+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Im Juli 2019 beschloss der EuGH in einem Urteil, dass der Webseitenbetreiber für Like-Buttons gemeinsam mit Facebook verantwortlich ist. [Interessanter Fun Fact an dieser Stelle: die Seite des EuGH mit den Rechtsprechungen ist nicht verschlüsselt 🙂 ]

Zudem ergibt sich aus dem Urteil die Einwilligungspflicht für viele Plugins auf der Webseite.

Beim Urteil des EuGH wurde explizit auf die Übertragung der Daten durch Social Media Plugins eingegangen. Natürlich kann man dies auch auf andere Plugins übertragen. Nicht eingegangen wurde allerdings im Urteil auf die Übertragung reiner IP-Adressen aus funktionellen Gründen (ohne Analyse und Marketing-Zwecke). Dass hierfür eine Einwilligung nötig sei, geht unserem Verständnis nach aus diesem Urteil nicht hervor.

Praxis-Empfehlungen für Ihre Webseite zum Cookie Opt-in und zu Like-Buttons

Dieser Artikel ist keine rechtliche Darlegung des Urteils. Es geht uns hier viel mehr darum, Ihnen eine praxisrelevante Anleitung und Tipps für die DSGVO konforme Webseite zu geben mit Schwerpunkt Einwilligung und Umgang mit dem Like-Button. Wenn Sie mehr über die rechtlichen Aspekte des Urteils wissen möchten, empfehlen wir Ihnen den Artikel von Dr. Schwenke.

Hinweis! Dieser Artikel stellt keine Rechtsberatung dar!

Wenn Sie darüber hinaus wissen möchten, wie Sie die Datenschutzaspekte Ihrer kompletten Webseite prüfen, haben wir einen eigenen Beitrag zum Webseitencheck.

Facebook Like Button auf der Webseite einbinden

Im Urteil ging es speziell um den Facebook Like-Button. Letztendlich kann man das aber auch auf andere Medien übertragen.

Warum ist der Like Button nicht rechtskonform? Nach Aussage des Gerichts handelt es sich hier um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO von Facebook und dem Webseitenbetreiber. Der EuGH ist der Auffassung, dass der Webseitenbetreiber, der den Like-Button einbindet, Facebook damit die Möglichkeit bietet, an die Daten des Users zu gelangen. Das ist neu in dieser Sache.

Exkurs: Eine gemeinsame Verantwortlichkeit wurde ja bereits zwischen Facebook und Facebook-Fanseiten Betreibern festgelegt. Aber auch dieses Thema ist noch nicht abschließend geklärt.

Der gemeinsamen Verantwortlichkeit für den Like Button kann man derzeit als Webseitenbetreiber nicht erfolgreich nachkommen. Es fehlen dazu Informationen, die wiederum von Facebook zur Verfügung gestellt werden müssen / müssten (?).

Wie kann ich nun den Like Button auf meiner Webseite einbinden?

Gar nicht!

Aber das ist eigentlich nicht ganz neu. Auch bisher waren viele eingebundene Like Buttons schon nicht konform, da diese bereits beim Aufruf der Seite Daten übertragen haben. Neu dazu kam nur die soeben angesprochene gemeinsame Verantwortlichkeit. Könnte man mit den richtigen Cookie Opt-in’s die Einwilligung zur Datenübertragung noch einholen, sind dem Webseitenbetreiber derzeit bezüglich der gemeinsamen Verantwortlichkeit die Hände gebunden.

Welche Alternativen zum Like Button gibt es?

Aus unserer aktuellen Einschätzung spricht nichts gegen einen Teilen Button. (Wie gesagt, keine Rechtsberatung!) Gute Erfahrungen haben wir zum Beispiel gemacht mit [Vorsicht Werbung!] Shariff. Shariff ist kostenlos (wir bekommen auch keine Provision wenn Sie auf den Link klicken 🙂 ). Wir verwenden Shariff bei unseren Blogbeiträgen auf dieser Webseite.

