Höchstes EU-Gericht hat entschieden: Cookie-Opt-In Pflicht! Das müssen Sie als Webseitenbetreiber beachten
Cookie-Opt-Ins werden Pflicht – Einwilligung für Social Plugins und Tracking unumgänglich!
Der Europäische Gerichtshof (EuGH) hat Cookie-Opt-Ins zur abmahnbaren Pflicht deklariert. Also ist nicht die Frage im Vordergrund, ob man überhaupt Cookie-Banner einsetzt, sondern wie man diese im Sinne der neuen Rechtssprechung einsetzt.
Wie kam es dazu?
Dem Urteil voraus ging eine Auseinandersetzung mit dem Onlinehändler Fashion ID, der auf seiner Webseite den Gefällt-mir-Button eingebunden hat. Sobald ein Nutzer die Webseite aufgerufen hat, hat man personenbezogene Daten dieses Besuchers direkt an Irland weitergeleitet. Den Besucher hat man weder gefragt noch davon in Kenntnis gesetzt. Daraufhin hat die Verbraucherzentrale Nordrhein-Westfalen Fashio ID wegen Unterlassung angeklagt. Nachdem die Verbraucherzentrale in Teilen gewonnen hat, ist Fashion ID in Berufung vor das Oberlandesgericht Düsseldorf, die dann den EuGH um Übernahme und Klärung bat.
Nutzer müssen auf Webseiten Cookies aktiv zulassen!
Das EuGH hat, wie erwartet, das bedeutsame Urteil bezüglich der Informationspflichten der Webseitenbetreiber gefällt. Die Verwendung von Cookies muss ab sofort ausdrücklich zugestimmt werden. Allgemein wird es verpflichtend, die Besucher mehr über das Sammeln ihrer Daten zu informieren. Etwas skurril ist, dass der Europäische Gerichtshof damit auch seine eigene Webseite als nicht rechtskonform einordnet.
Der Nutzer muss nun aktiv sein Häkchen zur Zustimmung setzen – also das sog. Cookie-Opt-In-Verfahren. Schon ausgefüllte Kästchen mit der Zustimmung des Nutzers sind unzulässig und abmahnfähig. Weiterhin müssen dem Nutzer Angaben zur Funktionsdauer und darüber gemacht werden, wir ein Zugriff Dritter möglich ist und aussieht. Auch müssen Nutzer in jedem Einzelfall dem Setzen von Cookies zustimmen, wie die Richter in Luxemburg zudem festlegten.
Shopbetreiber müssen genau prüfen, welche Plugins und Tools man eigentlich nutzt, und welche davon speichern oder übermitteln Nutzerdaten sogar an den Anbieter? Und schlimmstenfalls – profitieren Sie davon? Dann müssen Sie umgehend Maßnahmen ergreifen!
Sascha Kremer Fachanwalt für IT-Recht und Datenschutzbeauftragter der Shopware AG
Das Urteil im Einzelnen
Der Europäische Gerichtshof hat im Zuge der Urteilssprechung gleich mehrere festgelegt:
- Datenschutzverletzungen können von Verbraucherschutzverbänden mit einer Klage geltend gemacht werden.
- Wer z. B. ein Plugin von Facebook in seine Webseite integriert und davon wirtschaftliche Vorteile hat indem er personenbezogene Daten erhebt und die übermittelt, trägt mit dem Plugin Anbieter gemeinsam die Verantwortung „Joint Controllership“ gemäß Art. 26 DSGVO.
- Wenn Sie von einem Plugin Cookies auf dem Endgerät des Nutzers einbinden, müssen Sie hierfür die ausdrückliche Einwilligung Ihres Besuchers einholen (Opt-in). Aktuell ist momentan noch der § 15 Abs. 3 Telemediengesetz (TMG), dieser genügt aber nun nicht mehr.
- Diese Einwilligung muss direkt beim Aufruf der Webseite erfolgen, gleichzeitig erhält der Besucher die Datenschutzinformation gemäß Art. 13, 14, 21 DSGVO – und zwar zwingend!
- Als besondere Informationen gemäß Art. 26 Abs. 2 S. 2 DSGVO gelten die in gemeinsamer Verantwortlichkeit erhobenen und übermittelnden Daten durch den Webseitenbesitzer an den Plugin-Anbieter.
Geht das Urteil über Facebook hinaus?
Diese Frage ist eindeutig mit Ja zu beantworten, auch wenn sich das Urteil direkt auf den Like-Button von Facebook bezieht, wenn dieser auf Ihrer Webseite eingebunden ist. Aber alle Plugins und Tools, die die gleichen Voraussetzungen bieten, sind in die gesetzlichen Vorgaben mit eingebunden. Beachten Sie, dass hier auch Apps dazuzählen, alle Plugins aus Social Media, ebenfalls Analyse-Tools oder Tools für Device-IDs oder generell Tools, die Informationen tracken.
