Nach der großen Unruhe kurz vor der Einführung der DSGVO im Mai 2018 war es eine Zeitlang recht ruhig geworden, doch nun gab es wieder ein EuGH-Urteil bezüglich Cookie-Opt-In und Facebook-Button.


Bisher sind auf den meisten Websites und Blogs Cookie-Banner eingebunden, die nur ein Opt-Out zulassen, d. h. dem Websitebesucher bleibt nichts anderes übrig, als das Setzen von Cookies bei seinem Besuch zu akzeptieren. Er selbst kann aktiv keine Einwilligung abgeben, welche Cookies er zulassen will und welche nicht.

Rechtlich gesehen kann Untätigkeit der betroffenen Person, Stillschweigen oder bereits angekreuzte Kästchen NICHT als Einwilligung gewertet werden. Außerdem informieren die üblichen Opt-Out-Banner nicht darüber, welche Cookies die Website zu welchem Zweck setzt.

Deshalb sind die klassischen Cookie-Banner für bestimmte Cookies nicht mehr ausreichend.

Hinweis:

Ich bin keine Anwältin, daher gebe ich in diesem Beitrag nur meine persönliche Meinung wieder. Es handelt sich NICHT um eine Rechtsberatung. Falls du konkrete Hilfe bei der Umsetzung der DSGVO auf deiner Website benötigst, solltest du einen Rechtsanwalt heranziehen.

EuGH: Cookies sollen erst nach Opt-In gesetzt werden können

Bei der Verhandlung vor dem EuGH stand in erster Linie der Facebook-Button im Vordergrund. Es ging darum, ob die Verwendung des Buttons erlaubt ist und falls ja, wie sich die Voraussetzungen gestalten.

Wer einen solchen Like-Button in seinen Webauftritt einbindet, sollte wissen, dass schon beim Aufruf der Seite – und nicht erst beim Klicken auf den Facebook-Button – personenbezogene Daten, wie z. B. IP-Adresse und weitere Browserinformationen, von Facebook erfasst werden, auch wenn der Website-Besucher kein Mitglied der Plattform ist. Bei der Erfassung der Daten werden Cookies eingesetzt.

In dem Urteil wurde nun entschieden, dass der Website-Betreiber für das Sammeln dieser Daten mitverantwortlich ist und daher von den Website-Besuchern eine Einwilligung einholen muss, bevor der Facebook-Button Daten abgreift und ein Cookie setzt.

Dagegen wird der Website-Betreiber für die Datenverarbeitung durch Facebook nicht in die Verantwortung genommen, da darauf die Website-Betreiber ohnehin keinen Einfluss haben. Inwieweit man diesbezüglich vor einer Abmahnung geschützt ist, bleibt allerdings offen.

Das heißt, Social Plugins in Form von Buttons oder Widgets von Facebook, Instagram, Twitter, Pinterest und anderen Netzwerken, sollte man als Website-Betreiber nicht auf seinen Internetseiten verwenden oder solange deaktiviert halten, bis über eine Opt-In-Möglichkeit der User über die Datenerfassung informiert wurde und seine Zustimmung zum Setzen des Cookies erteilt hat. Dann erst dürfen diese freigeschaltet werden.

Ein bloßer Hinweis in der Datenschutzerklärung, dass Daten an Facebook weitergeleitet werden, reicht nicht aus.

Außerdem verweist das EuGH auf die Cookie-Richtlinie. Ob die schon wirksam ist, darüber streiten sich die Juristen, denn in nationales Recht ist sie noch nicht umgesetzt.

Lesen  DSGVO: Wie setze ich die Bestimmungen um? 5. Newsletter und Kopplungsverbot

Und so legen manche das Urteil so aus, dass von nun an jedes Setzen eines Cookies eine User-Einwilligung braucht. Um auf der sicheren Seite zu sein, empfiehlt es sich daher, von einem Opt-Out-Cookie-Banner auf ein Opt-In-Cookie-Banner umzusteigen.

Welche Cookies gibt es?

Unter Cookies sind Informationen bzw. kleine Dateien zu verstehen, die im Endgerät des Website-Besuchers abgespeichert werden.

Diese werden einmal benötigt, um eine Webseite überhaupt richtig darzustellen (dabei handelt es sich technisch notwendige Cookies).

Auf der anderen Seite werden Cookies für die Analyse des Verhaltens von Website-Besucher sowie für Werbezwecke gesetzt.

Generell kann man zwischen Session-Cookies, persistenten und Tracking-Cookies unterscheiden.

Session-Cookies: Sie speichern Informationen, die Online-Aktivitäten einer einzelnen Browser-Sitzung zuordnen. Session-Cookies sind nicht-persistente Cookies, die nur für die Dauer einer Usersitzung gespeichert und danach wieder gelöscht werden.

Persistente Cookies: Sie werden dauerhaft im Browser des Users gespeichert und ermöglichen ein sessionübergreifendes Tracking.