Beitrag teilen statt Like Button
Beitrag teilen statt Like Button

Sie können auswählen, welche sozialen Medien Sie angeben möchten, um den Beitrag zu teilen. Die Daten werden erst übertragen, wenn der User sich aktiv dafür entscheidet. Sie als Webseitenbetreiber sehen auch nicht, welcher User Ihren Beitrag geteilt hat. Sie können allerdings eine Statistik aktivieren. Dadurch bekommen Sie die Anzahl mit, wie oft der Artikel / die Seite in verschiedenen Medien geteilt wurde.

Wofür braucht Ihre Webseite durch das EuGH Urteil nun ein Cookie Opt-in?

Das Urteil des EuGH hat das Thema Cookie Opt-in noch mal verschärft. So richtig neu war die Aussage aus unserer Sicht allerdings auch nicht. Für viele Verwendungszwecke war auch bisher eine Einwilligung nötig.

Opt-in für Werbezwecke / Marketing

Analysieren Sie die Daten Ihrer Webseitenbesucher, um ihnen personalisierte Werbung zukommen zu lassen? Dann benötigen Sie auf jeden Fall ein Opt-in.

Ausnahme feste Werbung und Affiliate Links ohne Einwilligung

Ausnahme: wann ist nach unserem Verständnis kein Opt-in nötig? Sie können auf Ihrer Webseite natürlich auch feste Werbeblöcke einbinden. Dafür ist es Ihnen egal, ob der Webseitenbesucher vorher schon mal auf Ihrer Seite war oder nicht. Ebenfalls werten Sie nicht aus, welche Interessen der Besucher hat oder wie alt er / sie ist. Sie präsentieren ihm einfach eine Werbung, so wie hier am Beispiel HelloFresh. (Was übrigens in diesem Fall tatsächlich eine Werbung mit Affiliate ist. Also falls Sie eine Kochbox bestellen, erhalten wir eine kleine Provision 🙂 )

Opt-in bei personalisierter Werbung

Aber zurück zum Thema. Wenn Sie das Facebook Pixel oder andere Conversion Tracking Tools auf Ihrer Webseite einsetzen, möchten Sie damit das Verhalten Ihrer Webseitenbesucher analysieren. Da wird es schon ziemlich persönlich, oder?

Aus diesem Grund müssen Sie Ihren Webseitenbesucher fragen, ob dieser das möchte. Damit sind wir beim Opt-in für Werbezwecke.

Opt-in bei Analyse des Userverhaltens auf Ihrer Webseite

Inzwischen gibt es diverse Marketing- und Analysetools der verschiedensten Hersteller, die das Benutzerverhalten auf Ihrer Webseite tracken können. Sie haben sogar die Möglichkeit die Bewegungen des Mauszeigers zu analysieren. Noch schnell ein Pop-up mit dem Hinweis „Verlassen Sie uns schon?“, wenn sich der Mauszeiger verdächtig nahe an das „X“ zum Schließen des Fensters bewegt.

Auch hier geht es schon weit darüber hinaus, was ich Sie als Webseitenbetreiber einfach so über mich wissen lassen möchte. Also benötigen Sie für so detaillierte Analysen eine aktive Einwilligung, also ein Opt-in.

Anonymisierte Analyse des Userverhaltens

Wie sieht es aus bei der anonymisierten Analyse? Das heißt, am Beispiel Google Analytics mit IP-Anonymisierung, werden die letzten Ziffern der IP-Adresse gelöscht. Dadurch ist kein direkter Personenbezug mehr möglich.

Bisher war unser Kenntnisstand, dass in diesem Fall ein Opt-out ausreichend ist. Das heißt, die Analyse darf sofort beim Besuch der Webseite starten. Der User muss aber trotzdem die Möglichkeit haben, sich davon abzumelden (zum Beispiel über die DSE).

