· 

Like Button, Cookie Opt in und gemeinsame Verantwortung

Der EuGH Europäische Gerichtshof hat sich zu Wort gemeldet. Es ging um den „Gefällt mir Button“ von Facebook, aber auch um die Social Plugins auf Websites im Allgemeinen. Auch eine Entscheidung zum Cookie-Opt-In, die man bei dieser Gelegenheit gleich noch „unauffällig“ dazu gepackt hat. Was müssen Websitebetreiber jetzt beachten?

Fotolia 50542675 von Daniel Ernst
Fotolia 50542675 von Daniel Ernst

Social Share Buttons sind unzulässig


Im Mittelpunkt des Urteils stand ein „Gefällt mir“-Button, der auf einer Website eingebunden war. Und dieser sendete - wie wohl bei allen Internetseiten, die einen „Gefällt mir“-Button verwenden - sofort nach Betreten des Besuchers der Website seine personenbezogenen Daten (IP-Adresse und Browser-String) direkt an Facebook. Dies erfolgte automatisch, also ohne überhaupt auf den Button geklickt zu haben. Noch eine unbequeme Tatsache „obendrauf“? Der Besucher brauchte dafür noch nicht einmal einen Facebook-Account zu besitzen. Ohha – dies ging dann also durch die Gerichtsinstanzen.

 

Hierzu das EuGH: „Der Betreiber einer Website, in der ein „Gefällt mir“-Button von Facebook enthalten ist, ist für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung allein durch Facebook verantwortlich“ (Quelle Pressemitteilung als PDF).
Was bedeutet dies "übersetzt":

  1. der EuGH hat den Umfang der gemeinsamen Verantwortung eingeschränkt
  2. Sie als Betreiber haften in vollem Umfang mit, können aber (Achtung, keine Rechtsberatung!) Facebook hier entsprechend der Aufteilung des Verantwortungsbereich "mit ins Boot holen".  (Genaueres dazu siehe Quelle "datenschutz-generator.de)

 

Welche Lösungswege für den Gefällt mir-Button stehen möglicherweise (Achtung - Konjunktiv!) zur Verfügung:

  1. Radikal-Lösung: Verzicht auf die Einbindung des „Gefällt mir“ Buttons
  2. Opt-In-Lösung: Einbindung der „Gefällt mir“ Buttons bei Sicherstellung, das vor Datenerhebung die Einwilligung, also ein OPT-IN, eingeholt wurde sowie in der Datenschutzerklärung aufgeklärt wurde. Social Plugins dürfen nicht von Anfang an Daten erheben – hierzu muss der Besucher aktiv seine Zustimmung geben.

Leider nur "möglicherweise", denn es gibt das noch ein „Zünglein an der Waage“: 

  • Problematisch ist nun, dass es keinen Vertrag zur gemeinsamen Verantwortung im Hinblick auf Facebook Like-Button gibt. Selbst mit Einwilligung kann also kein datenschutzkonformer Einsatz stattfinden.“ Quelle: www.website-check.de/blog/....
    Was bedeutet dies "übersetzt": da wird nun auch über einen Vertrag gesprochen, der bestimmt vielen so noch nicht bewusst / bekannt war.
  • „Könnte man mit den richtigen Cookie Opt-in’s die Einwilligung zur Datenübertragung noch einholen, sind dem Webseitenbetreiber derzeit bezüglich der gemeinsamen Verantwortlichkeit die Hände gebunden.“ Quelle: regina-stoiber.com/..... 
    Was bedeutet dies "übersetzt: auch wenn Sie ordnungsgemäß den betreffenden Button eingebaut haben, müssen Sie immer noch den Vertrag zur gemeinsamen Verantwortung vorweisen.

Ein erstes Zwischen-Fazit:
Der „Gefällt mir“-Button ist datenschutzrechtlich bedenklich!

Hier wird sicherlich Facebook in Kürze nachliefern und seine Nutzungsbedingungen anpassen – die Entwicklung ist weiter zu beobachten.

Hallo, ich bin Andreas Paersch. Als Marketingberater und DEKRA zert. Fachkraft für Datenschutz unterstütze ich Selbstständige auf dem Weg zu einem nachhaltig erfolgreicheren Marketing. Profitieren Sie von meinen Tipps aus meinem Newsletter (➦ Klicken Sie hier) und kommen Sie in meine exklusive Facebook-Gruppe.


