Was bedeutet das EuGH Urteil zu Like-Buttons und Cookie Opt-in für Webseitenbetreiber?

Im Juli 2019 beschloss der EuGH in einem Urteil, dass der Webseitenbetreiber für Like-Buttons gemeinsam mit Facebook verantwortlich ist. [Interessanter Fun Fact an dieser Stelle: die Seite des EuGH mit den Rechtsprechungen ist nicht verschlüsselt 🙂 ]

Zudem ergibt sich aus dem Urteil die Einwilligungspflicht für viele Plugins auf der Webseite.

Beim Urteil des EuGH wurde explizit auf die Übertragung der Daten durch Social Media Plugins eingegangen. Natürlich kann man dies auch auf andere Plugins übertragen. Nicht eingegangen wurde allerdings im Urteil auf die Übertragung reiner IP-Adressen aus funktionellen Gründen (ohne Analyse und Marketing-Zwecke). Dass hierfür eine Einwilligung nötig sei, geht unserem Verständnis nach aus diesem Urteil nicht hervor.

Praxis-Empfehlungen für Ihre Webseite zum Cookie Opt-in und zu Like-Buttons

Dieser Artikel ist keine rechtliche Darlegung des Urteils. Es geht uns hier viel mehr darum, Ihnen eine praxisrelevante Anleitung und Tipps für die DSGVO konforme Webseite zu geben mit Schwerpunkt Einwilligung und Umgang mit dem Like-Button. Wenn Sie mehr über die rechtlichen Aspekte des Urteils wissen möchten, empfehlen wir Ihnen den Artikel von Dr. Schwenke.

Hinweis! Dieser Artikel stellt keine Rechtsberatung dar!

Wenn Sie darüber hinaus wissen möchten, wie Sie die Datenschutzaspekte Ihrer kompletten Webseite prüfen, haben wir einen eigenen Beitrag zum Webseitencheck.

Facebook Like Button auf der Webseite einbinden

Im Urteil ging es speziell um den Facebook Like-Button. Letztendlich kann man das aber auch auf andere Medien übertragen.

Warum ist der Like Button nicht rechtskonform? Nach Aussage des Gerichts handelt es sich hier um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO von Facebook und dem Webseitenbetreiber. Der EuGH ist der Auffassung, dass der Webseitenbetreiber, der den Like-Button einbindet, Facebook damit die Möglichkeit bietet, an die Daten des Users zu gelangen. Das ist neu in dieser Sache.

Exkurs: Eine gemeinsame Verantwortlichkeit wurde ja bereits zwischen Facebook und Facebook-Fanseiten Betreibern festgelegt. Aber auch dieses Thema ist noch nicht abschließend geklärt.

Der gemeinsamen Verantwortlichkeit für den Like Button kann man derzeit als Webseitenbetreiber nicht erfolgreich nachkommen. Es fehlen dazu Informationen, die wiederum von Facebook zur Verfügung gestellt werden müssen / müssten (?).

Wie kann ich nun den Like Button auf meiner Webseite einbinden?

Gar nicht!

Aber das ist eigentlich nicht ganz neu. Auch bisher waren viele eingebundene Like Buttons schon nicht konform, da diese bereits beim Aufruf der Seite Daten übertragen haben. Neu dazu kam nur die soeben angesprochene gemeinsame Verantwortlichkeit. Könnte man mit den richtigen Cookie Opt-in’s die Einwilligung zur Datenübertragung noch einholen, sind dem Webseitenbetreiber derzeit bezüglich der gemeinsamen Verantwortlichkeit die Hände gebunden.

Welche Alternativen zum Like Button gibt es?

Aus unserer aktuellen Einschätzung spricht nichts gegen einen Teilen Button. (Wie gesagt, keine Rechtsberatung!) Gute Erfahrungen haben wir zum Beispiel gemacht mit [Vorsicht Werbung!] Shariff. Shariff ist kostenlos (wir bekommen auch keine Provision wenn Sie auf den Link klicken 🙂 ). Wir verwenden Shariff bei unseren Blogbeiträgen auf dieser Webseite.

Beitrag teilen statt Like Button
Beitrag teilen statt Like Button

Sie können auswählen, welche sozialen Medien Sie angeben möchten, um den Beitrag zu teilen. Die Daten werden erst übertragen, wenn der User sich aktiv dafür entscheidet. Sie als Webseitenbetreiber sehen auch nicht, welcher User Ihren Beitrag geteilt hat. Sie können allerdings eine Statistik aktivieren. Dadurch bekommen Sie die Anzahl mit, wie oft der Artikel / die Seite in verschiedenen Medien geteilt wurde.

