Der Einsatz von Google Analytics und das Cookie Urteil des EuGH

Wie letzte Woche bekannt wurde, liegen aktuell verschiedenen Datenschutzbehörden eine große Anzahl an Beschwerden wegen dem Einsatz von Google Analytics vor.

Konkret geht es hierbei um knapp 90.000 Websites, die den Datenschutzbehörden Hamburg und Nordrhein-Westfalen gemeldet wurden, weil diese Websites den Dienst Google Analytics nutzen, ohne die geforderten datenschutzrechtlichen Bestimmungen einzuhalten. [Siehe Artikel…]

Allerdings soll es laut eRecht24 auch Bußgeldandrohungen der Datenschutzbehörden Niedersachsen und Bayern geben, die sich gegen unberechtigtes Tracking richten. 

Anderen Quellen nach, handelt es sich bereits um 200.000 Beschwerden bundesweit.

Um welche Verstöße es sich konkret handelt, ist noch nicht bekannt geworden. Die Möglichkeiten sind vielfältig. Jedoch kann man davon ausgehen, dass auch das Cookie-Urteil des EuGHs vom 01.10.2019 hierbei eine Rolle spielen wird. Hier wurde festgestellt, dass Cookies, die technisch nicht erforderlich sind, eine Einwilligung des Users/Betroffenen erfordern. Hiermit sind explizit Tracking- und Werbe-Cookies gemeint.

Tracking ein berechtigtes Interesse nach Art.6 Abs. 1 lit. f DSGVO?

Bislang wurde von vielen Verantwortlichen zum Thema Tracking mit berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO argumentiert. Das berechtigte Interesse ist eine Möglichkeit, die Rechtmäßigkeit einer Verarbeitung zu begründen. In diesem Falle wäre eine Einwilligung durch den Nutzer überflüssig. Im Gesetzestext findet sich jedoch die Einschränkung „…sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“

Der EuGH scheint im Falle der Tracking-Cookies das berechtigte Interesse nicht als gerechtfertigt zu werten, da er eine Einwilligung verlangt. Da wir bereits vor dem Urteil mit dieser Positionierung gerechnet haben, empfehlen wir unseren Kunden schon lange den Einsatz von Google Analytics (und ähnlichen Diensten) nur unter konsequenter Einhaltung der bestehenden Richtlinien einzusetzen.

Neben den bereits länger bekannten Voraussetzungen (kürzen der IP, Vertrag mit Google, Anpassung der Speicherdauer, …) ist spätestens jetzt auch die Cookie Richtlinie als verbindlich ansehen.

Aber ich habe doch einen Cookie-Banner….

Sollten Sie sich bei der Verwendung von Google Analytics noch auf das berechtigte Interesse stützen und keine Einwilligung einholen oder einen Cookie-Banner verwenden der nur ein „Ok“ zulässt, sollten Sie dringend über eine Umstellung nachdenken. Des Weiteren gibt es leider das Problem, dass Cookie-Banner falsch konfiguriert sind und somit auch keine wirksame Einwilligung darstellen.

Oft übersehen – die Datenschutzerklärung

Bitte vergessen Sie nicht, ebenso Ihre Datenschutzerklärung zu überprüfen. Die Notwendigkeit einer Anpassung ist sehr wahrscheinlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Was Sie über den Cookie-Banner wissen müssen

Schon seit Jahren kursieren im Internet die sogenannten Cookie-Banner. Meist kennt man diese in Form einer schmalen Einblendung im Fuß einer Website, die man verschwinden lassen kann, indem man „OK“ anklickt oder sie einfach ignoriert. Sie entstanden in einer Zeit, in der es widersprüchliche Ansichten über die Anwendbarkeit verschiedener Gesetzte gab. Klarheit darüber hätte die schon überfällige ePrivacy-Verordnung bringen sollen, die jedoch noch immer nicht in Kraft getreten ist und wahrscheinlich auch noch ein wenig auf sich warten lassen wird.

Das Thema „Cookies“ wurde nun aber am 01.10.2019 vom Europäischen Gerichtshof entschieden – Urteil siehe hier.

Zuerst einmal: Was machen Cookies?

Cookies sind kleine Textdateien, die von einer Website auf Ihrem Rechner abgelegt werden. Cookies haben unterschiedliche Funktionen und sind nicht alle in einen Topf zu werfen. Sie dienen der Wiedererkennung und der Personalisierung, aber auch der Weiterverfolgung.

Zum einen gibt es die technisch notwendigen Cookies. Sie sorgen zum Beispiel dafür, dass Sie Merklisten, Warenkörbe oder Bestellprozesse, aber auch Logins auf einer Website durchführen können. Das setzen dieser Cookies ist für die technische Funktion der Website oder des Shops unerlässlich und stellt somit den Teil der unumstrittenen Cookies dar, welche in der Regel keiner Zustimmung durch den Nutzer bedürfen. Jedoch muss auch über diese Cookies in der Datenschutzerklärung aufgeklärt werden.