Unserem Verständnis nach wäre durch die Anonymisierung nach wie vor der direkte Personenbezug nicht gegeben. Eine Aussage von Rechtsanwalt Dr. Schwenke vom 21.07.19 in einem Facebook Post lautet allerdings dazu:

Es bleibt ein Marketingtool. Es kommt nicht nur darauf an, was Sie mit den Daten machen, sondern viel mehr was Google mit ihnen macht. Und auch gekürzte IP-Adressen sind personenbezogen (s. Art. 4 Nr. 1 DSGVO „Onlinekennung“).

https://www.facebook.com/raschwenke/posts/2270433786406128?comment_id=2270850733031100&reply_comment_id=2270871029695737

Damit ist auch bei anonymisierten Webseitenanalysen die Einwilligung nötig.

Wie kann ein rechtskonformes Cookie Opt-in erreicht werden?

Interessant ist – was viele nicht wissen -, dass fast alle Webseiten zwar einen Cookie Hinweis auf Ihrer Webseite haben, dieser aber nicht rechtskonform ist. Das Bayerische Landesamt für Datenschutz hat hierzu 40 Webseiten geprüft. Ergebnis: null davon hatten alle Anforderungen an die Einwilligung erfüllt.

Das heißt also. Das Urteil des EuGHs bezüglich Cookie Einwilligungen wurde bereits in der Praxis bei einigen Webseiten durch das LDA Bayern geprüft, noch bevor das EuGH Urteil gesprochen wurde.

Schritte zum sicheren Cookie Opt-in auf Ihrer Webseite

So, nun an das Wesentliche. Nachfolgend eine Übersicht über die Schritte, die nötig sind, um eine gültiges Cookie Opt-in zu erreichen.

Klassifizieren der Plugins

Hört sich kompliziert an. So schlimm ist es gar nicht. Teilen Sie die von Ihnen verwendeten Plugins in verschiedene Kategorien:

  • nötig zum Betrieb der Webseite
  • Personalisierung der Seite
  • zu Marketingzwecken
  • zu Analysezwecken

Um die rechtskonforme Einwilligung zu erhalten, sollten Sie – auch wenn’s unschön ist – ein Tool verwenden. Diese Tools unterstützen Sie bei der Klassifizierung Ihrer verwendeten Cookies. Die Tools (siehe unten) machen schon eine Vorauswahl bekannter Cookies. Sie müssen lediglich einzelne Cookies noch manuell klassifizieren.

Unterbinden der Datenübertragung

Unterbinden Sie die Datenübertragung technisch so lange, bis der Benutzer eine Entscheidung getroffen hat. Erst wenn der User aktiv eingewilligt hat, dürfen Sie die Daten an die Drittanbieter übertragen, bzw. aufzeichnen.

Rechtskonforme Einwilligung einholen

Die Einwilligung muss freiwillig erfolgen und gerade beim Thema Marketing aktiv durch den Webseitenbesucher. Aktiv heißt in diesem Fall zum Beispiel ohne Vorauswahl.
Wichtig ist, dass der Besucher mit einem Klick die Entscheidung treffen kann, Cookies für Marketingzwecke auszuschließen.

Das heißt, Sie bieten dem User beim ersten Besucher Ihrer Webseite an, eine Auswahl zu treffen. Die Auswahl kann der Webseitenbesucher für jede Kategorie einzeln treffen. Nachfolgend sehen Sie eine Möglichkeit, wie so eine Einwilligung aussehen kann.

Wichtig! Lassen Sie das Feld für die Zustimmung „Marketingzwecke / Werbung“ leer. Dies muss vom Benutzer aktiv angewählt werden. Ein bereits vor-angekreuztes Feld sollten Sie vermeiden.

DSGVO konformes Cookie Opt-in
So kann ein konformes Cookie Opt-in aussehen

Keine implizite Einwilligung

Keine Entscheidung ist auch eine Entscheidung. Auch wenn uns diese Vorgehensweise in vielen Unternehmen im Tagesgeschäft immer wieder auffällt, ist es für die Cookie Opt-in’s keine Lösung.

