Was gilt? Cookie Hinweis nach neuem EuGH Urteil vom 1.10. nicht genug – Cookie Opt In ist erforderlich

CookiesPhoto by Leighann Renee on Unsplash

Cookies?! Ohne sie geht das Internet kaum, aber dem Datenschützer sind sie ein Dorn im Auge. Darfst Du nach der DSGVO trotzdem noch Cookies verwenden? Erfahre hier, wie Du mit Cookie Hinweisen umgehen und Deinen Cookie Banner nach dem neuen EuGH Urteil vom 1.10.19 gestalten musst.

von Dr. jur. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

Inhalt

I. Cookies und DSGVO

Die DSGVO hat eigentlich an der Rechtslage für Cookies nichts geändert. Das ist genau der Rechtsbereich, der noch der neuen ePrivacy Richtlinie überlassen werden sollte. Diese ist aber noch nicht verabschiedet. Dennoch hat sich mit der DSGVO offenbar die Wahrnehmung der Juristen geändert. Plötzlich soll für alles und jedes ein Opt In erforderlich sein. 

Die DSGVO hat zu manchen Auswüchsen geführt, bei denen die DSGVO tatsächlich gar nicht galt. Bestes Beispiel sind die Wiener Klingelschilder, die plötzlich zu anonymisieren gewesen sein sollten, obwohl die DSGVO gar nicht anwendbar war. Dennoch fragt man sich manchmal, ob man nicht für die Restaurantbestellung bereits einen Opt In braucht. So ergeht es auch den Cookies, Rechtslage gleich, aber dennoch soll plötzlich ein Opt In erforderlich sein.

II. Was gilt denn jetzt für Cookies?

Nach einer bislang nicht in deutsches Recht umgesetzten europäischen Richtlinie (sog. Cookie-Richtline, ABl. 2009/136/EG vom 25.11.2009) sind Cookies weitgehend unzulässig, wenn der Nutzer nicht vorher in Ihre Verwendung eingewilligt hat (Ausnahmen bestehen für technisch erforderliche Cookies).

Obwohl die entsprechende Verpflichtung damit hier nicht gilt (bzw. allenfalls, wenn die Richtlinie direkt anwendbar wäre, was unter Juristen umstritten ist), sollte die Einwilligung eingeholt werden. Davon geht die herrschende Meinung in Deutschland inzwischen aus.

So oder so hat der EuGH nun mit Urteil vom 1.10.2019 diesem deutschen Sonderweg eine Absage erteilt. Für nicht notwendige Cookies ist danach ein Cookie Opt In erforderlich.

III. Cookie Hinweis, Cookie Opt Out oder Cookie Opt In?

Die Frage, ob Du einen bloßen Hinweis erteilen musst oder ein Opt Out oder gar ein Opt In anbieten musst, ist nicht der richtige Gegensatz. Die Frage ist, wie und mit welcher Bequemlichkeit ermögliche ich dem Nutzer, sich gegen Cookies zu entscheiden.

Einen Cookie Hinweis brauchst Du immer! Wenn Du gar nicht erst hinweist, kann sich der Nutzer schließlich gar nicht entscheiden. Die Frage ist nur, was schließt sich daran an.

1. theoretische Lösung: Problem des Kunden

Brauchst Du nur einen Cookie Hinweis setzen, ist es dem Nutzer überlassen, seinen Browser oder Drittsysteme so einzustellen, dass die Cookies bei ihm nicht gespeichert werden. Die bequemste Lösung für Dich als Websitebetreiber. Das ist eine Art der Einwilligung durch Unterlassen. Der Nutzer kann Cookies nur selbst sperren, für ihn wenig bequem und kaum praktikabel.

2. theoretische Lösung: Angebot eines Cookie Opt Out

Weitergehend könnte erforderlich sein, dass Du dem Nutzer mit dem  immer erforderlichen Cookie Hinweis auch ein Opt Out anbieten musst. Dann kann der Nutzer schnell und bequem entscheiden, ob und ggf. welche Arten von Cookies er zulassen will. Auch das ist eine Art Einwilligung durch Unterlassen, hier ist es dem Nutzer aber einfach möglich, den Cookies zu widersprechen.