Wann ist die Einwilligung der User nötig?

Ganz anders verhält es sich mit sogenannten Marketing- und Tracking-Cookies. Diese Cookies sind nicht notwendig damit eine Website aus technischer Sicht überhaupt funktioniert, sondern sie bieten dem Betreiber der Website bzw. einem dritten „Cookie-Setzer“ einen Mehrwert, weniger dem User. Daher sind diese Cookies grundsätzlich verboten, mit der Ausnahme, dass der User zu dem Setzen oder Auslesen dieser Cookies freiwillig und aktiv einwilligt. Stillschweigen, Untätigkeit oder bereits ausgefüllte Häkchen und Kästchen sind hier explizit nicht als Einwilligung zu verstehen.

Im Falle dieser Cookies werden die Aktivitäten des Users über die ursprüngliche Website hinaus weiterverfolgt und die Daten häufig an dritte (Third Party Cookies), oft große Datensammler, weitergegeben. Datensammler legen mit den daraus gewonnenen Daten Profile an, damit ist ein User schnell mindestens „berechenbar“, aber oft sogar gläsern und identifizierbar.

Cookies – Wen stört´s?

Welches Ausmaß dies hat, erkennen Sie leicht, wenn Sie sich mal eine große Tageszeitung, ein Magazin oder Online-Shop vornehmen und dort den Cookie-Hinweis (sofern vorhanden) komplett durchlesen. Im Falle eines großen deutschen Magazins, welches ich herausgepickt habe, bis ich auf über 100 Unternehmen gekommen, die unter den Thrid Party Cookies zu finden waren. Die Unternehmen waren quer in der Welt verteilt und hatten Laufzeiten zwischen 7 Tagen und 3 Jahren angegeben. Uns das auf einer einzigen Website.

Erfahrungsgemäß wünschen das die meisten User nicht, insbesondere dann nicht, wenn die Daten an völlig fremde Unternehmen weitergegeben werden und nicht nur dem Betreiber der besuchten Website dienen. In der Vergangenheit wurde dieser Umstand entweder komplett ignoriert, indem es überhaupt keine Erklärung über die Cookies gab oder es wurde halbherzig und falsch umgesetzt. Meinen eigenen Beobachtungen nach sind die meisten Cookie-Banner unzureichend. Fehlerquellen gibt es viele. Sie sollten daher in jedem Fall prüfen (lassen), ob Ihre Website Cookies setzt, darüber hinaus ist zu klären, ob es sich hierbei um Cookies handelt, die eine Einwilligung erfordern. Ist dies der Fall, muss ein Cookie-Banner eingesetzt werden. Sollte Ihr Cookie-Banner nur den „OK“ Button beinhalten können Sie mir Sicherheit davon ausgehen, dass dieser Button nicht die gesetzlichen Bestimmungen erfüllt. Falls Sie bislang auf das sogenannte Opt-Out gesetzt haben, ist dies ebenfalls falsch. Opt-Out bedeutet, dass man ungewünschtes Tracking oder Cookies durch deaktivieren abwählen kann. Man setzt also erst einmal das Einverständnis voraus und lässt dem User nur die Wahl nachträglich die Einstellungen zu verändern. Opt-In ist die aktive Zustimmung durch das gezielte anwählen der Optionen. Dies ist die einzig korrekte Möglichkeit.

Und nun?

Meist können Webseitenbetreiber selbst gar nicht einschätzen, ob die eigene Website Cookies setzt. Oft ist es gar kein Kalkül Cookies zu setzen, sondern es geschieht durch die verwendete Technik oder die anhängigen verwendeten Dienste, über dessen Funktionsweise man sich gar nicht bewusst ist.

Wir beantworten Ihnen gerne Fragen zu diesem Thema.

 

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

PSD2: 2-Faktor-Authentifizierung ab 14.09.2019 Pflicht in Online-Shops

Betroffen von der 2-Faktor-Authentifizierung sind Sie in jedem Fall, wenn Ihr Online-Shop eine Kreditkartenzahlung anbietet. Nicht betroffen sind Online-Shops die ausschließlich den klassischen Weg der Überweisung oder Lastschrift verwenden. Mit PayPal befinden Sie sich in einem besonderen Bereich der der Überprüfung bedarf.

Ausnahmen: Whitelist, wiederholende Zahlungen, Transaktionsrisikoanalyse und Beträge unter 30 Euro

Bei Kleinbeträgen unter 30 Euro, Zahlung von Abonnements oder falls Sie als Händler vom Kunden auf eine sogenannte „Whitelist“ gesetzt werden, ist keine Zwei-Faktor-Authentisierung nötig. Eine weitere Ausnahme bildet die Transaktionsanalyse. Sie gibt dem Zahlungsdienstleister die Möglichkeit, die Notwendigkeit der 2-Faktor-Authentifizierung bis zu einem Höchstbetrag von 500 Euro zu entscheiden, indem das Risiko einer Transaktion analysiert wird. Als Händler haben Sie hierauf keinen Einfluss.

