Nach der gro­ßen Unru­he kurz vor der Ein­füh­rung der DSGVO im Mai 2018 war es eine Zeit­lang recht ruhig gewor­den, doch nun gab es wie­der ein EuGH-Urteil bezüg­lich Coo­kie-Opt-In und Facebook-Button.


Bis­her sind auf den meis­ten Web­sites und Blogs Coo­kie-Ban­ner ein­ge­bun­den, die nur ein Opt-Out zulas­sen, d. h. dem Web­site­be­su­cher bleibt nichts ande­res übrig, als das Set­zen von Coo­kies bei sei­nem Besuch zu akzep­tie­ren. Er selbst kann aktiv kei­ne Ein­wil­li­gung abge­ben, wel­che Coo­kies er zulas­sen will und wel­che nicht.

Recht­lich gese­hen kann Untä­tig­keit der betrof­fe­nen Per­son, Still­schwei­gen oder bereits ange­kreuz­te Käst­chen NICHT als Ein­wil­li­gung gewer­tet wer­den. Außer­dem infor­mie­ren die übli­chen Opt-Out-Ban­ner nicht dar­über, wel­che Coo­kies die Web­site zu wel­chem Zweck setzt.

Des­halb sind die klas­si­schen Coo­kie-Ban­ner für bestimm­te Coo­kies nicht mehr ausreichend.

Hin­weis:

Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wie­der. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt heranziehen.

EuGH: Cookies sollen erst nach Opt-In gesetzt werden können

Bei der Ver­hand­lung vor dem EuGH stand in ers­ter Linie der Face­book-But­ton im Vor­der­grund. Es ging dar­um, ob die Ver­wen­dung des But­tons erlaubt ist und falls ja, wie sich die Vor­aus­set­zun­gen gestalten.

Wer einen sol­chen Like-But­ton in sei­nen Web­auf­tritt ein­bin­det, soll­te wis­sen, dass schon beim Auf­ruf der Sei­te — und nicht erst beim Kli­cken auf den Face­book-But­ton — per­so­nen­be­zo­ge­ne Daten, wie z. B. IP-Adres­se und wei­te­re Brow­ser­in­for­ma­tio­nen, von Face­book erfasst wer­den, auch wenn der Web­site-Besu­cher kein Mit­glied der Platt­form ist. Bei der Erfas­sung der Daten wer­den Coo­kies eingesetzt.

In dem Urteil wur­de nun ent­schie­den, dass der Web­site-Betrei­ber für das Sam­meln die­ser Daten mit­ver­ant­wort­lich ist und daher von den Web­site-Besu­chern eine Ein­wil­li­gung ein­ho­len muss, bevor der Face­book-But­ton Daten abgreift und ein Coo­kie setzt.

Dage­gen wird der Web­site-Betrei­ber für die Daten­ver­ar­bei­tung durch Face­book nicht in die Ver­ant­wor­tung genom­men, da dar­auf die Web­site-Betrei­ber ohne­hin kei­nen Ein­fluss haben. Inwie­weit man dies­be­züg­lich vor einer Abmah­nung geschützt ist, bleibt aller­dings offen.

Das heißt, Social Plugins in Form von But­tons oder Wid­ge­ts von Face­book, Insta­gram, Twit­ter, Pin­te­rest und ande­ren Netz­wer­ken, soll­te man als Web­site-Betrei­ber nicht auf sei­nen Inter­net­sei­ten ver­wen­den oder solan­ge deak­ti­viert hal­ten, bis über eine Opt-In-Mög­lich­keit der User über die Daten­er­fas­sung infor­miert wur­de und sei­ne Zustim­mung zum Set­zen des Coo­kies erteilt hat. Dann erst dür­fen die­se frei­ge­schal­tet werden.

Ein blo­ßer Hin­weis in der Daten­schutz­er­klä­rung, dass Daten an Face­book wei­ter­ge­lei­tet wer­den, reicht nicht aus.

Außer­dem ver­weist das EuGH auf die Coo­kie-Richt­li­nie. Ob die schon wirk­sam ist, dar­über strei­ten sich die Juris­ten, denn in natio­na­les Recht ist sie noch nicht umgesetzt.

Und so legen man­che das Urteil so aus, dass von nun an jedes Set­zen eines Coo­kies eine User-Ein­wil­li­gung braucht. Um auf der siche­ren Sei­te zu sein, emp­fiehlt es sich daher, von einem Opt-Out-Coo­kie-Ban­ner auf ein Opt-In-Coo­kie-Ban­ner umzusteigen.

Lesen  Neue Ausgabe von eStrategy erschienen - Themenschwerpunkt: Agiles Projektmanagement

Welche Cookies gibt es?

Unter Coo­kies sind Infor­ma­tio­nen bzw. klei­ne Datei­en zu ver­ste­hen, die im End­ge­rät des Web­site-Besu­chers abge­spei­chert werden.

