Tod den Cookies oder einfach mal an den Kunden denken

Der BGH (Bundesgerichtshof) hat entschieden, dass bei Zugriff auf Daten im Endgerät des Nutzers (auch, aber eben nicht nur Cookies) eine Einwilligung erforderlich ist. Es geht jetzt nicht mehr (nur) um Datenschutz beziehungsweise die DSGVO! Es geht nicht um eventuelle Bußgelder, sondern um Abmahnungen, die sehr wahrscheinlich und ab jetzt möglich sind.

Die DSGVO ist seit über 4 Jahren in Kraft und seit 2 Jahren gültig. Immer noch wird als externer Datenschutzbeauftragter mit Internetagenturen über die verschiedensten, häufig wenig durchdachten, Einbindungen von externen Scripten und das Setzen von Cookies diskutiert. Teils mit Gültigkeit bis ins Jahr 2266 (Sternzeit 1513,1) oder 9999 (höchste 4-stellige Zahl) ohne begründen zu können, warum dies erforderlich ist. Vieles wird gemacht und auf der Website eingebaut, weil es (einfach) geht und/oder weil alle es so machen. Jedoch nicht, weil es erforderlich wäre!

Aber es wird enger. Bereits seit 2009 höhlt steter Tropfen den „Cookie“. Eigentlich die Daten im Endgerät des Nutzers, was eben auch Cookies sind. (Mehr dazu HIER.)

Jetzt scheint es geklärt zu sein!

Der Europäische Datenschutzausschuss hat in seinem Beschluss am 05.05.2020 veröffentlicht, dass Cookies und andere Trackingmechanismen nur mit ausdrücklicher Einwilligung der Betroffenen eingesetzt werden dürfen.

Die bloße Weiternutzung der Website ist keine Einwilligung und auch die Option, das Tracking zu akzeptieren oder die Seite verlassen zu müssen, sei keine gültige Einwilligung.

Ebenso prüft das „Google-Richtlinienteam“ aktuell Websites auf einen Zustand, den Google für datenschutzrechtlich zulässig hält. Hierbei wird nicht nur die Einbindung der eigenen Tools, sondern auch von anderen Anbietern (wie auch ein eventuelles Cookie Consent-Tool) geprüft. Bei Verstößen droht Google mit der Sperrung des Accounts.   

„Wir haben festgestellt, dass die …… aufgeführten Websites oder Apps nicht unserer Richtlinie entsprechen, weil
•             keine Einwilligung der Nutzer eingeholt wird und/oder
•             nicht genau offengelegt wird, welche Drittanbieter (einschließlich Google) auch Zugriff auf die Nutzerdaten haben, die Sie auf Ihrer Website bzw. in Ihrer App entsprechend den in der Produktoberfläche konfigurierten Google-Einstellungen für Anzeigentechnologie-Anbieter erheben.“

In Deutschland hat nun der BGH in Sachen „Planet49“ am 28.05.2020 entschieden, dass bei Zugriff auf Daten im Endgerät des Nutzers (auch, aber eben nicht nur Cookies) für Zwecke der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung von Telemedien (d. h. Websites oder Apps) eine Einwilligung erforderlich ist.

ACHTUNG: Das ist nun wohl AGB Recht.
Es geht nicht (nur) um Datenschutz beziehungsweise die DSGVO!

Damit geht es nicht um eventuelle Bußgelder, sondern um Abmahnungen, die sehr wahrscheinlich und ab jetzt möglich sind.

Nur in Deutschland ein Problem? Nein, andere Länder sind schon deutlich weiter.

Die irische Aufsichtsbehörde hat am 6. April einen Prüfbericht vorgelegt. In Irland ist es, anders als zum Beispiel in Belgien und Dänemark, ausreichend, wenn es einen „Zustimmen“ und einen „Erweiterte Einstellungen“ Button gibt. Dort braucht es keinen expliziten „Ablehnen“ Button.

Übergreifend Einigkeit besteht aber darin, dass sogenannte *Dark Patterns nicht zulässig sind.

Beispiel für *absichtlich nutzerunfreundliches, manipulatives Design: Ein grüner (sofort ins Auge stechender) JA-Button für "Allen zustimmen" soll dazu animieren, direkt drauf zu klicken. Ein kleiner eher unauffälliger grauer Nein-Button soll dabei in den Hintergrund treten (auf den natürlich nicht draufgeklickt werden soll!) Auch Frankreich hat zu einem solchen Vorgehen verstärkte Sanktionen angekündigt.

Fazit:
Eine Internetseite, die mit externen Scripten und/oder Cookies arbeitet und hierfür eine Einwilligung benötigt (es gibt auch Ausnahmen), muss eine echte Auswahl und Einwilligungsmöglichkeit schaffen.

 

Nachfolgende Beispiele dürfte es dann NICHT mehr geben:

Auch die Variante über sogenannte „Dark Pattern“ die Einwilligung zu „ertricksen“, ist nicht zulässig:

Nachfolgende Einwilligung wäre (mit ein paar Anpassungen im Wortlaut) möglich, sofern keine externen Scripte betroffen sind!

