EuGH-Urteil zum Like-Button: Abmahnbare Opt-In-Pflicht bei Cookies und Social Media wird illegal

Der Europäische Gerichtshof hat entschieden, dass Websitebetreiber für eine eingebundene “Gefällt mir”-Schaltfläche (auch bekannt als “Like-Button”) neben Facebook nach der DSGVO mitverantwortlich sind (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung). Diese Entscheidung hat ein enormes Haftungspotential für uns alle und ihre Folgen können m.E. so eigentlich nicht gewollt sein.

Zugleich hat der EuGH entschieden, dass der Einsatz der “Gefällt mir”-Schaltfläche einer Einwilligung und vollständiger Datenschutzinformationen bedarf. Dies gilt auch für andere Plugins-, Online-Marketing und Tracking-Tools. Verstöße sind abmahnbar.

Nachfolgend erkläre ich Ihnen die rechtlichen Hintergründe, die Risken und empfehle, wie Sie sich verhalten sollten. Am Ende des Beitrags erhalten Sie eine Zusammenfassung.

Bin ich nach der DSGVO verantwortlich?

Der Dreh- und Angelpunkt der DSGVO ist die Frage, wer für eine Datenverarbeitung verantwortlich ist. Denn der Verantwortliche muss z.B. Auskunftsanfragen beantworten, Buß- oder Schmerzensgelder zahlen.

Verantwortlich sind laut der DSGVO diejenigen, die über Mittel und Zwecke der Verarbeitung entscheiden (Art. 4 Nr. 7 DSGVO). D.h. wer einen E-Shop betreibt und Daten von Kunden zum Zweck der Zahlung und Warenauslieferung verarbeitet, ist für diese Verarbeitung verantwortlich.

Was ist aber, wenn z.B. zwei Unternehmen kooperieren und eins den Server betreibt und das andere die Kundenverwaltung übernimmt?

Dann legen beide Unternehmen mit dem Shopbetrieb die Zwecke der Verarbeitung der Kundendaten gemeinsam fest. Folglich entscheiden beide Unternehmen gemeinsam über die Mittel und Zwecke der Datenverarbeitung und sind damit gemeinsam verantwortlich (auf Englisch “Joint Control” bezeichnet).

Welche Folgen hat die gemeinsame Verantwortlichkeit?

Als Folge der gemeinsamen Verantwortlichkeit, können z.B. Auskunftsanfragen oder Bußgeldbescheide an jeden der Verantwortlichen gerichtet werden (z.B. falls der andere der o.g. Shop-Betreiber die Auskunft oder Zahlung verweigert).

Zudem müssen die Unternehmen eine spezielle Vereinbarung abschließen (Art. 26 DSGVO). Dort muss z.B. geregelt sein, wer sich um die Beantwortung der Anfragen der Nutzer kümmert.

Ich denke, das Beispiel des gemeinsam betrieben E-Shops ist nachvollziehbar. Hier verfolgen zwei Unternehmen eindeutig denselben Zweck. Weniger nachvollziehbar ist es m.E., eine gemeinsame Verantwortlichkeit für Facebooks Datenverarbeitung anzunehmen. Der EuGH sieht das jedoch anders.

EuGH 2018: Mitverantwortung für Fanpages

Der EuGH hat bereits im Juni 2018 mit der folgenden Begründung entscheiden, dass Fanpagebetreiber für die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (EuGH, 05.06.2018 – C-210/16 “Wirtschaftsakademie”):

  • Mitentscheidung über die Mittel: Ohne die Fanpage würde Facebook keine Daten der Fanpage-Besucher erheben.
  • Mitentscheidung über die Zwecke: Facebook und Fanpagebetreiber schließen auf Grundlage von Facebooks AGB einen Vertrag, der Facebook zum Einsatz der Besucherdaten zur genaueren Platzierung von Werbung berechtigt. Hinzu kommt, dass mit den Daten die sog. “Insights-Statistiken” erstellt werden. Die dortigen Informationen zu Alter der Besucher, Geschlecht, Interaktion mit Beiträgen etc. nutzen Facebook und die Fanpagebetreiber jeweils um deren Inhalte und Werbung gezielt an den Besuchern auszurichten. Auch können Fanpagebetreiber die Art der Besucher anhand bestimmter Kriterien, wie z.B. Interessen, mitbestimmen (wobei diese Funktion so nicht mehr existiert).

Dass nur Facebook Zugang zu den personenbezogenen (d.h. einzelne Nutzer individualisierende) Daten hat und Fanpagebetreiber nur zu anonymen Statistiken, hält der EuGH nicht für bedeutend. Es reicht aus, dass einer der Mitverantwortlichen personenbezogene Daten verarbeitet.

Schon bei dieser Entscheidung ist es nach meiner Ansicht nur schwer nachzuvollziehen, dass Fanpagebetreiber und Facebook gemeinsam die Zwecke der Datenverarbeitung festlegen, also gemeinsam über sie entscheiden sollen.

Nun hat der EuGH entschieden, dass dieses weite Verständnis gemeinsamer Zwecke auch für die “Gefällt mir”-Schaltfläche gilt.

EuGH 2019: Mitverantwortung für die “Gefällt mir”-Schaltfläche

Auch im Fall der “Gefällt mir”-Schaltfläche, sieht der EuGH eine arbeitsteilige Zweckverfolgung von Facebook und den Websitebetreibern:

  • Mitentscheidung über die Mittel: Wäre die “Gefällt mir”-Schaltfläche nicht eingebunden, könnte Facebook keine Besucherdaten erheben.
  • Mitentscheidung über die Zwecke: Facebook möchte mit den “Gefällt mir”-Schaltfläche Daten zu Werbezwecken sammeln. Websitebetreiber möchten ihre Inhalte verbreiten und damit ihr Geschäft fördern. Was nach zwei unterschiedlichen Zwecken klingt, genügt dem EuGH als ein gemeinsamer Zweck. Denn in beiden Fällen werden kommerzielle Ziele verfolgt, wobei Facebooks Beitrag dem Websitebetreiber dient, wie auch umgekehrt.