3. theoretische Lösung: Erfordernis eines Opt In

Noch weiter geht ein Opt In. Ist das erforderlich, werden die Cookies nur dann gesetzt, wenn der Nutzer aktiv zugestimmt hat. Das ist die einzige Form mit einer echten aktiven Einwilligung des Nutzers.

IV. Welche Arten von Cookies gibt es?

Die datenschutzrechtlichen Anforderungen sind nicht zwingend für alle Cookies gleich. Vielmehr lassen sie sich danach unterscheiden, wie sehr der betroffene Cookie den Datenschutz gefährdet.

1. Notwendige Cookies?

Nach Auffassung der Art.-29-Datenschutzgruppe sind für die Funktion der Website notwendige Arten von Cookies ohne weiteres zulässig:

  • Login-Session-Cookies,
  • Warenkorb Cookies,
  • Sicherheits-Cookies, z. B. zur Erkennung von Nutzern, die sich bereits angemeldet haben.

2. Komfort- und Statistik-Cookies

Dann gibt es noch Cookies, die den Komfort der Website erhöhen. Ein Beispiel wären etwa Cookies, die die Anzeige personalisieren, z.B. für eine Wiedererkennung einer Anmeldung sorgen. Weitere Cookies dienen primär statistischen Auswertungen. Grenzfälle zur dritten Gruppe sind sicher auch rein interne Analysetools wie etwa ein intern gehostetes Matomo.

Diese sind nicht ohne weiteres erlaubt, aber müssen auch nicht den schärfsten Anforderungen unterliegen. Je weniger Daten erfasst und vor allem an Dritte versendet werden, desto geringer können die Einschränkungen sein. 

Für solche Cookies sollte ein Cookie Opt Out ausreichen. Hier weist Du auf die Verwendung der Cookies hin, verweist aber nicht nur auf die Datenschutzerklärung, sondern ermöglichst dem Nutzer auch, das Setzen dieser Cookies abzuwählen. In diesem Fall sollte es in der Datenschutzerklärung möglich sein, die Einstellungen nochmals aufzurufen und anzupassen. Der Nutzer muss etwa auch später noch den Opt Out erklären können. 

Aber, hier bleibt ein gewisses Restrisiko. Ganz strenge Auffassungen können hier bereits weitergehende Maßnahmen fordern. Sicherer ist, auch diese Cookies einem Opt In zu unterwerfen. 

3. Werbe- und Tracking Cookies?

Besonders relevant für den Datenschutz – oder eben dessen Fehlen – sind Cookies, die zur Analyse des Nutzerverhaltens und zu Werbezwecken verwendet werden. Diese erfassen besonders viele Informationen über den Nutzer, verfolgen ihn ggf. über verschiedene Websites hinweg, u. U. sogar geräteübergreifend. Beispiele sind:

  • Tracking-Cookies sozialer Plugins,
  • Third-Party-Cookies zu Werbezwecken,
  • First-Party-Analyse-Cookies.

Für diese Art von Cookies dürfte – insbesondere nach der, nach der Erstveröffentlichung dieses Beitrages erschienenen, Entscheidung des EuGH vom 29.7.2019 – ein Cookie Opt In jedenfalls deutlich eher erforderlich sein. 

Mit der Entscheidung ist das Erfordernis eines Opt In nochmal größer geworden. Näher dazu hier

V. Wie muss ich den Cookie Hinweis erteilen?

In dem Hinweis musst Du auf die von Dir verwendeten Cookies hinweisen.  Das kann durch Verweis auf Deine Datenschutzerklärung erfolgen. In dieser ist dann allgemein über Cookies aufzuklären und speziell anzugeben, welche Cookies bzw. welche Tools, die personenbezogene Daten an Dritte übertragen, verwendet werden.

Die Einwilligung des Nutzers (ob durch Unterlassen oder aktive Zustimmung) setzt also immer voraus, dass er klar und umfassend über die Cookies informiert wurde. Damit muss der Nutzer

  • über die in dem Cookie gespeicherte Informationen,
  • den Zweck der Speicherung,
  • die Speicherdauer,
  • die datenverarbeitende Stelle (Verantwortlicher) und
  • sein Widerrufsrecht

informiert werden.

