Die EU-Cookie-Richtlinie ist schon seit 2011 in Kraft, wurde von Seiten der Bundesregierung bislang aber nicht in Gesetze gefasst. Die Begründung: Das Telemediengesetz TMG reiche aus, um den Informationsansprüchen von Online-Nutzern über die Verwendung ihrer Daten zu genügen. Zumindest Google hat die gültigen Bestimmungen für seine Werbeprogramme AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange zu Ende September 2015 nun aber schärfer an der Cookie-Richtlinie ausgerichtet.
Somit müssen sich alle Webseiten-Betreiber, die über eines oder mehrere dieser Programme Einnahmen generieren, seit einigen Monaten zwingend mit dem Thema beschäftigen und entsprechende Hinweise über den Cookie-Einsatz für jeden Besucher sichtbar hinterlegen. Dieser soll dadurch die Gelegenheit bekommen, aktiv in die Nutzung von Cookies einzuwilligen (Opt-in-Verfahren), statt - wie früher üblich - aktiv widersprechen zu müssen, wenn er nicht möchte, dass bestimmte Daten in Cookies gespeichert und übertragen werden (Opt-out-Verfahren).
Google verlangt diese Nutzereinwilligung und eine Anpassung der Datenschutzerklärung seit dem 30. September 2015 zwingend von allen Nutzern der drei genannten Programme. Eine baldige Ausdehnung auf die weitverbreiteten Tools Google Analytics und Google AdWords ist wahrscheinlich. Mehr Informationen und Tipps zur genauen Umsetzung der Vorgaben gibt es direkt von Google auf https://www.cookiechoices.org/.
Welche Cookies sind betroffen?
Es gibt zwei unterschiedliche Arten von Cookies, die in der Cookie-Richtlinie erwähnt werden: zwingend erforderliche Cookies und optionale Cookies für zusätzliche Zwecke wie Nutzeranalysen oder Services.
"Zwingend erforderlich" sind Cookies dann, wenn ein Onlinedienst ohne sie gar nicht funktionieren würde: Dazu gehören Cookies, die beispielsweise den Inhalt eines Warenkorbs oder von mehrseitigen Formularen speichern. Auch geht es hier um Informationen über die Spracheinstellungen oder um Login-Daten für die jeweilige Sitzung. Kommen ausschließlich diese "zwingend erforderlichen" Cookies zum Einsatz, ändert sich für den Seitenbetreiber nichts und er muss keine Cookie-Hinweise setzen.
"Cookies für zusätzliche Zwecke" stehen auf einem anderen Blatt. Hier ist die Einwilligung des Nutzers nach vorher erfolgter umfangreicher Aufklärung erforderlich. Das trifft zum Beispiel auf Analysecookies, Cookies von Social-Media-Plattformen wie Facebook, Tracking Cookies oder Werbecookies zu. Wenn Sie also beispielsweise Informationen über ihre Besucher auf deren Computer ablegen, damit Sie sie beim nächsten Besuch wiedererkennen oder ihr Besuchsverhalten analysieren möchten, sind Sie verpflichtet, bestimmte Regeln einzuhalten.
Was ist für den Seitenbetreiber zu tun?
Sollten Sie also letztgenannten Cookie-Arten einsetzen, sind Sie verpflichtet, sichtbare Informationen auf der Startseite zu hinterlegen, denen der Nutzer wissentlich und aktiv zustimmen kann. Und zwar bevor das erste Cookie auf dessen Endgerät gelangt. Wichtig: Ein Pop-up-Fenster ist ungenügend, weil dieses unter Umständen nutzerseitig geblockt werden könnte. Daher greifen fast alle Site-Betreiber zu sogenannten Lay-Over-Einblendungen am oberen oder unteren Rand des Bildschirms.
Die angezeigten Informationen müssen eine allgemeine Informationen über Cookies und einen Link zu detaillierteren Informationen (in der Regel zur Datenschutzerklärung, alternativ zu einer eigenen Cookie-Informationsseite, siehe weiter unten) enthalten - zudem einen klickbaren Button zur Einwilligung. Hierbei darf es sich nicht um einen voreingestellten Zustimmungsbutton ("gesetztes Häkchen") handeln - dem Nutzer muss die Wahl zwischen Zustimmung und Ablehnung gegeben werden - eine Ablehnung darf die Nutzung der Seite nicht beeinträchtigen! Im Fall einer Nutzerbeschwerde ist der Seitenbetreiber in der Beweispflicht - er muss beweisen, dass der entsprechende Nutzer seine Einwilligung in die Verwendung von Cookies gegeben hat.
Alternativ zur Datenschutzerklärung kann auch zu einem eigenen Bereich "Cookie-Richtlinien" verwiesen werden. Dort muss dann dauerhaft, eindeutig, leicht auffindbar und in verständlicher Sprache aufgeführt werden,
was genau in den Cookies gespeichert wird,
zu welchem Zweck gespeichert wird,
wie lange gespeichert wird (zulässig ist maximal ein Jahr),
wer genau für die Speicherung verantwortlich ist (Name des Datenschutzbeauftragten o.Ä.) sowie
dass und wie der Nutzer von seinem Widerrufsrecht Gebrauch machen kann.
Worauf sollte der Nutzer achten?
Wenn Sie prinzipiell ein achtsamer Surfer und Onlineshopper sind und auf Datenschutz Wert legen, geben Sie Acht, dass Sie nicht durch schwammig oder falsch formulierte Informationen in "falscher Sicherheit" gewogen werden, nur um ihr Einverständnis zu erhaschen.
Allgemeine Texte wie "Durch die weitere Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden" sind rechtlich alles andere als wasserdicht. Innerhalb der EU-Datenschützergemeinde herrscht große Uneinigkeit, ob solch ein Satz als Information ausreicht. Der Königsweg ist ein modulares Online-Formular, das dem Nutzer die Möglichkeit gibt, einzelne Cookie-Arten zuzulassen und andere wiederum nicht.
Wie man das Ganze originell gestalten kann
Schaut man sich die gängige Praxis an, ist das aber wohl mehr eine Wunschvorstellung. Mehr als das Nötigste wird in der Regel nicht getan - doch gibt es einige Seiten, die mit einfallsreichen, kreativen Cookie-Informationen von sich reden machen und so für zusätzliche Eigen-PR sorgen. Einige davon haben wir in der folgenden Bilderstrecke zusammengetragen - genauso wie vollkommen uninspirierte Beispiele einfallsloser Pflichterfüllungen.