Wenn Sie jetzt das Gefühl haben, dass Sie bei einer solch abstrakten und nach meiner Ansicht uferlosen Betrachtung für das halbe Internet mitverantwortlich sind, dann liegen Sie gar nicht mal so falsch. Trotz der Zusicherungen des EuGH.

Einschränkung der Verantwortlichkeit

Auch der EuGH sieht, dass Nutzer der “Gefällt mir”-Schaltfläche im Vergleich zu Facebook praktisch nur über deren Einbindung entscheiden. Aus dem Grund schränkt das Gericht den Umfang der gemeinsamen Verantwortung ein.

Die gemeinsame Verantwortlichkeit erstreckt sich daher lt. dem EuGH nur auf die Phase der Erhebung der Daten der Fanpage- oder Websitebesucher, bzw. deren Übermittlung an Facebook. Für die spätere Verarbeitung der Daten soll Facebook alleine verantwortlich sein.

Doch was zunächst nach einer erheblichen Einschränkung der uferlosen Mitverantwortlichkeit klingt, ist de facto keine.

Potentielle Mithaftung im vollen Umfang

Die Geringfügigkeit Ihres Beitrags bei Facebooks Datenverarbeitung hat Vorteile. Der Umfang Ihrer Auskunftspflicht ist geringer, die Höhe eines etwaigen Bußgeldes wäre im geringeren Umfang zu tragen.

Allerdings sind die verbleibenden Nachteile erheblich:

  • Auskunft und andere Betroffenenrechte – Es ist in der Durchführung für Sie irrelevant, ob ein Nutzer von Ihnen Auskunft über alle seine bei Facebook gespeicherten Daten erhalten möchte oder nur die auf einen “Gefällt mir”-Schaltfläche bezogenen Daten. In beiden Fällen können Sie nichts weiter unternehmen, als darauf zu vertrauen, dass Facebook die benötigte Auskunft erteilt.
  • Bußgeld: Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit. Sie können aber von Facebook die Rückzahlung des auf Facebook entfallenden Teils sowie der Kosten verlangen oder zumindest im Fall von Schadensersatzforderungen der betroffenen Personen nachweisen, “in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich” zu sein (Art. 89 Abs. 3, 4 und 5 DSGVO).
  • Abschluss einer Vereinbarung – Facebook muss, wie bei Fanpages, Ihnen die Vereinbarung über gemeinsame Verantwortlichkeit anbieten.

Das heißt, sie haften “an vorderster Front” zuerst vollumfänglich mit und müssen im Fall der Fälle darauf vertrauen, dass Facebook ihnen etwaige Kosten erstattet oder Auflagen abnimmt (und zumindest im Fall des Schadensersatzes haben Sie die Möglichkeit nachzuweisen, in keinerlei Hinsicht verantwortlich zu sein).

Ich gehe davon aus, dass Facebook das schon aus Imagegründen vielfach tun würde. Allerdings ist Facebook ein auf Aktien basiertes Unternehmen. D.h. wenn die Kostenübernahme unwirtschaftlich sein sollte, dann wird das Vertrauen zumindest auf eine harte Probe gestellt.

Zudem, solange die zuletzt genannte Vereinbarung nicht vorliegt, ist die Nutzung der “Gefällt mir”-Schaltflächen und anderer Social Plugins ohnehin rechtswidrig. Womöglich ist dann aber auch die Nutzung von sehr, sehr vielen anderen Onlinediensten illegal.

Ist es jetzt illegal Social-Media zu nutzen?

Fast alle kostenlosen Netzwerke oder Dienste behalten sich vor, Daten der Nutzer zu eigenen Werbezwecken auszuwerten (explizit geregelt oder sich aus den Umständen ergebend).

Wenn man das Urteil des EuGH so auslegen würde wie es klingt, dann wären wir auch für andere genutzten Plattformen und Dienste mitverantwortlich. Z.B. für

  • Facebook-Social Plugins, Facebook-Gruppen, Facebook-Pixel,
  • Instagram,
  • YouTube,
  • Twitter,
  • YouTube- und Vimeo-Videos,
  • Google Analytics und so ziemlich alle anderen Onlinemarketingdienste,
  • Bewertungswidgets,
  • Affiliate-Programme & Widgets,
  • viele Cloud-Hoster,
  • usw., etc.

Da die meisten der Dienste keine Vereinbarungen für gemeinsame Verantwortlichkeit anbieten, wäre deren Nutzung illegal.

Wenn Sie im Datenschutz-Generator das Facebook-Modul auswählen, dann werden Ihre Nutzer in Ihrer Datenschutzerklärung auf die Vereinbarung über gemeinsame Verantwortlichkeit mit Facebook (für Fanpages) belehrt. Andere Plattformen und Dienste bieten eine solche Vereinbarung jedoch nicht an. Auch Facebook hat die Vereinbarung auf Fanpages limitiert. Facebook-Gruppen oder der Like-Button, sind (derzeit) nicht mitumfasst. Zudem halten Datenschutzbehörden die Vereinbarung für unzureichend.

Ein Grund das Internet abzuschalten?

Zu allererst sollten Sie wissen, dass Ungewissheit in der DSGVO oft Programm ist. Um auch künftige und unbekannte Technologien zu erfassen, ist die DSGVO sehr abstrakt gefasst.