Tracking-Cookies:  Sie stammen nicht vom Webserver der besuchten Seite, sondern beispielsweise von einem auf der Seite eingebundenen Werbeanbieter. Durch das gesetzte Cookie kann der Werbeanbieter die Useraktivitäten im Internet verfolgen und personalisierte Werbung ausliefern.

Da gerade Tracking-Cookies und Third-Party-Cookies personenbezogene Daten wie die IP-Adresse speichern, sollte man als Website-Betreiber vom User eine ausdrückliche Einwilligung einholen, ob er diese Cookies zulassen will oder nicht.

Doch auch hier bewegen wir uns auf unsicherem Terrain.

Tracking- und Analytics-Cookies wie sie beispielsweise von Google Analytics verwendet werden, bräuchten also eine Zustimmung des Users. Um Google Analytics datenschutzkonform zu verwenden, kann (und sollte) man die IP-Anonymisierungsfunktion nutzen. Ist dann ein Opt-In immer noch nötig, obwohl keine personenbezogenen Daten gesammelt werden?

Eine klare Antwort gibt es darauf leider nicht, denn auch hier existieren unterschiedliche Meinungen.

Um herauszufinden, welche Cookies deine Website setzt, kannst du diese Online-Tools verwenden:

Cookies von bekannten Drittanbietern: Wie gehe ich vor?

Auf unzähligen Websites werden mittlerweile Services bekannter Drittanbieter eingebunden, wie z. B. Google Analytics, Google Maps, YouTube, Buttons von sozialen Netzwerken, VG Wort und einige mehr. Fast alle Dienste speichern personenbezogene Daten ab.

Sollte man diese in seine Website noch einbinden, um sich datenschutzkonform zu verhalten? Ich habe mich für die folgenden Schritte entschieden, ob diese nun als absolut datenschutzkonform sind, will ich nicht beurteilen. Ich hoffe es allerdings. :-)

Social-Media-Buttons

Ich selbst binde auf meinen Websites die Teilen-Buttons des Shariff-Wrapper-Plugins ein. Hier auf Geld-online-Blog ist es noch nicht integriert, wird aber bald installiert. Das Plugin sendet keine Daten an die einzelnen sozialen Netzwerke und setzt keine Cookies.

Andere Button-Lösungen verwende ich nicht mehr.

VG Wort

Ich verwende Zählpixel von VG Wort. Diese setzen auch ein Cookie, doch nach den Angaben von VG Wort werden keine personenbezogenen Daten erhoben. Daher sollten die Zählpixel auch ohne Opt-In eingefügt werden können. In dem Passus zur VG Wort in meiner Datenschutzerklärung findet sich eine Opt-Out-Möglichkeit.

Lesen  10 wichtige Datenschutz-Plugins, mit denen du WordPress DSGVO-sicher machst

Google Analytics

Ich habe mich entschlossen, Google Analytics in der nächsten Zeit weiter zu nutzen und dafür ein Opt-In einzusetzen, wie es wohl verlangt wird. Wie verlässlich dann die Zahlen auf Google Analytics werden, muss ich abwarten.

Parallel habe ich ein Statistik-Plugin installiert, das keine personenbezogenen Daten sammelt. Mal sehen, wie dort die Zahlen aussehen werden. Detaillierte Auswertungen (wie z. B. Besucher nach Ländern filtern etc.) kann man damit allerdings nicht vornehmen.

YouTube-Videos

Für das Einbinden von YouTube-Videos greife ich auf eine interne Theme-Funktion von Avada zurück. In den Privacy-Einstellungen kann ich u. a. Videos von YouTube und Vimeo zuerst sperren lassen. Nach einem Klick auf den Button „Akzeptieren“ wird das Video angezeigt. bzw. erst dann eine Verbindung aufgebaut.

Gesperrtes Video von Avada

Bild: So sieht die Videosperrung bei Avada aus.

Wer auf Nummer sicher gehen will, sollte das Video per Link in seine Website einfügen, was allerdings nicht so komfortabel für den User ist.

Wenn es geht, verzichte ich mittlerweile auf das Einfügen von Videos, wirklich viele sind nicht mehr in meinem Blog integriert.

Google Maps

Karten von Google Maps füge ich mit erweitertem Datenschutz in meine Websites ein. D. h. sie sind zuerst gesperrt, mit dem Hinweis, dass Google Maps aus Datenschutzgründen eine Erlaubnis braucht, um geladen zu werden. Mit einem Klick kann die Karte freigeschaltet werden.

Mit dem Avada-Theme lassen sich solche Drittanbieter-Einbindungen sehr gut sperren, nicht nur Google Maps, sondern auch – wie schon unter dem Punkt YouTube-Videos erwähnt – Videos von Vimeo und YouTube, Soundcloud und Tracking-Cookies.