Lese-Erleichterung:
Wer es nicht schafft sich allein durch diese leider trockene Materie  durchzukämpfen oder beim Lesen mehr Fragezeichen als Ausrufezeichen sieht: hier kommt mein HILFE-Angebot.

 

Am Mittwoch, 14. August 2019 findet ein begleitendes "Erklär-Webinar" via ZOOM statt.

Start 19 Uhr / Ende 20 Uhr.

Kostenfrei für meine Kunden sowie die Kunden der Ideenwerkstatt Paersch. Für alle Anderen EUR 12.-- inkl. 19% MwSt.

Anmeldung: kontakt@paersch.com


 

Doch neben dem „LIKEN“ gibt es doch auch ein „TEILEN“?

Damit ist der Unterschied zwischen einem Bewerten und einem reinen Weitersagen gemeint. Wer an dieser Stelle den Unterschied beider Begriffe genauer erklärt haben möchte, möge bitte die juristischen Ausführungen der nachfolgenden Quelle studieren: www.lto.de/recht/....

 

Wäre (leider schon wieder im Konjunktiv..) der TEILEN-Button denn eine Lösung
(Achtung: dies ist keine Rechtsberatung):

  • Einbindung von „datenschutzrechtlich optimierten“ Buttons wie bspw. die Shariff-Lösung (Erläuterung auf heise.de) oder 2-Klick-Lösung und (!) Aufklärung in der Datenschutzerklärung sowie der Möglichkeit der Einwilligung sowie des Widerspruchs
  • Um es nochmal darzustellen: die technische Einbindung des Buttons ist nur ein Teil der Aufgabe! Die Aufklärung in der Datenschutzerklärung der eigenen Website sowie der Möglichkeit der Einwilligung sowie des Widerspruchs gehören immer dazu. Sie müssen demnach Ihre Datenschutzerklärung überarbeiten.

Meine persönliche Bewertung: ob liken oder teilen – diese Buttons kommen mir nicht auf meine Websites, deren Sinn ich "durch die Marketingbrille" betrachtet auch noch nie nachvollziehen kann. Aber diese Aspekte würden jetzt den Rahmen sprengen.

Kleiner Exkurs: Wie hat JIMDO als Provider die Einbindung der Like-Buttons gelöst:

„Wir haben eine Shariff-ähnliche Funktion umgesetzt. Bevor diese Buttons geklickt werden können, muss nun mit dem ersten Klick das Laden der Like-Buttons bestätigt werden.“ Quelle: https://jimdo...


Facebook Fanpage mit Restrisiko

Im EuGH-Urteil wurde neben des "Gefällt mir"-Buttons auch die gemeinsame Verantwortlichkeit bei der Facebook Fanpage nochmal hervorgehoben. Danach ist der Betreiber einer Facebook Fanpage gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. Doch welche Anforderungen sind hierbei zu erfüllen?

 

Aus der aktuellen Recherche ergeben sich folgende Punkte (kein Anspruch auf Vollständigkeit, keine Rechtsberatung!):

  • Binden Sie die die Datenschutzerklärung für Facebook auf der Fanpage und (!) auf der Website ein und halten diese aktuell. Warum auch auf der Website? Wegen der Transparenz und Aufklärungspflicht, denn der Besucher könnte ja von der Website zur Fanpage wechseln wollen.
  • Daraus ergeben sich folgende Handlungsempfehlungen:
    a) Die Datenschutzerklärung für Facebook ist nicht die Datenschutzerklärung für die Website. Sie kann darin eingebunden sein, aber sie beschreibt und erläutert nur die für die Fanpage spezifischen Prozesse.
    b) Prüfen Sie, ob die Datenschutzerklärung so auf zwei verschiedenen Kanälen (Website und Fanpage) eingebunden ist und ob die Texte aktuell sind.
    c) Prüfen Sie, dass die Datenschutzerklärung für Facebook an mindestens zwei Stellen auf der Fanpage eingebaut ist (Feld „Datenrichtlinie“ entfällt, da die Löschung des Feldes durch Facebook angekündigt wurde und schon zum Teil umgesetzt ist).
  • Eine Vereinbarung über die gemeinsame Verantwortlichkeit ist erforderlich. Und dies ist der wahre „Knackpunkt“, denn dies gilt für alle Social Media Plattformen, bei denen Sie „aktiv“ mit Profil / Seiten dabei sind. Doch eine solche Vereinbarung wird aktuell nur durch Facebook angeboten – und diese soll nach der Auffassung von Rechtsanwälten auch noch unzureichend sein in Bezug auf die Anforderungen gemäß Art. 26 DSGVO.