Bis der EuGH über eine Streitfrage entschieden hat, kann jede Auslegung der DSGVO zugleich richtig oder falsch sein. Aber auch eine EuGH-Entscheidung ist häufig eher rechtspolitischer Natur (d.h. ohne eine stringente innere Logik) und damit interpretierbar.

So könnte man, m.E. zu Recht meinen, dass der EuGH die Verhängung eines vollen Bußgeldes oder Vollstreckung einer Auskunftspflicht gegen einen Nutzer für unverhältnismäßig halten würde. Ebenso könnte er eine spezielle Vereinbarung in derartigen Konstellation für überflüssig erachten.

Ferner verweist der EuGH auf nationale Haftungszurechnungsregelungen (Randnummer 74), so dass man den Nutzer wegen der Geringfügigkeit ihres Beitrags, durchaus “aus der Schusslinie nehmen” könnte (s. RA Simon Assion). Die Frage ist, ob und inwieweit die nationalen Gerichte sowie Datenschutzbehörden das auch so sehen werden.

Praxistipp: Ungewissheit ist ein Risikofaktor

Im Hinblick auf die Praxis sollten Sie bedenken, dass Sie im Internet immer mit einer gewissen Unsicherheit rechnen müssen. Dieses Risiko müssen Sie mit den Folgen des Verzichts auf die genutzten Internetdienste abwägen (bzw. Ihre Rechtsabteilung oder Rechtsberater bitten, dies zu tun).

Bei der Abwägung müssen Sie nicht nur die möglichen Folgen, sondern auch deren Eintrittswahrscheinlichkeit berücksichtigen.

So sehe ich z.B. im Hinblick auf Fanpages seitens der Datenschutzbehörden eine Untersagungsverfügung als die wahrscheinlichste Folge. Auch dass jemand eine datenschutzrechtliche Schadensersatzforderung gegen Facebook geltend macht und bei Weigerung Sie verklagt, halte ich schon wegen der Erfolgsaussichten momentan für wenig wahrscheinlich.

Allerdings sollten Sie auf den Einsatz von Widgets und Tools verzichten, wenn diese Ihnen keine wirtschaftlichen Vorteile bringen. Nutzen Sie lieber Tools wie Shariff oder Embetty von heise, die keine Daten der Websitebesucher verarbeiten.

Einwilligungspflicht für Cookies

Es war eine umstrittene Frage, ob der Einsatz von Social-Plugins, Videos, Tracking Tools, etc. einer Vorabeinwilligung der Nutzer bedarf. Diese Frage hat der EuGH nun bejaht.

Sobald auf den Geräten der Nutzer Daten gespeichert oder ausgelesen werden, besteht die Pflicht eine Einwilligung einzuholen. Da dies praktisch immer der Fall ist, werden Cookie-Opt-In-Banner zur Pflicht.

Zwar sagt der EuGH, dass es ausreichend ist, dass die Einwilligung sich nur auf den Erhebungs- und Übermittlungsvorgang bezieht (d.h. die spätere Verarbeitung der Daten der Websitebesucher durch Facebook muss nicht abgedeckt sein). Aber auch hier gilt, aus der Sicht der Websitebetreiber ist ein Cookie-Banner ein Cookie-Banner, egal welchen Umfang die eingeholte Einwilligung hat.

Informationspflichten gegenüber den Nutzern

Der EuGH betont, dass die Websitebesucher über die eingesetzten Verfahren umfassend informiert werden müssen. Daher muss Ihre Datenschutzerklärung alle Dienste berücksichtigen, die Sie auf Ihrer Website einsetzen (Social Plugins, Tracking-Tools, etc.)

Verbraucherverbände dürfen abmahnen

Ausgangspunkt des entschiedenen Verfahrens war eine Abmahnung der Verbraucherzentrale NRW. Das abgemahnte Unternehmen meinte jedoch, dass der Verbraucherverband keine Abmahnung aussprechen oder klagen darf. Datenschutzverstöße seien nur auf Grundlage der DSGVO durch Datenschutzbehörden zu sanktionieren.

Auch dieser Ansicht erteilte der EuGH eine Absage und bestätigte, dass das sog. Verbandklagerecht zulässig ist. Damit dürfen Verbände wie die Verbraucherzentrale Abmahnungen aussprechen.

Sind Privatpersonen ausgenommen?

Die DSGVO gilt für Privatpersonen nicht, wenn sie personenbezogene Daten “ausschließlich zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten” verarbeiten (Art. 2 Abs. 2 lit c DSGVO).

Aber auch hier ist es umstritten, ob eine Beteiligung an einer Verarbeitung von Daten zu Werbezwecken als ausschließlich persönlich und familiär bezeichnet werden kann.

M.E. ist das nicht der Fall, so dass auch Privatpersonen auf Websites Cookie-Opt-Ins einholen müssen.

Allerdings sind Privatnutzer nach meiner Ansicht für die Erhebung der Daten der Websitebesucher oder im Fall einer Fanpage nicht mitverantwortlich. Denn der EuGH stützte die gemeinsame Verantwortlichkeit auf kommerzielle Interessen von Facebook und den Websitebetreibern. Privatpersonen verfolgen jedoch keine kommerziellen Interessen.

