Die DSGVO an sich ist eine gute Sache. Deren Durchsetzung und Kriminalisierung der einzelnen Webseitenbetreiber anstatt der eigentlichen Datensammler wie Google und Facebook allerdings weniger.
Der Europäische Gerichtshof (EuGH) strapaziert dies vor allem im Hinblick auf Cookies und Cookie-Banner weiter – mit unschönen Folgen für alle Webseitenbetreiber von Google Analytics bis YouTube oder Google Maps oder Google Ads.
Nach EuGH muss ein Webseitenbesucher bei Statistik-Cookies wie von Google Analytics, Facebook-Pixel etc. und wohl auch Cookies von eingebundenen externen Medien wie YouTube, Google Maps und Co. explizit einwilligen („Consent“), bevor die Cookies (und damit die Dienste/ Tools) aktiviert werden dürfen.
Reine Cookie-Hinweis-Banner reichen dafür nicht.
Webseitenbetreiber sind dafür (mit)verantwortlich und ggf. abmahnbar.
An sich wurde der EuGH vom OLG Düsseldorf nur bzgl. Facebook-Widgets befragt („Fashion ID“, EuGH, AZ: C-40/17), die schon beim Besuch der Webseite zahlreiche Daten übertragen. Auch zuvor war nach überwiegender Meinung dies nur nach expliziter vorheriger Einwilligung durch den Nutzer erlaubt („Zwei-Klick-Lösung“). Doch das reichte dem EuGH augenscheinlich nicht.
Ohne explizite Frage hat sich der EuGH bei dieser Gelegenheit auch zu Cookies geäußert:
Dabei sind die Regeln zu Cookies in der DSGVO wie in Art. 4 Nr. 1 DSGVO nicht eindeutig, die dafür gedachte ePrivacy-Verordnung (noch lange) nicht in Kraft.
Darüber hinaus hat der EuGH noch eine gemeinsame Verantwortlichkeit auch des Webseitenbetreibers sowie eine Abmahnbarkeit durch Wettbewerbsverbände erwähnt!
In einem weiteren Vorlage-Verfahren (Az. C-673/17; Planet49) vom BGH hat sich der EuGH vergleichbar geäußert und entschieden, dass eine Einwilligung klar, für den konkreten Fall aktiv und ohne jeden Zweifel erteilt werden muss (Art. 4 Nr. 11 DSGVO). Das passive, nicht erfolgende Weghaken eines Kontrollkästchens stellt keine wirksame Einwilligungshandlung dar.
Auch geht der EuGH von einer Einwilligungspflicht bei anonymen Tracking mittels Cookies aus.
Die Website des EuGH verletzt übrigens aktuell deren eigene Vorgaben. :-0
Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer. Leider ist nicht wirklich definiert, was unbedingt erforderliche Cookies ausmacht. Vermutlich fallen nur Warenkorb-Cookies, Login-Cookies und ggf. Sprachauswahl-Cookies darunter. Auch die Speicherung der Cookie-Entscheidung selbst wird man wohl als notwendig ansehen können.
Nun muss das OLG Düsseldorf bzw. der BGH entscheiden. Häufig folgen die Gerichte den EuGH-Antworten. Auch wenn das in Deutschland geltenden Gesetz klar von einer Widerspruchslösung spricht, wird sich dies tendenziell ändern. Auch wenn dieses Urteil dann nur zwischen den beiden streitenden Parteien gilt, haben Urteil sowie Antwort des EuGH dennoch eine gewisse Richtungswirkung – selbst bei gut begründbaren anderen Ansichten.
“(…) für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.”
– § 15 Abs. 3 TMG
Damit hat der EuGH indirekt klargestellt, dass Deutschland die zugrunde liegende Richtlinie nicht ausreichend umgesetzt hat. Er ist damit (vielleicht auch politisch motiviert) der schleppenden Einführung der ePrivacy-Verordnung praktisch zuvorgekommen.
