Der Europäische Gerichtshof hat in zwei richtungsweisenden Urteilen entschieden, dass das Einholen einer Einwilligung auch für Cookies zu gelten hat. Die seit der DSGVO gültige Informations- und Einwilligungspflicht für Cookies ist außerdem auch in dem Fall anzuwenden, wenn Daten an Dritte wie z. B. Werbepartner weitergegeben werden. Cookie-Banner, die keine aktive Einwilligung des Users gemäß den Vorgaben der DSGVO einholen, werden durch die Urteile in quasi jedem Fall rechtswidrig.
Was ist passiert?
Der EuGH hat am 29. Juli 2019 ein Urteil in der Rechtssache C-40/17 (Verbraucherzentrale NRW e. V. gegen die Fashion ID GmbH & Co. KG) gefällt. Verklagt wurde das Unternehmen, weil es den Facebook Like-Button auf seiner Website eingesetzt und die erhobenen Daten an Facebook weitergegeben hat, ohne die Einwilligung des Website-Besuchers einzuholen oder diesen darauf hinzuweisen. Sie können das Urteil in der Pressemitteilung des EuGH nachlesen.
Ein weiteres Urteil des EuGH vom 01.10.2019 (Deutscher Bundesverband der Verbraucherzentralen und Verbraucherverbände (VZBV) gegen die Planet49 GmbH) verpflichtet Website-Betreiber, ihre Cookie-Banner mit OK-Button gegen Consent-Formulare auszutauschen, die die Einwilligung der User einholen.
Lediglich technisch notwendige Cookies benötigen keinen Consent, da diese im EU-Recht anders behandelt werden. Marketing-Cookies, Tracking-Cookies, Retargeting-Cookies und Co. bedürfen jedoch ab sofort einer vorherigen und informierten Einwilligung.
Professionelles Consent Management
Erfahren Sie, wie ein DSGVO Consent Manager Ihnen bei der DSGVO-Compliance helfen kann. Zum kostenlosen Whitepaper
Welche Auswirkungen haben die Urteile?
Die Urteile des EuGH sind richtungsweisend, da sie die Pflicht eines jeden Website-Betreibers betonen, nicht nur für die eigenen Verarbeitungszwecke, sondern auch im Fall einer Weitergabe von Daten an Dritte eine Einwilligung einzuholen.
“Was die Einwilligung nach Art. 2 [der Datenschutzrichtlinie][…] betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.”
Das bedeutet, Sie müssen gewissermaßen im Namen Ihrer Werbe- und Social Media-Partner die Einwilligung zur Datenverarbeitung von Ihren Usern einholen. Sie sind gleichermaßen wie Ihr Geschäftspartner verantwortlich und können genauso auch zur Verantwortung gezogen werden. Dabei spielt es keine Rolle, ob Sie Facebook-Like-Buttons, Sharing-Buttons für LinkedIn oder eingebettete YouTube-Videos auf Ihrer Website haben: Wenn Daten an Drittanbieter weitergegeben werden, müssen Sie zuvor die Einwilligung des Users einholen.
Es ist nicht mehr zulässig, das nach wie vor sehr verbreitete Cookie-Banner zu verwenden, das lediglich mit einem “OK”-Button ausgestattet ist und darauf hinweist, dass Cookies verwendet werden. Ein solches Banner verletzt gleich mehrere Vorgaben der DSGVO:
- Es listet keine Zwecke der Datenverarbeitung auf
- Es bietet keine Möglichkeit der Ablehnung
- Es bietet nicht die Möglichkeit, aktiv und freiwillig zuzustimmen
- Der Klick auf “OK” wird forciert und ist nicht als “informierte Entscheidung” anzusehen
Technisch gesehen wird also Opt-in für Cookie-Banner verpflichtend. Damit ist der bisher vom Telemediengesetz in Paragraph 15 Absatz 3 abgedeckte Opt-out für Cookie-Banner nicht mehr möglich.
Der nicht mehr anwendbare § 15 Abs. 3 des TMG sagt im Wortlaut:
“Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht”
Sollten Sie selbst für Ihre Website noch solche Cookie-Banner einsetzen, ist es höchste Zeit, zu handeln. Datenschutz ist nicht nur vor dem Gesetz, sondern auch aus Sicht Ihrer User ein zunehmend wichtiges Thema. Nehmen Sie die Rechte Ihrer User und Kunden auf Privatsphäre ernst und schaffen Sie so Vertrauen.
Analytics & DSGVO = Piwik PRO
Konzentrieren Sie sich voll und ganz auf Ihr Business – wir füttern Sie mit den notwendigen Analytics-Daten – DSGVO-compliant Kostenlosen Demo-Termin vereinbaren
Was tun?
Natürlich möchten Sie auch weiterhin – trotz zunehmender Hürden – zielgerichtete Werbung schalten, nicht auf Einnahmen durch Werbepartner verzichten und zudem Web Analytics für Ihre eigenen Website nutzen.
Was können Sie tun, um einerseits das Risiko von Klagen abzuwenden und andererseits ohne große Einschränkungen weiter Website-Daten zu analysieren?
Setzen Sie auf eine Analytics-Lösung, die alle Vorgaben der DSGVO erfüllt. Einer der führenden Anbieter von Enterprise Analytics-Lösungen ist Piwik PRO. Der Analytics-Anbieter ist nicht nur ISO 27001-zertifiziert, sondern bietet seinen Kunden auch einen Consent Manager, der automatisch und entsprechend aller Vorgaben der DSGVO die Einwilligungen der Website-Besucher abfragt und verwaltet.
Auch die Ergänzung der DSGVO um die ePrivacy-Verordnung behalten wir stets im Blick und reagieren auf zukünftige Anpassungen rechtzeitig, sodass unsere Kunden sich darauf verlassen können, ein gesetzeskonformes Produkt im Einsatz zu haben. Lesen Sie zum Thema ePrivacy auch diese Artikel:
Die auf den ersten Blick streng erscheinenden Auflagen der Datenschutz-Grundverordnung lassen sich mit dem richtigen Partner unkompliziert erfüllen. Beachten Sie außerdem: Es ist nicht erforderlich, dass Sie Verantwortung dafür übernehmen, was Facebook und andere Partner mit den Kundendaten machen.
Das Urteil sagt dazu:
“Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.”
Es reicht nach aktuellem Stand also, wenn Sie in Ihrem Consent-Formular auflisten, dass Sie Daten zu Werbezwecken an Dritte weitergeben, und diese Option mit einer (nicht vorausgewählten) Checkbox versehen.
Hinweis: Auch von anderer Seite wird Cookies das Leben schwer gemacht. Immer neue Mechanismen, die das Tracking von Usern im Netz verhindern sollen, werden in aktuellen Browsern wie Apples Safari implementiert und betreffen bereits jetzt etwa ⅓ der User im Mobile Web.
Fazit – Handeln Sie jetzt!
Durch das Urteil des Europäischen Gerichtshofs wird klar, dass die letzte Stunde der beliebten Cookie-Banner endgültig geschlagen hat. Die Themen Datenschutz, Privatsphäre und Rechte betroffener Personen kann nun kein Unternehmen mehr einfach ignorieren.
Sollten Sie zu denjenigen Website-Betreibern gehören, die noch kein vernünftiges und DSGVO-konformes Consent-Management einsetzen, dann handeln Sie jetzt und wählen sie die Lösung, die zu Ihrem Unternehmen passt und alle rechtlichen Grundlagen erfüllt.
Analytics & DSGVO = Piwik PRO
Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics – DSGVO compliant. Kostenlosen Demo-Termin vereinbaren