Zusammenfassung

Nachfolgende fasse ich die wesentlichen Aussagen des Beitrags zusammen:

Zur gemeinsamen Verantwortlichkeit:

  • Verwender der “Gefällt mir”-Schaltfläche sind laut EuGH für die Erhebung und Übermittlung personenbezogener Daten ihrer Websitebesucher mit Facebook gemeinsam verantwortlich.
  • Denn sie erlauben Facebook die personenbezogenen Daten der Websitebesucher zu Werbezwecken zu erheben, bzw. zu übermitteln.
  • Diese Mitverantwortung hat der EuGH zuvor schon für Fanpages bejaht.
  • In der Konsequenz wäre die Nutzung einer Vielzahl sozialer Netzwerke, Online-Marketingtools sowie anderer Onlinedienste illegal. Denn die gemeinsam Verantwortlichen müssen eine spezielle Vereinbarung abschließen, die aber häufig nicht vorliegt.
  • Ferner könnten die Nutzer für die Beantwortung von Auskünften Betroffener, auf Zahlung etwaiger Bußgelder, Abmahnungen oder Schadensersatzzahlungen im vollen Umfang in Anspruch genommen werden.
  • Es ist jedoch nicht eindeutig klar, ob EuGH derartige Folgen in diesem Umfang gewollt hat.
  • Privatnutzer sind von der Mitverantwortung (sehr wahrscheinlich) ausgenommen.
  • Unternehmen müssen die Risiken abwägen, bevor sie Onlinedienste weiternutzen. Die Risiken sind dem Umfang nach hoch, der Wahrscheinlichkeit nach jedoch geringer. Dennoch sollte auf überflüssige Plugins und Einbindung von Tools in Webseiten verzichtet werden.

Zum Cookie-Opt-In:

  • Werden auf Webseiten Social Plugins, Videos, Tracking- und Onlinemarketing-Tools eingesetzt, die Daten der Nutzer erheben, müssen Websitebetreiber eine Einwilligung der Nutzer einholen.
  • Cookie-Opt-In-Banner werden zur Pflicht.
  • Eine Ausnahme kann nur dann gemacht werden, wenn keine Daten auf Geräten der Nutzer gespeichert oder aus diesen ausgelesen werden (d.h. keine Cookies und vergleichbare Technologien zum Einsatz kommen).
  • Die Websitebesucher müssen über die eingesetzten Dienste informiert werden, weswegen die Datenschutzerklärungen sie umfassen sollten.
  • Die Einwilligungspflicht gilt für Unternehmen und für private Websitebetreiber.

Zum Verbandklagerecht:

  • Verbände dürfen Datenschutzverstöße abmahnen.
  • Daneben sind datenschutzrechtliche Sanktionen möglich.

Fazit

Während in den USA gegen Facebook vorgegangen wird, haben deutschen Datenschützer (mangels direkter Einwirkungsmöglichkeiten auf Facebook und scheinbar aus Unzufriedenheit mit den zuständigen irischen Datenschützern) eher die Nutzer im Visier (Quelle: FTC).

Die Entscheidungen zur Abmahnbarkeit und zum Cookie-Opt-In sind nicht angenehm, aber nach meiner Ansicht so vertretbar. Es kommt zwar zuerst eine Cookie-Banner-Flut auf uns zu, aber hoffentlich wird es bald bessere browserinterne Verfahren zur Opt-In-Einholung geben.

Anders sehe ich es im Hinblick auf die gemeinsame Verantwortlichkeit. Nach meiner Ansicht ist es ein bürokratischer Unsinn die Nutzer von Onlinediensten für die Datenverarbeitungen ihrer Betreiber zur Verantwortung ziehen zu wollen. Niemand kann derartige Urteile nachvollziehen, geschweige denn in ihrer Konsequenz umsetzen.

Währenddessen verhängt die US-Aufsichtsbehörde ein Bußgeld von 5 Milliarden Dollar gegen Facebook und ordnet strengere Datenschutzmaßnahmen an. Man muss wohl nicht lange überlegen, welche Methode zu mehr Verständnis für den Datenschutz führt.

tl;dr: EuGH beschießt eine Opt-In-Pflicht für Cookies und während in den USA ein 5 Mrd.-Bußgeld gegen Facebook verhängt wird, wird es in der EU möglich, Facebook-Nutzer direkt abzumahnen. So schafft man kein Vertrauen in den Datenschutz.


Tipp für mehr Rechtssicherheit – unsere Generatoren:Datenschutz-Generator.de - Leistungen - Impressum, Teilnahmebedingungen und eine DSGVO-Datenschutzerklärung

Opt-In-Empfehlung für WordPress (für Cookies und eingebundene Inhalte):

BORLAND Cookie Opt-In(Affiliate-Link, d.h. wir erhalten beim Kauf eine Provision.)


Kommentare

  1. Danke, Thomas!
    Kurze Frage noch: Opt-In im Cookie Banner heißt, es darf vor der Einwilligung durch das Banner auch nichts getrackt werden. Also die bisherigen Banner sind obsolet. Sehe ich das richtig?

  2. Vielen Dank, Herr Dr. Schwenke, für die sehr rasche Information per Newsletter im Hinblick auf die möglichen Folgen des Urteils.
    Allerdings erschließt sich mir noch immer die Tragweite des Urteils nicht. Sie erwähnen zwar beispielhaft Drittanbieter, die Cookies setzen (so ja auch der offensichtliche Tenor des Urteils). Die Einbindung von Fonts direkt von Google würde Google auch genug Möglichkeiten geben, das Surfverhalten der Nutzer – auch ohne Cookies – auszuwerten. Mich beschleicht das Gefühl, dass ich externe Daten (Google Fonts, CookieBot etc). nun am besten gar nicht einbinde.

    1. Bei Font-Plugins, die lediglich der Fontdarstellung dienen oder bei Cookie-Bannern, die lediglich die Einwilligung nachhalten, sehe ich im Einklang mit dem Urteil keine Opt-In-Pflicht. Hier darf man sich auf berechtigte Interessen berufen. Aber natürlich, es ist eine Frage des Vertrauens gegenüber dem Anbieter.