Wichtig:
Die nachfolgende Möglichkeit wäre falsch! Es darf nicht suggeriert werden, dass in erforderliche Cookies/Scripte eingewilligt wird. Über diese Datenverarbeitung muss jedoch in der Datenschutzerklärung informiert werden.

Was ist JETZT zu tun?

  • Bestandsaufnahme: Welche externen Scripte und Cookies werden zu welchem Zweck verwendet? Gibt es Alternativen?
  • Datenschutzerklärung: Haben Sie alle verwendeten externen Scripte, Dienste und Cookies in den Informationen nach Art. 13, 14, 21 DSGVO aufgeführt?
  • Einwilligungsbanner: Wenn es erforderlich ist, holen Sie bei Aufruf Ihrer Website eine Einwilligung der Nutzer zur Verwendung und/oder Weitergabe der Daten ein? Und zwar bevor diese Verarbeitungen stattfinden? Und dokumentieren diese? Gibt es eine Widerrufsmöglichkeit? Die Einwilligung muss vollständig sein, sonst ist es keine!
  • Technische Umsetzung: Werden ohne Einwilligung tatsächlich nur solche externen Scipte geladen, beziehungsweise Cookies (Daten im Endgerät des Nutzers) verarbeitet, die für den Betrieb der Website aus Nutzersicht unbedingt erforderlich sind?

Diese Anforderungen bedeuten, dass ein "Einfach-So-Mal-Machen-Marketing" (wie es bislang häufig war) nicht mehr möglich ist. Der Kunde  rückt deutlich in den Fokus und die korrekte Umsetzung aus Datenschutzsicht ist absolut richtig.

Als Unternehmen müssen Sie natürlich auch wirtschaftlich entscheiden. 

Hier ist es bisher mangels Rechtsdurchsetzung leider so gewesen, dass diejenigen Unternehmen, welche sich datenschutzkonform verhalten haben, massiv benachteiligt waren gegenüber den Unternehmen, die auf nicht datenschutzkonforme Weise (illegal) personenbezogene Daten verarbeitet haben. Was derzeitig zum Beispiel massenhaft beim Tracking der Werbe-Profilbildung und beim Remarketing der Fall ist.

ABER: Es geht jetzt nicht mehr nur um eventuelle Bußgelder der Aufsichtsbehörde, sondern um Abmahnungen durch Verbände und Mitbewerber aufgrund von wettbewerbsrechtlichen Verstößen. Hier sollten Sie entsprechende Rechtsberatung zu Ihrer Internetseite einholen. Wir vermitteln gerne entsprechende Beratungen, auch mit Blick auf Markenrechte, Preisangabenverordnungen und mehr.

ACHTUNG:
Dies gilt ebenso bei einem Tracking für Werbezwecke oder Optimierung der Internetseite mittels Matomo oder anderen Anbietern mit vereinbarter Auftragsverarbeitung. Eine Ausnahme könnte unseres Erachtens die Auswertung der Internetseite (nicht der Besucher) zur Sicherstellung der Funktionalität der Internetseite sein.

 

Die Alternative: Faires Internetmarketing – für den Kunden

Handeln Sie respektvoll. Wägen Sie ab. Betrachten Sie dabei Ihre eigenen Kunden und überlegen Sie deren Risiko auch bei Anreicherung von Werbe-Profilen durch Einbindung vermeintlich kostenloser Tools. Es macht einen Unterschied, ob Sie Jeanshosen verkaufen oder ob Sie über psychiatrische Erkrankungen informieren!

Wäre es nicht vorteilhafter und vertrauenswürdiger dem Kunden zu erklären, was dieser für einen Mehrwert durch die Einwilligung hat?

Nehmen Sie Ihren Kunden in den Mittelpunkt Ihrer Marketingaktivitäten.

Kurz- bis mittelfristig müssen sich Werbetreibende gute und reputative Lösungen überlegen. Marketingaktivitäten wieder neu denken.

Faires Internetmarketing ist hierbei ein guter Ansatz, welches sich in der eigenen Unternehmensstrategie mit Blick auf Corporate Digital Responsibility (CDR) wiederfinden sollte.

Auch der Ansatz der IAB („Interactive Advertising Bureau“) mit dem TCF 2.0, einen Standard in der Branche zu setzen, sollte näher betrachtet werden.

 

Warum kann ein Einwilligungsbanner nicht wie folgt aussehen? Erklären Sie Ihrem Kunden den Nutzen!


Unser Rückruf-Service für Sie.

Haben Sie Fragen zu unseren Dienstleistungen oder wünschen ein Beratungsgespräch? Gerne rufen wir Sie kostenlos zurück. Füllen Sie hierzu lediglich das folgende Formular aus.

Hinweise zur Erfüllung unserer Informationspflichten zur Verarbeitung personenbezogener Daten gemäß Art. 13, 14 DSGVO finden Sie in unserer Datenschutzerklärung .