Technisch können Sie vorgeben: Wenn der Benutzer nach unten scrollt oder einen anderen Beitrag auf der Webseite anklickt, hat er implizit zugestimmt. Die Einwilligungsbox verschwindet dabei. Machen Sie das nicht! Sie benötigen eine ausdrückliche Einwilligung. Der User muss auf den OK Button drücken. Das heißt, Sie müssen ihm das Auswahlfeld so lange anzeigen, bis er sich entschieden hat. So lange müssen Sie auch die Datenübertragung / Datenerfassung unterbinden.

Information über die verwendeten Cookies

Die liebe Informationspflicht. Neben der Auswahl haben Sie noch die Aufgabe, dem User die Möglichkeit zu geben, sich über die auf Ihrer Seite verwendeten Plugins zu informieren. Es sollte also eine Übersicht geben, die alle Plugins enthält mit einer kurzen Erläuterung dazu.

Weitere ausführliche Informationen zum Thema Informationspflicht und was alles enthalten sein muss, finden Sie in einem unserer vorhergehenden Blogbeiträge.

Mit welchen Tools kann ein rechtskonformes Cookie Opt-in erreicht werden?

Hier bewegen wir uns in einem Bereich, den wir gar nicht so gern haben. Grundsätzlich möchten wir keine Produktempfehlungen geben. Da aber die Not der Webseitenbetreiber hier relativ groß ist, möchten wir kurz unsere Erfahrungen wiedergeben. Wir sind aber gerne bereit hier Ihre Erfahrungen aufzunehmen. Haben Sie rechtskonforme Einwilligungen umgesetzt? Dann schreiben Sie uns einen Kommentar mit Ihren Erfahrungen dazu.

Aus unserer Sicht sind momentan zwei Anbieter zu nennen, die die Anforderungen, wie wir Sie oben zum Cookie Opt-in beschrieben haben, umsetzen können.

CookieBot

https://www.cookiebot.com/de/

Update 12.2021: Urteil des Verwaltungsgerichts Wiesbaden zum Einsatz von Cookiebot

Der Hochschule RheinMain wurde der Einsatz von Cookiebot durch das Verwaltungsgericht Wiesbaden gerichtlich untersagt. Grund dafür ist die Datenübermittlung durch Cookiebot in die USA, wo der Anbieter seinen Hauptsitz hat.

Diese Datenübermittlung ist nach Ansicht des Gerichts rechtswidrig und auch für den Betrieb der Webseite nicht erforderlich. Weiterhin wurden die Nutzer nicht über die Risiken der Datenübermittlung in die USA aufgeklärt und auch keine Einwilligung zur Datenübermittlung eingeholt.

Welche Reichweite das urteil letztendlich nach sich zieht, ist aktuell unklar. Sofern hierzu weitere Informationen auch seitens der Behörden veröffentlicht werden, informieren wir Sie in diesem Artikel.

Prüfen Sie dennoch, ob die Nutzung Ihrer Cookie-Lösung auch ohne Datenübertragung möglich ist.
Stellen Sie sicher, dass keine einwilligungspflichtigen Cookies vor der Einwilligung des Users gesetzt werden.

Borlabs Cookie

Borlabs Cookie (Affiliate Link!)

Wir probieren beide Anbieter aus, um für uns das optimale Tool auszuwählen.

Update 31.07.19: Kurz nach Veröffentlichung des Beitrags erhielt ich eine E-Mail von Ben von Borlabs. Die Info von ihm möchte ich hier 1 zu 1 wiedergeben, falls zwischen die Zeilen etwas anderes hinein interpretiert wird, als von mir gedacht.

1. Borlabs Cookie kannst du absolut frei konfigurieren, was wir auf unserer Website machen muss ein Kunde nicht auf seiner Website so einstellen.
2. Bei uns ist „Marketing“ vorausgewählt, das ist aber gültig, da der Besucher die Möglichkeit hat, mit nur einem Klick auf „Nur essenzielle Cookies akzeptieren“ allem zu widersprechen, außer den Essenziellen Cookies. Das ist so gültig und wird auch mit der ePrivacy so gültig sein.