Wofür braucht Ihre Webseite durch das EuGH Urteil nun ein Cookie Opt-in?

Das Urteil des EuGH hat das Thema Cookie Opt-in noch mal verschärft. So richtig neu war die Aussage aus unserer Sicht allerdings auch nicht. Für viele Verwendungszwecke war auch bisher eine Einwilligung nötig.

Opt-in für Werbezwecke / Marketing

Analysieren Sie die Daten Ihrer Webseitenbesucher, um ihnen personalisierte Werbung zukommen zu lassen? Dann benötigen Sie auf jeden Fall ein Opt-in.

Ausnahme feste Werbung und Affiliate Links ohne Einwilligung

Ausnahme: wann ist nach unserem Verständnis kein Opt-in nötig? Sie können auf Ihrer Webseite natürlich auch feste Werbeblöcke einbinden. Dafür ist es Ihnen egal, ob der Webseitenbesucher vorher schon mal auf Ihrer Seite war oder nicht. Ebenfalls werten Sie nicht aus, welche Interessen der Besucher hat oder wie alt er / sie ist. Sie präsentieren ihm einfach eine Werbung, so wie hier am Beispiel HelloFresh. (Was übrigens in diesem Fall tatsächlich eine Werbung mit Affiliate ist. Also falls Sie eine Kochbox bestellen, erhalten wir eine kleine Provision 🙂 )

Opt-in bei personalisierter Werbung

Aber zurück zum Thema. Wenn Sie das Facebook Pixel oder andere Conversion Tracking Tools auf Ihrer Webseite einsetzen, möchten Sie damit das Verhalten Ihrer Webseitenbesucher analysieren. Da wird es schon ziemlich persönlich, oder?

Aus diesem Grund müssen Sie Ihren Webseitenbesucher fragen, ob dieser das möchte. Damit sind wir beim Opt-in für Werbezwecke.

Opt-in bei Analyse des Userverhaltens auf Ihrer Webseite

Inzwischen gibt es diverse Marketing- und Analysetools der verschiedensten Hersteller, die das Benutzerverhalten auf Ihrer Webseite tracken können. Sie haben sogar die Möglichkeit die Bewegungen des Mauszeigers zu analysieren. Noch schnell ein Pop-up mit dem Hinweis „Verlassen Sie uns schon?“, wenn sich der Mauszeiger verdächtig nahe an das „X“ zum Schließen des Fensters bewegt.

Auch hier geht es schon weit darüber hinaus, was ich Sie als Webseitenbetreiber einfach so über mich wissen lassen möchte. Also benötigen Sie für so detaillierte Analysen eine aktive Einwilligung, also ein Opt-in.

Anonymisierte Analyse des Userverhaltens

Wie sieht es aus bei der anonymisierten Analyse? Das heißt, am Beispiel Google Analytics mit IP-Anonymisierung, werden die letzten Ziffern der IP-Adresse gelöscht. Dadurch ist kein direkter Personenbezug mehr möglich.

Bisher war unser Kenntnisstand, dass in diesem Fall ein Opt-out ausreichend ist. Das heißt, die Analyse darf sofort beim Besuch der Webseite starten. Der User muss aber trotzdem die Möglichkeit haben, sich davon abzumelden (zum Beispiel über die DSE).

Unserem Verständnis nach wäre durch die Anonymisierung nach wie vor der direkte Personenbezug nicht gegeben. Eine Aussage von Rechtsanwalt Dr. Schwenke vom 21.07.19 in einem Facebook Post lautet allerdings dazu:

Es bleibt ein Marketingtool. Es kommt nicht nur darauf an, was Sie mit den Daten machen, sondern viel mehr was Google mit ihnen macht. Und auch gekürzte IP-Adressen sind personenbezogen (s. Art. 4 Nr. 1 DSGVO „Onlinekennung“).

https://www.facebook.com/raschwenke/posts/2270433786406128?comment_id=2270850733031100&reply_comment_id=2270871029695737

Damit ist auch bei anonymisierten Webseitenanalysen die Einwilligung nötig.

Wie kann ein rechtskonformes Cookie Opt-in erreicht werden?