Laut https://www.bundesgerichtshof.de/SharedDocs/Termine/DE/Termine/IZR716.html verkündet der BGH am 28. Mai 2020 die Entscheidung zum Fall Planet49.
Wenn man die vorherige Zustimmung (= Einwilligung) und damit auch die gleichberechtigte Option der Ablehnung sauber und neutral umsetzt, wäre das optimal, aber auch sehr anspruchsvoll – technisch wie optisch. So dürften die erforderlichen Informationen je Cookie inkl. Datenverarbeiter (komplette Adresse), Speicherdauer, Nutzungszwecke usw. ziemlich umfangreich ausfallen.
Dabei hat man diese Dienste/ Tools ja in aller Regel aus gutem Grund implementiert.
Deren Daten sind oft wichtig, so dass ein Ausbau meist keine Lösung ist.
Nichts tun und die Dienste weiter ohne Einwilligung nutzen, scheint bei den grundlegenden Aussagen des EuGH rechtlich ein relativ hohes Risiko zu werden.
Also was tun?
Es gibt drei naheliegende Optionen:
Alle bedeuten Arbeit, gewissen Ärger und dienen Datenschutz sowie Nutzererlebnis praktisch wohl bestenfalls begrenzt.
Klingt einfach, ist es auch.
Aber ohne diese Daten sind viele Webseiten im Blindflug unterwegs, bieten schlechteres Nutzererlebnis und können Marketingmaßnahmen nicht mehr nach Erfolg steuern. Damit sind zahlreiche Online-Geschäftsmodelle beerdigt und viele Webseiten nicht mehr sinnvoll wirtschaftlich betreibbar.
Keine gute Lösung im Sinne eines besseren Internets für alle.
Wer keine Briefkasten-Limited in Gibraltar gründen will, muss diesen Standort(nach)teil in Kauf nehmen.
Man muss über Art und Funktionsweise, Dauer und Identität der Dienstleister genau informieren. Für jeden Cookie! Wie weit man diese gruppieren darf, ist unklar.
Dazu kommen die Informationspflichten wie Recht auf Auskunft, Löschung usw.
Bild.de verwendet aktuell 27 Cookies auf ihrer Startseite.
Das wird noch umfangreicher als bisher und damit noch mehr nerven.
Ohne explizite Zustimmung fehlen dazu Dienste, Daten usw.
Ergo keine gute Lösung.
Es gibt für WordPress und andere CMS-Lösungen bereits Erweiterungen wie Cookiebot von Cybot, Borlabs, Cookie Consent von Silktide, Cookie Control von CIVIC, OneTrust, Cookie Consent Kit der EU, Usercentrics usw.
Diese Dienste funktionieren nicht einfach für andere Softwarelösungen, kosten Ladezeit, Kauf- oder Abo-Gebühren und verstoßen teilweise gegen Google-Richtlinien (vgl. zuletzt https://webmaster-de.googleblog.com/2016/09/einige-hinweise-zu-widget-links.html und https://support.google.com/webmasters/answer/66356).
Dazu ist im Einzelfall fraglich, ob die Informationen ausreichend klar und konkret sind und eine Vorauswahl oder Zustimmungspräferenz rechtlich konform ist.
Verweigert ein relevanter Anteil der Nutzer die Zustimmung kommt dies obiger Lösung („Tools ausbauen“) praktisch gleich – nur mit viel größeren Hürden für alle Webseitenbesucher.
Um den Umfang zumindest halbwegs zu reduzieren, empfehlen wir nur seitenweit genutzte Tools wie Tracking mit Cookies hier abzufragen und andere Dienste wie YouTube oder Google Maps nur bei vor konkretem Bedarf via Zwei-Klick-Lösung (zuerst nur Bild des Video-Platzhalters oder Kartenausschnittes zeigen und auf Klick die Zustimmung einholen und erst danach den Dienst bei Zustimmung nachladen) zu erlauben.
Alle diese Lösungen sind meist Verschlechterungen. Andere Lösungen wie Facebook-Pixel, Remarketing usw. sind so aber auch nicht wirklich ersetzbar.