      1. Hallo Herr Dr. Schwenke,

        vielen Dank für die Informationen!

        Können Sie nochmal erläutern, warum auch Tracking-Tools davon betroffen sind? Im vorliegenden Fall geht es ja um die Problematik, dass ein Social-Media-Plugin eingebunden wurde, wobei durch ein Cookie auch das Tracking durch den Drittanbieter möglich wurde. Dies kann der Nutzer so nicht erwarten und weder der Drittanbieter noch der Websitebetreiber können sich auf ein ausreichend großes berechtigtes Interesse stützen, oder? Klar, das ist dann auch auf Maps und Videos übertragbar, wenn Cookies eingesetzt werden.

        Beim Tracking ist der o.g. genannte Nebeneffekt aber genau das gemeinsame Ziel von Websitebetreiber und Diensteanbieter. Bisher wurde angenommen, dass der Einsatz von Piwik und GoogleAnalytics (in der Basisform und unter Randbedingungen wie Opt-Out und IP-Anonymisierung) sich jedoch auf ein berechtiges Interesse stützen lässt und daher kein Opt-In erforderlich wäre. Warum sehen Sie durch das EuGH-Urteil hier nun eine Änderung?

        Viele Grüße!

  3. Interessant wäre zu wissen, welche Auswirkungen das Urteil auf Peek&Cloppenburg als Beklagten konkret hat. Für eine Abwägung des Risikos sollte man wissen, ob denen ein Bußgeld in nennenswerter Höhe droht.
    Ich finde den zu erwartenden Aktionismus mit Cookie-Bannern sehr bedauerlich. Schon jetzt führen die Teile nicht zu erhöhter Transparenz oder besserem Datenschutz. Wie bei AGB und Lizenzvereinbarungen klickt der unbedarfte Webnutzer einfach alles weg. Die technischen Details – selbst wenn sie „in einfacher Sprache“ vor dem Transfer jeglicher Daten kommuniziert werden – sind für einen großen Teil der Webnutzer nicht verständlich.

  4. Hallo, und danke für den guten Artikel!
    Ich habe das Urteil noch nicht lesen können. Wie sieht es denn mit den « Teilen »-Buttons von Facebook aus? Sind die auch betroffen? Oder nur die Like-Buttons?
    Herzliche Grüße,
    Kira

  5. Lieber Hr. Dr. Schwenke,
    gilt der Cookie-Banner auch für Session-Cookies, die zum Betrieb eines Logins oder Warenkorbs technisch notwendig sind?
    Beste Grüße,
    Michael

  6. Hallo Mitleidende,
    wenn ich mal zusammenrechne was mich die EU-Entscheidungen in den letzten Jahren gekostet hat wird mir ganz schlecht. Ein Shop und eine WP-Seite haben mich inzwischen so viel Geld gekostet, dass ich damit hätte in den Urlaub fahren können, Malediven mit der Familie wären sicher drin gewesen.
    Kann denn niemand diesen Wahnsinn stoppen? Ich dachte alle wollen die Digitlisierung vorantreiben und die Bürokratie minimieren?! Ich stelle fest, das Gegenteil ist der Fall!

  7. Hallo Herr Dr. Schwenke,
    vielen Dank für die wichtige Information per Newsletter im Hinblick auf die möglichen Folgen des Urteils.
    Wie sieht es denn mit der Einbindung von Google-Maps aus. Besteht hierfür nun auch eine Cookie-Opt-In-Pflicht?
    Viele Grüße, Katrin

  8. Lieber Dr. Schwenke,
    ist für die Einbindung von Google Maps ebenfalls ein Cookie notwendig? Das Kartenmaterial wird ja bereits mit dem Besuch geladen und bereitgestellt?

    1. Der EuGH hat jetzt die zentralen Fragen entschieden, das Endurteil muss aber das OLG Düsseldorf fällen. Das kann theoretisch auch berechtigte Interessen statt einer Einwilligung für ausreichend halten. Auch wird der EuGH am 1. Oktober noch speziell zum deutschen Cookie-Recht entscheiden. Allerdings ist das nicht, was die Praktiker annehmen. D.h. wenn eine Abmahnung/Bußgeld schon heute ausgesprochen werden würde, würde sie im Ergebnis sehr wahrscheinlich Erfolg haben. D.h. wer kein Risiko oeingehen möchte, der sollte ein Opt-In einsetzen.

  9. Vielen Dank für den umfangreichen Artikel. Das mit der Opt-In Pflicht konnte man ja schon kommen sehen. Ab wann gelten diese neuen Verschärfungen denn? Gibt es da eine Deadline?
    Schließlich gibt es eine ganze Reihe Seiten, die nur auf die Verwendung von alledem hinweisen und ggf. einen Opt-Out anbieten. Das ändert sich ja jetzt nicht über Nacht…

    1. Ich empfehle die Opt-In-Pflicht schon jetzt umzusetzen. Zwar muss das OLG-Düsseldorf noch ein Endurteil sprechen, aber das wird m.E. kaum anders ausfallen. Lt. EuGh muss das OLG prüfen, ob tatsächlich Daten vom Rechner der Nutzer abgerufen werden. Da Social Plugins Daten speichern, wird das OLG kaum eine abweichende Entscheidung treffen können.

  10. Hallo Herr Schwenk,

    im Titel des Beitrags ist von Facebook & Social Media die Rede, im Text selbst werden aber auch die Tracking-Pixel anderer Anbieter angesprochen – betrifft die OptIn-Pflicht nun auch Tools wie Google Analytics? Müsste ich also auch einen Cookie OptIn integrieren, wenn ich lediglich Google Analytics integriert habe?

