Online-Fundraising

EuGH Entscheidung zu Cookies – und was jetzt zu tun ist!

Die Internetwelt wartet seit Jahren auf die lange angekündigte E-Privacy-Verordnung der EU, die u. a. über die Verwendung von Cookies auf Webseiten Klarheit schaffen soll. Doch diese Verordnung lässt auf sich warten. Am 01.10.2019 hat der Europäische Gerichtshof im Urteil EuGH C-40/17 einen Vorgriff auf die lang ersehnte Verordnung gemacht. Er hat im Grunde ein bestehendes Gesetz (DSGVO) konkretisiert.

Es ist nunmehr klar, dass die Verwendung nicht notwendiger Cookies eine aktive Einwilligung des Users erforderlich macht. Nicht notwendige Cookies sind z. B. Statistik-Cookies für Google Analytics oder Matomo, oder Marketing-Cookies für Re-Marketing-Aktionen. Nicht notwendig sind Cookies von Dritten, wie z. B. YouTube oder Facebook, die automatisch gesetzt werden, wenn ein Webseitenbetreiber z. B. ein YouTube-Video einbindet.

Im Grunde hat der EuGH eine in Deutschland bereits jetzt verbindliche Rechtslage geschaffen. Dies kam für die meisten Websitebetreiber sehr überraschend. Weitere Details zur Ausgangslage können Sie gerne einem ausführlichen Blogartikel von mir entnehmen: lammenett.de/EuGH.

Cookie-Urteil: Folgen der Entscheidung und Risiken

Bei strenger Interpretation der Sachlage ist bereits heute die Verwendung von technisch nicht erforderlichen Cookies ohne Einwilligung rechtswidrig. Sie verstoßen gegen Art. 6 der DSGVO. Es besteht daher das Risiko, dass die Aufsichtsbehörde hiervon erfährt, beispielsweise durch eine Anzeige eines unzufriedenen Kunden oder eines Mitbewerbers, und dem Fall nachgeht. Ein Verstoß kann dann mit einem Bußgeld geahndet werden. Die Höhe eines solchen Bußgeldes ist seit Inkrafttreten der DSGVO am 25. Mai 2018 sehr empfindlich.

Die Strafen für DSGVO-Verstöße reichen bis 20 Millionen Euro, oder im Fall von Unternehmen, bis zu vier Prozent des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres. Ggf. gesellen sich weitere Bußgeldtatbestände hinzu wie z.B. ein fehlendes Verarbeitungsverzeichnis, fehlende TOM oder fehlende DSE. Auf all diese Sachverhalte wird die Aufsichtsbehörde normalerweise erst in Zusammenhang mit der erwähnten Anzeige aufmerksam.

Es stellt sich daher die Frage, was Webseitenbetreiber heute tun können, um die erforderliche Einwilligung einzuholen? Ein Lösungsansatz ist der Einsatz einer sogenannten ConsentManagementPlattform (CMP), auf welche ich in der Folge kurz eingehen möchte.

Alte Cookie-Skripte und Notifications haben ausgedient

Was muss eine Cookie- oder Consent-Management-Plattform nach der neuesten Gesetzeslage können? Eine Cookie- oder Consent-Management-Plattform tut genau das, was der Name schon aussagt. Sie managt die Cookies einer Website und holt von den Besuchern die Einwilligung zur Verwendung von Cookies ein. Dabei bringt die CMP die rechtlichen Anforderungen in Einklang mit Anforderungen aus dem Marketing. Denn aus Marketingsicht möchte eine Institution natürlich möglichst viele Cookies einsetzen können, um Marketing-Aktivitäten möglichst optimal aussteuern zu können.  Im Detail bedeutet das:

  • Das CMP holt eine Einwilligung ein, die der Nutzer aktiv erteilen muss. Sie darf nicht per Default voreingestellt (angekreuzt) sein. Das haben einfache Cookie-Skripte ja bisher auch getan. ABER – Cookies dürfen erst gesetzt werden, NACHDEM die Einwilligung erfolgt ist. Das haben einfache Cookie-Scripte häufig nicht getan. Sie haben oft nur als Benachrichtigung fungiert und bieten kein sofortiges Opt-out. Das Setzen von Cookies ohne Einwilligung wird von einfachen Cookie-Scripten nicht verhindert.
  • Demnach muss ein gesetzeskonformes Tool vor der Einwilligung alle nicht technisch notwendigen Cookies blockieren. Die bis Dato gängigen Cookie-Scripte leisten das nicht.

Wie funktioniert modernes Cookie Management?

Im Idealfall scannt das CMP die Website und klassifiziert die gefundenen Cookies in die Kategorien Notwendig, Präferenzen, Statistiken und Marketing. Die genaue Bezeichnung der Kategorien kann je nach Anbieter abweichen. Nicht identifizierte Cookies können manuell einer Kategorie zugewiesen werden. Die Klassifizierung erfolgt u. a. nach Zweck – denn genau dazu sieht das Gesetz ja eine Informationspflicht vor.

Der Webseitenbesucher muss zwingend über alle Details der eingesetzten Cookies informiert werden. Auch darüber ob Dritte Zugriff auf den Cookie erhalten. Die meisten CMPs bieten daher in der Einwilligungsbox einen Link der zu derartigen Informationen führt.

Die Einwilligungen können in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden. Webseiten-Besucher müssen ihre Zustimmung nachträglich widerrufen oder Einstellungen ändern können. Im Idealfall verfügt das CMP über Mechanismen wie A/B Testing, welche eine hohe Zustimmungsrate fördern.

Aktuell ist ein Hype um CMPs ausgebrochen. Manche Anbieter erhalten 100 und mehr Anfragen am Tag. Doch es gibt große Unterschiede; sowohl in funktionaler und preislicher Hinsicht, als auch in Punkto Handhabung und Integration. Genaues Hinsehen lohnt sich.

Was muss ein gutes CMP können?

  • Cookies automatisch klassifizieren
  • Cookies manuell Kategorien zuweisen
  • Nutzern Banner/Pop-up zur Einwilligung anzeigen, inkl. detaillierter Informationen zu verwendeten Cookies
  • Nachträgliche Änderung von Cookie-Einstellungen durch den Nutzer ermöglichen
  • Automatische Blockierung von Erst- und Drittanbieter-Cookies
  • Verfügbar auf allen Endgeräten
Nice to have:
  • A/B Testing
  • Statistiken
  • Geo-Targeting

Mein Tipp: Holen Sie sich lieber Rat, bevor Sie  auf das falsche Pferd setzten.

 

 

Der vorliegende Artikel stammt von dem Online-Marketing-Experten Dr. Erwin Lammenett und wurde im Fundraiser magazin 2/2020, Seite 76 erstveröffentlicht.

Autor:in

Dürfen wir Ihnen helfen?





    Mehr zum Thema