Neues zur DSGVO: Wird das Cookie Opt-In jetzt doch Pflicht?

Nach der gro­ßen Unru­he kurz vor der Ein­füh­rung der DSGVO im Mai 2018 war es eine Zeit­lang recht ruhig gewor­den, doch nun gab es wie­der ein EuGH-Urteil bezüg­lich Coo­kie-Opt-In und Facebook-Button.

Bis­her sind auf den meis­ten Web­sites und Blogs Coo­kie-Ban­ner ein­ge­bun­den, die nur ein Opt-Out zulas­sen, d. h. dem Web­site­be­su­cher bleibt nichts ande­res übrig, als das Set­zen von Coo­kies bei sei­nem Besuch zu akzep­tie­ren. Er selbst kann aktiv kei­ne Ein­wil­li­gung abge­ben, wel­che Coo­kies er zulas­sen will und wel­che nicht.

Recht­lich gese­hen kann Untä­tig­keit der betrof­fe­nen Per­son, Still­schwei­gen oder bereits ange­kreuz­te Käst­chen NICHT als Ein­wil­li­gung gewer­tet wer­den. Außer­dem infor­mie­ren die übli­chen Opt-Out-Ban­ner nicht dar­über, wel­che Coo­kies die Web­site zu wel­chem Zweck setzt.

Des­halb sind die klas­si­schen Coo­kie-Ban­ner für bestimm­te Coo­kies nicht mehr ausreichend.

Hin­weis:

Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wie­der. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt heranziehen.

EuGH: Cookies sollen erst nach Opt-In gesetzt werden können

Bei der Ver­hand­lung vor dem EuGH stand in ers­ter Linie der Face­book-But­ton im Vor­der­grund. Es ging dar­um, ob die Ver­wen­dung des But­tons erlaubt ist und falls ja, wie sich die Vor­aus­set­zun­gen gestalten.

Wer einen sol­chen Like-But­ton in sei­nen Web­auf­tritt ein­bin­det, soll­te wis­sen, dass schon beim Auf­ruf der Sei­te — und nicht erst beim Kli­cken auf den Face­book-But­ton — per­so­nen­be­zo­ge­ne Daten, wie z. B. IP-Adres­se und wei­te­re Brow­ser­in­for­ma­tio­nen, von Face­book erfasst wer­den, auch wenn der Web­site-Besu­cher kein Mit­glied der Platt­form ist. Bei der Erfas­sung der Daten wer­den Coo­kies eingesetzt.

In dem Urteil wur­de nun ent­schie­den, dass der Web­site-Betrei­ber für das Sam­meln die­ser Daten mit­ver­ant­wort­lich ist und daher von den Web­site-Besu­chern eine Ein­wil­li­gung ein­ho­len muss, bevor der Face­book-But­ton Daten abgreift und ein Coo­kie setzt.

Dage­gen wird der Web­site-Betrei­ber für die Daten­ver­ar­bei­tung durch Face­book nicht in die Ver­ant­wor­tung genom­men, da dar­auf die Web­site-Betrei­ber ohne­hin kei­nen Ein­fluss haben. Inwie­weit man dies­be­züg­lich vor einer Abmah­nung geschützt ist, bleibt aller­dings offen.

Das heißt, Social Plug­ins in Form von But­tons oder Wid­gets von Face­book, Insta­gram, Twit­ter, Pin­te­rest und ande­ren Netz­wer­ken, soll­te man als Web­site-Betrei­ber nicht auf sei­nen Inter­net­sei­ten ver­wen­den oder solan­ge deak­ti­viert hal­ten, bis über eine Opt-In-Mög­lich­keit der User über die Daten­er­fas­sung infor­miert wur­de und sei­ne Zustim­mung zum Set­zen des Coo­kies erteilt hat. Dann erst dür­fen die­se frei­ge­schal­tet werden.

Ein blo­ßer Hin­weis in der Daten­schutz­er­klä­rung, dass Daten an Face­book wei­ter­ge­lei­tet wer­den, reicht nicht aus.

Außer­dem ver­weist das EuGH auf die Coo­kie-Richt­li­nie. Ob die schon wirk­sam ist, dar­über strei­ten sich die Juris­ten, denn in natio­na­les Recht ist sie noch nicht umgesetzt.

Und so legen man­che das Urteil so aus, dass von nun an jedes Set­zen eines Coo­kies eine User-Ein­wil­li­gung braucht. Um auf der siche­ren Sei­te zu sein, emp­fiehlt es sich daher, von einem Opt-Out-Coo­kie-Ban­ner auf ein Opt-In-Coo­kie-Ban­ner umzusteigen.

Welche Cookies gibt es?

