Opt-In | eikenroth.eu | DATENSCHUTZ & WEB

Was Sie über den Cookie-Banner wissen müssen

von Sandra Eikenroth | 17/10/2019 | Datenschutz, Onlineshop

Schon seit Jahren kursieren im Internet die sogenannten Cookie-Banner. Meist kennt man diese in Form einer schmalen Einblendung im Fuß einer Website, die man verschwinden lassen kann, indem man „OK“ anklickt oder sie einfach ignoriert. Sie entstanden in einer Zeit, in der es widersprüchliche Ansichten über die Anwendbarkeit verschiedener Gesetzte gab. Klarheit darüber hätte die schon überfällige ePrivacy-Verordnung bringen sollen, die jedoch noch immer nicht in Kraft getreten ist und wahrscheinlich auch noch ein wenig auf sich warten lassen wird.

Das Thema „Cookies“ wurde nun aber am 01.10.2019 vom Europäischen Gerichtshof entschieden – Urteil siehe hier.

Zuerst einmal: Was machen Cookies?

Cookies sind kleine Textdateien, die von einer Website auf Ihrem Rechner abgelegt werden. Cookies haben unterschiedliche Funktionen und sind nicht alle in einen Topf zu werfen. Sie dienen der Wiedererkennung und der Personalisierung, aber auch der Weiterverfolgung.

Zum einen gibt es die technisch notwendigen Cookies. Sie sorgen zum Beispiel dafür, dass Sie Merklisten, Warenkörbe oder Bestellprozesse, aber auch Logins auf einer Website durchführen können. Das setzen dieser Cookies ist für die technische Funktion der Website oder des Shops unerlässlich und stellt somit den Teil der unumstrittenen Cookies dar, welche in der Regel keiner Zustimmung durch den Nutzer bedürfen. Jedoch muss auch über diese Cookies in der Datenschutzerklärung aufgeklärt werden.

Wann ist die Einwilligung der User nötig?

Ganz anders verhält es sich mit sogenannten Marketing- und Tracking-Cookies. Diese Cookies sind nicht notwendig damit eine Website aus technischer Sicht überhaupt funktioniert, sondern sie bieten dem Betreiber der Website bzw. einem dritten „Cookie-Setzer“ einen Mehrwert, weniger dem User. Daher sind diese Cookies grundsätzlich verboten, mit der Ausnahme, dass der User zu dem Setzen oder Auslesen dieser Cookies freiwillig und aktiv einwilligt. Stillschweigen, Untätigkeit oder bereits ausgefüllte Häkchen und Kästchen sind hier explizit nicht als Einwilligung zu verstehen.

Im Falle dieser Cookies werden die Aktivitäten des Users über die ursprüngliche Website hinaus weiterverfolgt und die Daten häufig an dritte (Third Party Cookies), oft große Datensammler, weitergegeben. Datensammler legen mit den daraus gewonnenen Daten Profile an, damit ist ein User schnell mindestens „berechenbar“, aber oft sogar gläsern und identifizierbar.

Cookies – Wen stört´s?

Welches Ausmaß dies hat, erkennen Sie leicht, wenn Sie sich mal eine große Tageszeitung, ein Magazin oder Online-Shop vornehmen und dort den Cookie-Hinweis (sofern vorhanden) komplett durchlesen. Im Falle eines großen deutschen Magazins, welches ich herausgepickt habe, bis ich auf über 100 Unternehmen gekommen, die unter den Thrid Party Cookies zu finden waren. Die Unternehmen waren quer in der Welt verteilt und hatten Laufzeiten zwischen 7 Tagen und 3 Jahren angegeben. Uns das auf einer einzigen Website.

Erfahrungsgemäß wünschen das die meisten User nicht, insbesondere dann nicht, wenn die Daten an völlig fremde Unternehmen weitergegeben werden und nicht nur dem Betreiber der besuchten Website dienen. In der Vergangenheit wurde dieser Umstand entweder komplett ignoriert, indem es überhaupt keine Erklärung über die Cookies gab oder es wurde halbherzig und falsch umgesetzt. Meinen eigenen Beobachtungen nach sind die meisten Cookie-Banner unzureichend. Fehlerquellen gibt es viele. Sie sollten daher in jedem Fall prüfen (lassen), ob Ihre Website Cookies setzt, darüber hinaus ist zu klären, ob es sich hierbei um Cookies handelt, die eine Einwilligung erfordern. Ist dies der Fall, muss ein Cookie-Banner eingesetzt werden. Sollte Ihr Cookie-Banner nur den „OK“ Button beinhalten können Sie mir Sicherheit davon ausgehen, dass dieser Button nicht die gesetzlichen Bestimmungen erfüllt. Falls Sie bislang auf das sogenannte Opt-Out gesetzt haben, ist dies ebenfalls falsch. Opt-Out bedeutet, dass man ungewünschtes Tracking oder Cookies durch deaktivieren abwählen kann. Man setzt also erst einmal das Einverständnis voraus und lässt dem User nur die Wahl nachträglich die Einstellungen zu verändern. Opt-In ist die aktive Zustimmung durch das gezielte anwählen der Optionen. Dies ist die einzig korrekte Möglichkeit.

