Tipps von eRecht24 – Cookie Urteil
Wichtig: Was bedeuten die aktuellen EuGH-Urteile für Cookies, Einwilligung und Google Analytics für Webseitenbetreiber?
- Google Analytics und Cookies vor der DSGVO
- Google Analytics nach der DSGVO
- Tracking-Cookies nach den aktuellen EuGH-Urteilen
- Welche Möglichkeiten für eine Einwilligung empfehlen wir?
- Die Anpassung der Datenschutzerklärung nicht vergessen
- Checkliste für Consent Tools
- Was mache ich, wenn mir keine der Lösungen zusagt?
- Ab wann/bis wann muss die Einwilligungslösung auf Webseiten umgesetzt werden?
- Gibt es denn wirklich keine Lösung ohne Einwilligung?
- Was macht eRecht24?
Es vergeht kaum eine Woche ohne neue Nachrichten zu Cookies, Tracking, Google Analytics und Einwilligungslösungen. Warum hat eRecht24 bisher nicht die EINE einfache und rechtssichere Lösung präsentiert? Weil es diese Lösung leider nicht gibt:
I. Es ist leider rechtlich vieles weiterhin unklar. Und es nutzt Ihnen nichts, wenn Sie jede Woche erneut lesen „Wieder ein neues Urteil, das kaum jemand versteht und praktisch nicht umsetzbar ist“.
II. Weil eRecht24 sich nicht auf Aussagen zur rechtlichen Seite beschränken will, sondern Ihnen Lösungen vorschlagen will, die technisch, wirtschaftlich und praktisch umsetzbar sind.
Rechtlich ist es nämlich ganz einfach: Tracking Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden. Diese Aussage ist juristisch 100%ig richtig. Sie wird den meisten Unternehmen aber praktisch kaum weiterhelfen. Viel wichtiger ist nämlich: Wie können Sie diese Vorgaben überhaupt umsetzen?
III. Weil Änderungen im Bereich Einwilligung, Cookies und Analytics weitreichende Konsequenzen für Unternehmen und Seitenbetreiber haben und diese nicht im Wochenrhythmus umgestellt oder einfach so wieder rückgängig gemacht werden können.
eRecht24 wird den Stand der Entwicklungen auf dieser Seite gebündelt darstellen und aktualisieren.
1. Google Analytics und Cookies vor der DSGVO
Vor der DSGVO war die rechtssichere Einbindung von Google Analytics wie auf dieser Seite beschrieben möglich.
Was Cookies angeht, gab es in Deutschland (aus sehr komplizierten juristischen Gründen, die wir hier nicht erläutern) die Auffassung, dass bei Third Party Cookies ein Opt Out genügt. Man informierte den Nutzer per Cookie-Banner, hat die Cookies aber trotzdem gesetzt. Der Nutzer musste dann irgendwie widersprechen.
Das geht aber nach den letzten EuGH-Urteilen nun nicht mehr.
2. Google Analytics nach der DSGVO
Mit Einführung der DSGVO wurde darauf verwiesen, dass diese Frage erst durch die ePrivacy-Verordnung geregelt wird und sich Webseitenbetreiber bis dahin auf das berechtige Interesse in Art. 6 Abs. 1 lit. f DSGVO zu setzen. eRecht24 sind aktuell aber die ersten Bußgeldandrohungen von Datenschutzbehörden im Zusammenhang mit Google Analytics, Criteo und Double Click bekannt geworden. Es wurden noch keine Bußgelder verhängt. Es handelt sich bisher lediglich um Androhungen von Bußgeldern durch die Bayerischen und Niedersächsischen Datenschutzbehörden.
Auch die anstehende ePrivacy-Verordnung wird Third Party Tracking Cookies nicht mehr unbegrenzt ohne Einwilligung zulassen. Das berechtigte Interesse wird bei Google Analytics also nicht helfen.
3. Tracking-Cookies nach den aktuellen EuGH Urteilen
Es gab in den letzten Wochen mehrere Urteile des EuGH, in der diese Fragen behandelt wurden. Kurz zusammengefasst: Tracking-Cookies dürfen nicht mehr ohne echte Einwilligung der Nutzer gesetzt werden. Dabei ist es wohl egal, ob in den Cookies tatsächlich personenbezogene Daten gespeichert werden oder ob nur anonyme Daten gespeichert werden.
Es sind aber nicht alle Cookies betroffen. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind z.B.