Unter Coo­kies sind Infor­ma­tio­nen bzw. klei­ne Datei­en zu ver­ste­hen, die im End­ge­rät des Web­site-Besu­chers abge­spei­chert werden.

Die­se wer­den ein­mal benö­tigt, um eine Web­sei­te über­haupt rich­tig dar­zu­stel­len (dabei han­delt es sich tech­nisch not­wen­di­ge Cookies).

Auf der ande­ren Sei­te wer­den Coo­kies für die Ana­ly­se des Ver­hal­tens von Web­site-Besu­cher sowie für Wer­be­zwe­cke gesetzt.

Gene­rell kann man zwi­schen Ses­si­on-Coo­kies, per­sis­ten­ten und Track­ing-Coo­kies unterscheiden.

Ses­si­on-Coo­kies: Sie spei­chern Infor­ma­tio­nen, die Online-Akti­vi­tä­ten einer ein­zel­nen Brow­ser-Sit­zung zuord­nen. Ses­si­on-Coo­kies sind nicht-per­sis­ten­te Coo­kies, die nur für die Dau­er einer User­sit­zung gespei­chert und danach wie­der gelöscht werden.

Per­sis­ten­te Coo­kies: Sie wer­den dau­er­haft im Brow­ser des Users gespei­chert und ermög­li­chen ein ses­si­onüber­grei­fen­des Tracking.

Track­ing-Coo­kies:  Sie stam­men nicht vom Web­ser­ver der besuch­ten Sei­te, son­dern bei­spiels­wei­se von einem auf der Sei­te ein­ge­bun­de­nen Wer­be­an­bie­ter. Durch das gesetz­te Coo­kie kann der Wer­be­an­bie­ter die User­ak­ti­vi­tä­ten im Inter­net ver­fol­gen und per­so­na­li­sier­te Wer­bung ausliefern.

Da gera­de Track­ing-Coo­kies und Third-Par­ty-Coo­kies per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se spei­chern, soll­te man als Web­site-Betrei­ber vom User eine aus­drück­li­che Ein­wil­li­gung ein­ho­len, ob er die­se Coo­kies zulas­sen will oder nicht.

Doch auch hier bewe­gen wir uns auf unsi­che­rem Terrain.

Track­ing- und Ana­ly­tics-Coo­kies wie sie bei­spiels­wei­se von Goog­le Ana­ly­tics ver­wen­det wer­den, bräuch­ten also eine Zustim­mung des Users. Um Goog­le Ana­ly­tics daten­schutz­kon­form zu ver­wen­den, kann (und soll­te) man die IP-Anony­mi­sie­rungs­funk­ti­on nut­zen. Ist dann ein Opt-In immer noch nötig, obwohl kei­ne per­so­nen­be­zo­ge­nen Daten gesam­melt werden?

Eine kla­re Ant­wort gibt es dar­auf lei­der nicht, denn auch hier exis­tie­ren unter­schied­li­che Meinungen.

Um her­aus­zu­fin­den, wel­che Coo­kies dei­ne Web­site setzt, kannst du die­se Online-Tools verwenden:

Cookies von bekannten Drittanbietern: Wie gehe ich vor?

Auf unzäh­li­gen Web­sites wer­den mitt­ler­wei­le Ser­vices bekann­ter Dritt­an­bie­ter ein­ge­bun­den, wie z. B. Goog­le Ana­ly­tics, Goog­le Maps, You­Tube, But­tons von sozia­len Netz­wer­ken, VG Wort und eini­ge mehr. Fast alle Diens­te spei­chern per­so­nen­be­zo­ge­ne Daten ab.

Soll­te man die­se in sei­ne Web­site noch ein­bin­den, um sich daten­schutz­kon­form zu ver­hal­ten? Ich habe mich für die fol­gen­den Schrit­te ent­schie­den, ob die­se nun als abso­lut daten­schutz­kon­form sind, will ich nicht beur­tei­len. Ich hof­fe es allerdings. :-)

Social-Media-But­tons

Ich selbst bin­de auf mei­nen Web­sites die Tei­len-But­tons des Sha­riff-Wrap­per-Plug­ins ein. Hier auf Geld-online-Blog ist es noch nicht inte­griert, wird aber bald instal­liert. Das Plug­in sen­det kei­ne Daten an die ein­zel­nen sozia­len Netz­wer­ke und setzt kei­ne Cookies.

Ande­re But­ton-Lösun­gen ver­wen­de ich nicht mehr.

VG Wort

Ich ver­wen­de Zähl­pi­xel von VG Wort. Die­se set­zen auch ein Coo­kie, doch nach den Anga­ben von VG Wort wer­den kei­ne per­so­nen­be­zo­ge­nen Daten erho­ben. Daher soll­ten die Zähl­pi­xel auch ohne Opt-In ein­ge­fügt wer­den kön­nen. In dem Pas­sus zur VG Wort in mei­ner Daten­schutz­er­klä­rung fin­det sich eine Opt-Out-Möglichkeit.

