Die EU-DSGVO und Cookies & Social Plugins

In der EU-DSGVO taucht das Wort "Cookie" im Text der neuen DSGVO nicht ein einziges Mal auf! Für alle Webseitenbetreiber bedeutet das, dass ab Mai 2018 die allgemeinen Grundsätze über die Erhebung von Daten anzuwenden sind.

Die Daten, die über einen Cookie vom Webseitenbesucher gesammelt werden, weisen in aller Regel einen Personenbezug auf, da sie sich (mit etwas Aufwand) einer bestimmten Person zuordnen lassen. Ergo: Für das Sammeln solcher Daten ist unter anderem Voraussetzung, das:

  • die betroffene Person ihre Einwilligung gegeben hat
  • die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist
  • die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
  • die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betreffenden Person zu schützen
  • die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt
  • die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortli­chen oder eines Dritten erforderlich ist

Für Cookies in Frage kommt vor allem die Variante "Einwilligung". Dies kann etwa in Form einer schriftlichen bzw. elektronischen Erklärung erfolgen. Dies könnte etwa durch das An­klicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl von Browser-Einstellungen oder durch eine andere Erklärung geschehen, mit der die betroffene Person eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezoge­nen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar! Wird die betroffene Per­son auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Ein­willigung gegeben wird, erfolgen. Praktikabel für Webseitenbetreiber ist daher die bereits jetzt gängig Praxis, Cookie-Banner zu verwenden, die über eine nicht vorangehakte Abhakbox arbeiten. Ob sie die Nutzung einer Internetseite "unnötig unterbrechen" wird die zukünftige Rechtssprechung noch zeigen.

Wie bislang auch muss der Betroffene natürlich informiert werden, in was er einwilligt. Vor seinem Mausklick muss also bekannt gegeben werden, wer genau die Daten erhebt, speichert und nutzt, aus welchem Grund dies getan wird und dass der Internetuser ein Widerrufsrecht hat.

Inwieweit auf eine Einwilligung verzichtet werden darf, weil der Webseitenbetreiber die Daten der Besucher zur Wahrung seiner berechtigten Interessen sammelt, bleibt abzuwarten. Möglicherweise hilft aber schon ein Ausblick auf die kommende neue e-Privacy-Verordnung.

Was sagt die e-Privacy-Verordnung?

Die EU-DSGVO kommt nicht allein daher - das war zumindest mal der Plan! Die EU-DSGVO wird künftig (vermutlich ab 2019!) begleitet von der e-Privacy-Verordnung, die dann ebenfalls unmittelbar in allen EU-Staaten gelten wird. In Bezug auf die Verwendung von Cookies hat die EU-Kommission einen Informationsüberschuss sowie eine Ermüdung von Verbrauchern hinsichtlich der Zustimmung solcher Dienste anerkannt. Da hilft auch die beste Klausel nichts.

In der Verordnungsbegründung wird daher folgender Ansatz verfolgt: „Dank der Zentralisierung der Einwilligung in einer Software wie den Internet-Browsern und der Aufforderung an die Nutzer, ihre Einstellungen zur Privatsphäre zu wählen, sowie dank erweiterter Ausnahmen zu den Einwilligungsvorschriften in Bezug auf Cookies könnte ein beträchtlicher Anteil der Unternehmen auf Cookie-Banner und -Hinweise verzichten, was möglicherweise erhebliche Kosteneinsparungen und Vereinfachungen mit sich bringen würde.“

Das bedeutet: Obwohl eine Zustimmung beim Einsatz von Cookies weiterhin erforderlich sein wird, sollen Verbraucher künftig über ihre Browser-Einstellungen anstatt über Banner ihre Einwilligung zu Cookies oder anderen Tracking-Tools erteilen. Für Anbieter gezielter Online-Werbung könnte es dadurch schwieriger werden, die Einwilligung zu erlangen, wenn ein großer Teil der Nutzer Einstellungen wählt, bei denen Cookies von Dritten abgewiesen werden. Wir werden den Gang der neuen Verordnung weiter verfolgen und natürlich in unseren News zeitnah vorstellen.

