29.07.2019, EuGH-urteil Cookie-Opt-in erforderlich, mithaftung für like-buttons

Ende Juli 2019 hat der EuGH zum Thema Cookie-Opt-in Pflicht ein wegweisendes Urteil gefällt. Bei dem zugrunde liegenden Fall ging es um das Unternehmen Fashion ID, welches Social Media Buttons auf der Website eingebunden hat. Fashion ID wurde abgemahnt, weil aufgrund des Facebook Like Buttons Daten ohne Einwilligung an Facebook übermittelt wurden. Aber was genau besagt das Urteil und was heißt das nun für Webseitenbetreiber? Alle wichtigen Infos zeigen wir hier auf.

1. Neues Urteil zu Tracking Cookies?

Der EuGH hat ein neues Urteil zu Cookies sowie der Behandlung mit Facebook Like-Buttons gefällt. Allgemein sind weiterhin die rechtlichen Hintergründe schwierig gestrickt. Ebenfalls gibt es auch noch keine gültige ePrivacy-VO, die entsprechende Vorgaben zum Schutz der personenbezogenen Daten hinsichtlich der elektronischen Kommunikation enthalten soll. Webseitenbetreiber können sich aktuell nur an aktuellen Urteilen orientieren. Anhand des Urteils des EuGH ist die Richtung hinsichtlich der Cookie-Nutzung vorgegeben. In der Kurzversion besagt das Urteil:

  • Keine echte Einwilligung vorhanden – Tracking Cookies sind nicht erlaubt
  • Webseiten-Betreiber sind bei Einbindung von Facebook Like Buttons mit verantwortlich
  • Tracking Cookies sind abmahnbare Pflicht
  • Verstöße können abgemahnt werden

Das Urteil hat für viele Diskussionen gesorgt. Wer eine Webseite betreibt, muss sich nun zumindest nicht mehr die Frage stellen, ob ein Cookie Banner verwendet werden muss. Stattdessen steht die Frage im Raum, wie der Banner auszusehen hat, der datenschutzrechtlich alle gesetzlichen Vorgaben erfüllt. Für Inhaber einer Webseite heißt es, diese Vorgaben der DSGVO korrekt zu erfüllen.

2. Was bedeutet das Urteil für Webseitenbetreiber?

Insgesamt hat sich der Europäische Gerichtshof zu vier Fragen geäußert.

  • Festgelegt wurde, dass Tracking und Marketing Cookies eine echte Einwilligung der User erfordern. Ein einfacher Cookie-Banner mit dem Hinweis, dass Cookies gesammelt werden, reicht laut dem Urteil nicht mehr aus.
  • Außerdem sollen Webseitenbetreiber, die den Facebook Button nutzen, zusammen mit Facebook bei Datenschutzverstößen verantwortlich sein.
  • Werden Daten ungefragt an Facebook über den Like-Button übertragen, entsteht ein Verstoß gegen das Datenschutzrecht.
  • Zudem wurde erläutert, dass Wettbewerbsverbände Websitebetreiber kostenpflichtig abmahnen können, wenn sie Facebook „Gefällt-mir“ Buttons ohne Einwilligungsmöglichkeit auf der Webseite eingebettet haben.

3. Wer sollte sich mit dem EuGH-Urteil beschäftigen?

Alle diejenigen Webseitenbetreiber, die generell auf alle Tracking Cookies verzichten, brauchen sich um das Urteil keine Gedanken zu machen. Wichtig ist das Urteil für alle Webseitenbetreiber, die:

  • Cookies im Bereich Marketing und Tracking auf ihrer Webseite nutzen
  • Social Media Buttons auf ihren Websites zum Einsatz bringen
  • und generell für alle Webdesigner und Webagenturen, die Internetseiten erstellen

Für diesen Personenkreis ist es unausweichlich, sich intensiv mit dem Urteil des EuGH zur Cookie-Opt-in Pflicht und der Nutzung der Facebook & Co Buttons auseinanderzusetzen. Webprojekte müssen zwingend nach den Vorgaben umgesetzt werden, um kostenintensive Abmahnungen zu vermeiden.

4. Sind alle Cookies von der Pflicht betroffen?

Webseiten arbeiten mit verschiedenen Cookie-Arten. Allerdings sind nicht alle Cookies von diesem Urteil betroffen. Ausgeschlossen sind Cookies, die zum Betrieb der Webseite technisch notwendig sind. Zusätzlich gibt es Cookies, die generell keine personenbezogenen Daten sammeln. Wie diese einzuordnen sind, wurde noch nicht abschließend geklärt. Anders sieht es bei Cookies zu Marketing- und Tracking-Zwecken aus. Diese können im Bedarfsfall abgemahnt werden, sofern die aktuellen Vorgaben nicht umgesetzt werden.