Und nun?

Meist können Webseitenbetreiber selbst gar nicht einschätzen, ob die eigene Website Cookies setzt. Oft ist es gar kein Kalkül Cookies zu setzen, sondern es geschieht durch die verwendete Technik oder die anhängigen verwendeten Dienste, über dessen Funktionsweise man sich gar nicht bewusst ist.

Wir beantworten Ihnen gerne Fragen zu diesem Thema.

Sandra Eikenroth

Ich bin seit 1998 in der Werbebranche tätig und spezialisierte mich nach eineinhalb Jahren “Full-Service-Agentur” 1999 auf Web-Projekte. Ich habe somit noch die Zeit erlebt, in der jede Website individuell programmiert werden musste und ein Handy noch nichts anders als telefonieren konnte. Einige Systeme kamen und gingen. Disruption ist in unserer Branche schon immer ein ständiger Begleiter, weshalb ein wichtiger Teil unserer Geschichte die Weiterentwicklung ist. Meine Themen sind daher nicht nur die Umsetzung und Optimierung von Webseiten oder Shopsystemen, über die ich hier schreibe, sondern auch die Datensicherheit ein wichtiger Bestandteil des Datenschutz. Fragen hierzu beantworte ich gerne.

www.eikenroth.eu

← Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern Pflicht Der Einsatz von Google Analytics und das Cookie Urteil des EuGH →

EuGH-Urteil zum „Gefällt mir“ Button von Facebook

von Sandra Eikenroth | 29/07/2019 | Datenschutz

In einem Streit zwischen einem deutschen Online-Shop und einem Verbraucherverband ging es um die Rechtmäßigkeit des Einsatzes des Facebook “Gefällt mir”-bzw. Like-Button.

Der Gerichtshof der Europäischen Union hat am 29.07.2019 geurteilt:

„Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein“

Was bedeutet das für Sie als Betreiber einer Website?

Vorsicht beim Einsatz des Facebook “Gefällt mir” Buttons

Falls Sie Betreiber einer Website, Blog oder Online-Shop sind und einen Gefällt-Mir-Button von Facebook auf Ihrer Online-Präsenz eingebunden haben, sollten Sie spätestens jetzt darüber nachdenken, ob Sie dies nicht lieber ändern.

Wir sprechen hier vom Gefällt-Mir-Button und von Facebook exemplarisch für alle anderen Buttons und sozialen Netzwerken, welche den gleichen technischen Effekt haben. Ebenso kann man davon ausgehen, dass dies auch für andere Dienste anwendbar ist wie z.B. Tracking- und Online-Marketing-Einbindungen.

Das technische „Problem“ dieser Buttons ist, dass Facebook und Co. durch die Einbindung des Buttons, die Besucher Ihrer Website analysieren können und deren personenbezogene Daten erlangen. Dies gilt nicht nur für Personen die aktiv bei Facebook „mitmachen“, sondern für alle Besucher Ihrer Website.
Sobald ein Besucher Ihre Website öffnet, greift das soziale Netzwerk Daten ab. Dies sind nicht nur Daten wie Informationen über das verwendete Endgerät, sondern auch personenbezogene Daten, die einem besonderen Schutz unterliegen. Die Technik unterscheidet hier nicht zwischen Facebook-Nutzern oder Facebook-Verweigerern.

Gemeinsame Verantwortlichkeit

Tun Sie also „gemeinsame Sache“ mit Facebook, indem Sie sich dazu entschieden haben einen solchen Button einzubinden, geben Sie Facebook die Mittel und Möglichkeiten Datenprofile Ihrer Website-Besucher anzulegen und im Standard auch ohne die Benutzer darüber aufzuklären oder einzuwilligen.