Interessant ist – was viele nicht wissen -, dass fast alle Webseiten zwar einen Cookie Hinweis auf Ihrer Webseite haben, dieser aber nicht rechtskonform ist. Das Bayerische Landesamt für Datenschutz hat hierzu 40 Webseiten geprüft. Ergebnis: null davon hatten alle Anforderungen an die Einwilligung erfüllt.

Das heißt also. Das Urteil des EuGHs bezüglich Cookie Einwilligungen wurde bereits in der Praxis bei einigen Webseiten durch das LDA Bayern geprüft, noch bevor das EuGH Urteil gesprochen wurde.

Schritte zum sicheren Cookie Opt-in auf Ihrer Webseite

So, nun an das Wesentliche. Nachfolgend eine Übersicht über die Schritte, die nötig sind, um eine gültiges Cookie Opt-in zu erreichen.

Klassifizieren der Plugins

Hört sich kompliziert an. So schlimm ist es gar nicht. Teilen Sie die von Ihnen verwendeten Plugins in verschiedene Kategorien:

  • nötig zum Betrieb der Webseite
  • Personalisierung der Seite
  • zu Marketingzwecken
  • zu Analysezwecken

Um die rechtskonforme Einwilligung zu erhalten, sollten Sie – auch wenn’s unschön ist – ein Tool verwenden. Diese Tools unterstützen Sie bei der Klassifizierung Ihrer verwendeten Cookies. Die Tools (siehe unten) machen schon eine Vorauswahl bekannter Cookies. Sie müssen lediglich einzelne Cookies noch manuell klassifizieren.

Unterbinden der Datenübertragung

Unterbinden Sie die Datenübertragung technisch so lange, bis der Benutzer eine Entscheidung getroffen hat. Erst wenn der User aktiv eingewilligt hat, dürfen Sie die Daten an die Drittanbieter übertragen, bzw. aufzeichnen.

Rechtskonforme Einwilligung einholen

Die Einwilligung muss freiwillig erfolgen und gerade beim Thema Marketing aktiv durch den Webseitenbesucher. Aktiv heißt in diesem Fall zum Beispiel ohne Vorauswahl.
Wichtig ist, dass der Besucher mit einem Klick die Entscheidung treffen kann, Cookies für Marketingzwecke auszuschließen.

Das heißt, Sie bieten dem User beim ersten Besucher Ihrer Webseite an, eine Auswahl zu treffen. Die Auswahl kann der Webseitenbesucher für jede Kategorie einzeln treffen. Nachfolgend sehen Sie eine Möglichkeit, wie so eine Einwilligung aussehen kann.

Wichtig! Lassen Sie das Feld für die Zustimmung „Marketingzwecke / Werbung“ leer. Dies muss vom Benutzer aktiv angewählt werden. Ein bereits vor-angekreuztes Feld sollten Sie vermeiden.

DSGVO konformes Cookie Opt-in
So kann ein konformes Cookie Opt-in aussehen

Keine implizite Einwilligung

Keine Entscheidung ist auch eine Entscheidung. Auch wenn uns diese Vorgehensweise in vielen Unternehmen im Tagesgeschäft immer wieder auffällt, ist es für die Cookie Opt-in’s keine Lösung.

Technisch können Sie vorgeben: Wenn der Benutzer nach unten scrollt oder einen anderen Beitrag auf der Webseite anklickt, hat er implizit zugestimmt. Die Einwilligungsbox verschwindet dabei. Machen Sie das nicht! Sie benötigen eine ausdrückliche Einwilligung. Der User muss auf den OK Button drücken. Das heißt, Sie müssen ihm das Auswahlfeld so lange anzeigen, bis er sich entschieden hat. So lange müssen Sie auch die Datenübertragung / Datenerfassung unterbinden.

Information über die verwendeten Cookies

Die liebe Informationspflicht. Neben der Auswahl haben Sie noch die Aufgabe, dem User die Möglichkeit zu geben, sich über die auf Ihrer Seite verwendeten Plugins zu informieren. Es sollte also eine Übersicht geben, die alle Plugins enthält mit einer kurzen Erläuterung dazu.

Weitere ausführliche Informationen zum Thema Informationspflicht und was alles enthalten sein muss, finden Sie in einem unserer vorhergehenden Blogbeiträge.

Mit welchen Tools kann ein rechtskonformes Cookie Opt-in erreicht werden?