Die­se wer­den ein­mal benö­tigt, um eine Web­sei­te über­haupt rich­tig dar­zu­stel­len (dabei han­delt es sich tech­nisch not­wen­di­ge Cookies).

Auf der ande­ren Sei­te wer­den Coo­kies für die Ana­ly­se des Ver­hal­tens von Web­site-Besu­cher sowie für Wer­be­zwe­cke gesetzt.

Gene­rell kann man zwi­schen Ses­si­on-Coo­kies, per­sis­ten­ten und Tracking-Coo­kies unterscheiden.

Ses­si­on-Coo­kies: Sie spei­chern Infor­ma­tio­nen, die Online-Akti­vi­tä­ten einer ein­zel­nen Brow­ser-Sit­zung zuord­nen. Ses­si­on-Coo­kies sind nicht-per­sis­ten­te Coo­kies, die nur für die Dau­er einer User­sit­zung gespei­chert und danach wie­der gelöscht werden.

Per­sis­ten­te Coo­kies: Sie wer­den dau­er­haft im Brow­ser des Users gespei­chert und ermög­li­chen ein ses­si­onüber­grei­fen­des Tracking.

Tracking-Coo­kies:  Sie stam­men nicht vom Web­ser­ver der besuch­ten Sei­te, son­dern bei­spiels­wei­se von einem auf der Sei­te ein­ge­bun­de­nen Wer­be­an­bie­ter. Durch das gesetz­te Coo­kie kann der Wer­be­an­bie­ter die User­ak­ti­vi­tä­ten im Inter­net ver­fol­gen und per­so­na­li­sier­te Wer­bung ausliefern.

Da gera­de Tracking-Coo­kies und Third-Par­ty-Coo­kies per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se spei­chern, soll­te man als Web­site-Betrei­ber vom User eine aus­drück­li­che Ein­wil­li­gung ein­ho­len, ob er die­se Coo­kies zulas­sen will oder nicht.

Doch auch hier bewe­gen wir uns auf unsi­che­rem Terrain.

Tracking- und Ana­ly­tics-Coo­kies wie sie bei­spiels­wei­se von Goog­le Ana­ly­tics ver­wen­det wer­den, bräuch­ten also eine Zustim­mung des Users. Um Goog­le Ana­ly­tics daten­schutz­kon­form zu ver­wen­den, kann (und soll­te) man die IP-Anony­mi­sie­rungs­funk­ti­on nut­zen. Ist dann ein Opt-In immer noch nötig, obwohl kei­ne per­so­nen­be­zo­ge­nen Daten gesam­melt werden?

Eine kla­re Ant­wort gibt es dar­auf lei­der nicht, denn auch hier exis­tie­ren unter­schied­li­che Meinungen.

Um her­aus­zu­fin­den, wel­che Coo­kies dei­ne Web­site setzt, kannst du die­se Online-Tools verwenden:

Cookies von bekannten Drittanbietern: Wie gehe ich vor?

Auf unzäh­li­gen Web­sites wer­den mitt­ler­wei­le Ser­vices bekann­ter Dritt­an­bie­ter ein­ge­bun­den, wie z. B. Goog­le Ana­ly­tics, Goog­le Maps, You­Tube, But­tons von sozia­len Netz­wer­ken, VG Wort und eini­ge mehr. Fast alle Diens­te spei­chern per­so­nen­be­zo­ge­ne Daten ab.

Soll­te man die­se in sei­ne Web­site noch ein­bin­den, um sich daten­schutz­kon­form zu ver­hal­ten? Ich habe mich für die fol­gen­den Schrit­te ent­schie­den, ob die­se nun als abso­lut daten­schutz­kon­form sind, will ich nicht beur­tei­len. Ich hof­fe es allerdings. :-)

Social-Media-But­tons

Ich selbst bin­de auf mei­nen Web­sites die Tei­len-But­tons des Shariff-Wrap­per-Plugins ein. Hier auf Geld-online-Blog ist es noch nicht inte­griert, wird aber bald instal­liert. Das Plugin sen­det kei­ne Daten an die ein­zel­nen sozia­len Netz­wer­ke und setzt kei­ne Cookies.

Ande­re But­ton-Lösun­gen ver­wen­de ich nicht mehr.

VG Wort

Ich ver­wen­de Zähl­pi­xel von VG Wort. Die­se set­zen auch ein Coo­kie, doch nach den Anga­ben von VG Wort wer­den kei­ne per­so­nen­be­zo­ge­nen Daten erho­ben. Daher soll­ten die Zähl­pi­xel auch ohne Opt-In ein­ge­fügt wer­den kön­nen. In dem Pas­sus zur VG Wort in mei­ner Daten­schutz­er­klä­rung fin­det sich eine Opt-Out-Möglichkeit.