Cookies, Google Analytics und die Einwilligung

Wie die letzten Wochen vermehrt den Medien entnommen werden konnte, kursiert das Gerücht, dass Cookies nur mehr mit Einwilligung gesetzt werden dürfen.

Ist Google Analytics also ab sofort nur mehr mit Einwilligung nutzbar?
Sind diese Meldungen wirklich so zu interpretieren, dass Cookies nur mehr mit Einwilligung gesetzt werden dürfen?

Leider lässt die Überschrift, „Das Setzen von Cookies erfordert die aktive Einwilligung des Nutzers.“, der Pressemitteilung des EuGHs wirklich viel Raum für Interpretation.

Nun ist es aber so, dass Google Analytics beispielsweise eine Vielzahl an Konfigurationsmöglichkeiten bietet und in einer Grundeinstellung laut dem Artikel von Stephan Hansen-Oest (Datenschutz-Guru) sehr wohl ohne eine Einwilligung eingesetzt werden kann.

Weiters kann es vorkommen, dass für das setzen von Cookies beispielsweise als Rechtsgrundlage die Vertragserfüllung und/oder Vertragsanbahnung herangezogen werden kann, wenn der Webseitennutzer etwa in einen Webshop einsteigt.
Auch das berechtigte Interesse könnte zur Anwendung kommen, wenn für die einwandfreie Funktion der Webseite das setzen von Cookies zwingend notwendig ist. Eine Einwilligung wäre also für essentielle Cookies nicht erforderlich.

What to do?

• Prüfung der Webseite, welche Cookies und Drittanbieter-Tools zum Einsatz kommen (cookiebot stellt hier einen gratis Dienst zur Verfügung)
• Prüfung der Webseite auf Konformität (hier stellt ebenfalls cookiebot eine Möglichkeit zur Verfügung)
• Prüfung der Google Analytics Einstellungen auf Rechtssicherheit (guter Beitrag dazu von e-recht24 hier zu finden), weiters sollte im Google Code auf der Webseite bereits auf IP-Anonymisierung und einer Opt-Out Möglichkeit in der Datenschutzerklärung geachtet werden, dazu folgend ein Beispielscript:

  <script>
  // Set to the same value as the web property used on the site
  var gaProperty = 'UA->>>GOOGLE-TAG-MANAGER-ID-HIER-EINSETZEN<<<-1';
  
  // Disable tracking if the opt-out cookie exists.
  var disableStr = 'ga-disable-' + gaProperty;
  if (document.cookie.indexOf(disableStr + '=true') > -1) {
  window[disableStr] = true;
  }
  
  // Opt-out function
  function gaOptout() {
  document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
  window[disableStr] = true;
  }
  </script>
  
  <!-- Global site tag (gtag.js) - Google Analytics -->
  <script async src="https://www.googletagmanager.com/gtag/js?id=UA->>>GOOGLE-TAG-MANAGER-ID-HIER-EINSETZEN<<<-1"></script>
  <script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());
  
  gtag('config', 'UA->>>GOOGLE-TAG-MANAGER-ID-HIER-EINSETZEN<<<-1', {'anonymize_ip': true});
  </script>

  Weiters sollte in der Datenschutzerklärung ein zusätzlicher Punkt für das Opt-Out aufgenommen werden, dazu folgend ein Beispiel:
  Widerspruch gegen DatenerfassungSie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren.

  Die Verlinkung von Google Analytics deaktivieren wie folgt konfigurieren:

  <a href="javascript:gaOptout();" onclick="alert('Google Analytics wurde deaktiviert');">Google Analytics deaktivieren</a>

• Verwendung von Plug-Ins, die sich um das Thema Cookie und Datenschutz rechtskonform nutzen, wir nutzten dazu zB COMPLIANZ
• generell mit Opt-In (und nicht Opt-Out) Verfahren arbeiten
• die Informationspflichten nicht vernachlässigen (https://www.snapsec.at/datenschutz, https://www.snapsec.at/cookie-richtlinie-eu/)
• das Thema NICHT ignorieren, sondern sich damit auseinandersetzen (es gab bereits eine Geldstrafe in Höhe von EUR 30.000,–, weil ein Cookie-Banner verwendet wurde, der dem Nutzer keine Auswahlmöglichkeit zur Verfügung stellte)

 
ping