Das Amt für den Schutz personenbezogener Daten (ÚOOÚ) hat Regeln für den Einsatz sogenannter Cookie-Leisten (Bars) und für die Erteilung der Zustimmung zur Verwendung von Cookies erlassen, die in der Regel mit der Verarbeitung personenbezogener Daten verbunden ist. Obwohl die Verpflichtung zur Einholung einer Zustimmung zur Verwendung bestimmter Arten von Cookies bereits seit mehr als einem Jahr besteht, erfüllen nicht alle Websites die erforderlichen Parameter.

Website-Administratoren verwenden zwei Arten von Cookies: technische und nichttechnische. Technische Cookies sind für das ordnungsgemäße Funktionieren der Website selbst erforderlich und es besteht keine Notwendigkeit, den Nutzer der Website um seine Zustimmung zu bitten.
Die Informationspflicht über deren Verwendung bleibt jedoch bestehen.

Komplizierter ist es bei nichttechnischen Cookies, die unter anderem dazu dienen, den Datenverkehr zu überwachen oder die Präferenzen ihrer Besucher für andere, z.B. Marketingzwecke, zu analysieren. Hierfür ist bereits die aktive Zustimmung des Website-Nutzers zur Nutzung erforderlich. Zu diesem Zweck verwenden Website-Betreiber eine Cookie-Leiste, in der die Zustimmung durch einfaches Drücken des entsprechenden Buttons erteilt werden kann. Nichttechnische Cookies können daher nur durch Erteilung der Zustimmung aktiviert werden. Das heißt, wenn Sie die Leiste ohne weiteres schließen, liegt keine Zustimmung vor. Aus dem gleichen Grund kann eine generelle Einwilligung der Aktivierung von Cookies nicht einmal für alle Websites im Browser erteilt werden; die Zustimmung muss jeweils gesondert für jede Website erteilt werden.

Viele Empfehlungen behandeln die Form der Cookie-Leisten. Als Beispiel für bewährte Verfahren nennt das ÚOOÚ-Amt die Platzierung von Tasten zur (Nicht-)/Erteilung der Zustimmung in derselben visuellen Gestaltung in der ersten Ebene der Cookie-Leiste. Die Farbe der Schaltflächen ist nicht entscheidend, der visuelle Aspekt sollte jedoch so sein, dass die Zustimmung bzw. Ablehnung gleichermaßen einfach erteilt werden können.

Die Zustimmung selbst muss von Zeit zu Zeit erneuert werden, in der Regel nach 12 Monaten im Falle einer früheren Einwilligung und nach 6 Monaten im Falle einer Nichterteilung. Dieser Umfang sollte vom Administrator selbst unter Berücksichtigung des Zwecks, für den personenbezogene Daten verarbeitet werden, und gleichzeitig unter Berücksichtigung der Erwartungen der Nutzer festgelegt werden.

Bei der Informierung der Nutzer über die eingesetzten Cookies gilt stets die Anforderung bezüglich der Verständlichkeit und Übersichtlichkeit. Die Informationen können vereinfacht werden, um die jeweilige Problematik besser zu verstehen. Allerdings sind nach dem Anklicken einiger Cookie-Leisten beispielsweise bereits die Einwilligungsfelder mit Analyse- und Marketing-Cookies aktiviert, was dieser Anforderung eindeutig widerspricht.

Neben der Erteilung einer Zustimmung soll der Nutzer auch die Möglichkeit haben, die erteilte Zustimmung genauso einfach zu widerrufen, wie er sie erteilt hat. Im Falle der Erteilung einer Einwilligung über die Cookie-Leiste kann nicht akzeptiert werden, dass der Widerruf der Zustimmung beispielsweise nur telefonisch möglich ist. Idealerweise sollte daher auf den Websites eine leicht zugängliche Drucktaste oder ein Link vorhanden sein, womit die Einwilligung widerrufen werden kann.

Die Cookie-Leiste darf den Besucher außerdem nicht daran hindern, mit der Website zu interagieren, und die Betrachtung ihres Inhalts darf in keinem Fall von der Zustimmung zu nichttechnischen Cookies abhängig gemacht werden.

Wenn Sie Zweifel an den Einstellungen der Cookie-Leiste auf den von Ihnen verwalteten Websites oder den mit der Speicherung personenbezogener Daten ihrer Besucher verbundenen Pflichten haben, beurteilen wir gerne alles für Sie und empfehlen etwaige Anpassungen.

Autor: Veronika Odrobinová, Olga Králíčková