- Warenkorb-Cookies
- Cookies für LogIns
- Cookies die eine Länder- oder Sprachauswahl betreffen
- Cookies, die Consent Tools für die Cookie Einwilligung setzen
Im Wesentlichen geht es bei der aktuellen Diskussion also um Marketing- und Tracking Cookies. eRecht24 empfiehlt deshalb, Google Analytics & Co. nur noch mit vorheriger Einwilligung über ein Consent Tool einzusetzen.
4. Welche Möglichkeiten für eine Einwilligung empfiehlt eRecht24?
Borlabs Cookie
Wenn Sie mit WordPress arbeiten und ein PlugIn nutzen wollen, wird das Tool Borlabs Cookie empfohlen.
Consent Management Provider (CMP)
Das Tool „Consent Management Provider“ funktioniert ebenfalls unabhängig von einem bestimmten CMS. Es gibt eine kostenlose Variante für bis zu 10.000 Page Views/ Monat.
5. Die Anpassung der Datenschutzerklärung nicht vergessen
Wenn Sie die hier vorgestellten Tools nutzen, dann müssen Sie auch Ihre Datenschutzerklärung anpassen.
6. Checkliste für Consent Tools
- Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein
- Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken
- Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden
- Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein
- Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden
- Stellen Sie Ihr Consent Tool in Ihrer Datenschutzerklärung dar
7. Was mache ich, wenn mir keine der Lösungen zusagt?
Egal ob aus technischen, wirtschaftlichen oder rechtlichen Überlegungen:
Wenn Sie keine Lösung auf dem Markt finden, die ihren Ansprüchen gerecht wird bleibt nur, eine Lösung für Ihre Webseiten und Dienste selbst entwickeln zu lassen.
8. Ab wann/bis wann muss die Einwilligungslösung umgesetzt werden?
Das aktuelle EuGH Urteil (Werbeeinwilligung Planet49) vom 01. Oktober 2019 entscheidet den ursprünglichen Fall nicht, dieser geht erst einmal zurück zum BGH. Genau wie der EuGH-Fall zum Facebook Button (Fashion ID) erst einmal zurück zum OLG Düsseldorf geht.
Aber: Die deutschen Gerichte werden sich in ihren Urteilen an die Vorgaben des EuGH halten. Und die Datenschutzbehörden werden wohl ebenfalls dieser Auffassung folgen.
Deswegen gibt es hier keine festen Fristen für die Umsetzung. Sie sollten sich aber nicht zu viel Zeit lassen, da seit dem 01. Oktober 2019 die Meinung des EuGH (zumindest teilweise) klar ist.
Nur teilweise deshalb, weil das gesamte Urteil des EuGH Urteils zu Cookie Einwilligungen erst in einigen Tagen im Original vorliegen wird.
9. Gibt es denn wirklich keine Lösung ohne Einwilligung?
Doch. Aber mit viel händischem Aufwand und nicht ohne juristisches Risiko.
So ist zum Beispiel eine Frage, ob Tracking ohne Einwilligung etwa über lokal eingebundene Dienste wie Matomo weiter möglich ist. Oder ob die EuGH-Urteile auch einen Dienst wie eTracker betrifft, der aktuell davon ausgeht, dass für das Tracking keine gesonderte Einwilligung nötig ist.
Hinzu kommen dann aufwändige händische Lösungen für Ihre Seite bzw.
Ihr individuelles CMS, die die eine ungefragt Datenübertragung durch die
unzähligen Tools und PlugIns auf Webseiten einzeln verhindern. Ein
Beispiel, wie die Umsetzung dann für eine WordPress-Seite aussehen kann,
finden Sie hier:
https://raidboxes.de/dsgvo-wordpress-technische-massnahmen/
10. Wie geht eRecht24 mit diesen Themen um?
- Es wurden Dienste entfernt, die ungefragt auf Nutzerdaten zugreifen.
- Was Social Media, Likes und Shares auf Facebook, Twitter, LinkedIn, Xing & Co. angeht, wird das eigens entwickelte Safe Sharing Tool genutzt. Hier werden beim „Betreten“ der Webseite keine Daten an die Social Media Plattformen übertragen.
- Im Bereich Tracking wird Google Analytics aktuell nicht geutzt.
- eRecht24 prüft, ob die Lösung von eTracker perspektivisch auch ohne Einwilligung nutzbar ist.
- Für die Dienste, die eine Einwilligung benötigen, wird eRecht24 die Lösung von Usercentrics einsetzen.
Quelle: https://www.e-recht24.de/artikel/datenschutz/11648-eugh-urteil-cookies-einwilligung.html