Likes und Tracking-Cookies â das neue EuGH-Urteil
Das jĂŒngste Urteil des EuropĂ€ischen Gerichtshofs vom 29. Juli 2019 hat hohe Wellen geschlagen â und viele Webseiten- und Fanpage-Betreiber erneut verunsichert. Denn es geht um wichtige Features von Internetseiten: GefĂ€llt mir-Buttons und Cookies.
Die Facebook-Likes sind beliebt, um Eigenwerbung zu betreiben. Bisher gingen die meisten Webmaster davon aus, dass Facebook allein fĂŒr eventuelle DatenschutzverstöĂe verantwortlich ist. Diese Ansicht dĂŒrfte jetzt ĂŒberholt sein.
Ohne Cookies lĂ€uft bei den meisten Webseiten ĂŒberhaupt nichts. Die DSGVO hat dafĂŒr gesorgt, dass heute fast jede Website zumindest einen Hinweis auf die Verwendung der kleinen Textdateien enthĂ€lt. Der EuGH hat die Anforderungen daran erhöht.
Das Urteil auf den Punkt gebracht
Zwei Punkte dieser Entscheidung sind besonders wichtig. Sie sollten alle Webseitenbetreiber aufmerken lassen:
Der Einsatz von Tracking-Cookies ist nur dann legal, wenn dem User vor der Nutzung einer Site eine klare Einwilligungs- oder Ablehnungsmöglichkeit gegeben wird. Ein schlichtes Cookie-Banner, das lediglich auf den Cookie-Einsatz hinweist, reicht dafĂŒr nicht aus.
Nicht nur Facebook haftet fĂŒr die Datenschutz-KonformitĂ€t von Like-Buttons (GefĂ€llt mir), sondern auch der Website-Betreiber, der diese Buttons einsetzt.
Die Entscheidung der Luxemburger Richter ist insbesondere fĂŒr Webmaster interessant, die bisher keine Marketing-Cookies (zum Beispiel fĂŒr Werbung) eingesetzt haben, aber auf die kleinen Like- und Share-Buttons der sozialen Netzwerke nicht verzichten wollten.
ZusĂ€tzlich hat der EuGH noch einmal klargestellt, dass VerstöĂe gegen diese GrundsĂ€tze abgemahnt werden können. Zum Beispiel von WettbewerbsverbĂ€nden, die fĂŒr ihre Mitglieder tĂ€tig sind. Das kann viel Geld kosten.
Was ist eine Abmahnung?
Eine Abmahnung ist die Aufforderung, ein bestimmtes wettbewerbswidriges Verhalten zu unterlassen. Die Abmahnung vermeidet zwar zunÀchst den Rechtsweg, sie ist aber in der Regel mit einer UnterlassungserklÀrung und mit hohen Abmahnkosten verbunden.
Likes und Shares: Was ist jetzt zu tun?
Social Plugins sind beliebt. Denn sie haben die Funktion einer Empfehlung - und fĂŒhren somit zu mehr Feedback und mehr Traffic. Allerdings sind die kleinen Like-Buttons von Facebook so konzipiert, dass sie bereits beim ersten Aufruf einer Seite Daten senden. Dazu gehören zum Beispiel die IP-Adresse und die Browser-Version des Nutzers. Und zumindest die IP-Adresse gehört nach höchster Rechtsprechung zu den personenbezogenen Daten. Folglich ist die DSGVO einschlĂ€gig. Und diese Verordnung, die seit 2018 gilt, stellt an die Betreiber von Websites hohe Anforderungen.
Nach dem Urteil des EuGH sollte jeder Website-Betreiber die DSGVO-KonformitĂ€t seines Internetauftritts erneut prĂŒfen:
Die einfachste Lösung: Löschen aller Share- und Like-Buttons.
Wer nicht auf die werbewirksamen Facebook-Tools verzichten möchte, muss den User (vor Nutzung der Website) auf den Einsatz der Buttons hinweisen und ihm vorsichtshalber eine echte Einwilligungsmöglichkeit bereitstellen.