Die Vorgabe ist bisher lediglich, dass der Besucher genauso einfach die Möglichkeit haben muss zu widersprechen, wie er die Möglichkeit hat einzuwilligen. Das ist hier gegeben durch die 1-Click Lösung. 

Auszug aus der E-Mail von Ben (Borlabs) an Regina (Datenbeschützerin) vom 31.07.19.

Update Nov. 2019: Inzwischen wurde durch das EuGH Urteil klar gestellt, dass weder statistische noch Marketing-Cookies vorausgewählt sein dürfen. Beide Anbieter können das meines Wissens so einstellen.

Sind die Anbieter für das Cookie Opt-in Auftragsverarbeiter?

Nein! Die Anbieter analysieren Ihre Webseite und listen die gesetzten Cookies durch Ihre Webseite. Der Anbieter ermöglicht Ihnen lediglich anonyme Statistiken einzusehen.

Wann benötige ich keinen Cookie Opt-In?

Aus unserer Erfahrung heraus können wir sagen, dass nur vereinzelte Webseiten existieren, die kein Cookie Opt-In benötigen. Es gibt eigentlich nur eine Ausnahme: wenn keine Daten (und damit meinen wir wirklich überhaupt Daten) auf den Endgeräten des Nutzers gespeichert oder ausgewerteten werden. Dies wird allerdings in der Praxis sehr selten der Fall sein.

Nach unserer Auffassung ist jedoch ein Cookie-Hinweis (Informationspflicht) einzublenden, sofern Cookies lokal auf dem Endgerät gespeichert, aber nicht übertragen werden. Diese Cookies dienen überwiegend dem funktionellen Betrieb der Webseite (technisch notwendige Cookies).

Wie sieht Ihr Cookie Opt-in aus?

Gehen wir davon aus, Ihre Webseite gehört nicht zu den wenigen, die keine Cookies verwenden, für die ein Opt-in nötig ist. Wie haben sie das Cookie Opt-in umgesetzt? Welche Lösung sagt Ihnen am besten zu?

Update LDI NRW 03.08.19

Der Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW hat kurz nach dem Urteil eine Mitteilung veröffentlicht. Die Datenschutzbehörden in Deutschland und Europa werden sich noch mit dem Urteil auseinander setzen. Zitat:

Was das Urteil im Einzelnen für die aktuelle Rechtslage und die Praxis bedeutet, werden die deutschen und europäischen Datenschutzaufsichtsbehörden in nächster Zeit noch prüfen und konkretisieren.

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/EuGH-zu-Social-Plugins/EuGH-zu-Social-Plugins.html

Update BayLfD Oktober 2021

Das BayLfD äußert sich in einer Kurzinformation ebenfalls zum Thema Einwilligung und Cookies auf Webseiten von öffentlichen Stellen.

Der Datenschutzbeauftragte geht in der Information auf die Gesetzeslage (DSGVO, e-Privacy-Richtlinie und TTSG) ein und erläutert die Anforderungen an die Einwilligungen. Weiterhin zeigt er am Beispiel des Firefox Browser auf, wie man Cookie browserbasiert blockieren kann.

Sein Fazit zum Thema Cookies lautet:

Die einfachste Lösung, auf Einwilligungsbanner verzichten zu können, liegt darin, keine Cookies zu verwenden. Bereits bei der Neugestaltung von Webseiten sollte kritisch geprüft werden, wie viele und welche Cookies tatsächlich notwendig sind. Das entspricht auch dem Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 Buchst. c DSGVO).

BayLfDI, Aktuelle Kurzinformation 36: Cookie-Einwilligungen auf Webseiten bayerischer öffentlichen Stellen, Nr. 3

Diesen Beitrag teilen