Das Fazit zu den Fanpages: es besteht ein Restrisiko, das es unternehmerisch zu bewerten gilt!

Die Website braucht ein Cookie OPT-IN

Das Urteil des EuGH setzt nun für viele Verwendungszwecke ein Opt-In voraus. Dabei kommt es darauf an, welche Art von Cookies Sie auf Ihrer Website gesetzt haben, also bspw. Analyse-Cookies, Werbe-Cookies oder Cookies für den technischen Betrieb der Seite. Dies gilt es im Einzelfall dann datenschutzrechtlich vor der Integration auf der Website zu untersuchen. Interessante Information am Rande: Deutschland hat die Cookie Richtlinie aktuell noch nicht umgesetzt! Doch, so die Meinung der Rechtsanwälte, wird ein OPT-IN wird immer wahrscheinlicher, sodass man sich darauf einstellen kann. 

 

„Interessant ist – was viele nicht wissen -, dass fast alle Webseiten zwar einen Cookie Hinweis auf Ihrer Webseite haben, dieser aber nicht rechtskonform ist.“
Quelle: https://regina-stoiber.com/.... .

 

Das Fazit zum Cookie-Opt-in:
Hier besteht Handlungsbedarf für Sie als Betreiber Ihrer Website!

Machen Sie eine Bestandsanalyse und setzen Sie entsprechende Maßnahmen um.

Die JIMDO Creator Website braucht ein Cookie OPT-IN

Und wie sieht die COOKIE-Lösung für JIMDO-Websites aus? Da ich aktuell nur Jimdo Creator Websites betreue sowie selbst im Einsatz habe, begrenze ich meine weitere Betrachtung darauf.

 

Die Annahmen der Fallbetrachtung:

  • Nur das Besucherprotokoll ist eingeschaltet.
  • Keine weiteren „Datensammler“ sind auf der Website aktiv, die ein OPT-IN erforderlich machen würden (Achtung: zentrale Annahme für die Fall-Betrachtung! Sollten Sie bspw. andere / weitere Tools auf Ihrer „Homepage“ haben, so wäre dies ein andere Ausgangsbasis, die es genau zu Durchleuchten gilt)
  • Der Betreiber der Website hat kein eigenes Google-Analytics-Konto.
  • Die Anonymisierungsfunktion des Providers ist aktiv (laut Quelltext).
  • Der AV-Vertrag mit dem Provider Jimdo ist vorhanden.

 

Jetzt besteht aber die Forderungen nach einem OPT-IN, denn es werden doch „Daten gesammelt“.
Welche Lösungen bieten sich aktuell?

  • Weg 1: Besucherprotokoll ausschalten oder
  • Weg 2: Besucherprotokoll eingeschaltet lassen und Opt-In Cookie-Option (im Menü aktivieren) oder
  • Weg 3: Besucherprotokoll eingeschaltet lassen und Opt-Out (also alles wie bisher)

 

Meine persönliche Bewertung der Lösungswege (keine juristische Empfehlung):

 

Zu Option 3 „Alles wie bisher“:

Der Betreiber der Website hat einen AV-Vertrag mit dem Provider, der die Besucherstatistik zur Verfügung stellt. Der Betreiber selbst hat keine personenbezogenen Daten in der Auswertung zur Verfügung. Die Daten sind anonymisert. Der Provider JIMDO hat einen AV-Vertrag mit Google für die Besucherstatistik „Google Analytics“. Ein Google Opt-Out kann in der Datenschutzerklärung angeboten werden, sofern in den Einstellungen das Häckchen des Menüs gesetzt ist. 

 

Auf den ersten Blick klingt dies doch recht gut, wenn die personenbezogenen Daten wirklich anonymisiert sind (d.h. eine vollständige IP-Adresse ist nicht rekonstruierbar), müsste doch ein OPT-IN vielleicht nicht erforderlich sein? Die Frage ist aber, ob die IP-Adresse bereits bei JIMDO gekürzt wird oder in voller Länge zu Google übertragen und erst dort am Server gekürzt wird: 

  • „Die durch den Cookie erzeugten Informationen werden an einen Server von Google in den USA übertragen und dort gespeichert. Wir benutzen die Option der IP-Anonymisierung, sodass die IP-Adresse grundsätzlich von Google innerhalb von Mitgliedstaaten der Europäischen Union und in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übertragung in die USA gekürzt wird. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.“ Quelle https://de.jimdo.com/info/datenschutzerklaerung/

Fazit: Option 3 ist keine Lösung

 

Zu Option 2 „OPT-IN einschalten“:

Der Cookie-OPT-IN Banner wird im Menü eingeschaltet. Damit wird die Opt-in Option aktiviert und es kommt nicht automatisch zum Einsatz von Cookies. Jedoch ist das Tracking der Besucher der JIMDO-Website dann ebenfalls deaktiviert. Bitte unbedingt beachten: Die Texte im Cookie-Banner müssen auch noch, rechtskonform (!), angepasst werden. Upps. 