Affiliate-Marketing

Skripte von Affiliate-Marketing-Anbietern bzw. -Netzwerken (wie z. B. von blogfoster) verwende ich auf meinem Blog nicht mehr, nur normale Affiliate-Links. Produkte von Amazon binde ich über das AAWP-Plugin ein, das eine datenschutzkonforme Einbindung von Affiliate-Links und Produktbildern ermöglicht.

Opt-In-Lösungen mithilfe von WordPress-Plugins

Da ich selbst keine Opt-In-Lösung programmieren kann, bin ich auf der Suche nach zuverlässigen Opt-In-Cookie-Bannern auf zwei kostenpflichtige WordPress-Plugins gestoßen.

Seit vergangenem Jahr sind die beiden mir bekannt, bisher eingesetzt habe ich noch keins. Das wird sich bald ändern.

Borlabs Cookie 2.0

Seit wenigen Tagen fällt mir auf, dass immer mehr Websites und Blogs Opt-In-Cookie-Banner einsetzen, und meistens ist es der Banner von Borlab Cookies 2.0.

Das Premium-Plugin unterstützt die folgenden Services:

  • Google Analytics
  • Google AdSense
  • Google Maps
  • Tag Manager
  • Facebook
  • Instagram
  • Twitter
  • und weitere Dienste

Die Cookies lassen sich in verschiedene Cookie-Gruppen einteilen, wie z. B. essenzielle Cookies, Cookies für Marketing, Statistiken und externe Medien. Zu den einzelnen Cookies lassen sich Name, Laufzeit, Zweck und Herkunft angeben. Wichtig ist auch, dass das Plugin mit allen Caching-Plugins kompatibel ist.

Die Darstellung des Opt-In-Cookie-Banners von Borlabs Cookie 2.0 sieht so aus:

Lesen  DSGVO: Wie setze ich die Bestimmungen um? 3. Weitere Informationspflichten der DSGVO

Borlabs-Cookie 2.0Zuerst wird beim Seitenaufruf ein kleines Hinweisfenster eingeblendet, in dem die verschiedenen Cookie-Gruppen aufgeführt sind.

Will der User weitere Informationen, klickt er auf „Individuell einstellen“.

Dann öffnet sich ein weiteres Fenster, in dem die Datenschutzeinstellungen sowie die eingesetzten Cookies eingesehen werden können und der User die Möglichkeit hat, die Cookies zu akzeptieren oder nicht (siehe Bild unten).

Klickt der User auf „Ja, weiter“, nimmt er alle Cookies an.

Borlabs-Cookie 2.0

Auch wenn ich das Plugin noch nicht testen konnte, macht es einen sehr guten Eindruck auf mich. Weitere Infos zu Borlabs Cookie 2.0 findest du hier.

PixelMate

Das zweite Premium-Plugin PixelMate macht ebenfalls einen soliden Eindruck. Die folgenden Services sind schon in das Plugin integriert und können per Opt-In vom User angenommen oder blockiert werden:

  • Google Analytics
  • Facebook Pixel
  • YouTube
  • Vimeo
  • Twitter
  • Google Maps

Die Darstellung des Opt-In-Cookie-Banners von PixelMate sieht folgendermaßen aus:

PixelMateIn einem kleinen Fenster wird beim Öffnen der Website darauf hingewiesen, dass bestimmte Cookies (werden in dem Text benannt) gesetzt werden, wenn der User auf „Akzeptieren“ klickt.

Lehnt der User ab bzw. trifft keine Entscheidung, werden keine Cookies gesetzt. Dann lassen sich allerdings keine Videos von YouTube oder Vimeo starten, denn die sind ausgeblendet.

In dem Hinweistext steht auch, dass man in der Datenschutzerklärung manuell einzelne Dienste per Opt-In aktivieren kann. Die Darstellung, die mit einem Shortcode in die Datenschutzerklärung eingebunden wird, sieht so aus:

PixelMate

Weitere Informationen zum PixelMate-Plugin findest du hier.

Da ich in den nächsten Tagen mir ein Opt-In-Plugin zulegen will, werde ich mich für eines der beiden entscheiden müssen. Noch weiß ich nicht, welches ich nehmen werde.

Das von mir gewählte Opt-In-Plugin werde ich zeitnah genauer vorstellen und die Einstellungen zeigen, die ich vorgenommen habe.

Fazit

Nach dem Urteil des EuGH ist man als Website-Betreiber nicht wirklich viel schlauer geworden. Ein gewisses Risiko bleibt bestehen, auch wenn man ein Opt-In-Plugin verwendet und sich von manchen Services, die Cookies setzen, verabschiedet.

Dennoch glaube ich, dass man mit oben genannten Lösungen relativ gut abgesichert ist gegen Abmahnungen.

Ich hoffe, dass irgendwann klare Entscheidungen von den Gerichten gefällt werden, die kaum Interpretationsspielraum zulassen und dass die großen Player wie Google und Facebook viel mehr in die Verantwortung genommen werden, was Datenschutz angeht.