Cookie-Opt-ins werden Pflicht – Einwilligung für Social Plugins und Tracking unumgänglich!

Am 29. Juli 2019 war es soweit. Der Europäische Gerichtshof (EuGH) hat Cookie Opt-ins zur abmahnbaren Pflicht deklariert. Also ist nicht die Frage im Vordergrund, ob man überhaupt Cookie-Banner einsetzt, sondern wie man diese im Sinne der neuen Rechtssprechung einsetzt.

Wie kam es dazu?

Dem Urteil voraus ging eine Auseinandersetzung mit dem Onlinehändler Fashion ID, der auf seiner Webseite den Gefällt-mir-Button eingebunden hat. Sobald ein Nutzer die Webseite aufgerufen hat, hat man personenbezogene Daten dieses Besuchers direkt an Irland weitergeleitet. Den Besucher hat man weder gefragt noch davon in Kenntnis gesetzt. Daraufhin hat die Verbraucherzentrale Nordrhein-Westfalen Fashio ID wegen Unterlassung angeklagt. Nachdem die Verbraucherzentrale in Teilen gewonnen hat, ist Fashion ID in Berufung vor das Oberlandesgericht Düsseldorf, die dann den EuGH um Übernahme und Klärung bat.   

Shopbetreiber müssen genau prüfen, welche Plugins und Tools man eigentlich nutzt, und welche davon speichern oder übermitteln Nutzerdaten sogar an den Anbieter? Und schlimmstenfalls – profitieren Sie davon? Dann müssen Sie umgehend Maßnahmen ergreifen!

Sascha Kremer Fachanwalt für IT-Recht und Datenschutzbeauftragter der shopware AG 

Das Urteil im Einzelnen

Der Europäische Gerichtshof hat im Zuge der Urteilssprechung gleich mehrere Dinge festgelegt:

  • Datenschutzverletzungen können von Verbraucherschutzverbänden mit einer Klage geltend gemacht werden.
  • Wer z. B. ein Plugin von Facebook in seine Webseite integriert und davon wirtschaftliche Vorteile hat indem er personenbezogene Daten erhebt und die übermittelt, trägt mit dem Plugin Anbieter gemeinsam die Verantwortung „Joint Controllership“ gemäß Art. 26 DSGVO
  • Wenn Sie von einem Plugin Cookies auf dem Endgerät des Nutzers einbinden, müssen Sie hierfür die ausdrückliche Einwilligung Ihres Besuchers einholen (Opt-in). Aktuell ist momentan noch der § 15 Abs. 3 Telemediengesetz (TMG), dieser genügt aber nun nicht mehr. 
  • Diese Einwilligung muss direkt beim Aufruf der Webseite erfolgen, gleichzeitig erhält der Besucher die Datenschutzinformation gemäß Art. 13, 14, 21 DSGVO – und zwar zwingend! 
  • Als besondere Informationen gemäß Art. 26 Abs. 2 S. 2 DSGVO gelten die  in gemeinsamer Verantwortlichkeit erhobenen und übermittelnden Daten durch den Webseitenbesitzer an den Plugin-Anbieter.

Geht das Urteil über Facebook hinaus?

Diese Frage ist eindeutig mit Ja zu beantworten, auch wenn sich das Urteil direkt auf den Like-Button von Facebook bezieht, wenn dieser auf Ihrer Webseite eingebunden ist. Aber alle Plugins und Tools, die die gleichen Voraussetzungen bieten, sind in die gesetzlichen Vorgaben mit eingebunden. Beachten Sie, dass hier auch Apps dazuzählen, alle Plugins aus Social Media, ebenfalls Analyse-Tools oder Tools für Device-IDs oder generell Tools, die Informationen tracken. 

Erste Maßnahmen

Maßnahme 1: Sie müssen mit dem Anbieter des Plugins oder Tools eine Vereinbarung schließen, die die gemeinsame Verantwortung umfasst. Sollten Sie diese Vereinbarung nicht bekommen, ist die Nutzung datenschutzwidrig.

Maßnahme 2: Stellen Sie alle Informationen über eventuelle Tools und deren Datenschutzmaßnahmen sowie die gemeinsame Verantwortlichkeit Ihren Nutzern zur Verfügung. Und zwar vor dem Zugriff auf die Informationen von Ihren Nutzern! Fehlende Informationen bedeuten einen Datenschutzverstoß. 

Maßnahme 3: Vor der Aktivierung muss die Einwilligung Ihrer Nutzer eingeholt werden. die Vorgaben hierfür finden Sie unter Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO.

Maßnahme 4: Dokumentieren die den gesamten Prozess, die Vorgänge auf Seiten Ihrer IT. Eine Vorab-Einwilligung einzuholen ist nämlich nur möglich, wenn Sie hierfür ein Cookie-Overlay oder eine Landingpage vorausschalten, um mit der Verarbeitung der Daten zu beginnen. 

Für WordPress-Seiten stehen Ihnen zu diesem Zweck verschiedene Plugins, z. B. Borlabs Cookie, zur Verfügung. Alternativ ist auch für Social-Media-Plugins eine 2-Klick-Lösung möglich, bei der der Besucher erst mit der Aktivierung des jeweiligen Plugins einwilligt. Die Widerspruchslösung mit einem Opt-out ist nicht mehr ausreichend. 

Ignorieren Sie die Gesetzesänderung drohen Ihnen von der Datenschutzaufsicht das Untersagen bzw. eine Geldbuße. Auch Ihre Besucher selbst oder gerne auch Ihre Konkurrenz sind befugt rechtliche Schritte einzuleiten.

0 Kommentare

Dein Kommentar

Möchtest du mitdiskutieren?
Fühl dich frei, beizutragen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diesen Beitrag bewerten