Likes und Tracking-Cookies – das neue EuGH-Urteil

Likes und Tracking-Cookies – das neue EuGH-Urteil

Das jüngste Urteil des Europäischen Gerichtshofs vom 29. Juli 2019 hat hohe Wellen geschlagen – und viele Webseiten- und Fanpage-Betreiber erneut verunsichert. Denn es geht um wichtige Features von Internetseiten: Gefällt mir-Buttons und Cookies.

  • Die Facebook-Likes sind beliebt, um Eigenwerbung zu betreiben. Bisher gingen die meisten Webmaster davon aus, dass Facebook allein für eventuelle Datenschutzverstöße verantwortlich ist. Diese Ansicht dürfte jetzt überholt sein.
  • Ohne Cookies läuft bei den meisten Webseiten überhaupt nichts. Die DSGVO hat dafür gesorgt, dass heute fast jede Website zumindest einen Hinweis auf die Verwendung der kleinen Textdateien enthält. Der EuGH hat die Anforderungen daran erhöht.

Das Urteil auf den Punkt gebracht

Zwei Punkte dieser Entscheidung sind besonders wichtig. Sie sollten alle Webseitenbetreiber aufmerken lassen:

  1. Der Einsatz von Tracking-Cookies ist nur dann legal, wenn dem User vor der Nutzung einer Site eine klare Einwilligungs- oder Ablehnungsmöglichkeit gegeben wird. Ein schlichtes Cookie-Banner, das lediglich auf den Cookie-Einsatz hinweist, reicht dafür nicht aus.
  2. Nicht nur Facebook haftet für die Datenschutz-Konformität von Like-Buttons (Gefällt mir), sondern auch der Website-Betreiber, der diese Buttons einsetzt.

Die Entscheidung der Luxemburger Richter ist insbesondere für Webmaster interessant, die bisher keine Marketing-Cookies (zum Beispiel für Werbung) eingesetzt haben, aber auf die kleinen Like- und Share-Buttons der sozialen Netzwerke nicht verzichten wollten.

Zusätzlich hat der EuGH noch einmal klargestellt, dass Verstöße gegen diese Grundsätze abgemahnt werden können. Zum Beispiel von Wettbewerbsverbänden, die für ihre Mitglieder tätig sind. Das kann viel Geld kosten.

Was ist eine Abmahnung?

Eine Abmahnung ist die Aufforderung, ein bestimmtes wettbewerbswidriges Verhalten zu unterlassen. Die Abmahnung vermeidet zwar zunächst den Rechtsweg, sie ist aber in der Regel mit einer Unterlassungserklärung und mit hohen Abmahnkosten verbunden.

Likes und Shares: Was ist jetzt zu tun?

Social Plugins sind beliebt. Denn sie haben die Funktion einer Empfehlung – und führen somit zu mehr Feedback und mehr Traffic. Allerdings sind die kleinen Like-Buttons von Facebook so konzipiert, dass sie bereits beim ersten Aufruf einer Seite Daten senden. Dazu gehören zum Beispiel die IP-Adresse und die Browser-Version des Nutzers. Und zumindest die IP-Adresse gehört nach höchster Rechtsprechung zu den personenbezogenen Daten. Folglich ist die DSGVO einschlägig. Und diese Verordnung, die seit 2018 gilt, stellt an die Betreiber von Websites hohe Anforderungen.

Nach dem Urteil des EuGH sollte jeder Website-Betreiber die DSGVO-Konformität seines Internetauftritts erneut prüfen:

  • Die einfachste Lösung: Löschen aller Share- und Like-Buttons.
  • Wer nicht auf die werbewirksamen Facebook-Tools verzichten möchte, muss den User (vor Nutzung der Website) auf den Einsatz der Buttons hinweisen und ihm vorsichtshalber eine echte Einwilligungsmöglichkeit bereitstellen.