**Info:

Vor diesem Urteil war die Online Marketing Branche der Auffassung, dass Tracking-Cookies keine aktive Einwilligung erfordern. Der EuGH hat hier klar eine andere Auffassung und macht durch dieses Urteil die Einwilligung zur Pflicht. **

Ob eine Einwilligung eingeholt werden muss, ist von dem Dienst und den Daten, die erhoben und verarbeitet werden sollen, abhängig. Hier gibt es noch viele Ungereimtheiten, vor allem hinsichtlich der Cookies, die Google Analytics automatisch setzt. Einige Juristen meinen, dass auch diesbezüglich ein Opt-In eingeholt werden muss. Andere Spezialisten sind anderer Ansicht. Die Sachlage wird sicher in künftigen gerichtlichen Auseinandersetzungen geklärt werden, bei der aktuellen Tendenz hat wahrscheinlich der Webseiten-Betreiber das Nachsehen.

5. was muss jetzt auf der webseite geändert werden?

Internetseiten-Besitzer müssen nun zunächst einmal prüfen, welche Cookies aktuell in Verwendung sind und wie auf der eigenen Seite darauf hingewiesen wird. Wird nur mit einem Hinweis-Banner auf die Cookies aufmerksam gemacht, ohne eine Einwilligungsfunktion bereitzustellen, muss das geändert werden. Den Nutzern der Webseite ist eine Einwilligungsmöglichkeit zur Verfügung zu stellen. Erst dann, wenn die Einwilligung erfolgte, ist eine Datenübertragung erlaubt. Es gibt Consent Tools und Opt In Banner, die eine echte Einwilligungsmöglichkeit bieten. Solche Tools lösen einfache Hinweis-Banner ab.

6. Worin unterscheiden sich Cookie Banner von Consent Tools?

Bei einem Cookie Banner handelt es sich um einen Cookie-Hinweis. Es wird dem User lediglich mitgeteilt, dass eine Webseite Cookies verwendet. Solche einfachen Hinweise erfüllen die Voraussetzungen nach dem neuen EuGH Urteil nicht. Werden reine Hinweisbanner verwendet, wird die Datenübertragung bis zur Einwilligung des Users nicht unterbrochen. Deswegen werden die Datenschutzvorgaben nicht eingehalten. Consent Tools hingegen bieten dem Nutzer die Möglichkeit, zuzustimmen oder Cookies zu unterbinden. Webseiten mit einer Einwilligungsmöglichkeit oder einer Ablehnung der Cookies sind rechtlich auf der sicheren Seite, sofern sie vor der Einwilligung noch keine Daten übertragen.

7. Auf was müssen Agenturen und Webdesigner achten?

Nicht nur für Webseitenbetreiber besitzt das Urteil große Relevanz. Agenturen und Webdesigner, die Webseiten-Projekte für Ihre Kunden betreuen oder erstellen, haften bei Verstößen mit. Sie haben die Aufgabe, die Internetseiten ihrer Kunden rechtskonform zu erstellen. Hierzu gehört auch die Umsetzung der Cookie-Opt-in Vorgaben sowie aller weiterer Datenschutzmaßnahmen. Die Aufgabe von Agenturen und Webdesignern besteht nach diesem Urteil darin, die Projekte Ihrer Kunden auf Cookies und Social Media Buttons zu prüfen und die notwendigen Änderungen vorzunehmen.

8. Wurde das Urteil des EuGH bereits durchgesetzt?

Der EuGH hat zwar schon gesprochen, doch der Fall wird noch einmal an das Oberlandesgericht Düsseldorf zurückgegeben. Mit großer Wahrscheinlichkeit wird sich aber nichts an der Tatsache ändern. Sicherlich wird sich das OLG an die Vorgaben des Europäischen Gerichtshofes halten. Spätestens dann, wenn das geschehen ist, sollte ein Consent Tool auf der eigenen Webseite zwecks Einwilligung eingebunden sein.