Das gilt entsprechend für alle anderen Tracking-Tools, die das Nutzerverhalten erfassen, wie Zählpixel oder Browser Fingerprints. Für diese gelten die gleichen Anforderungen an den Hinweis (und Opt In bzw. Opt Out).

Eindeutig ausreichend ist ein solcher Cookie Hinweis allein aber nur, wenn Du nur notwendige Cookies verwendest. Verwendest Du nur solche Cookies, reicht der vor der DSGVO praktizierte Cookie Hinweis. Du weist auf die Verwendung der Cookies hin und verlinkst auf Deine Datenschutzerklärung, in der die Cookies beschrieben sind.

VI. Muss ich nach dem EuGH Urteil ein Cookie Opt In haben?

Lange war unklar, was sich an den Cookie Hinweis anschließen muss. Muss der Nutzer durch

  • Opt-In
  • durch Nicht-Betätigung eines Opt-Out oder
  • durch Nicht-Verhinderung von Cookies durch allgemeine Browsereinstellung

einwilligen? Das deutsche Recht spricht für die zweite Option. § 15 Abs. 3 TMG geht davon aus, dass die Einwilligung durch fehlenden Widerspruch des Nutzers erteilt wird. Die Privacy Richtlinie der EU spricht aber von einer ausdrücklichen Einwilligung, was der ersten Option entspräche. Erwägungsgrund Nr. 66 zu der Richtlinie (die aber nicht verbindlich ist), lässt für die Einwilligung aber ausreichen, dass der Nutzer die Setzung von Cookies in seinem Browser nicht verhindert. Die Rechtslage war daher unklar.

Mit dem neuen EuGH Urteil ist sie aber geklärt. Cookie Opt In ist erforderlich.

1. Was sagt der EuGH bereits im Urteil vom 29.07.2019?

Der EuGH hat in seinem ganz neuen Urteil zu Like Buttons geprüft, ob der Nutzer vor der Übertragung seiner Daten an Dritte in die Übertragung seiner Daten einwilligen muss. Der EuGH verweist für die Verpflichtung zur Einwilligung in Rn. 88f. nur lapidar auf die Cookie Richtlinie

Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

EuGH, Urteil vom 29.07.2019

Danach ist immer eine vorherige Einwilligung des Nutzers in die Weitergabe seiner Daten erforderlich. Daraus ist verbreitet gefolgert worden, dass ab jetzt immer ein Cookie Opt In erforderlich ist. Andere verwiesen aber darauf, dass die Cookie Richtlinie nicht unmittelbar geltendes Recht ist.

2. Was sagt der EuGH im ganz neuen Urteil vom 1.10.2019?

Kurze Zeit später hat der EuGH endgültig entschieden, dass Du andere als notwendige Cookies nur noch setzen darfst, wenn der Nutzer zugestimmt hat. Damit ist ein Cookie Opt In Pflicht.

 

VII. Welche Cookies das betrifft

Das Urteil geht weiter, als bisher auch in diesem Beitrag von mir dargestellt. Grundsätzlich hatte sich die Opt In Lösung abgezeichnet, aber ich hatte sie nicht derart rigide erwartet. Der EuGH hätte durchaus nach der Eingriffsstärke der Cookies entscheiden können – hat er aber nicht. Cookie Opt In ist danach für alle nicht notwendigen Cookies Pflicht. 

Leider gibt es keine feststehende Definition, wann ein Cookie notwendig ist. Wie zu Frage IV. 1. bereits ausgeführt, dürfte das aber für 

  • Login-Session-Cookies,
  • Warenkorb Cookies,
  • Sicherheits-Cookies, z. B. zur Erkennung von Nutzern, die sich bereits angemeldet haben

gelten. 

Ganz geklärt ist die Frage nicht, was notwendige Cookies sind und was nicht. Aber der EuGH ist hier recht rigide. Zum Beispiel unterscheidet er nicht nur nicht nach der Eingriffsstärke des Cookies (also wie viele Daten damit an wie viele Personen gehen), sondern es kommt nicht einmal darauf an, ob das Cookie überhaupt personenbezogene Daten verarbeitet.  