Das Erfordernis der aktiven Einwilligung fĂŒr Likes und Shares ist selbst unter Medienrechtlern umstritten, die sich mit dem neuen EuGH-Urteil auseinandergesetzt haben. Die Luxemburger Richter haben diese Frage offengelassen. Das DĂŒsseldorfer Oberlandesgericht, das sich mit dem Fall erneut beschĂ€ftigen muss, wird diese Frage vielleicht klĂ€ren. Bis dahin kann es nicht schaden, auf Nummer sicher zu gehen und den Usern eine Auswahlmöglichkeit zu geben. Zum Beispiel mit der sogenannten Zwei-Klick-Lösung. Sie bewirkt, dass der Like-Button zunĂ€chst nur als funktionsloses Bild zu sehen ist. Erst ein freiwilliger Klick durch den Seitenbesucher lĂ€dt dann den echten GefĂ€llt mir-Button auf die Seite.
Wie sieht ein rechtskonformes Cookie-Banner aus?
Die Unsicherheit der Webmaster ist seit der EinfĂŒhrung der DSGVO groĂ. Viele Anbieter von Codes fĂŒr die Einbettung von Cookie-Hinweisen auf der eigenen Website tummeln sich auf dem Markt. Sie kommen nicht nur in diversen Designs daher, sondern unterscheiden sich auch in ihren Inhalten. Welche Eigenschaften muss ein Cookie-Hinweis enthalten, der der DSGVO und dem neuen EuGH-Urteil entspricht?
Ein bloĂes Banner oder ein Pop-Up, das lediglich auf die Nutzung der Cookie-Technologie hinweist, reicht nicht aus. Auch dann nicht, wenn der User aufgefordert wird, die Website bei Cookie-Ablehnung nicht zu benutzen. Denn die bloĂe Unterlassung der Benutzung stellt eben keine eindeutige rechtliche ErklĂ€rung dar.
Der Hinweis muss bereits vor der ersten Datenerhebung erscheinen. Die Website (beziehungsweise der Code-Teil fĂŒr das Banner) muss so programmiert sein, dass die Erhebung der Daten erst mit der Zustimmung durch den Nutzer beginnt.
Reine Cookie-Banner sind deshalb nicht ausreichend. Webmaster sollten auf sogenannte Consent-Tools zurĂŒckgreifen (Consent = Einstimmung, Zustimmung).
Im Internet findet sich eine Vielzahl von Consent-Tools, die man mittels copy and paste in die eigene Website integrieren an. Bei der Auswahl dieser Codes ist es wichtig, auf die drei oben genannten Punkte zu achten.
Nach dem Urteil des EuGH ist fĂŒr den Einsatz von Tracking-Cookies eine Opt-In-ErklĂ€rung des Users erforderlich. Eine Opt-Out-Lösung ist daher nicht mehr ausreichend. Aber was ist der Unterschied zwischen diesen beiden Verfahren?
Opt-Out: Der Betreiber der Website geht von einem EinverstÀndnis des Users aus, solange dieser nicht widerspricht.
Opt-In: Der User gibt ein explizites EinverstÀndnis. Er erklÀrt aktiv sein Ja, zum Beispiel mittels eines Klicks.
Mit der Opt-In-Lösung ist man als Website-Betreiber jedenfalls auf der sicheren Seite.
Das Urteil nimmt alle Webseitenbetreiber fĂŒr die Integration von Social Plugins in die Verantwortung. Das erscheint auf den ersten Blick ungerecht. Die Logik hinter dieser Argumentation: Facebook möchte Daten zu Zwecken der Werbung erheben, die Betreiber der einbindenden Website möchten mit den GefĂ€llt mir-Buttons ihr GeschĂ€ft fördern. Dies ist nach der Rechtsprechung ein gemeinsamer Zweck. Und diese auf ein Ă€hnliches Ziel gerichteten kommerziellen Zwecke rechtfertigen eine gemeinsame Haftung. Das ist schwer nachvollziehbar â schlieĂlich entscheidet Facebook allein ĂŒber Art und AusmaĂ der Datenerhebung. Aber ganz gleich, wie man zu dieser juristischen Argumentation steht: Als Webseitenbetreiber darf man sich keinem Abmahn-Risiko einsetzen. Es empfiehlt sich deshalb, die bestehende Website rechtssicher zu machen.
Hier können Sie sich ĂŒber unsere Dienstleistungen zum Thema Datenschutz informieren und uns jederzeit unverbindlich anfragen.
Lesen Sie den ganzen Artikel