    Danke und VG
    Johnanna

  11. Lieber Herr Kollege Dr. Schwenke,
    da ich viele Anfragen von Mandanten erhalte, die sich auf Ihren Beitrag beziehen: Vielleicht mögen Sie selbst an dieser Stelle klarstellen, dass der EuGH über eine “Opt-in-Pflicht” für Cookies in dem Fashion ID-Urteil noch gar nicht entschieden hat? Das ist Sache des OLG Düsseldorf. Zwar ist es auch nach meiner Einschätzung ziemlich klar, dass – bei der vom BGH entgegen der Ansicht der Datenschutzkonferenz beabsichtigten richtlinienkonformen Auslegung des TMG – für technisch nicht erforderliche Cookies eine Einwilligung erforderlich sein wird. Offen ist jedoch die Frage, ob entgegen der Auffassung des EDSA und des Generalanwalts beim EuGH auch eine konkludente Einwilligung (z.B. durch informiertes Weitersurfen) ausreicht. Letzteres ist m.E. richtig, weil die insofern einschlägige DSGVO eine ausdrückliche Einwilligung in Gestalt eines Opt-in dafür nicht verlangt. Diese Frage wird uns der EuGH erst in der ausstehenden Planet49-Entscheidung beantworten.
    Besten Dank und freundliche kollegiale Grüße
    Leif Rohwedder

    1. Der EuGH hat aus der RL wie folgt zitiert:

      “Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.”

      Da ein Social Plugin ein Cookie setzt, fällt es m.E. hierunter, da wird auch das OLG wenig dran auszulegen haben. Eine andere Frage ist, ob die RL in Deutschland gilt (lt. Regierung/Datenschutzbehörden wurde sie umgesetzt, bzw. es wurde deren unmittelbare Geltung gesehen; anderseits soll das TMG lt. der DSK nicht gelten). D.h. für eine wirtschaftliche Risikoeinschätzung bleibt ein gewisser Raum, bis der EuGH dann am 1.10 zu Planet49 entscheiden wird.

  12. Das mit dem Facebook Like Buttons ist doch nichts neues und es gibt genügend Alternativen, das richtig (DSGVO-konform) in seine Webseite einzubinden.

    Die Frage und Aussage zu dem Thema, was mir etwas zu kurz kommt ist: Bedarf es ein Opt-in Cookie Banner beim Einsatz der standardmäßigen Implementierung von Google Analytics?

    Laut Artikel klingt das irgendwie nach einem JA aber so leicht geb ich mich damit nicht zufrieden. Die IP-Adressen müssen ja anonymisiert werden, demnach werden doch keine personenbezogenen Daten übertragen? Außerdem kommt noch das berechtigte Interesse hinzu, denn wenn durch einen Cookie Banner vielleicht nur noch 10 % meiner Besucher einwilligen, wie will ich dann noch wirklich meine Seite messen und optimieren?

    Können Sie eine Aussage machen, ob ein Opt-in für genau diesen Fall notwendig ist?

  13. Hallo Hr. Schwenke,
    vielen Dank für die ausführliche Information!
    Meine private Seite wird bei Jimdo gehostet, dort gibts es eine opt in Funktion, die sich für die eigene Seite aktivieren lässt. Dascookie Banner bleibt aber so wie es ist, es verweist bei Weiternutzung der Seite auf die Akzeptanz der cookie Richtlinie. Kickt der Nutzer diese dann an, sieht er dass (bei eingeschalteter opt in Funktion durch den Betreiber) keine cookies gesetzt werden und er diese dann explizit aktivieren kann. Jimdo meint, dass dies genuegen wuerde. Wie sehen Sie das?
    Vielen dank!

  14. Lieber Hr. Dr. Schwenke,

    vielen Dank (mal wieder) für einen sehr informativen Artikel! Mir ist nun klar, dass es ein Optin braucht für Tracking- und Marketing-Cookies. Aber gilt das nur, wenn auf externe Dienstleister zugegriffen wird? Also wenn man z.B. das FB-Pixel setzt oder Google Analytics verwendet? Wenn ich zum Tracking Matomo einsetze und das bei mir selbst gehostet wird – braucht es dann wirklich auch ein Optin – oder reicht wie bislang ein Optout?

    Oder anderes gefragt: möchte der Gesetzgeber vermeiden, dass ungefragt Daten an Dritte weitergegeben werden oder möchte er generell vermeiden, dass überhaupt ungefragt Daten erhoben werden?

    LG

    Christian

    1. Nach der Leseart des EuGH gilt es allgemein, auch bei Matomo, da das Gericht auf dene Datenzugriff auf Geräten der Nutzer abstellt. Außer man vertritt die Ansicht, dass die Cookie-Richtlinie in Deutschland nicht umgesetzt wurde (lt. BReg und Datenschutzbehörden wurde sie jedoch umgesetzt).

  15. Vielen Dank für den interessanten Artikel.

    Im ersten Moment habe ich gedacht, dass wir nun bei uns im Haus akuten Handlungsbedarf haben, da ich verstanden hatte, dass jede Art von Cookie einwilligungspflichtig ist. Durch die Ergänzungen (z.B. hinsichtlich Warenkorb, Login, …) habe ich beim zweiten Mal lesen nun allerdings den Eindruck, dass nur unsere Meinung bestätigt wurde, die wir bei uns im Haus eh schon hatten. Um ganz sicher zu gehen, würde ich mich freuen, wenn Sie sich kurz darauf eingehen könnten. Bei uns ist die Nutzung von Cookies, die Profile bilden, untersagt.