Ich bin hier in den Kommentaren und weiteren Orten etwa gefragt worden, ob Matomo Cookies zulässig sind, wenn intern gehostet, wenn bei Matomo die IP anonymisiert wird. Und die Antwort ist, auch darauf kommt es nicht an, sondern darauf, ob die Website auch ohne den Cookie einwandfrei funktioniert. Da das wohl zu bejahen ist, sind auch pseudonyme Analysetools nicht zulässig ohne Opt In. 

VIII. Cookie Opt Out gibt es damit nicht mehr

Damit ist auch der bisherige Zwischenweg eines Cookie Opt Out nicht mehr zulässig. Es reicht also nicht

  • einen Opt Out anzubieten und
  • Vorkehrungen zu treffen, dass bei Widerspruch des Nutzers eine Speicherung von nicht technisch notwendigen Cookies unterbleibt.

Es gibt nur noch Cookie Hinweis (wenn nur notwendige Cookies gesetzt werden) und Cookie Opt In. Cookie Opt Out gibt es als Lösung nicht mehr und wird aus unserem Datenschutz-Generator jetzt entfernt. 

IX. Probleme des Cookie Opt In

Ist damit ein Cookie Opt In erforderlich, bleibt die Frage nach der Conversion Rate solcher Hinweise. Einige meinen/hoffen, dass die Rate besser wird, wenn der Nutzer auf jeder Seite zustimmen muss.

Jedenfalls muss ich davon abraten, Cookies ohne Opt In zu setzen. Ich gehe auch davon aus, dass das Thema Cookies kurzfristig einiges an Fahrt aufnehmen wird. Damit kommt es oft auch zu mehr Abmahnungen und Bußgeldern.

X. Wie muss ich auf das Cookie Opt In hinweisen?

Mit der Entscheidung für ein Cookie Opt In allein ist es aber nicht getan. Es muss dann weiter die Frage geklärt werden, wie das Cookie Opt In angeboten werden muss. Nach der Auffassung der Datenschutzbehörden muss jede mögliche Erleichterung des Opt In ausgeschlossen werden. In der strengsten Auffassung ist es erforderlich, dass

  • die Cookies vor der Bestätigung nicht geladen werden
  • das Betreten der Website nicht von der Zustimmung abhängt (also darf bei fehlender Zustimmung nicht versagt werden)
  • der Nutzer aufgeklärt werden muss, welche Cookies verwendet werden
  • der Nutzer jeder Art von Cookies außer den notwendigen zustimmt 
  • die Cookie Arten nicht voreingestellt sein dürfen.

Nutzer, die willentlich 3 Cookie Arten anhaken und dann noch die Zustimmung erteilen, dürften aber fast genau so selten sein wie Einhörner. 

Von daher bleibt Dir fast nichts anderes, als ein gewisses Restrisiko einzugehen, wenn Du nicht gleich auf Cookies verzichten willst. Das Bußgeldrisiko sollte aber überschaubar bleiben, wenn Du im Sinne dieser Ausführungen Dich den Anforderungen so weit wie möglich annäherst. 

Eine genaue Anleitung mit Mustergestaltungen und -texten, die Ihr verwenden könnt, erhaltet Ihr bei easyRechtssicher. In unserem Komplett-Schutz sind eben nicht nur Generatoren und automatisierte Plugins, sondern auch viele Muster und Anleitungen enthalten. 

XI. Muss ich die Cookie Einwilligung nachweisen?

An sich muss eine Einwilligung für den Abmahnfall von dem Website Betreiber nachgewiesen werden (wie etwa beim double Opt In für den Newsletter). Wer einen Opt In verwendet, braucht aber keinen Nachweis, da ohne Einwilligung die Cookies gar nicht geladen werden. Wer ein Opt Out verwendet, muss aber dokumentieren und durch Zeugen (etwa den Webdesigner) beweisen können, dass der entsprechende Code für Hinweis und Opt Out installiert war.

