EuGH beschließt Opt-In-Pflicht (Einwilligung) bei Cookies
Keine Artikel mehr verpassen? Jetzt Newsletter abonnieren »
Der EuGH hat am 29.07.2019 eine Entscheidung bezüglich der „Gefällt mir“-Schaltfläche innerhalb von Facebook getroffen und begründet, dass der Websitebetreiber neben Facebook mitverantwortlich für Datenschutzverstöße ist. Im Zuge dieser Entscheidung hat sich der EuGH ebenfalls mit dem Einsatz von Cookies beschäftigt. Er kam zum Schluss, dass für Cookies, wie zum Beispiel von Plugins, Tracking-(z. B. Google Analytics) und Online-Marketing-Tools, die Einwilligung der Nutzer eingeholt werden muss, bevor die Daten erhoben werden dürfen.
Dieser Blogbeitrag befasst sich mit der Einwilligungspflicht in Form eines Opt-Ins für die Tracking-Tools und welche Folgen diese Entscheidung für uns Online Marketer haben wird.
Einwilligungspflicht für Cookies
Bis zur Entscheidung des EuGH‘s konnten wir das Tracking, zum Beispiel mit Google Analytics, auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO stützen und mussten nicht die vorherige Einwilligung der betroffenen Personen einholen. Diese Vorgehensweise habe ich zum Beispiel auf die folgenden Argumente gestützt:
- Das Interesse der Direktwerbung nach Erwägungsgrund 47 S. 7 DS-GVO: Das Tracking wird in diesen Fall als Vorstufe des Direktmarketings angesehen, weil ohne die Webanalyse (Tracking) das Surfverhalten der betroffenen Nutzer nicht analysiert werden kann und die Marketing-Maßnahmen und Kampagnen nicht zielorientiert gesteuert werden können. Somit besteht zwischen Direktmarketing und der Webanalyse eine unmittelbare Verbindung, denn ohne diese Verbindung kann kein zielgerichtetes Marketing ausgeübt werden.
- Diese Form des Marketings ist im Interesse der betroffenen Personen: Da diese keine willkürliche Werbung erhalten, die nicht ihre Interessen wiederspiegelt.
- Widerspruchsrecht: Durch Art. 21 Abs. 1 S. 1 DS-GVO wird der betroffenen Person ein Widerspruchsrecht innerhalb der Verarbeitung von Daten aufgrund berechtigter Interessen des Verantwortlichen eingeräumt. Aufgrund der Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO ist dies nicht mehr notwendig.
- Die Tracking-Maßnahme ist für die Direktwerbung erforderlich.
- Die Stärke des berechtigten Interesses des Websitebetreibers: Die Direktwerbung wird explizit in der DS-GVO erwähnt, wodurch dieses Interesse bereits durch die bloße Aufführung an Gewicht und Bedeutung zunimmt.
Dies hatte die Folge, dass wir nicht die Einwilligung der Nutzer einholen mussten. Es hat dann ausgereicht, wenn wir eine Opt-out Möglichkeit in Form eines Plugins und eines Opt-out-Cookies angeboten haben.
Deshalb war es äußerst umstritten, ob wir eine Einwilligung für den Einsatz von Tracking-Tools, Video-Tools oder Social Plug-ins benötigen. Der EuGH hat nun in einer Vorabentscheidung entschieden, dass eine Einwilligung erhoben werden muss und vor dieser Einwilligung keine Datenerhebung stattfinden darf. Jedoch muss bei der Erhebung der Einwilligung vieles berücksichtigt werden und zwar die folgenden Merkmale:
- Die Erteilung der Einwilligung muss freiwillig erfolgen: Es muss der sog. Grundsatz der Freiwilligkeit beachtet werden.
- Die Einwilligung darf nicht gekoppelt sein: Es besteht kein ausdrückliches Verbot. Jedoch darf es keine gleichwertige Alternative geben und wir müssen eine Interessensabwägung durchführen.
- Informationspflicht: Welches Tool wird verwendet und welcher Zweck liegt für die Verwendung vor; die Aufbewahrungsdauer; welche Daten werden erhoben; ggf. Rechtsgrundlage benennen…
- Vorabinformationen: Datenschutzinformationen, Widerrufsbelehrung und die Zweckbindung.
Wie stehe ich zu dieser Entscheidung?
