Wer im Internet surft, muss der Verwendung von Cookies auf Webseiten aktiv zustimmen. Das bestätigte nach einem Urteil des EuGH im Oktober 2019 auch der BGH im Mai 2020. Das Urteil gilt auch für Praxishomepages.
Ein einfacher Hinweis auf die Verwendung von Cookies oder bereits vorausgewählte Checkboxen genügen den Anforderungen nicht. Das gilt für Marketing- und Analyse-Cookies, eine Ausnahme gilt lediglich für notwendige Cookies. Diese Kategorie ist für die Funktion der Webseite unerlässlich und bedarf daher keiner Zustimmung. Für alle Cookies gilt, dass Webseiten-Besucher ausreichend über diese informiert werden müssen.
Bußgelder drohen
Werden Cookies und ähnliche Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen, auf der Webseite eingesetzt, sollten die Anforderungen zeitnah angepasst werden. MEDI-Rechtsreferentin Angela Wank rät Praxischefs deswegen: „Setzen Sie sich mit Ihrem Webseiten-Betreiber und/oder Datenschutzbeauftragten in Verbindung, um nötige Änderungen zu veranlassen. Wer die Anforderungen nicht erfüllt, muss mit hohen Bußgeldern rechnen.“
Das müssen Sie umsetzen:
- Die Verarbeitung durch Cookies muss verweigert werden können. Neben den Buttons „Details anzeigen“ und „allen Cookies zustimmen“ muss es auch die Möglichkeit geben, alle Cookies abzulehnen.
- Eine gute Übersicht und Transparenz über die eingesetzten Cookies und Technologien muss geschaffen werden. Sie können in verschiedene Kategorien zusammengefasst werden, jedoch muss auch die Möglichkeit geschaffen werden, über das Setzen jedes einzelnen Cookies innerhalb der Kategorien separat zu entscheiden.
- Über jedes Cookie und jede Technologie, die eingesetzt wird, muss ausreichend informiert werden, insbesondere über
- den Zweck der Verarbeitung personenbezogener Daten und die Rechtsgrundlage
- die Empfänger/Empfängerkategorien der Daten
- den Einsatz eines Drittanbieter-Cookies. Hier ist wichtig mitzuteilen, dass Sie keinen Einfluss in die Verarbeitung haben und auf die Datenschutzhinweise des Drittanbieters verweisen.
- die Übermittlung in ein Drittland inklusive geeigneter Garantien (z. B. Privacy-Shield-Abkommen)
- die Speicherdauer (Laufzeit des Cookies oder der Technologie)
- das Widerrufsrecht des Webseiten-Besuchers
- sonstige Rechte (hier reicht ein Verweis auf die Datenschutzhinweise, die an dieser Stelle dann verlinkt werden sollten.