XII. Was passiert, wenn der Nutzer nicht einwilligt?

Willigt der Nutzer in das Cookie Opt In nicht ein, muss auf der Website technisch sicher gestellt werden, dass keine technisch nicht notwendigen Cookies bei dem Nutzer gespeichert werden.

1. Keine Cookies laden

Dies kann durch eine Funktion geschehen, die das Speichern der Werbe- und Analyse Cookies in dem Browser dieses Nutzers unterbindet (nach Art. 5 Abs. 3 Satz 2 der Datenschutz-Richtlinie v. 20.07.2002, Nr. 2002/58/EG, steht es “einer technischen Speicherung und einem Zugang – zur Website, der Verf. – nicht entgegen, wenn” es sich um technisch notwendige Cookies handelt.; diese Formulierung lässt nur den Schluss zu, dass die Website dafür verantwortlich ist, dass bei Widerspruch des Nutzers die Website Speicherung und Zugang regeln muss und dies nicht dem Nutzer überlassen werden darf).

2. Achtung, nicht Weitersurfen verhindern!

Nach Ansicht niederländischer Datenschutzbehörden darfst Du dem Nutzer aber nicht das weitersurfen auf der Website untersagen, wenn er nicht in die Cookies einwilligt. Nach deren Ansicht zwingst Du damit den Nutzer praktisch, die Cookies zu akzeptieren.

Darüber kann man zumindest bei sehr marktstarken Websites von Großunternehmen nach denken. Es kann kaum sein, das etwa jemand nicht mehr Bahn fahren kann, wenn er die Cookies der DB nicht akzeptiert. Bei kleineren Websites wird man aber kaum von einem Zwang ausgehen können. Dennoch solltest Du nicht die Option nutzen, den Zugang zu der Website zu verweigern, wenn der Nutzer keine Cookies akzeptiert.

XIII. Kein verdeckender Hinweis

Hinweise auf Cookies sieht man inzwischen auf vielen Startseiten. Oft verdecken sie aber wesentliche Menüs wie etwa zu Impressum oder AGB. Das kann dann wiederum zu einer Abmahnung oder sonstigen Rechtsnachteilen führen, weil dann diese Elemente nicht rechtskonform verwendet werden.

XIV. Datenschutzerklärung

Für welche Lösung auch immer Du Dich entscheidest, wichtig ist auch, dass die Datenschutzerklärung die von Dir gewählten Einstellungen abbildet. Diese kannst Du mit unserem Datenschutz-Generator und unseren Datenschutz-Plugins für WordPress, Joomla und andere CMS-Systeme schnell und automatisiert umsetzen.

  Zum Komplett-Schutz 

XV. Ergebnis

Obwohl die DSGVO auf Cookies einheitlich nicht anwendbar ist, hat sie die Rechtslage für Cookies wohl verändert. Ein Hinweis auf Cookies mit link zur Datenschutzerklärung und einer Erläuterung, wie man sie abstellt, ist jedenfalls das absolute Minimum.

Das reicht aber nur aus, wenn Du nur technisch notwendige Cookies verwendest und insbesondere kein Tracking installiert hast. Nutzt Du jedoch auch nicht notwendige Cookies, ist ein Opt In Pflicht. Das lässt sich z.B. mit dem Borlabs Cookie Plugin* umsetzen. Hilfe für die Anpassung und Einbindung Deines Cookie Opt Ins findest Du etwa hier.

Nach Ansicht der Datenschutzkonferenz muss für das Opt In eine explizite Einwilligung für jede Cookie-Art eingeholt werden. Damit dürfte eine Einwilligung aber selten werden.

Zwar entscheidet die Datenschutzkonferenz nicht verbindlich über die Rechtslage, sondern am Ende die Gerichte, doch ist die Gefahr einer solchen Gerichtsentscheidung durch die Meinung der Datenschutzkonferenz sicher nicht kleiner geworden. Wie gestaltest Du Deinen Cookie Banner nach dem EuGH Urteil? Schreibe mir gern in den Kommentaren oder werde Mitglied bei easyRechtssicher und profitiere von unseren Lösungen für Deine rechtssichere Website. 

Mehr über die DSGVO erfährst du hier.



Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

18 Kommentare

  1. Charlott B.

    Charlott B. – Wiederholung wegen falscher @-Adresse … Sorry …
    2. Juli 2019

    Komme ich ohne Cookie-Hinweis aus?
    Meine (kommende) vollkommen private Website beherbergt in ihrem Inhalt allen Ernstes nichts, was als Cookie-nutzend (oder -setzend) angesehen werden kann. Sie ist im Vorlauf auch anwaltlich als nicht impressumspflichtig eingestuft worden. Inwieweit ich dem nachkomme, weiß ich noch nicht.
    Der Webseitendesigner hat mir (auch im Bezug auf die SEO-Nutzung) schriftlich versichert, keine entsprechenden Tools, die als Cookies zum Erkennen, Behandeln, Verfolgen oder Speichern und Weitergeben irgendwelcher Besucherdaten betrachtet werden können, eingesetzt zu haben.
    Lediglich der Provider bestätigte den Einsatz der … „Server-Files“ (hab den Namen vergessen), die nach 7 Tagen gelöscht werden (Sessions-Cookies wohl?). Beide Texte stehen bereits im „Datenschutz“.
    Die Frage steht oben schon, oder (auch im Hinblick DSGVO) anders gestellt:
    Wäre folgender Text in einem Cookie-Hinweis rechtlich falsch und somit ungültig:
    „Unsere Website setzt in Ihrem Gerät keinerlei Tools, Cookies, techn. Vorrichtungen, um es wieder zu erkennen oder um Sie irgendwo/-wie zuzuordnen.“

    Dankeschön

    Charlott

    • ronald kandelhard

      Hallo Charlott, da kann ich mich kurz fassen: Nein, keine Cookies, keine Hinweise 🙂

      Aber der Text wäre dann nicht „keine“, sondern nur die notwendigen Cookies (zB eben die
      Session Cookies), die sind aber erlaubt und sind ja auch bereits erwähnt, wie Du geschrieben hast.
      Ansonsten findest Du passende Texte natürlich auch mit unserem Komplett-Schutz: https://easyrechtssicher.de/datenschutz-generator/
      Viel Erfolg mit Deiner Website.

  2. Pingback: DSGVO: Website als Unternehmen richtig betreiben - easyRechtssicher

  3. Pingback: 29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich - easyRechtssicher

  4. Der Kunde blockt Werbecookies und dann, sollen alle Webseiten aussterben? Der Kunde muss um die Seite zu besuchen cookies entweder Zustimmen oder ablehnen, wenn er die Cookies ablehnt kann er ja auf anderen Seiten seine Informationen suchen, mir egal wie da geurteilt wird. Ich habe nicht umsonst auch eine paywall für Kunden mit Adblockern. Das heißt wer keine Werbung sehen will, sieht den Content nicht, mein Hausrecht!

    • Dr. Ronald Kandelhard

      Na ja, juristisch nicht ganz astrein, aber so oder so droht jedenfalls ein Cookie Hinweis zur Formalie zu werden, er kommt immer, jeder drückt ja, wie man eine lästige Fliege beiseite wischt, der Datenschutz gewinnt dann auch nicht.

  5. Du schreibst unter Punkt IV/3, dass für die Tracking-Cookies sozialer Medien, ein OptIn erforderlich ist.
    Nachdem ich ja auch für das Verhalten von FB zuständig bin, wenn ich dort eine Fanpage betreibe, (was eine gesonderte Datenschutzerklärung zur Folge hat) stellt sich mir folgende Frage:
    FB hat kein OptIn für die Cookies auf FB. Bin ich dann auch dafür verantwortlich und damit abmahnbar?
    Markus

    • Dr. Ronald Kandelhard

      Hallo Markus, ganz streng genommen bist Du immer abmahnbar, wenn Du auf FB bist, weil FB keinen
      wirksamen Vertrag für die gemeinsame Verantwortung hat. Aber nach dem neuesten EuGH Urteil zum Like Button vom 29.07.19
      bist Du nur für die Datenverarbeitung Deiner Daten dort mit FB verantwortlich, nicht für das, was FB später damit macht oder wie FB insgesamt die Plattform handhabt. Daher würde ich zu „Nein“ tendieren, gesichert ist das aber nicht.