Social Plugins

Datenschützer kritisieren fast alle Social Plugins scharf. Alle Webseitenbetreiber, die Page-Plugins im Einsatz haben, haben deshalb laut der aktuellen Rechtsprechung (LG Düsseldorf, Urteil vom 09.03.2016, Az.: 12 O 151/15) wohl eine Aufklärungs- und Einwilligungspflicht gegenüber den Besuchern. Dies nicht nur innerhalb der Datenschutzerklärung, sondern schon bevor die Daten überhaupt erhoben werden. Ergo: Webseiten dürfen den "Gefällt mir“-Button gar nicht ohne ausdrückliche - vor Einlass auf die Webseite - erfolgte Einwilligung auf ihren Webseiten integrieren. Ob Ausweichmöglichkeiten wie die 2-Klick-Lösung oder der Shariff-Button des Rätsels Lösung sind, kann nicht mit Sicherheit gesagt werden. 

Weniger als ein Jahr später wusste auch das OLG Düsseldorf keine Lösung und legte den Rechtsstreit dem EuGH vor. Bisher gibt es jedoch noch keine Entscheidung. Dass diese noch vor Inkrafttreten der neuen EU-DSGVO erwartet werden kann, ist nicht garantiert. 

Die EU-DSGVO zielt darauf ab, die Datenschutzvorschriften anzupassen auf eine digitale Welt. Ausdrückliche Erwähnung finden die Plugins aber im Verordnungstext nicht. Wohl oder übel werden daher die allgemeinen Grundsätze nun auch auf die Social Plugins übertragen werden müssen.

Konkret bedeutet das: Personenbezogene Daten von Internet-Nutzern dürfen nur verarbeitet werden, wenn der Betroffene darin einwilligt oder eine andere gesetzliche Grundlage besteht. Dass Daten über ein Plugin abgefangen und an unbekannte Server bzw. US-Server weitergeleitet werden, unterliegt daher einer der folgenden Voraussetzungen:

  • die betroffene Person hat ihre Einwilligung gegeben
  • die Verarbeitung der Daten ist für die Erfüllung eines Vertrages erforderlich
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betreffenden Person zu schützen
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortli­chen oder eines Dritten erforderlich

Die unteren vier Voraussetzungen lassen sich kaum auf die Datennutzung durch Social Plugins anwenden, da Like-Button & Co. weder zur Erfüllung eines Vertrages notwendig sind, noch zur Erfüllung einer rechtlichen Verpflichtung. Erst recht geht es nicht um den Schutz lebenswichtiger Daten oder gar um die Wahrnehmung öffentlicher Interessen.

Auch ein berechtigtes Interesse wird man kaum erschließen können. Beispiele für eine Datennutzung ohne Einwilligung, aber mit "berechtigtem Interesse" können sein: die Betrugsbekämpfung, die Verbesserung der IT-Sicherheit, Direktmarketing oder die Durchsetzung von Ansprüchen (z.B. Forderungen). Social Plugins können unter diese "berechtigten Interessen" jedoch nicht fallen!

Ergo: Social Plugins werden also rein zwangsläufig auf professionellen Seiten zumindest der verantwortungsbewussten Firmen bald verschwunden sein.

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • dekabank.gif
  • 1_LOGO_Avalara.jpg
  • netcologne.gif
  • 1_LOGO_FARSITE.png
  • NXP.png
  • 1_LOGO_SSH.png
  • Postbank.jpg
  • dlr.png
  • BAYER.png
  • Tsystems.gif
  • 1_LOGO_SEMATICON.png
  • idRoboTica.png
  • AIRBUS.png
  • VOESTALPINE.png
  • ASKLEPIOS.png
  • tuev-nord.jpg
  • 1_LOGO_VARONIS.png
  • DEUTSCHE_BANK.png
  • 1_LOGO_VEEAM.png
  • hvb.jpg