Die Umsetzung der Zwei-Faktor-Authentifizierung wird durch den jeweiligen Zahlungsdienstleister gewährleistet. Visa und Mastercard setzen z.B. als zweiten Faktor auf das biometrisches Authentifizierungsverfahren, in der Regel wird dies der Fingerabdruck auf dem Handy zur Bestätigung einer Zahlung sein.

Aber auch Sie als Shop-Betreiber haben unter Umständen einige Anpassungen in Ihrem Shop vorzunehmen, z.B. im Bereich der Zahlungsschnittstelle, in den AGB oder der Datenschutzerklärung.

Card-Not-Present-Transaktion (wie beim Online-Shop wo die Karte dem Händler nicht physisch vorliegt) die ab dem 14.September getätigt werden, die nicht den genannten Anforderungen entsprechen, müssen abgelehnt werden. Abgesehen von der abgelehnten Zahlung ist die Nichteinhaltung der Zahlungsdienstrichtlinie PSD2 abmahnfähig.

Als Online-Händler sollte man nun, knapp einen Monat vor dem Stichtag, dringend an einer konformen Umsetzung arbeiten. Wichtig ist auch die Information der eigenen Kunden, da diese in den meisten Fällen unzureichend informiert sind. Ab dem 14.09. müssen Sie in Ihrem Shop mit Kaufabbrüchen rechnen, wenn Ihre Kunden unvorbereitet auf das neue Authentifizierungsverfahren stoßen. Bereiten Sie sich auf vermehrte Anfragen vor und überdenken Sie die von Ihnen zur Verfügung gestellten Zahlungsmethoden. Hilfreich sind klassische Alternativmethoden, die nicht nur in der Übergangszeit eine wertvolle Ergänzung darstellen, sondern vielleicht auch wieder vermehrt Fans gewinnen. Viele Nutzer schätzen zwar den erhöhten Sicherheitsstandard, sind jedoch trotz allem nicht bereit biometrische Daten preis zu geben. Andere wiederum verfügen nicht über die notwendige Hardware. Arbeiten Sie an Ihrer Kundenbindung, die Whitelist ist Ihre Chance die Zwei-Faktoren-Authentifizierung zu umgehen.

Übrigens sind von der Zwei-Faktor-Authentifizierung nicht nur Online-Händler betroffen, sondern auch das Online-Banking. Sie werden zukünftig für Transaktionen im Online-Banking-Bereich ebenso eine 2-Faktor-Authentifizierung verwenden müssen. Hier ist das Vorgehen im Hinblick auf die Methode sehr unterschiedlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

„Whitelist“ beim Online-Shopping – Licht und Schatten

Mit der Pflicht zur starken Kundenauthentifizierung kommen einige Hürden im Online-Shopping. Wo früher die Eingabe einer Kreditkartennummer ausreichend war, wird zukünftig zusätzlich ein Fingerabdruck gefordert. Bei modernen mobilen Endgeräten meist technisch noch leicht umzusetzen, kommt der Desktop-Shopper schon schnell an seine Grenzen, bzw. benötigt immer ein zweites Gerät in seiner Nähe, nicht selten müssen beide Faktoren in einem bestimmten Zeitrahmen bestätigt werden.

Der Zahlungsdienstleister bestimmt die Kategorie der Faktoren. Dies kann z.B. Wissen (PIN) und Inhärenz (Fingerabdruck) sein. Oder wie im Offline-Shopping Besitz (Karte) und Wissen (PIN). Überwiegend scheinen die meisten Zahlungsdienstleister auf Inhärenz also körperliche Merkmale sprich biometrische Daten zu setzen. Nicht jeder fühlt sich wohl dabei biometrische Daten im Netz zu verteilen. Daran vorbei kommt mal nur, wenn die gesetzlich geregelten Ausnahmen greifen.

Dies ist der Fall bei Abo-Zahlungen oder Kleinstbeträgen unter 30 Euro. Eine weitere Ausnahme bildet die Whitelist: Ihre Kunden können Ihren Shop auf eine sogenannte „Whitelist“ setzen, damit fallen weitere Authentifizierungsmethoden weg.

Sie als Shop-Betreiber sollten diese Chance der Whitelist rechtzeitig erkennen und die Möglichkeit nutzen in dem Sie Ihre (Stamm-) Kunden über die Whitelist informieren. Arbeiten Sie an Ihrer Kundenbindung!

Shops, die auf der Whitelist stehen, könnten unter bestimmten Voraussetzungen echte Vorteile gegenüber den Wettbewerbern haben. Habe ich es gerade besonders eilig, mein Eingabegerät nicht bei mir oder sitze ich gerade im mobilen Funkloch, so bestelle ich voraussichtlich dort, wo ich keine weiteren Hindernisse zu erwarten habe.

Leicht denkbar ist ein weiterer Zuwachs für die global Player, wie z.B. Amazon da diese sicherlich sehr schnell auf einer Whitelist aufgenommen werden.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken