Um was geht es?
Bisher konnte man in Deutschland davon ausgehen, das Cookies auf Webseiten auf der Grundlage des §15 Abs. 3TMG gesetzt werden dürfen. Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]
Im Herbst 2019 hat der EuGH (EuGH, 1.10.2019 – C-673/17 “planet49”) bereits entschieden, das eine aktive Opt-In Pflicht für nicht notwendige Cookies besteht. Nun liegt per 28.05.2020 auch eine höchstrichterliche BGH Entscheidung (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II) vor, die die Meinung des EuGH auf nationaler untermauert. „Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.“
Was also als „notwendig“ und nicht notwendig“ erachtet wird müssen zukünftig die Gerichte entscheiden. Zudem bleibt noch die Hoffnung auf die e-privacy Verordnung, die hierzu ggf. auch noch korrigierend wirken kann.
Bisher existiert keine konkrete und eindeutige Reglung, was notwendige Cookies sind. Diese Frage wird sich in naher Zukunft durch gerichtliche Entscheidungen herausbilden müssen. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.
Nach einhelliger Meinung von Datenschutzexperten gelten die folgenden Cookies als notwendig:
Sämtliche anderen Cookies, die nicht den beschriebenen Leistungen dienen, sind somit nicht unbedingt erforderlich.
Wie bereits erwähnt gibt es derzeit keine eindeutige Entscheidung hierzu. Jedoch kann davon ausgegangen werden, das jegliche Analyse- Tracking-, Marketing-, Profiling-, Reichweiten Cookies als nicht notwendig für den Betrieb und die Darstellung einer Webseite zu erachten sind.
Präferenz-Cookies (auch Komfort-Cookies) ermöglichen einer Webseite sich an Informationen zu erinnern, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht, wie z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden.
Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.
Marketing-Cookies werden verwendet, um Besuchern auf Webseiten zu folgen. Die Absicht ist, Anzeigen zu zeigen, die relevant und ansprechend für den einzelnen Benutzer sind und daher wertvoller für Publisher und werbetreibende Drittparteien sind.
Je nach individueller Lage ist es notwendig eine eigene Argumentationskette für das Setzen bestimmter Cookies aufzubauen.
Matomo hat den Vorteil, dass die Daten auf dem eigenen Server verarbeitet werden. Allerdings werden hierbei entweder Cookies oder Geräte-Fingerprints, die rechtlich gleich betrachtet werden, eingesetzt. Matomo (ehemals Piwik) ist heutzutage für Webseiten- Analyse als erforderlich anzusehen, sofern das Tool nicht für Marktforschung und Absatzförderung eingesetzt wird. Auf Grund der derzeitigen Lage wird die Einholung von „Cookie Opt-Ins“ empfohlen, es sei denn man baut eine klare und eindeutige Argumentationskette, warum der Einsatz von Matomo essentiell für den Betrieb der Seite wichtig ist.
Bei Google Analytics kommt es zunächst auf die Einstellungen an.
Wenn Sie Universal Analytics nutzen, Analytics Audiences bilden oder eine Verknüpfung mit Ihrem Google Werbekonto besteht, dann ist die Nutzung von Google Analytics auf jeden Fall nicht notwendig.
Somit besteht Opt-In Pflicht.
Wenn Sie dagegen Google die Daten nur für Sie verarbeiten lassen (und diese Trennung tatsächlich erfolgt), dann wäre Google Analytics wie Matomo zu betrachten. Zwar ist es ein externer Anbieter, der jedoch mit Abschluss eines Auftragsverarbeitungsvertrages zusagt, die Besucherdaten so zu behandeln, als ob Sie die Verarbeitung selbst durchführen würden.
Datenschutzbehörden werden dies, erfahrungsgemäß anders sehen. Letztendlich hilft hier nur wieder ein Opt-In oder eine ausgefeilte Argumentationskette.
Da Facebook die Daten der Websitebesucher auch für eigene Werbezwecke nutzt und Nutzerprofile für Werbe- und Marketingzwecke bildet, scheidet eine Notwendigkeit aus und ein Opt-In ist unbedingt erforderlich.
Wie Sie sehen ist gerade der gesamte Webanalysebereich im Umbruch.
Es bleibt also abzuwarten, ob und wann sich die Verbraucherschutzzentralen ein „erstes Opfer“ raussuchen und es zu einer gerichtlichen Entscheidung kommt.
Wie immer im Datenschutz zählt die Dokumentation. Wenn also nachweisbar ist, dass man sich vorher explizit Gedanken zu dem Thema gemacht hat und im Rahmen einer risikobasierten Nutzenabwägung zu einer Entscheidung gekommen ist, die besagt das man GA-Analytics einsetzen kann, dann hat man gute Karten. Andernfalls sollte man lieber vorsorglich für dokumentierte Opt- In´s sorgen.
Da die Einwilligung vor Besuch der Seite eingeholt werden muss, ist es nicht mehr ausreichend, dies in der Datenschutzerklärung zu tun. Vor Besuch heißt:
Niemand wird ernsthaft in Erwägung ziehen, dass Nutzer hier noch eine Auswahl treffen. Jedoch besteht die Möglichkeit hierzu und darum geht es. Eine Gruppeneinwilligung ist möglich, es muss also nicht jeder einzelne Cookie akzeptiert werden.
Alle Cookies akzeptieren funktioniert nur, wenn nur die notwendigen/ essentiellen Cookies vorbelegt sind und die nicht notwendigen Cookies manuelle hinzugefügt werden können.
Die Schaltflächen für „Ablehnen“ und „Akzeptieren“ sollten immer gleich groß sein.
Wenn auf Ihrer Webseite „fremde Inhalte“ angeboten werden, muss für deren Darstellung oder Weiterleitung ebenfalls eine Einwilligung vorliegen. Hierbei reicht es jedoch vor der Weiterleitung/ Darstellung die Einwilligung einzuholen. Ebenso ist es zulässig eine Gruppeneinwilligung einzuholen.
Beispiel: Text für die Datenschutzerklärung:
Dieses Video ist im erweiterten Datenschutzmodus von Youtube eingebunden, der das Setzen von Youtube-Cookies solange blockiert, bis ein aktiver Klick auf die Wiedergabe erfolgt. Mit Klick auf den Wiedergabe-Button erteilen Sie Ihre Einwilligung darin, dass Youtube auf dem von Ihnen verwendeten Endgerät Cookies setzt, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketingzwecken dienen können. Näheres zur Cookie-Verwendung durch Youtube finden Sie in der Cookie-Policy von Google unter https://policies.google.com/technologies/types?hl=de.
Unbedingt!
Denn neben der Verpflichtung zur Einholung von Einwilligungen, gibt es noch die Informationspflicht.
Die Datenschutzerklärung soll zum Einsatz verwendeter Technologien und Prozessen und Verarbeitern informieren und zudem die Wahrung von Betroffenenrechten ermöglichen (Recht auf Auskunft, Löschung, etc.). Zudem ist die Erklärung von Begrifflichkeiten (z.B. Remarketing, Tracking, etc.) erforderlich.
Ja, dem Nutzer muss jederzeit die Möglichkeit eröffnet werden, seine Meinung zu ändern und die entsprechenden Einstellungen anzupassen. Hierbei reicht es „Opt outs“ anzubieten. Dies kann auf zwei Arten erfolgen:
Bereits seit April 2016 wird über die e-Privacy-Verordnung diskutiert und man ist noch nicht zu einem verbindlichen Ergebnis gekommen. Im Januar 2017 hatte die EU-Kommission einen ersten Entwurf veröffentlicht.
Ursprünglich war geplant, dass e-Privacy und die DSGVO gleichzeitig in Kraft treten sollen. Von diesem Vorhaben hat man sich längst verabschiedet. Die EU-Mitgliedstaaten können sich seit Jahren nicht auf eine gemeinsame Linie einigen und haben zuletzt im November 2019 einen Kompromissvorschlag abgelehnt.
Es bleibt somit zu hoffen, dass sich die Gesetzgebung in naher Zukunft auf eine praktikable Lösung zum Einsatz von Cookies & Co. verständigt.
Schließlich fühlen sich mittlerweile 2/3 der Webseitennutzer von den Einwilligungsbannern „genervt“. 61% der Nutzer plädieren für eine zentrale Einwilligung.
Quelle: https://www.report-k.de/Wirtschaftsnachrichten/Digitalisierung/Mehrheit-von-Cookie-Hinweisen-genervt-130770 abgerufen 31.05.2020
Fakt ist, das sich Webseitenbetreiber ab sofort auf extrem unsicherem Terrain bewegen, wenn Sie die Einwilligungen für das Setzen von Cookies nicht nachweisen können. Insbesondere die Abmahnung durch Verbraucherschutzverbände halte ich in Zukunft für relevant. Webseiten bieten quasi ein Einfallstor, nicht nur für Hacker, sondern auch Abmahnungen, weil diese jederzeit öffentlich verfügbar sind und mittlerweile automatisiert ausgewertet werden können.
Nächste Schritte:
Cookiebot (DK) bietet eine CMS- unabhängige Lösung, die über Java-Script eingebunden wird. Zudem ist diese Lösung für eine Domain (bis 500 Seiten) kostenlos.
Borlabs (D) funktioniert nur für WordPress CMS.
Usercentrics CMP (D) eignet sich für „große“ Webprojekte, mit mehreren Seiten. Das Skript lässt sich direkt im Header, oder über den google Tag Manager einbinden.
Es bleibt spannend an der Webfront. Mit den EuGH- und BGH Entscheidungen ist die Richtung vorgegeben. Was fehlt ist die lang angekündigte e-privacy Verordnung, die bestenfalls etwas Abhilfe schaffen wird. Derzeit bleibt nur, sich den Gegebenheiten anzupassen und für dokumentierte Opt-Ins zu sorgen.
Es ist davon auszugehen, dass sich technologisch die ganze Consent Diskussion zu dezentralen Regelungen hinbewegt, heißt, dass die gesamte Steuerung über browserbasierte Tools bei en Nutzern geregelt wird. Zudem gibt es erste Ansätze für „user paid advertising“, nach denen der Nutzer Geld für das Anschauen von Webseiten und Werbung bekommt oder auch für bestimmte Webseiten bezahlt (paywall, Cookie-Wall).
Beispiele:
Brave Rewards
“…..Users can choose to earn BAT by viewing advertisements which are displayed as notifications by the operating system of their computer or device. Advertising campaigns are matched with users by inference from their browsing history; this targeting is carried out locally, with no transmission of personal data outside the browser, removing the need for third-party tracking. In addition or alternatively, users can buy or sell BAT through Brave’s relationship with Uphold Inc., a digital currency exchange operator…..”
https://en.wikipedia.org/wiki/Brave_(web_browser) abgerufen 31.05.2020