Goog­le Analytics

Ich habe mich ent­schlos­sen, Goog­le Ana­ly­tics in der nächs­ten Zeit wei­ter zu nut­zen und dafür ein Opt-In ein­zu­set­zen, wie es wohl ver­langt wird. Wie ver­läss­lich dann die Zah­len auf Goog­le Ana­ly­tics wer­den, muss ich abwarten.

Par­al­lel habe ich ein Sta­tis­tik-Plug­in instal­liert, das kei­ne per­so­nen­be­zo­ge­nen Daten sam­melt. Mal sehen, wie dort die Zah­len aus­se­hen wer­den. Detail­lier­te Aus­wer­tun­gen (wie z. B. Besu­cher nach Län­dern fil­tern etc.) kann man damit aller­dings nicht vornehmen.

You­Tube-Vide­os

Für das Ein­bin­den von You­Tube-Vide­os grei­fe ich auf eine inter­ne The­me-Funk­ti­on von Ava­da zurück. In den Pri­va­cy-Ein­stel­lun­gen kann ich u. a. Vide­os von You­Tube und Vimeo zuerst sper­ren las­sen. Nach einem Klick auf den But­ton “Akzep­tie­ren” wird das Video ange­zeigt. bzw. erst dann eine Ver­bin­dung aufgebaut.

Gesperrtes Video von Avada

Bild: So sieht die Video­sper­rung bei Ava­da aus.

Wer auf Num­mer sicher gehen will, soll­te das Video per Link in sei­ne Web­site ein­fü­gen, was aller­dings nicht so kom­for­ta­bel für den User ist.

Wenn es geht, ver­zich­te ich mitt­ler­wei­le auf das Ein­fü­gen von Vide­os, wirk­lich vie­le sind nicht mehr in mei­nem Blog integriert.

Goog­le Maps

Kar­ten von Goog­le Maps füge ich mit erwei­ter­tem Daten­schutz in mei­ne Web­sites ein. D. h. sie sind zuerst gesperrt, mit dem Hin­weis, dass Goog­le Maps aus Daten­schutz­grün­den eine Erlaub­nis braucht, um gela­den zu wer­den. Mit einem Klick kann die Kar­te frei­ge­schal­tet werden.

Mit dem Ava­da-The­me las­sen sich sol­che Dritt­an­bie­ter-Ein­bin­dun­gen sehr gut sper­ren, nicht nur Goog­le Maps, son­dern auch — wie schon unter dem Punkt You­Tube-Vide­os erwähnt — Vide­os von Vimeo und You­Tube, Sound­cloud und Tracking-Cookies.

Affi­lia­te-Mar­ke­ting

Skrip­te von Affi­lia­te-Mar­ke­ting-Anbie­tern bzw. ‑Netz­wer­ken (wie z. B. von blog­fos­ter) ver­wen­de ich auf mei­nem Blog nicht mehr, nur nor­ma­le Affi­lia­te-Links. Pro­duk­te von Ama­zon bin­de ich über das AAWP-Plug­in ein, das eine daten­schutz­kon­for­me Ein­bin­dung von Affi­lia­te-Links und Pro­dukt­bil­dern ermöglicht.

Opt-In-Lösungen mithilfe von WordPress-Plugins

Da ich selbst kei­ne Opt-In-Lösung pro­gram­mie­ren kann, bin ich auf der Suche nach zuver­läs­si­gen Opt-In-Coo­kie-Ban­nern auf zwei kos­ten­pflich­ti­ge Word­Press-Plug­ins gestoßen.

Seit ver­gan­ge­nem Jahr sind die bei­den mir bekannt, bis­her ein­ge­setzt habe ich noch keins. Das wird sich bald ändern.

Borlabs Cookie 2.0

Seit weni­gen Tagen fällt mir auf, dass immer mehr Web­sites und Blogs Opt-In-Coo­kie-Ban­ner ein­set­zen, und meis­tens ist es der Ban­ner von Bor­lab Coo­kies 2.0.

Das Pre­mi­um-Plug­in unter­stützt die fol­gen­den Services:

  • Goog­le Analytics
  • Goog­le AdSense
  • Goog­le Maps
  • Tag Mana­ger
  • Face­book
  • Insta­gram
  • Twit­ter
  • und wei­te­re Dienste

Die Coo­kies las­sen sich in ver­schie­de­ne Coo­kie-Grup­pen ein­tei­len, wie z. B. essen­zi­el­le Coo­kies, Coo­kies für Mar­ke­ting, Sta­tis­ti­ken und exter­ne Medi­en. Zu den ein­zel­nen Coo­kies las­sen sich Name, Lauf­zeit, Zweck und Her­kunft ange­ben. Wich­tig ist auch, dass das Plug­in mit allen Caching-Plug­ins kom­pa­ti­bel ist.