    Wir standen bisher auf dem Standpunkt, dass jede Art von profilbildendem Cookie (mit eindeutiger Geräte oder Nutzer-ID) einwilligungspflichtig ist mit Cookie-Opt-In-Banner. Lediglich Cookies, die anonyme / statistische Daten erfassen und/oder für den Betrieb der Website notwendige Cookies (Warenkorb, Login, …) benötigen keine Einwilligung und hier würde unserer Meinung nach auch weiterhin ein einfaches Cookie-Info-Banner ausreichen und insoweit auch nicht obsolet sein. Teilen Sie diese Meinung im Licht der EuGH-Entscheidung?

    Vielen Dank

  16. Wie sieht es denn jetzt bei Youtube-Videos aus, die über youtube-nocookies.com eingebunden sind? Dann setzt Youtube doch keine Cookies. Brauche ich dann trotzdem ein Cookie-Opt-In-Banner oder gar noch einen Aktivierungs-Button für das Youtube-Video an sich? Oder reicht die Einbindung über youtube-nocookies hier bereits aus?

    1. Meines Wissens wird kein Trackingcookie eingebunden, so dass kein Opt-In erforderlich ist. Ich bin mir jedoch unsicher, ob nicht ein Mediensteuerungscookie gesetzt wird (damit die Abspielposition gespeichert wird). Wobei ich dieses Mediensteuerungscookie als ein notwendiges Cookie betrachten würde (d.h. ein Opt-In wäre nicht erforderlich). Allerdings denke ich, dass Datenschutzbehörden das anders sehen würden. D.h. falls ein Mediensteuerungscookie gesetzt wird, ist ein Opt-In die sicherere Lösung.

  17. Hallo Herr Schwenke,

    sind Sie sicher das der EugH gesagt hat, es gäbe ein Opt in Pflicht für Cookies ? Wenn man das Urteil genau liest, steht da doch nur, dass die Kommission diese Ansicht vertritt, und es darauf ankäme wie der technische Sachverhalt sich darstelle und deshalb müsse das OLG erst die Frage aufklären, usw. So ganz explizit stellt der EuGH die Opt-in Pflicht mE nicht fest. (aber natürlich deutet er dies an)

    1. Der Begriff “Cookie” ist kein Rechtsbegriff (zumal auch andere Funktionswiesen dieser Art mitumfasst sind, wie z.B. digitale Fingerprints). Der EuGH hat aus der RL wie folgt zitiert:

      “Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.”

      Da ein Social Plugin ein Cookie setzt, fällt es m.E. hierunter, da wird auch das OLG wenig dran auszulegen haben. Eine andere Frage ist, ob die RL in Deutschland gilt (lt. Regierung/Datenschutzbehörden tut sie das).

  18. Viele Dank für die tolle Information!
    Zwei Fragen hätte ich:
    1. Google Analytics (GA) arbeitet mit anomyisierten IPs. Braucht man nun auch hierfür Optin statt Optout? Wenn nein, gibt es Fälle, in denen man bei GA Optin brauchen würde, die dann DSGVO-konform wären?
    2. Unsere Email Software kann auch die Besuchsdaten der Kontakte auf der Webseite speichern. Da ich davon ausgegangen bin, dass dies ein Optin benötigt, nutzen wir diese Funktion nicht. Wenn wir z.B. Borlab so nutzen würden wie Sie auf Ihrer Seiet, Herr Dr. Schwenke, wäre diese Funktion dann abgedeckt? Genau genommen ist doch Ihr Borlab zurzeit kein reines Optin, da die Zustimmung vorbelegt ist, oder?

    1. 1. Trotz der IP-Kürzung merkt sich Google Analytics die Nutzer anhand eines pseudonymen Profils/Cookies, ansonsten könnten z.B. wiederkehrende Nutzer nicht erkannt werden. Also ist ein Opt-In eforderlich.
      2. Leider kann ich keine Beratung im Einzefall vornehmen, zumal ich nicht die genaue Funktionsweise kenne. Aber es hört sich an, als ob eine Einwilligung möglich wäre.
      3. Sie können Zustimmen oder Ablehnen – das reicht m.E. für eine echte Wahl aus.

  19. Sie schreiben: „Sobald auf den Geräten der Nutzer Daten gespeichert oder ausgelesen werden, besteht die Pflicht eine Einwilligung einzuholen. Da dies praktisch immer der Fall ist, werden Cookie-Opt-In-Banner zur Pflicht.“

    Wie ist das denn dann mit dem Browser Cache !?? Der speichert ohnehin quasi jede einzelne Seite, die ich abrufe, mitsamt darin enthaltenen Bildern und gleicht beim weiteren Browsen automatisch mit dem Server ab, ob sich die Quelldaten geändert haben, um Doppel-Downloads zu vermeiden. Das ist insbesondere interessant, wenn es sich z.B. um Profilbilder mit individuellen Personen darauf handelt…

    In diesem Fall wäre es für eine Warnung – oder gar ein „Opt-in“ – bereits zu spät, sobald auch nur die Startseite geladen ist.

    Ist das jetzt die endgültige Rückkehr zum Tracking-Pixel ?

  20. Wie verhält es sich denn mit Firmen, wie z.B. meine.
    Firmensitz ist Perú. Die Webseiten unserer Reiseagentur sind natürlich in Englisch, Deutsch und Spanisch vorgehalten.
    In Perú gibt es keine Vorgaben, die DSGVO aus Europa vorzuhalten. Hier gelten eigene Rechtsvorschriften für die Annahme, Datenhaltung und Sicherung bis zurm Wiederruf des Kunden, oder bis die notwendige Nachweiszeit aus Steuergründen (ähnlich wie in D) als Aufbewahrungsfrist abgelaufen ist.
    Meine konkrete Frage hier ist: Ist hier der Einsatz eines solchen Tools rechtlich vorzusehen obwohl wir nicht in Europa ansässig sind?
    Für eine ordentliche Antwort und nachweislicher Begründung wären wir dankbar.