  6. Hallo Roland,
    wie verhält es sich mit dem VG Wort Pixel? Dieser zählt ja „nur“ die Seitenbesuche. Was würdest du empfehlen?

    • Dr. Ronald Kandelhard

      Ist sicher ein Grenzfall, Du kannst Deine gesetzliche Vergütung ohne nicht bekommen, von daher kann man sicher argumentieren, der ist notwendig, sollte also zulässig sein. Das ist aber ungesichert.

  7. Und jetzt kommt man zur technischen Umsetzung dessen. Besonders die Kunden, die ihre Webseiten weitestgehend selber pflegen, stehen hier mal wieder vor einem großen Problem. Aber auch kleine und mittlere Freelancer oder Agenturen. „Automatische“ Plugins, die sich die Cookies selber raus ziehen und diese in den OPT-IN mit einsetzen (blockieren gibt es – aber alle nur gegen ordentlich Bares.) Aber auch diese Einrichtung ist nicht kinderleicht. Ich darf meinen kleinen Kunden nun erklären, dass sie wieder einmal zur Kasse gebeten werden – und das nur, weil ein YouTube Video laufen soll oder irgendein Plugin vielleicht irgendwo ein Cookie setzt. Haben deshalb auf fast allen Seiten bereits Kontaktformulare, Social Media und Statistiktool einfach entfernt, weil es schlicht einfacher und risikoärmer ist. SCHADE!!

    Wer also ein kostenfreies Tool/Plugin kennt, dass die Cookies automatisch heraus findet und im Backend ein Hinweis rechtsfonform im Frontent generiert (also die Cookies tatsächlich blockiert bis die Zustimmung erfolgt) bitte her damit!

  8. Felix Kausmann

    Hallo Ronald,

    Anbieter wie usercentrics, Cookiebot, iubenda, Quantcast, TrustArc & Co. bieten professionelle Lösungen für Cookie Banner an, laden dieses aber über ein JavaScript extern von deren Server. Ist das rechtlich okay?

    Eigtl. werden doch bei der Einbindung externer Services immer mindestens auch die IP-Adressen, also personenbezogene Daten übermittelt. Zumindestens gilt diese Argumentation ja für die externe Einbindung von Google Fonts oder YouTube Videos.

    Sind deshalb auch von extern geladene Cookie Banner illegal oder reicht hier der Abschluss eines AVV?

    • Dr. Ronald Kandelhard

      AVV plus Erwähnung in der DSE… eigentlich widerspricht das aber dem Opt In, weil das tool ja dann doch vor dem Opt In sendet. Aber da laut EuGH Opt In notwendig ist, sind das vielleicht notwendige Cookies, für die Opt In eben nicht gilt.

  9. Andreas Berger

    Im Zuge diverser Kunden-Webseiten beschäftige ich mich mit den Folgen und Auswirkungen des EuGH Urteils (vom 1.10.19) ebenfalls intensiv und akribisch.
    Einige unserer Agenturkunden haben bereits externe Datenschutzbeauftrage. Die Mehrzahl dieser Fachleute halten dazu an: a) Opt-in Cookie Banner SOFORT zu implementieren; b) Datenschutzerklärungen SOFORT anzupassen; c) auf third-party Tools, Plugins & Co – welche vor allem Tracking-Zwecken dienen, vorerst (gänzlich) zu verzichten; d) die vorhandenen AV-Verträge zu listen und wirklich genau zu prüfen; e) falls die Möglichkeit besteht, Berufs- und/oder Betriebshaftpflichtversicherungen abzuschließen oder (nach Möglichkeit) hochzurüsten, die (dann) auch bei DSGVO-Verstößen eintreten.
    Um ehrlich zu sein wundert mich, dass in der Agenturwelt zwar ein verstärktest „EuGH / DSGVO Grundrauschen“ zu spüren ist. Eine echte Mobilisierung bleibt momentan aber noch aus, wie ich meine.
    Vielleicht wissen viele noch nicht (oder ignorieren es), dass sie als Dienstleister (z. B. Webdesign, Programmierung, etc.) genauso in Verantwortung stehen bzw. haftbar gemacht werden können, wie ihre Kunden / die Webseiten-Betreiber selbst.
    Dennoch gestaltet sich die Umsetzung der Opt-in Thematik in vielen Fällen leider nicht so einfach, wie der eine oder andere glaubt bzw. sich erhofft.
    Oben sind bereits einige Tools genannt worden, die „es könn(t)en“. Analysiert man nach deren Integration in eine Webseite die Funktionen (über rechte Maustaste: Untersuchen > Applikationen > Cookies), stellt man manchmal fest: oh, bei dem einer Webseite funktioniert es wirklich astrein. Bei einer anderen hingegen nicht.
    Jedenfalls Roland, bist du ebenfalls der Auffassung, man sollte das Opt-in Verfahren als in Deutschland ansässiger, gewerblicher Dienstleister (der ja auch dem Eu-Recht unterliegt) sofort umsetzen?