Das Erfordernis der aktiven Einwilligung für Likes und Shares ist selbst unter Medienrechtlern umstritten, die sich mit dem neuen EuGH-Urteil auseinandergesetzt haben. Die Luxemburger Richter haben diese Frage offengelassen. Das Düsseldorfer Oberlandesgericht, das sich mit dem Fall erneut beschäftigen muss, wird diese Frage vielleicht klären. Bis dahin kann es nicht schaden, auf Nummer sicher zu gehen und den Usern eine Auswahlmöglichkeit zu geben. Zum Beispiel mit der sogenannten Zwei-Klick-Lösung. Sie bewirkt, dass der Like-Button zunächst nur als funktionsloses Bild zu sehen ist. Erst ein freiwilliger Klick durch den Seitenbesucher lädt dann den echten Gefällt mir-Button auf die Seite.

Wie sieht ein rechtskonformes Cookie-Banner aus?

Die Unsicherheit der Webmaster ist seit der Einführung der DSGVO groß. Viele Anbieter von Codes für die Einbettung von Cookie-Hinweisen auf der eigenen Website tummeln sich auf dem Markt. Sie kommen nicht nur in diversen Designs daher, sondern unterscheiden sich auch in ihren Inhalten. Welche Eigenschaften muss ein Cookie-Hinweis enthalten, der der DSGVO und dem neuen EuGH-Urteil entspricht?

  • Ein bloßes Banner oder ein Pop-Up, das lediglich auf die Nutzung der Cookie-Technologie hinweist, reicht nicht aus. Auch dann nicht, wenn der User aufgefordert wird, die Website bei Cookie-Ablehnung nicht zu benutzen. Denn die bloße Unterlassung der Benutzung stellt eben keine eindeutige rechtliche Erklärung dar.
  • Der Hinweis muss bereits vor der ersten Datenerhebung erscheinen. Die Website (beziehungsweise der Code-Teil für das Banner) muss so programmiert sein, dass die Erhebung der Daten erst mit der Zustimmung durch den Nutzer beginnt.
  • Reine Cookie-Banner sind deshalb nicht ausreichend. Webmaster sollten auf sogenannte Consent-Tools zurückgreifen (Consent = Einstimmung, Zustimmung).

Im Internet findet sich eine Vielzahl von Consent-Tools, die man mittels copy and paste in die eigene Website integrieren an. Bei der Auswahl dieser Codes ist es wichtig, auf die drei oben genannten Punkte zu achten.

Opt-In oder Opt-Out?

Nach dem Urteil des EuGH ist für den Einsatz von Tracking-Cookies eine Opt-In-Erklärung des Users erforderlich. Eine Opt-Out-Lösung ist daher nicht mehr ausreichend. Aber was ist der Unterschied zwischen diesen beiden Verfahren?

  • Opt-Out: Der Betreiber der Website geht von einem Einverständnis des Users aus, solange dieser nicht widerspricht.
  • Opt-In: Der User gibt ein explizites Einverständnis. Er erklärt aktiv sein Ja, zum Beispiel mittels eines Klicks.

Mit der Opt-In-Lösung ist man als Website-Betreiber jedenfalls auf der sicheren Seite.

Fazit

Das Urteil nimmt alle Webseitenbetreiber für die Integration von Social Plugins in die Verantwortung. Das erscheint auf den ersten Blick ungerecht. Die Logik hinter dieser Argumentation: Facebook möchte Daten zu Zwecken der Werbung erheben, die Betreiber der einbindenden Website möchten mit den Gefällt mir-Buttons ihr Geschäft fördern. Dies ist nach der Rechtsprechung ein gemeinsamer Zweck. Und diese auf ein ähnliches Ziel gerichteten kommerziellen Zwecke rechtfertigen eine gemeinsame Haftung. Das ist schwer nachvollziehbar – schließlich entscheidet Facebook allein über Art und Ausmaß der Datenerhebung. Aber ganz gleich, wie man zu dieser juristischen Argumentation steht: Als Webseitenbetreiber darf man sich keinem Abmahn-Risiko einsetzen. Es empfiehlt sich deshalb, die bestehende Website rechtssicher zu machen.

Hier können Sie sich über unsere Dienstleistungen zum Thema Datenschutz informieren und uns jederzeit unverbindlich anfragen.

Facebook
WhatsApp
Twitter
LinkedIn
Pinterest