  21. Pingback: NETPROFIT Blog
  22. Sehr geehrter Herr Dr. Schwenke,
    wie sieht es mit Zähl-Cookies von VG-Wort aus, die viele Autoren bei ihren Artikeln eingebunden haben?
    Besteht nun eine Opt-In-Bannerpflicht vor dem lesen jedes Artikels?
    Danke für Ihre Antwort.

  23. Hallo Herr Schwenke,
    wie sieht es denn aus, wenn keine Cookies gesetzt werden. Ist es nötig einen Hinweis einzublenden oder in der Datenschutzerkärung darauf hinzuweisen. Ganz ohne Angaben, dass verunsichert mich etwas?

    Und wie ist es mit den Fonts Awesome Icons? Sind dafür Maßnahmen zu ergreifen, wenn ja welche? In Ihrem Datenschutzgenerator finde ich darüber nichts. Viele WordPress Themes und Pagebuilder verwenden doch Fonts Awesome. Es gibt auch keine Plugins zum deaktivieren. Zumindest konnte ich bisher keines entdecken.

  24. Guten Tag Herr Dr. Schwenke,
    vielen Dank für die ausführliche Information.
    Ich hätte eine Frage zu den Informationen und den benötigten Funktionen innerhalb des Opt-in-Banners. Müssen die einzelnen Cookies aufgeführt und detailliert beschrieben werden, oder reicht eine pauschal Information zu den verwendeten Cookiearten aus? In der Datenschutzerklärung werden bereits die einzelnen Dienste aufgeführt und ein Hinweis auf die damit gesetzten Cookies gegeben. Weiterhin stellt sich mir die Frage, ob dem Besucher die Möglichkeit gegeben werden muss, einzelne Cookies zu aktivierbaren/deaktivierbaren.
    Vielen herzlichen Dank!

  25. Hallo Thomas,
    vielen Dank für diese Ausführungen. Ich muss mit Blick auf das Borlab-PlugIn doch nochmal nachhaken.
    Eine auch von Dir gerne bemühte Quelle, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, präzisiert zum Cookie-Banner wie folgt:
    “Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig”
    vgl.: https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/
    …im Borlap-PlugIn ist aber doch die Zustimmung voreingestellt. Das ist doch dann auch nicht ganz korrekt so, oder?

  26. Auf vielen Seiten, wie z.B. https://www.volkswagen.de werden die Cookies in Kategorien zusammengefasst. Man kann also nicht die einzelen Anbieter/Cookies an-u ablehnen sondern nur die gesamte Kategorie/”Gruppe”, wie z.B. Marketing und alle darin enthaltenden Cookies.

    Da in den Rechtstexten nichts konkret steht, ist diese Einstellung rechtskonform oder muss wirklich jeder einzelnen Anbieter separat aufgeführt werden?

  27. Hallo Herr Dr. Schwenke,

    spannender Beschluss des EuGH bezüglich Tracking und Cookies. Ich als betroffener stehe nun vor der Frage auf was ich bei einem Consent Tool achten muss.
    Analyse und Tracking Tools dürfen erst schießen wenn der Nutzer dem informiert zustimmt. Genauso wie meiner Meinung nach Cookies erst gesetzt werden dürfen, wenn der Nutzer diesen zustimmt.

    Nun stehe ich vor dem Punkt an dem ich unsicher bin ob der Nutzer für jeden Cookie / Tool einzeln zustimmen können muss (wie im Tool, dass diese Website nutzt) oder ob es ausreichend ist Cookies und Tools zu kategorisieren und dann lediglich zu einzelne Kategorien (Marketing / Analyse / etc.) zustimmen zu können.
    Ich vertrete leise die Meinung, dass man jeden Cookie / Tool individuell Zustimmen können muss, da unter anderem verschiedene Drittanbieter unter der Kategorie “Marketing” fallen könnten und lt. DSGVO Einwilligungen nur einen Zweck dienen können.

    Wie stehen Sie dazu?
    Vielen Dank

  28. Sehr geehrter Herr Dr. Schwenke,

    zunächst herzlichen Dank für ihre vielen aufklärenden Blogs.

    Im Klartext bedeutet es also, ich kann immer in die Pflicht genommen werden, wenn ich mit meinem Unternehmen verknüpfte “soziale” Dienste in Anspruch nehme?

    Ganz besonders pikant empfinde ich dann die allseits beliebten Google-Unternehmens-Profile, welche ja quasi “Zwang” sind, sofern man bei Google gefunden werden möchte.

    Bei jeder Rezension, bei welcher Google fröhlich Daten des Nutzers sammelt, bin ich quasi (dem Gesetz nach) zusätzlich haftbar?

    Das Ganze wäre dann an Absurdität kaum noch zu überbieten.

    Herzliche Grüße,
    Bob

  29. Also lieber Dr. Schwenke,

    so gehen Sie mit konstruktiver Kritik um? 1 Kommentar nachträglich löschen + einen zusätzlichen, detaillierten, mit Abhilfe-Tipps als Antwort auf Ihre gestellte Frage an mich dann nicht veröffentlichen??
    Und die gegebenen Hinweise konsequent ignorieren bzw. NULL Reaktion zeigen und ihr sofort gesetztes Tracking-Cookie einfach stehen lassen?!

    Hm. Als Anwalt kann man sich das leisten, da wird man sicher nicht so schnell abgemahnt – das wird schon so sein.

    Wünsche Ihnen viel Glück mit der Vorgangsweise 🙂

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.