    • Dr. Ronald Kandelhard

      Ja, wenn man nicht auf nur notwendige Cookies runter kommt, sollte man Opt In nutzen.

      Und – GANZ WICHTIG – sollte man als Dienstleister sehr genau darauf hinweisen, weil man sich sonst haftbar macht!
      Der Kunde kann dann selbst entscheiden, ob und was er macht. Aber ohne Hinweis kann er immer sagen, hätte sie (die Agentur)
      doch was gesagt, dann hätte ich es umgesetzt, auch wenn es 2.000 Euro gekostet hätte. Dann lieber anbieten es zu machen, wenn
      der Kunde dann ablehnt, ist man aus der Haftung raus.

      So würde ich es jedenfalls bei allen Kunden machen, mit denen ich einen Wartungsvertrag habe.

  10. Andreas Berger

    Nachtrag zu meinem ersten Kommentar.

    Noch „abenteuerlicher“ wird es, wenn Sparfüchse kommen und von einem Marketing- / Werbedienstleister oder einer Agentur abverlangen:
    Ich brauche zwar eine eigene Webseite aber macht das doch bitte „quick and dirty“ mit einer Google Business Site.
    Das „Ding“ zu bauen / eher „zu bestücken“ geht sicherlich rasend schnell.
    Dort dann ein Impressum und eine DSGVO-konforme Datenschutzerklärung einzubauen – hmm, geht sicherlich auch noch (über Texteingabe).
    Tricky wird es dann aber beim „Kontaktformular“, denn da müsste ja eigentlich ein Opt-in Feld zur Bestätigung der Datenschutzerklärung und zur Freigabe der Datenverarbeitung (übermittelte Daten) rein.
    Wie das genau geht … ist irgendwie noch offen.

    Witzige Geschichte: Schreibt mir jemand diesbezüglich … „wieso brauche ich bei so einer Webseite (google business.site) überhaupt ein Impressum und eine Datenschutzerklärung?! Dachte, das läuft über google und über US Server. Die unterliegen doch gar nicht unserer DSGVO? …
    Roland, was hättest du darauf geantwortet (als Jurist)?
    Ich war so frei – als Nicht-Jurist – und habe eine Juristin darauf antworten lassen.

    • Dr. Ronald Kandelhard

      Die nette Antwort wäre gewesen, darauf zu verweisen, dass es auf den Betreiber der Website ankommt und nicht darauf, wo sie gehostet ist. Dazu gibt es hier auch einen ausführlichen Blogpost ;).

      Bei dem Problem mit Datenschutzerklärung und Impressum bin ich immer dafür, den Leuten klar zu machen, dass Sie das brauchen und Ihnen eine Option zu nennen, die etwas kostet (weil Du sonst als Agentur mit der Haftung allein dastehst). Die einfachste Variante ist, die Kunden mit deutlichen Worten an uns zu verweisen. Dann buchen sie oder buchen nicht, aber so oder so bist Du als Agentur aus der Haftung.

      Wenn jemand alles nur billig will, ist er so oder so kein guter Kunde, für niemanden. Wer nicht einsieht, dass Leistung auch kostet, soll halt selber basteln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.