Hier bewegen wir uns in einem Bereich, den wir gar nicht so gern haben. Grundsätzlich möchten wir keine Produktempfehlungen geben. Da aber die Not der Webseitenbetreiber hier relativ groß ist, möchten wir kurz unsere Erfahrungen wiedergeben. Wir sind aber gerne bereit hier Ihre Erfahrungen aufzunehmen. Haben Sie rechtskonforme Einwilligungen umgesetzt? Dann schreiben Sie uns einen Kommentar mit Ihren Erfahrungen dazu.

Aus unserer Sicht sind momentan zwei Anbieter zu nennen, die die Anforderungen, wie wir Sie oben zum Cookie Opt-in beschrieben haben, umsetzen können.

CookieBot

https://www.cookiebot.com/de/

Borlabs Cookie

Borlabs Cookie (Affiliate Link!)

Wir probieren beide Anbieter aus, um für uns das optimale Tool auszuwählen.

Update 31.07.19: Kurz nach Veröffentlichung des Beitrags erhielt ich eine E-Mail von Ben von Borlabs. Die Info von ihm möchte ich hier 1 zu 1 wiedergeben, falls zwischen die Zeilen etwas anderes hinein interpretiert wird, als von mir gedacht.

1. Borlabs Cookie kannst du absolut frei konfigurieren, was wir auf unserer Website machen muss ein Kunde nicht auf seiner Website so einstellen.
2. Bei uns ist „Marketing“ vorausgewählt, das ist aber gültig, da der Besucher die Möglichkeit hat, mit nur einem Klick auf „Nur essenzielle Cookies akzeptieren“ allem zu widersprechen, außer den Essenziellen Cookies. Das ist so gültig und wird auch mit der ePrivacy so gültig sein.

Die Vorgabe ist bisher lediglich, dass der Besucher genauso einfach die Möglichkeit haben muss zu widersprechen, wie er die Möglichkeit hat einzuwilligen. Das ist hier gegeben durch die 1-Click Lösung. 

Auszug aus der E-Mail von Ben (Borlabs) an Regina (Datenbeschützerin) vom 31.07.19.

Update Nov. 2019: Inzwischen wurde durch das EuGH Urteil klar gestellt, dass weder statistische noch Marketing-Cookies vorausgewählt sein dürfen. Beide Anbieter können das meines Wissens so einstellen.

Sind die Anbieter für das Cookie Opt-in Auftragsverarbeiter?

Nein! Die Anbieter analysieren Ihre Webseite und listen die gesetzten Cookies durch Ihre Webseite. Der Anbieter ermöglicht Ihnen lediglich anonyme Statistiken einzusehen.

Wann benötige ich keinen Cookie Opt-In?

Aus unserer Erfahrung heraus können wir sagen, dass nur vereinzelte Webseiten existieren, die kein Cookie Opt-In benötigen. Es gibt eigentlich nur eine Ausnahme: wenn keine Daten (und damit meinen wir wirklich überhaupt Daten) auf den Endgeräten des Nutzers gespeichert oder ausgewerteten werden. Dies wird allerdings in der Praxis sehr selten der Fall sein.

Nach unserer Auffassung ist jedoch ein Cookie-Hinweis (Informationspflicht) einzublenden, sofern Cookies lokal auf dem Endgerät gespeichert, aber nicht übertragen werden. Diese Cookies dienen überwiegend dem funktionellen Betrieb der Webseite (technisch notwendige Cookies).

Wie sieht Ihr Cookie Opt-in aus?

Gehen wir davon aus, Ihre Webseite gehört nicht zu den wenigen, die keine Cookies verwenden, für die ein Opt-in nötig ist. Wie haben sie das Cookie Opt-in umgesetzt? Welche Lösung sagt Ihnen am besten zu?

Update 3.8.19

Der Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW hat kurz nach dem Urteil eine Mitteilung veröffentlicht. Die Datenschutzbehörden in Deutschland und Europa werden sich noch mit dem Urteil auseinander setzen. Zitat:

Was das Urteil im Einzelnen für die aktuelle Rechtslage und die Praxis bedeutet, werden die deutschen und europäischen Datenschutzaufsichtsbehörden in nächster Zeit noch prüfen und konkretisieren.

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/EuGH-zu-Social-Plugins/EuGH-zu-Social-Plugins.html

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

6 Comments on “Was bedeutet das EuGH Urteil zu Like-Buttons und Cookie Opt-in für Webseitenbetreiber?
  • Andreas Paersch says:

    Hallo Regina,
    danke für Deinen wertvollen Artikel, der viele Punkte nun viel klarer werden lässt.

