Kurze Zusammenfassung:
Die seit Mai 2018 geltende DSGVO hat das Thema Datenschutz in alle Munde gebracht (wer das Thema etwas verschlafen hat, findet hier meinen ausführliche Checkliste „DSGVO & Datenschutzerklärung vernünftig umsetzen als kleines Unternehmen in der Schweiz„).
Einer der zentralen Streitpunkte bei der DSGVO war: Wie sieht die Rechtslage zum Thema Cookies aus?
Wichtig: In der Schweiz ist der Cookie-Banner nach Einschätzung von einem Anwalt auch mit dem neuen Schweizer Datenschutzgesetz immer noch nicht Pflicht. Für eine kurze und knackige Erklärung: Neues Datenschutzgesetz Schweiz in 151 Worten zusammengefasst (revDSG 2023)
UPDATE 17.3.2021: Es hat sich einiges getan zum Thema. Meine aktuellste Erklärung, Empfehlung und Lösungsvorschläge habe ich in diesem Artikel veröffentlicht: Google Analytics & Marketing / Tracking Pixel in Zeiten von Datenschutz, DSGVO & e-Privacy Verordnung
Ob und wie darf ich Cookies von Drittanbietern (also typischerweise Google Analytics, Facebook und Co.) einsetzen?
Interessant ist: Das Thema Cookies ist in der DSGVO selbst gar nicht ausdrücklich erwähnt.
Erst die geplante ePrivacy-Verordnung (die darum auch einfach „Cookie-Richtlinie“ genannt wird) soll dann den Einsatz von Cookies endlich verbindlich vorgeben. Diese wird aber frühstens 2020 kommen.
Schauen wir uns die verschiedenen Methoden an, wie mit diesen grundsätzlich problematischen Marketing/Analytics Cookies umgegangen werden kann:
Cookie Methoden: Datenschutzerklärung, Cookie Banner, Opt-Out oder Opt-In?
Die verschiedenen Methoden, von der einfachsten bis hin zur striktesten Umsetzung:
1. Hinweis in der Datenschutzerklärung
Was auf jeden Fall vorhanden sein muss, ist eine Datenschutzerklärung, in der Sie die Besucher darauf hinweisen, welche Cookies von Drittanbietern Sie einsetzen (also dass Sie z.B. Google Analytics auf Ihrer Website einsetzen).
2. Cookie Banner (der rein zur Information dient)
Der bekannte Cookie Banner, der jeden Besucher speziell darauf hinweist, dass auf der Website Cookies eingesetzt werden (mit Link zur Datenschutzerklärung).
Der Besucher hat dabei aber keine Möglichkeit, den Einsatz von Cookies tatsächlich zu verhindern.
Wichtig zu wissen:
Durch so einen Cookie Banner (alà „durch die weitere Nutzung der Website stimmen Sie der Nutzung von Cookies zu“) kann man keine rechtsgültige Einwilligung einholen, auch wenn das in der Praxis gerne gemacht wird.
3. Cookie Banner mit Opt-Out Möglichkeit
Es werden standardmässig Cookies gesetzt, im Cookie Banner wird der Besucher aber darauf hingewiesen, und er kann der Nutzung von Cookies einfach widersprechen.
4. Cookie Banner mit Opt-In Möglichkeit
Es werden standardmässig KEINE Cookies gesetzt, im Cookie Banner kann der Besucher der Nutzung von Cookies jedoch aktiv zustimmen.
Wer auf Nummer sicher gehen will: Das wäre die einzige wirklich rechtssichere Methode (ausser natürlich komplett auf Google Analytics & Co zu verzichten).
WordPress Cookie Banner Plugin
Ein wichtiger Hinweis zum Cookie Banner per WordPress Plugin:
Es gibt einige Gratis WordPress Plugins, mit denen zwar ganz einfach ein Cookie Hinweis Banner eingerichtet werden kann, die aber tatsächlich nichts an den im Hintergrund verwendeten Cookies ändern (also technisch weder die Opt-Out noch Opt-In Methode umsetzen).
Ein Plugin, das eine technisch richtige Umsetzung (also Opt-Out oder Opt-In Methode) ermöglicht, ist z.B. das Plugin Real Cookie Banner von devowl oder WP DSGVO von Pixelmate (es gibt natürlich noch weitere Plugins, aber diese bieten eine sehr umfangreiche Lösung).
Was ist der heutige Stand?
Es ist auch heute (also über 1 Jahr nach Einführung der DSGVO) selbst bei Anwälten immer noch umstritten, welche dieser 4 Methoden aktuell rechtlich Pflicht ist.
Wenn Ihnen also jemand sagt, Cookies dürfen seit der DSGVO nicht mehr gesetzt werden, dann erzählt Ihnen diese Person schlicht Halbwahrheiten.
Die Rechtslage ist schlicht unklar.
Sie merken ja: Selbst auf Websites von verschiedenen grossen und bekannten Unternehmen ist die Umsetzung der Cookie Richtlinie komplett unterschiedlich (oder noch gar nicht) gelöst.
Klarheit schaffen soll dann erst die geplante ePrivacy-Verordnung (alias „Cookie-Richtlinie“):
Die ePrivacy-Verordnung (alias „Cookie-Richtlinie“)
Die ePrivacy-Verordnung soll das Thema Cookies dann endlich klären und verbindlich vorgeben, welche der 4 Methoden Pflicht ist.
Im Moment sieht es danach aus, als wird die ePrivacy-Verordnung dann die Opt-In Lösung (also die oben erklärte und strikteste Variante #4) zur Pflicht machen.
Aber wichtig: Die ePrivacy-Verordnung wird voraussichtlich frühstens 2020 kommen. Ausserdem wird es voraussichtlich sowieso noch eine Übergangsfrist bis 2022 geben, bis die ePrivacy-Verordnung dann tatsächlich „scharf“ ist.
Kurz gesagt:
Es ist noch nichts in Stein gemeisselt. Und ob die ePrivacy-Verordnung dann tatsächlich glasklar ist oder genau so schwammig, umstritten und realitätsfremd wie die DSGVO allgemein ist, ist ein ganz anderes Thema.
Das heisst:
Bis dahin bleibt die Rechtslage unklar und es muss jeder selber wissen, wie genau er die Cookies auf seiner Website einsetzen möchte (meiner Meinung nach sind Cookies aktuell unter der DSGVO ohne Cookie Banner erlaubt und kein Problem – Details in meinem bereits erwähnten DSGVO Artikel).
Danke für Ihren Beitrag. Ich habe eine Webseite, die ich selber mit HTML und CSS gecodet habe. Sie ist bei einem kostenpflichtigen Hostinganbieter gespeichert. Ich habe weder von Google noch von Facebook oder sonst einem Anbieter wissentlich etwas eingebaut. Heisst das, dass meine Webseite cookie-frei ist und keine Nutzerdaten sammelt oder kann es sein, dass von Seiten des Hosts Daten erhoben und Cookies gesetzt werden?
Ja, dann ist die Website grundsätzlich Cookie-frei (Sie können im Browser ja nachsehen, ob und welche Cookies von Websites gesetzt werden). Und ja, der Webhoster hat häufig auch simple Logging Funktionen aktiviert, welche die IP-Adresse von Besuchern speichert. Da müssten Sie einfach einmal schauen bzw. nachfragen, wie Sie diese bei Bedarf deaktivieren können.