Will man rechtliche Risiken minimieren, sollte man sich nicht darauf stützen, dass beispielsweise Google Analytics ohne Remarketing, demografische Daten und mit anonymisierter IP-Adresse keine explizite Einwilligung erfordert (wofür durchaus gute Gründe sprechen und auch einige Datenschutzexperten plädieren).
Dennoch sollte man das Internet nicht gleich abschalten. Ggf. ziehen auch Anbieter wie Google und Facebook nach und bieten zumindest grenzwertig datenschutzkonforme Möglichkeiten. Das wird erfahrungsgemäß aber dauern.
Entweder man wechselt auf Matomo/ Piwik Pro, das man selbst hosten und ohne Cookies und IP-Speicherung betreiben kann. Neben dem Aufwand, Verlust der Altdaten und fehlender Verknüpfung zu Google Ads und Co. kein wirklicher Ersatz.
Man kann auch Google Analytics via storage:none ohne Cookies betreiben (https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#disabling_cookies) und sinnvolle clientIds belastbare Statistikdaten erreichen.
Ergebnis: kein Cookie, keine IP-Adressen-Speicherung: ergo sollte ein reiner Hinweis in der Datenschutzerklärung ausreichen.
Mehr zu Google Analytics ohne Cookies einsetzen.
Hier könnte man alternativ angepasste Daten von OpenStreetMap über einen Drittanbieter laden, der sich letztlich nur wie ein CDN verhält und je Request „nur“ die IP-Adresse des Webseitennutzers beim Kartenrendering technisch notwendigerweise erhält (die Kartendaten sollen ja beim richtigen, anfragenden Nutzer ankommen).
Ergebnis: kein Cookie. Dafür müsste die Datenschutzerklärung reichen.
Alternativ: zwei Klick-Lösung
Ob es reicht, die Videos via youtube-nocookie.com („erweiterter Datenschutzmodus“) einzubinden, ist umstritten. Aktuell wird dann offensichtlich kein Tracking-Cookie gesetzt. Ggf. werden Nutzerinteraktionen wie Pause, Geschwindigkeit usw. in einem Steuer-Cookie gesetzt, was aus meiner Sicht aber ein notwendiges Funktions-Cookie darstellt.
Alternativ: zwei Klick-Lösung:
ähnlich einem CDN (Content Delivery Network) das Vorschaubild des Videos von YouTube laden (soweit rechtlich erlaubt) und dann auf Klick nicht das Video laden, sondern die Informationen zeigen und Einwilligung einfordern.
Das dürfte praktisch gut funktionieren, sofern die ganzen Pflichtinformationen in dem Video-Vorschaubereich vernünftig Platz haben.
Anstatt wie in den USA die eigentlichen Datensammler anzugehen oder übergreifende Browsererweiterungen für Nutzer anzubieten, kriminalisiert man in der EU und speziell Deutschland die einzelnen Webseitenbetreiber.
Dabei haben 99% aller Webseitenbetreiber keinerlei Interesse an personenbezogenen Daten, wollen Nutzern einfach eine bestmögliche Webseite anbieten und benötigen dazu Fehlerprotokolle, Webseitenstatistiken, Videos, Landkarten usw.
Allein dafür eine (hoffentlich) rechtskonforme Datenschutzerklärung zu erstellen, steht aus meiner Sicht schon in keinem Verhältnis dazu für diesen Großteil der Webseitenbetreiber.
Jetzt auf diese Informationen und Nutzervorteile aufwändig verzichten zu müssen, wird zu weiteren Abschaltungen führen und so das Internet aus meiner Sicht ein Stück weiter kaputt machen. Die Abmahnindustrie wird sich bereichern und die eigentlichen Adressaten wie Facebook und Google bleiben erst mal weitgehend unbehelligt.
DSGVNO.
Kommentare zu EuGH + DSGVO = DSGVNO: wie der EuGH das Internet kaputt macht