    Frage zur anonymisierte Analyse des Userverhaltens:

    Die Besucherstatistik zeigt:
    + Anzahl Besucher in Summe
    + Anzahl Besucher auf den meist besuchtesten Seiten
    + Quelle externe Links (keine IP-Adressen), über die Besucher gekommen sind

    Basis der Statistik ist Google Analytics. Zugriff auf das Konto hat nur der Provider. Ein AV-Vertrag liegt vor.

    Bewertung für mich: es kann keine Aussage zu personenbezogenen Daten getroffen werden.

    Frage: Trotzdem Einwilligung holen???

    Wie würdest Du dies bewerten?

    Antworten
    • Jasmin Sturm says:

      Hallo Andreas,
      vielen Dank für dein Feedback, das freut uns immer sehr.

      Nach der jetzigen Rechtsprechung und dessen Auslegung, wird eine Einwilligung auch für anonymisierte Daten in Frage kommen. Dr. Schwenke ist der Ansicht, dass es sich bei Google Analytics dennoch um ein Marketingtool handelt.

      Richtige Gewissheit werden wir wohl erst haben, wenn sich eine Aufsichtsbehörde dazu geäußert hat.
      Auf der sicheren Seite bist du auf jeden Fall, wenn du dir eine datenschutzkonforme Einwilligung einholst.

      Viele Grüße, Jasmin

      Antworten
  • Jessica says:

    Liebe Regina,
    vielen herzlichen Dank für diesen verständlichen und sehr hilfreichen Artikel! 🙂 Da verliert das Ganze gleich wieder seinen Schrecken. Neues Plugin installieren und fertig! Okay, dauert natürlich auch wieder ein bisschen sich in die Funktionsweise des neuen Plugins einzuarbeiten, aber doch absolut machbar.

    Eine Frage habe ich aber noch: Braucht es direkt auf den ersten Blick einen Link zur Datenschutzerklärung auf der Webseite? Bisher hatte ich den Link mit in meinen Cookiehinweis integriert. Das scheint bei Cookiebot so nicht möglich zu sein. Reicht es, wenn ich die Datenschutzerklärung neben dem Impressum am Fuß meiner Webseite verlinkt habe?

    Vielen Dank und Schöne Grüße
    Jessica

    Antworten
    • Regina Stoiber says:

      Hallo Jessica,

      danke erst mal.
      Ja, du brauchst zu jeder Zeit den direkten Link auf die DSE und das Impressum. Am besten positionierst du CookieBot so, dass die Links nicht überdeckt sind. Dann funktioniert das.
      Mit Borlabs kannst du die DSE und Impressum direkt verlinken im Pop-Up Fenster.

      Liebe Grüße
      Regina

      Antworten
  • Sophie says:

    Liebe Regina, danke, dass Du das so verständlich zusammen gefasst hast. Bei mir bleibt immer die Frage hängen, wie ich mit Matomo umgehe. Natürlich sind auch hier die IPs anonymisiert und die Daten gehen auch nicht nach Google. Somit sollte ich mich darauf verlassen können, dass ein Opt-out ausreicht? Kann das eigentlich auch mit Deinem erwähnten Plugin (Cookiebot) so realisiert werden. Ich hoffe, es gibt in diesem Bereich bald mehr Klarheit.
    Herzlichen Dank noch mal, Sophie

    Antworten
    • Regina Stoiber says:

      Hallo Sophie,

      Matomo ist eine gute Alternative, da du keinen Drittanbieter wie Google mit ihm Boot hast, wie du ja auch schreibst. Leider fehlen zur IP-Anonymisierung noch konkrete Urteile. Es gibt auch keine Handlungsvorgaben der DSK.
      Dr. Schwenke schreibt ja, es sind Analysetools und damit einwilligungspflichtig.
      Mit IP-Anonymisierung würde ich eher dazu tendieren, dass ein Opt-out nach wie vor reicht. Vor allem, da du bei Matomo ja auch keine IP-Adressen vor der Anonymisierung zu einem Anbieter überträgst, der sie dann nachträglich erst kürzt.
      Ich hätte gesagt, ein Opt-out reicht aus, aber das kann ich dir nicht rechtsverbindlich sagen, da dazu einfach Urteile fehlen. Alles andere wäre nur geraten.
      Auf Nummer sicher gehst du mit einer Einwilligung.
      Mit CookieBot und Borlabs kannst du Matomo steuern.

      Viele Grüße
      Regina

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.