9. Webseitenbetreiber aufgepasst – für Like-Button verantwortlich

In der Verhandlung vor dem EuGH ging es eigentlich um die „Gefällt-mir“-Schaltfläche, die viele Webseitenbetreiber auf ihren Seiten einbinden. Es wurde entschieden, dass auch diejenigen Betreiber, die den Like-Button einbetten, eine Mitverantwortung nach der DSGVO haben. In diesem Atemzug wurde bestimmt, dass eine Einwilligung und Angabe der vollständigen Datenschutzinformationen erfolgen muss, wenn die „Gefällt mir“-Schaltfläche eingesetzt werden soll. Dieser Punkt gilt ebenfalls für weitere Plugins und Tracking-Tools. Wer gegen diese Vorgaben verstößt, kann mit einer Abmahnung rechnen. Laut EuGH sind ebenfalls Fanpagebetreiber hinsichtlich der Verarbeitung der Userdaten mitverantwortlich, obwohl die Betreiber Daten meistens nur für anonyme Statistiken verwenden. Facebook hingegen verarbeitet personenbezogene Daten. Dafür haften Fanpagebesitzer in vollem Umfang mit, wenn sie sich keine entsprechende Einwilligung einholen. Es gibt jedoch hinsichtlich der gemeinsamen Verantwortung Einschränkungen. Hierzu zählen:

  • Nutzer der „Gefällt mir“-Schaltfläche sind nur für die Phase der Datenerhebung und -übermittlung verantwortlich (deswegen Einwilligung wichtig)
  • Für Verarbeitung der Daten im Nachhinein durch Facebook ist der Webseitenbetreiber nicht verantwortlich (nur Facebook)

Im Falle eines Bußgeldes bedeutet das für Webseitenbetreiber, dass sie zunächst im vollen Umfang haften müssen. Danach können sich die Webseitenbetreiber den Anteil von Facebook zurückverlangen, der dem Unternehmen zuzuschreiben ist. Letztendlich ist es aber so, dass Webseitenbetreiber vollumfänglich haften und darauf hoffen müssen, das der Anbieter Facebook die Kosten zurückerstattet.

Übrigens ist es so, dass Facebook dem Webseitenbetreiber eine Vereinbarung über eine gemeinsame Verantwortlichkeit anzubieten hat, wenn ein Like-Button zum Einsatz kommen soll. Falls keine Vereinbarung vorliegt, wäre solch ein Social Plugin sogar rechtswidrig. Meistens liegt keine Vereinbarung vor. Das würde bedeuten, dass die verschiedenen Social-Media Plugins illegal wären. Das trifft nicht nur auf Facebook, sondern auch auf Instagram, Twitter und Co. zu. Wer selbst keinen besonderen Nutzen von den Social Media Schaltflächen hat, der verzichtet einfach auf die Buttons. Damit ist man als Webseitenbetreiber hier auf der sicheren Seite.

10. Borlabs Cookie als (eine) Opt-in-Lösung für WP-Seiten

Hinsichtlich der Umsetzung der DSGVO und der E-Privacy-Verordnung können sich WordPress Nutzer freuen. Es gibt nützliche Plugins, durch die die Realisierung unterstützt wird. Zu unserem bevorzugten Plugin zählt das Borlabs Cookie Plugin. Die Anwendung erlaubt es, folgende Cookies zu steuern:

Über einen Cookie Banner haben User der Webseite die Möglichkeit, der Erhebung der Cookies zuzustimmen oder abzulehnen. Website-Betreiber haben im Dashboard die Möglichkeit nachzuvollziehen, wie oft ein Nutzer eingewilligt hat. Das Plugin bietet viele verschiedene Möglichkeiten hinsichtlich der Gestaltung und der Einstellungen im Bereich Content-Blocker und Co. Das Werkzeug ist sehr nützlich und stellt eine erhebliche Erleichterung im Arbeitsalltag, insbesondere von Agenturen dar. mehr informationen darüber direkt beim hersteller: https://borlabs.io/borlabs-cookie/

11. Fazit zum Cookie-Opt-in Urteil

Um rechtlich wirklich auf der sicheren Seite zu sein, sollten sich Webseitenbetreiber dazu entscheiden, ein Consent Tool mit Einwilligungsfunktion bereitzustellen. User haben dadurch die Möglichkeit, generell oder individuell Cookies zuzulassen oder abzulehnen. Zu beachten ist, dass es wirklich erst nach der Einwilligung zur Datenübertragung kommt.

nichts unternehmen bis die abmahnung im briefkasten steckt. kann man so machen, muss man aber nicht

seo-check / webaudit / sichtbarkeitsanalyse

wie steht es um deine seite oder deinen shop? 
technische fehler? geschwindigkeit? sichtbarkeit?
hat deine agentur gut gearbeitet?

immer gut zu wissen wo man steht!