Einholen einer Zustimmung fürs Speichern von Cookies
An kaum einen Publisher dürfte es vorbeigegangen sein, ab dem 1. Oktober 2015 erwartet Google laut einer neuen Richtlinie von allen Seitenbetreibern, die AdSense-Anzeigen in ihren Seiten einbinden, einen deutlichen Hinweis auf den Seiten und die Einholung einer Zustimmung der User für das Setzen bzw. für das Speichern von Cookies.
Auf die eigentliche Richtlinie und deren Umsetzung in Deutschland und der EU möchten wir in diesem Beitrag weniger eingehen, denn wir sind keine Anwälte oder Rechtsexperten. Vielmehr soll an dieser Stelle mehr auf die Umsetzung der neuen Google-Richtlinie aus der Sichtweise von Programmierern und Entwicklern eingegangen werden. Weniger bedeutet in diesem Zusammenhang nicht, dass wir gar nicht darauf eingehen möchten, doch eine kleine Einführung sollte in diesem Zusammenhang genügen.
Übersicht – Zustimmung zur Nutzung von Cookies:
- Cookie-Richtlinie (Hinweise zur Nutzung von Cookies)
- Position der Hinweise (Position fixed bei mobilen Endgeräten)
- Eine simple Variante (für beliebige Webseiten mit Position top)
- Eine erweiterte Variante (für beliebige Webseiten mit Position fixed)
- Ein finales Script (mit zusätzlichen Erweiterungen als dritte Variante)
- Als Plugin für WP (plus Download aller Varianten)
Von einer Richtlinie und deren Folgen
Eigentlich sollte bei jeder Webseite, von der beim Aufruf der Seite Cookies gesetzt werden, ein Verweis auf eine Seite vorhanden sein, in der eine verständliche Datenschutzerklärung einsehbar ist. Ob diese Datenschutzerklärung direkt mit den Nutzungsbedingungen gekoppelt und gespeichert wird, oder ob die Nutzungsbedingungen separat einsehbar sind, ist eine andere Frage.
Eine gewisse Rechtsunsicherheit sehr vieler Seitenbetreiber besteht jedoch zuweilen bei der Frage, bei welchen Cookies ein Verweis auf eine Datenschutzerklärung genügt und bei welchen Cookies eine Zustimmung des Users eingeholt werden sollte (Stand: 2015). Im ersteren Fall würde eine im Footer verlinkte Datenschutzerklärung genügen, im zweiten Fall müsste ein Script als Fenster oder als Layer mit einer Opt-out Funktion oder noch besser mit einer Opt-in Funktion eingeblendet werden.
Opt-in: Ein Besucher einer Webseite kann mit einem Klick auf einen OK-Button bestätigen, dass zum Beispiel Tracking-Cookies gesetzt werden dürfen. Theoretisch könnte hier eigentlich jeder klicken, der einen Zugang zum Rechner hat. Sei es ein Arbeitskollege in der Mittagspause oder ein noch unmündiges Familienmitglied.
Bei einer Opt-in Lösung dürfte vor einer Zustimmung und Bestätigung durch einen Klick auf “OK” kein Cookie gespeichert werden. Ein Setzen von Cookies von Drittanbieter lässt sich jedoch nur verhindern, indem der einbindende Code entfernt oder zumindest nicht ausgeführt wird, in diesem Fall der von AdSense. Alternativ könnte jedoch auch die Seite bei Aufruf einfach nicht geladen werden, so lange kein “OK” vorliegt. Noch einfacher wäre es, Webseiten mit AdSense gleich nur noch in einem geschützten Bereich auszuführen, der nur registrierten Mitglieder zugänglich ist.
Es sei angemerkt, alle im letzten Abschnitt erwähnten Möglichkeiten sind nur bedingt umsetzbar und eigentlich unbrauchbar, denn welcher User möchte bereits beim Aufruf einer Seite weiter nichts als nur eine Aufforderung zur Bestätigung sehen?
Opt-out: Bei dieser Option würde zuerst ein Cookie gesetzt und erst nach einem Klick auf einen Nein-Button sollte ein bereits gespeicherter Cookie wieder gelöscht werden. Weiterhin sollten zukünftig keine Cookies mehr von dieser Webseite gesetzt werden, die bereits verneint wurden.
Das Problem dabei, Cookies von Drittanbietern lassen sich nicht einfach von einer einbindenden Webseite löschen. Dieses müsste der User über seinen Browser erledigen oder mit Hilfe der Tools, die er für diese Aufgaben benutzt. Die Einblendung eines Hinweises, dass Besucher beim Aufruf einer Webseite zuerst ihre Internetoptionen oder Browser-Einstellungen überdenken sollten, um diese gegebenenfalls zu korrigieren, wäre aber ebenfalls grober Unfug.
Drittanbieter: Bei Cookies von Drittanbietern handelt es sich um Cookies, die nicht von der aufgerufenen Webseite gesetzt bzw. gespeichert werden, sondern von Seiten, die unter anderen Domains auf anderen Servern gehostet werden und die nur per Script und/oder iFrame in der aufgerufenen Webseite eingebunden werden.
Ein etwas längeres Fazit
Wie unter den Punkten I/O (Opt-in/Opt-out) aufgeführt, ist die Einholung einer Zustimmung nach unserer bisherigen Meinung unter den bisher gegebenen technischen Voraussetzungen im Zusammenhang mit AdSense kaum umsetzbar. Hinzu kommt, dass mindestens ein weiterer Punkt der Richtlinie ebenso wenig umsetzbar ist. Gefordert wird eine Offenlegung gegenüber Usern, wie die erfassten Daten gespeichert, ausgewertet und genutzt werden. Nur woher sollte denn ein Seitenbetreiber wissen, wie Google diese Daten intern nutzt?
Vertrauen ist gut, Kontrolle wäre besser, doch Google wird sich kaum in die Karten schauen lassen.
Somit kann per Script keine Zustimmung von den Besuchern der eigenen Seiten eingefordert werden, sondern mehr oder weniger nur ein deutlicher Hinweis auf eine Datenschutzerklärung erfolgen. Ein OK-Button sollte bei einer derartigen Einblendung nicht fehlen.
Weiterhin sollte die Datenschutzerklärung mit den Nutzungsbedingungen für die jeweilige Website gekoppelt sein. Zu diesen Nutzungsbedingungen gehört dann das Speichern von Cookies und wer nicht mit den Nutzungsbedingungen einverstanden ist, kann ja die Seite verlassen, statt diese entgegen den Bedingungen zu nutzen.
Wissenswert ist in diesem Zusammenhang, dass der Safari bereit seit 2012 standardmäßig keine Cookies von Drittanbietern akzeptiert (Stand: 2015). Wünschenswert wäre es, wenn andere Browser hier nachziehen würden.