 

Fazit: Option 2 ist keine „mal eben“ umzusetzende Lösung - hier braucht es Zeit und Ressourcen

 

Zu Option 1 „Besucherprotokoll ausschalten“:

Wenn durch das Aktivieren des Cookie-Opt-In-Banners das Tracking deaktiviert wird, kann auch gleich die Besucherstatistik aussgeschaltet werden. Und der Hinweis auf Google Analytics ebenso, weil dieser Datensammler ja nicht mehr auf der Website aktiv ist. 

 

Fazit: Option 1 ist nicht prickelnd, weil dann überhaupt keine Besucherdaten sichtbar sind. Blindflug - keine Aussage über Klicks! Aber  Es bleiben somit nur noch die Plugins der Jimdo-Software aktiv, die zum Betrieb der Website erforderlich sind. Ich setze auf das Entwicklerteam von JIMDO, dass hier bald eine praktikable Lösung angeboten wird.

 

Auch anderer Websites brauchen ein Cookie OPT-IN

Klar. Da ist die WIX-Onlinesoftware, WordPress, u.v.m . Bitte um Verständnis, dass ich dies aus Zeitgründen in einem Folgeartikel unter die Lupe nehme.

Und wie geht es nach dem EuGH-Urteil weiter?

„Was das Urteil im Einzelnen für die aktuelle Rechtslage und die Praxis bedeutet, werden die deutschen und europäischen Datenschutzaufsichtsbehörden in nächster Zeit noch prüfen und konkretisieren“. 

Quelle:  www.ldi.nrw.de/...

 

 

Aaach - dann bleiben wir mal weiter gespannt….

Lese-Erleichterung:
Wer es nicht schafft sich allein durch diese leider trockene Materie  durchzukämpfen oder beim Lesen mehr Fragezeichen als Ausrufezeichen sieht: hier kommt mein HILFE-Angebot.

 

Am Mittwoch, 14. August 2019 findet ein begleitendes "Erklär-Webinar" via ZOOM statt.

Start 19 Uhr / Ende 20 Uhr.

Kostenfrei für meine Kunden sowie die Kunden der Ideenwerkstatt Paersch. 
Für alle Anderen EUR 12.-- inkl. 19% MwSt.

Anmeldung: kontakt@paersch.com



QUELLEN und weiterführende informationen:

 


Freue mich auf Ihre Kommentare:

Kommentar schreiben

Kommentare: 5
  • #1

    Sonja Kleiser (Donnerstag, 08 August 2019 10:02)

    Danke für den hilfreichen Artikel und die gute Übersetzung des doch recht schwer zu verstehenden EuGH-Textes.

  • #2

    Manfred (Donnerstag, 08 August 2019 11:50)

    Danke für Deinen Artikel - jetzt ist vieles klarer geworden.
    Ich würde ja in Dein Webinar kommen, bin leider schon verplant zu diesem Termin.
    Wird es eine Wiederholung geben? (Vielleicht melden sich ja noch andere hier und unterstützen meinen Vorschlag bitte....)

  • #3

    Silvia (Donnerstag, 08 August 2019 14:20)

    Vielen Dank Andreas, für diesen sehr ausführlichen und gut verständlich erklärten Artikel.

  • #4

    Sandra (Sonntag, 11 August 2019 14:23)

    Vielen Dank für diese tolle Zusammenfassung. Macht die trockene Gesetzestheorie besser verständlich. Super Idee es in einem Webinar nochmal zu erklären.

  • #5

    Sonja (Dienstag, 13 August 2019 15:15)

    Tausend Dank für die wertvollen Infos und die Hilfestellung! Nun nach mehr als 10 Jahren Webdesignabstinenz kommen diese Hinweise für mich genau richtig.

    Kunstvolle Grüße aus dem Atelier der Diva