Konsequenterweise sieht der EuGH für diesen Teil des Vorgangs eine gemeinsame Verantwortlichkeit von Ihnen und Facebook.

Lösung dieses Problems kann für Sie als Seitenbetreiber das Vermeiden dieser Buttons sein. Alternativ scheint eine Einwilligung (Opt-In) eine akzeptable Lösung darzustellen. Sichergestellt muss hier sein, dass keinerlei Daten vor der aktiven Einwilligung des Besuchers an Facebook & Co. übertragen werden. Die Möglichkeit durch ein sogenanntes Opt-Out zu widersprechen reicht nicht aus – Sie müssen eine aktive Einwilligung einholen, das Fehlen eines Opt-In kann abgemahnt werden. Nicht nur die Datenschutzbehörde kann hier sanktionieren, auch Verbraucherzentralen können abmahnen, wie im verhandelten Fall.

Wichtig: Die Einwilligung durch Opt-In entlässt Sie als Seitenbetreiber nicht aus der gemeinsamen Verantwortung mit Facebook für den Prozess der Datenerhebung und der Datenübertragung an Facebook. Erst nach der Übertragung sind Sie für das was danach passiert – also wie Facebook die Daten verarbeitet, nicht mehr gemeinsam verantwortlich. Es sei denn, Sie sind Betreiber einer Facebook-Fanpage. Die Facebook Fanpage ist bereits seit 2018 ein Bereich der gemeinsamen Verantwortlichkeit – des Fanpage-Betreibers und Facebook.

Haftung in vollem Umfang

Welche Ausmaße in Bezug auf Haftung dies für Sie haben könnte, formuliert Dr.Schwenke in seinem heute erscheinen Artikel so:

„…Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit.“

Eine Ausnahme zu der Einwilligung über ein Opt-In stellt das sogenannte berechtigte Interesse dar. Ob im Fall des Like-Buttons ein berechtigtes Interesse vorliegen kann, ist aktuell nicht entschieden und somit als nicht sicher anzusehen. Die Voraussetzung eines berechtigten Interesses ist, wenn überhaupt nur gegeben, wenn beide Parteien (Sie als Webseitenbetreiber und Facebook) ein solches berechtigtes Interesse haben. Es reicht nicht aus, wenn einer der beiden Parteien ein berechtigtes Interesse rechtfertigen kann. Wir empfehlen daher ein Opt-In, wenn man die Dienste weiterhin einbinden möchte.

Die Umsetzung dieser technischen Punkte ist jedoch auch nur ein Teil der Voraussetzung die Sie als Seitenbetreiber erfüllen müssen, außerdem müssen Sie mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit schließen und selbstverständlich voll umfänglich in Ihrer Datenschutzerklärung darüber aufklären welche Daten Sie auf Ihrer Website erheben und an wen Sie diese weitergeben.

Cookie Hinweis ist Pflicht

Ein weiterer technischer Aspekt, welcher der Information und der Zustimmung bedarf, ist das Setzen von Cookies.

Facebook setzt ein Cookie auf dem Computer des Users und kann somit den Nutzer nicht nur während dem Aufruf Ihrer Website beobachten, sondern kann Ihn auf Grund des Cookies auf anderen Webseiten wiedererkennen und somit die Daten zusammenführen. Der Effekt ist, dass Facebook & Co. auf diesem Weg detaillierte Profile eines Users anlegen können, welche in Gänze betrachtet ein sehr genaues Bild einer Person ermöglicht. Dieses Profiling des Users führt dazu, dass die Neigungen und Interessen einer Person sehr genau bekannt sind bzw. auch vorhergesagt werden können. Dies trifft nicht nur auf ein mögliches Kaufverhalten zu, sondern auch auf sehr sensible Bereiche wie gesundheitlichen Zustand, finanzielle Situation oder politische Gesinnung.

Verwendet man zustimmungspflichtige Cookies, führt kein Weg an einem Cookie Banner vorbei. Aber Achtung: Nicht jeder im Netz kursierende Cookie-Banner erfüllt auch die Informationspflicht bzw. die technischen Voraussetzungen. Ein weit verbreitetes Problem ist hier der Einsatz von einem Cookie Banner, der lediglich einen Hinweis auf die Verwendung von Cookies gibt. Dies ist nicht ausreichend. Der Cookie-Banner muss verhindern, dass Daten übermittelt werden, deren Übermittlung nicht vorher zugestimmt wurde. Auch hier genügt kein Opt-Out.