Die Dar­stel­lung des Opt-In-Coo­kie-Ban­ners von Borlabs Coo­kie 2.0 sieht so aus:

Borlabs-Cookie 2.0Zuerst wird beim Sei­ten­auf­ruf ein klei­nes Hin­weis­fens­ter ein­ge­blen­det, in dem die ver­schie­de­nen Coo­kie-Grup­pen auf­ge­führt sind.

Will der User wei­te­re Infor­ma­tio­nen, klickt er auf „Indi­vi­du­ell einstellen“.

Dann öff­net sich ein wei­te­res Fens­ter, in dem die Daten­schutz­ein­stel­lun­gen sowie die ein­ge­setz­ten Coo­kies ein­ge­se­hen wer­den kön­nen und der User die Mög­lich­keit hat, die Coo­kies zu akzep­tie­ren oder nicht (sie­he Bild unten).

Klickt der User auf „Ja, wei­ter“, nimmt er alle Coo­kies an.

Borlabs-Cookie 2.0

Auch wenn ich das Plug­in noch nicht tes­ten konn­te, macht es einen sehr guten Ein­druck auf mich. Wei­te­re Infos zu Borlabs Coo­kie 2.0 fin­dest du hier.

PixelMate

Das zwei­te Pre­mi­um-Plug­in Pixel­Ma­te macht eben­falls einen soli­den Ein­druck. Die fol­gen­den Ser­vices sind schon in das Plug­in inte­griert und kön­nen per Opt-In vom User ange­nom­men oder blo­ckiert werden:

  • Goog­le Analytics
  • Face­book Pixel
  • You­Tube
  • Vimeo
  • Twit­ter
  • Goog­le Maps

Die Dar­stel­lung des Opt-In-Coo­kie-Ban­ners von Pixel­Ma­te sieht fol­gen­der­ma­ßen aus:

PixelMateIn einem klei­nen Fens­ter wird beim Öff­nen der Web­site dar­auf hin­ge­wie­sen, dass bestimm­te Coo­kies (wer­den in dem Text benannt) gesetzt wer­den, wenn der User auf „Akzep­tie­ren“ klickt.

Lehnt der User ab bzw. trifft kei­ne Ent­schei­dung, wer­den kei­ne Coo­kies gesetzt. Dann las­sen sich aller­dings kei­ne Vide­os von You­Tube oder Vimeo star­ten, denn die sind ausgeblendet.

In dem Hin­weis­text steht auch, dass man in der Daten­schutz­er­klä­rung manu­ell ein­zel­ne Diens­te per Opt-In akti­vie­ren kann. Die Dar­stel­lung, die mit einem Short­code in die Daten­schutz­er­klä­rung ein­ge­bun­den wird, sieht so aus:

PixelMate

Wei­te­re Infor­ma­tio­nen zum Pixel­Ma­te-Plug­in fin­dest du hier.

Da ich in den nächs­ten Tagen mir ein Opt-In-Plug­in zule­gen will, wer­de ich mich für eines der bei­den ent­schei­den müs­sen. Noch weiß ich nicht, wel­ches ich neh­men werde.

Das von mir gewähl­te Opt-In-Plug­in wer­de ich zeit­nah genau­er vor­stel­len und die Ein­stel­lun­gen zei­gen, die ich vor­ge­nom­men habe.

Fazit

Nach dem Urteil des EuGH ist man als Web­site-Betrei­ber nicht wirk­lich viel schlau­er gewor­den. Ein gewis­ses Risi­ko bleibt bestehen, auch wenn man ein Opt-In-Plug­in ver­wen­det und sich von man­chen Ser­vices, die Coo­kies set­zen, verabschiedet.

Den­noch glau­be ich, dass man mit oben genann­ten Lösun­gen rela­tiv gut abge­si­chert ist gegen Abmahnungen.

Ich hof­fe, dass irgend­wann kla­re Ent­schei­dun­gen von den Gerich­ten gefällt wer­den, die kaum Inter­pre­ta­ti­ons­spiel­raum zulas­sen und dass die gro­ßen Play­er wie Goog­le und Face­book viel mehr in die Ver­ant­wor­tung genom­men wer­den, was Daten­schutz angeht.

Privatsphäre-Einstellungen ändern | Historie der Privatsphäre-Einstellungen | Einwilligungen widerrufen

WordPress Cookie Hinweis von Real Cookie Banner