Ich vertrete weiterhin die Meinung, dass wir die Datenerhebung auf das berechtigte Interesse stützen können. Jedoch ist auch die Auffassung des EuGH’s vertretbar und die Sichtweise des EuGH’s ist natürlich auch führend. Der EuGH hat also wegweißend über die Einwilligungspflicht im Rahmen von Tracking-Maßnahmen entschieden, jedoch muss auch noch das OLG Düsseldorf das Endurteil und seine Entscheidung bekannt geben. Dort kann natürlich auch eine andere Meinung vertreten sein und es könnte sein, dass das OLG Düsseldorf meine Meinung teilt und das Tracking auf das berechtigte Interesse stützt. Dies hat natürlich die Auswirkung, dass die meisten Websitebetreiber die Entscheidung des OLG’s abwarten und die Umsetzung des Opt-ins aufschieben. Deshalb sollten wir die Situation abwägen und der rechtlich sicherste Weg ist natürlich die Einholung der Einwilligung der betroffenen Nutzer. Hierfür gibt es bereits hilfreiche Systeme, womit wir die Einwilligung einholen können. Eines davon ist die Consent Management Platform von unsercentrics. Eine weitere Methode ist das Plugin Borlabs Cookie 2.0 für WordPress:
Wir haben dieses bereits auf unserer Test-Url „lineal-drucken.de“ getestet und es funktioniert reibungslos. Wichtig ist jedoch, dass ihr die Tracking-ID hinterlegt bzw. alle Tracking-ID’s hinterlegt, die ihr im Einsatz habt. Ansonsten werden die Daten weiterhin erhoben und die Einwilligung wäre nicht zulässig. Deshalb sollten wir diese Funktion testen, damit verhindert werden kann, dass „aus Versehen“ das Tracking bereits vor der Einwilligung läuft oder bei einer nicht erfolgten Einwilligung trotzdem die Daten erhoben werden. Hierfür können wir in der Entwicklerkonsole einfach nachverfolgen, ob Cookies aktiviert sind. Ihr solltet die folgenden Schritte durchführen:
- Für die Überprüfung empfehle ich euch eine Erweiterung für die Entwicklerkonsole in Google Chrome und zwar die Erweiterung WASP. Diese könnt ihr euch kostenlos in Google Chrome installieren.
- Nun könnt ihr eure Website öffnen, wo ihr einen entsprechenden Cookie-Opt-in-Banner angelegt habt.
- Website untersuchen und den Reiter WASP auswählen.
- Falls der Cookie-Opt-in-Banner richtig funktioniert, sollte kein Ordner mit google-analytics.com auffindbar sein. Falls dieser doch dort auftaucht und Tags mit der Bezeichnung „collect“ hinterlegt sind, werden die Daten erhoben und der Banner ist nicht richtig angelegt.
So sollte die Überprüfung aussehen, wenn alles richtig angelegt ist:
- Hier sehen wir nicht den google-analytics.com Ordner und der Tag „collect“ ist ebenfalls nicht auffindbar. Somit werden keine Daten übertragen, bis der Nutzer schließlich in die Datenerhebung einwilligt.
- Wir genügen damit der Entscheidung des EuGH’s und verhalten uns rechtskonform.
So sieht eine fehlerhafte Implementierung aus:
- In diesem negativ Beispiel sehen wir eindeutig, dass in Google Analytics Daten erhoben werden, obwohl der Nutzer noch keine Einwilligung erteilt hat. Der Ordner google-analytics.com wird aufgeführt und der Tag „collect“ ist ebenfalls hinterlegt. Wir können sogar erkennen, welche Property die Datenerhebung verursacht.
- Achtung: Gefahr vor Abmahnungen durch qualifizierte Stellen und Sanktionen durch die Aufsichtsbehörden
Wie kam es zu dieser Entscheidung?
Die Vorgeschichte des Urteils war eine Auseinandersetzung einer Verbraucherzentrale und eines Unternehmens. Dabei hat die Verbraucherzentrale das Unternehmen abgemahnt. Daraufhin begründete das abgemahnte Unternehmen, dass eine Abmahnung nicht zulässig sei. Mit der Entscheidung wird jedoch hinreichend klar, dass auch Verbraucherverbände abmahnen dürfen.
Die wichtigsten Take Aways:
- Der sog. Cookie-Opt-in-Banner wird ab der Bestätigung OLG’s Düsseldorf verpflichtend
- Dieser Opt-in-Banner wäre dann Pflicht, wenn wir tracken, Social-Media-Plugins verwenden, Video-Tracking durchführen oder sonstige Online-Marketing-Tools verwenden. Wichtig: Es müssen personenbezogene Daten erhoben werden, nur dann muss die Einwilligung eingeholt werden
- Cookie-Opt-in-Banner ausführlich testen
- Die bisher üblichen und nicht aussagekräftigen Cookie-Hinweis-Banner sind dann nicht mehr ausreichend
- Die Entscheidung befasst sich nur mit Cookies und vergleichbaren technologischen Möglichkeiten
- Die Pflicht zur Einwilligung gilt auch für Privatpersonen. Grundsatz: Sobald personenbezogene Daten erhoben werden, muss die Einwilligung eingeholt werden
- Verbraucherverbände oder gleichwertige Verbände dürfen Datenschutzverstöße abmahnen
Wie hilfreich ist dieser Artikel für dich?
