Yam, yam. Leckere Cookies. Nein, leider geht es heute nicht um das Krümelmonster. Es geht mal wieder um diese „bösartigen“ kleine Textinformation, die auf dem Endgerät abgelegt werden. Ich nenne es bewusst ironisch „bösartig“. Weil Cookies in den Ruf gelangt sind, Benutzer auszuspionieren. Es ist wie immer im Leben. Es gibt ein Ja und ein Nein. Nicht alle Cookies sind böse und werden auch nicht per se zum spionieren verwendet. Aber in der Medienlandschaft werden diese gerne so bezeichnet. Und das bleibt natürlich beim Bürger, der sich wenig mit der IT auseinandersetzt, im Kopf haften. Man muss es nur oft genug wiederholen.
Es gibt zum Beispiel technisch notwendige Cookies, die vom CMS oder für den Onlineshop notwendig sind. Dann gibt es noch Cookies, die von Dritten Parteien gesetzt werden. Diese kommen meistens von Werbepartnern. Auch wenn ich Affiliate Banner verwende, werden beim Besuchen der Seite, Cookies gesetzt. Damit weiß zum Beispiel Amazon, dass ich der Partner bin, über den der Besucher kam. Jetzt habe ich natürlich keinen großen Einfluss darauf, wie lange diese Cookies gespeichert werden. Und was alles ausgewertet wird. Und nun kommen wir der Sache schon näher.
Vielleicht noch ein Punkt vorher. Ich bin kein Jurist. Ich arbeite in der IT und bin Fotograf, beschäftige mich gerne mit diesen Themen und versuche die Leute etwas an die Hand zu nehmen und zu unterstützen. Aber am Ende ist jeder für sich selbst verantwortlich.
Der EuGH hat entschieden
Wir schreiben das Jahr 2019, den 01.10.2019. Social Media hat es bereits verkündet. Der EuGH hat entschieden wie mit Cookies zu verfahren ist. Lange Rede, kurzer Sinn. Der Besucher muss zunächst vorher über die Cookies informiert werden und seine explizite Einwilligung geben. Ende. Und komplett unabhängig, ob personenbezogene Daten verarbeitet werden oder nicht. Vor dem Setzen der Cookies bedarf es der Einwilligung. Ausgenommen sind, so habe ich es gelesen, technisch relevante Cookies. Auch vorher gesetzte Cookie Opt-Ins für Tracking und Banner sind wahrscheinlich hinfällig.
Session Cookies vs. Werbecookies
Achtung. Das ist keine Rechtsberatung. Das ist mein Verständnis auf die Sache.
Aber was bedeutet das für die ganzen Websitebetreiber, die nur WordPress einsetzen? Soweit ich das verstanden habe, bedarf er hier keiner Einwilligung. Weil das systembedingte Cookies sind.
Was, wenn ich eigentlich WordPress und Matomo verwende? Auch hier ist ein Opt-In notwendig. Das Cookie wird durch meinen Server gesetzt. Es ist unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht. Es wird ein Cookie gesetzt, welches nicht notwendig ist. Wichtig ist aber der Hinweis, dass Matomo auf dem eigenen Server gehostet wird und Dritte keinen Zugriff auf die Daten erlangen. Die Frage, ob der Haken jetzt bereits gesetzt werden darf oder ob der Besucher diesen auch vorher setzen muss, kann ich aktuell nicht beantworten.
Was, wenn ich Google Analytics verwende? So und hier kommen wir wieder zu einem spannenden Punkt. Es sind Drittanbieter mit im Spiel. Hier bedarf es auch einen Cookie Opt-In, der vom Besucher vorher selbst gesetzt werden muss.
Was, wenn ich Bannerwerbung schalte? Ja, auch hier gilt das Gleiche. Der Besucher muss aktiv und selbstständig seine Einwilligung geben. Es ist laut Datenschutz-guru extrem wackelig. Empfohlen wird auch mit einem Opt-In zu arbeiten. Siehe Punkt 8.
Welche Lösung habe ich nun?
Ich verwende das Tool von Borlabs. Hier kann ich alle Einstellung DSGVO konform umsetzen und eben auch die entsprechenden Einstellungen setzen. Die Frage ob ich weiterhin Banner einsetze um einen Teil meiner Kosten durch Affiliate Einnahmen zu decken, ist noch offen. Auch Matomo. Am Ende wird es wohl darauf hinauslaufen, dass keiner mehr Banner aktiviert und ich keine Informationen zu den Besuchern erhalte.
Über das Tool von Borlabs habe ich schon einen Artikel verfasst. Hier geht es zum Artikel.
Was ist denn mit den Affiliate Links?
Das ist auch eine sehr gute Frage. Denn der Cookie wird vom Werbepartner dann gesetzt, wenn der Besucher auf den Link klickt. Bin ich denn nun mit in der Verantwortung? Ich habe es beim Datenschutz Guru nachgelesen. Wahrscheinlich geht man von einer gemeinsamen Verantwortlichkeit aus. Aber auch hier liest es sich so, dass das noch unklar ist.
Weiterführende Seite
Ich möchte euch noch eine Seite and Herz legen, die sich aus fachlicher und rechtlicher Sicht damit beschäftigt. Es ist der Blog von RA Schwenke. Hier geht es noch zum Artikel zu der Cookie Entscheidung des EuGH.
