für den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das heißt mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zulässig ist.
  2. Zeitablauf.
    Grundsätzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen.
  3. Aktive Entscheidung.
    Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grundsätzlich bestehen keine Einschränkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung gültig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. Als Mindestform der Willensbekundung könnte jede Art von Zeichen angesehen werden, das ausreichend eindeutig ist, um die Wünsche der betroffenen Person zum Ausdruck zu bringen und für den für die Datenverarbeitung Verantwortlichen verständlich zu sein (beispielsweise eine handschriftliche Unterschrift unter einem Papiervordruck oder ein aktives Verhalten, aus dem nach vernünftigem Ermessen auf eine Einwilligung geschlossen werden kann).
  4. Ohne Zwang.
    Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine Gefahr einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt. (2)

Die Einwilligung als „aktive Entscheidung“ wird auch als „Opt-In“ bezeichnet.

Die Umsetzung dieser Anforderungen kann man in Wordpress zum Beispiel so angehen:

Datenschutzerklärung im Impressum

In der Datenschutzerklärung sind im Detail die gespeicherten Cookies, ihr Verwendungszweck und die Dauer der Speicherung anzuführen. Zusätzlich die Information, wie Cookies über den Browser verhindert werden können.

Die Datenschutzerklärung im Impressum war empfohlene Praxis in Österreich als Umsetzung für die EU Cookie Richtlinie, ist jedoch nicht mehr ausreichend lt. Stellungnahme der Artikel-29-Datenschutzgruppe nach DSGVO. Es muss jetzt eine eigene Seite „Datenschutzerklärung“ geben – am besten im Fußbereich neben dem Impressum.

WordPress Plugins für Cookie Hinweispflicht

In WordPress gibt es eigene Plugins, mit denen der Cookie-Hinweis-Balken angezeigt werden kann. In der Regel  informieren sie jedoch nur, dass personenbezogene Daten gespeichert werden und verhindern das Speichern nicht, wenn der Website-Besucher den Hinweis ignoriert. Sie entsprechen somit nicht genau den Forderungen der Artikel-29-Datenschutzgruppe.

Beispiele für WordPress Cookie Plugins:

Damit lässt sich der Cookie-Informationsbanner oben oder unten anzeigen mit

  • Information über die Speicherung von personenbezogenen Daten mit Verwendungszweck (z.B. für statistische Analysen wenn Google Analytics eingesetzt wird)
  • eine Möglichkeit der Zustimmung / Ablehnung
  • einen Link zur genaueren Information im Impressum in der Datenschutzerklärung

Google Analytics anonymisieren

Wenn eine Website Google Analytics einsetzt, werden alle IP-Adressen von Website-BesucherInnen – und damit personenbezogene Daten – gespeichert. Um die IP-Adressen nicht rückverfolgen zu können, kann auch eine Anonymisierung erfolgen, sodass die IP-Adressen nicht komplett bei Google gespeichert werden. Es reicht, eine Zeile Code beim Google Analytics Code für die eigene Website zu ergänzen:

ga(’set‘, ‚anonymizeIp‘, true);

Nähere Information zum datenschutzkonformen Einsatz von Google Analytics hier.

Wir führen gerade einen Test mit 2 Websites durch, ob durch die Anonymisierung wichtige Informationen in Google Analytics verloren gehen, das Ergebnis des Tests werde ich in einigen Wochen hier publizieren.

Nachtrag 28.2.16: Auswirkung von Google Analytics anonymisieren auf die Daten

Ganz klar: Das Anonymisieren von Google Analytics spielt für die Auswertung der Daten und die Information, die man daraus ziehen kann, keine Rolle.

Analytics mit und ohne anonymisieren der IP

In Google Analytics sieht man in der Auswertung der Städte der Zielgruppe (Analytics: Menü Zielgruppe / Überblick / Demografische Merkmale „Stadt“) sowohl bei einer Website mit Anonymisierung der IP-Adresse (links) als auch bei einer anderen Website ohne Anonymisierung (rechts) den gleichen Detaillierungsgrad.

Google Analytics kann daher problemlos anonymisiert definiert werden.

Fazit

Wenn Google Analytics nicht eingesetzt wird oder mit einer Zeile Code anonymisiert wird (siehe oben), werden die meisten EPU / KMU Websites keinen Cookie Zustimmungsbalken auf Ihrer Startseite benötigen. Sicherheitshalber würde ich aufgrund der hohen Strafandrohung der DSGVO von € 37.000 jedoch einen Test machen, ob nicht Plugins in WordPress Cookies speichern, und in die Datenschutzerklärung ins Impressum aufnehmen. Auch mit Anonymisierung muss der Einsatz von Google Analytics in der Datenschutzerklärung beschrieben sein.

Sie brauchen Unterstützung bei der Umsetzung?

Weitere Informationen