Noch ein Schritt, damit wir besser werden können: Bitte schreibe uns, was dir am Beitrag nicht gefallen hat.
Noch ein Schritt, damit wir besser werden können: Bitte schreibe uns, was dir am Beitrag nicht gefallen hat.
Vielen Dank für dein Feedback! Es hilft uns sehr weiter.
gar nicht hilfreich
weniger hilfreich
eher hilfreich
sehr hilfreich
ich habe ein anderes Thema gesucht
Lieber Herr Hüpel,
vielen Dank für den tollen Beitrag und Ihre Meinung hierzu. Es gibt sehr Wenige, die die rechtliche und technische Betrachtung vereinen können.
Eine Sache erschließt sich mir allerdings noch nicht:
Es scheint Interpretationssache zu sein, ob man Google Analytics als davon betroffen betrachtet oder nicht. Man kann in Google Analytics diverse Einstellungen vornehmen, die klar eine Einwilligung erfordern (keine IP-Anonymisierung, Advertising Features, Google Signals, Audiences zum Remarketing, usw.). Wenn man diese aber bewusst deaktiviert oder nicht nutzt und Google Analytics nur verwendet, um Reporting zu betreiben, das Nutzerverhalten auf aggregierter Basis zu verstehen (Traffic auf bestimmten Seiten, Conversionrates, Nutzung von eingebetteten Videos, usw.) und Kampagnen-Performance zu messen und diese zu optimieren, hätte die Umstellung auf Opt-In massive Auswirkungen auf die Web-Kennzahlen und die Steuerung.
Ich bin mir auch bei Ihrem Artikel nicht sicher, ob dies auch davon betroffen ist, bzw. was Sie Unternehmen als Vorgehensweise raten, wenn man sich nicht z.B. die ROI-Messung kaputtmachen möchte.
Vielen Dank für eine Ergänzung hierzu, die sicher auch für andere interessant ist.
Viele Grüße
Christian Lemke
Guten Tag Herr Lemke,
vielen Dank für Ihren Beitrag! Aus datenschutzrechtlichen Gründen und auch aus den Nutzungsbedingungen von Google geht hervor, dass wir die IP-Adresse ohne Einwilligung anonymisieren müssen. Jedoch ist selbst die anonymisierte IP-Adresse (anonymizeIP) ein personenbezogenes Datum, wodurch die DS-GVO eröffnet ist. D.h., dass die DS-GVO und auch die Entscheidung des EuGH’s selbst für die Verwendung von Google Analytics mit anonymizeIP Anwendung findet und wir die Einwilligung einholen müssen. Jedoch empfehle ich ebenfalls eine ausgiebige Testphase, damit das Opt-in überprüft werden kann und die Auswirkungen feststehen. Ich möchte Ihnen auch noch gerne den weiteren Prozess des Urteils erklären, damit Sie absehen können, wie dringend die Umsetzung ist: Der EuGH hat wegweißend über die Einwilligungspflicht im Rahmen von Tracking-Maßnahmen entschieden, jedoch muss auch noch das OLG Düsseldorf das Endurteil und seine Entscheidung bekannt geben. Dort kann natürlich auch eine andere Meinung vertreten sein und es könnte sein, dass das OLG Düsseldorf meine Meinung teilt und das Tracking auf das berechtigte Interesse stützt. Dies hat natürlich die Auswirkung, dass die Websitebetreiber die Entscheidung des OLG’s abwarten und die Umsetzung des Opt-ins aufschieben. Mit dieser Herangehensweise muss man jedoch vorsichtig sein, da bereits in der Zwischenzeit Verbraucherzentralen oder sonstige qualifizierte Stellen Abmahnungen Aussprechen können und diese wahrscheinlich Erfolg haben werden. Die Herangehensweise hängt natürlich auch von Ihrer Risikobereitschaft ab.
Viele Grüße
Marius Hüpel
Vielen Dank für die Einschätzung und die Ergänzung!
Ich bin sehr gespannt, wie sich das entwickelt und erhalte mir eine kleine Resthoffnung, dass die finale Entscheidung nicht zu Blindflügen bei der Website-Performance und Kampagnensteuerung führt. Ich hoffe, diese Konsequenzen und Argumente werden dort vorgebracht und vertreten, wobei ich da wahrscheinlich eher skeptisch sein muss…
Viele Grüße
Christian Lemke