Weitreichender Einfluss auf Nutzer wie Betreiber
Für den Besucher heißt ein Cookie-Opt-In: Mehr Klicks, um ans Ziel zu kommen. Ob der Nutzer hiermit glücklich ist, bleibt noch dahingestellt. Es genügt also nicht, dass Ihre Nutzer nur einmal kurz bestätigen, dass sie Ihre angegebenen Cookie-Informationen gelesen und verstanden haben.
Viele Webseiten bieten nicht die erforderlichen gesetzlichen Voraussetzungen. Es ist also zwingend nötig, dass Sie Ihre Webseite oder Ihren Online-Shop prüfen und ggf. Anpassungen in Ihren Datenschutzerklärungen und Ihren Cookie-Hinweisen vornehmen.
Und bitte beachten Sie, dass das Urteil auch Ihre Tracking-Cookies betrifft, die schauen, auf welchen Internetseiten Sie surfen. Das heißt, falls Sie registrierte Nutzer haben, können Sie das in den Anmeldungen klären und anfragen. Alle anderen Nutzer müssen Ihre Einwilligung geben. Und zwar jedes Mal!
Vor allem mittelständische Webseitenbetreiber werden sich mit dem Urteil schwertun. Und Nutzer, die weiterhin auf Bequemlichkeit beim Surfen setzen, müssen wesentlich mehr Klicks in Kauf nehmen.
Victoria Beckhöfer, Datenschutzbeauftragte ECONSOR
Sie haben Angst, dass Ihr Tracking aufgrund der steigenden Ablehnung der Cookies an Qualität verliert? Keine Sorge – es gibt durchaus Möglichkeiten dem entgegenzuwirken. Z.B. kann der User durch die professionelle Gestaltung des Webdesigns zu der für Sie besten Handlung geführt werden. Unsere Experten unserer Webdesign-Agentur optimieren Ihren Cookie-Hinweis für ein bestmöglichstes Tracking trotz Cookie-Opt-In.
Auch Google kündigt eine innovative Lösung für das Entgegenwirken des nachlassenden Trackings an: Cookieless Tracking mit dem neuen Google Analytics 4.
Erste Maßnahmen für Betreiber
Maßnahme 1: Sie müssen mit dem Anbieter des Plugins oder Tools eine Vereinbarung schließen, die die gemeinsame Verantwortung umfasst. Sollten Sie diese Vereinbarung nicht bekommen, ist die Nutzung datenschutzwidrig.
Maßnahme 2: Stellen Sie alle Informationen über eventuelle Tools und deren Datenschutzmaßnahmen sowie die gemeinsame Verantwortlichkeit Ihren Nutzern zur Verfügung. Und zwar vor dem Zugriff auf die Informationen von Ihren Nutzern! Fehlende Informationen bedeuten einen Datenschutzverstoß.
Maßnahme 3: Vor der Aktivierung muss die Einwilligung Ihrer Nutzer eingeholt werden. die Vorgaben hierfür finden Sie unter Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO.
Maßnahme 4: Dokumentieren die den gesamten Prozess, die Vorgänge auf Seiten Ihrer IT. Eine Vorab-Einwilligung einzuholen ist nämlich nur möglich, wenn Sie hierfür ein Cookie-Overlay oder eine Landingpage vorausschalten, um mit der Verarbeitung der Daten zu beginnen.
Maßnahme 5: Integrieren Sie rechtssicher das Cookie-Opt-In für Ihre Webseiten. Für WordPress-Seiten stehen Ihnen zu diesem Zweck verschiedene Plugins, z. B. Borlabs Cookie, zur Verfügung. Unsere Spezialisten aus der WordPress-Agentur sind Ihnen hierbei gerne behilflich.
Alternativ ist auch für Social-Media-Plugins eine 2-Klick-Lösung möglich, bei der der Besucher erst mit der Aktivierung des jeweiligen Plugins einwilligt. Die Widerspruchslösung mit einem Opt-out ist nicht mehr ausreichend.
Fazit Cookie-Opt-In
Ignorieren Sie die Gesetzesänderung keinesfalls. Ihnen drohen sonst von der Datenschutzaufsicht das Untersagen bzw. eine Geldbuße. Auch Ihre Besucher selbst oder gerne auch Ihre Konkurrenz sind befugt rechtliche Schritte einzuleiten. Nachdem Sie sich nun umfassend informiert haben können Sie die nötigen Maßnahmen ergreifen oder sich Hilfe von einer professionellen Internetagentur für die Anpassung Ihrer Webseite nehmen.
Beitrag kommentieren
Wir freuen uns auf Ihr Feedback!