Knowledge Hub

FAQ zum Webinar BGH Urteil

Knowledge Hub Knowledge FAQ zum Webinar BGH Urteil

Nachdem in unserem Webinar mit der international tätigen Wirtschaftskanzlei Bird&Bird zum Thema „BGH zur datenschutzkonformen Einwilligung im Online-Umfeld“ vermehrt Fragen aufkamen, hat unsere Referentin Jana Krahforst, Head of Legal bei Usercentrics, offene Fragen in diesem FAQ für Sie beantwortet.

Die Online Marketing Branche blickt gebannt auf den 28. Mai 2020. Denn der BGH hat angekündigt, an diesem Tag gleich zwei Urteile zu verkünden, die im Online-Umfeld eine große Rolle spielen. Konkret handelt es sich dabei zum einen um die Fallentscheidung zu Planet49. Der EuGH hatte dazu am 01.10.2019 bereits eine Vorabentscheidung getroffen: Vorangekreuzte Kästchen reichen nicht aus, der Nutzer muss aktiv zustimmen. Zum anderen wird das BGH-Urtiel in der Fashion-ID Facebook-Like Sache erwartet.

Ist ein „ Alle ablehnen“ Button rechtlich zwingend?

Es muss grundsätzlich genau so einfach sein die Verarbeitung abzulehnen, wie es ist dieser zuzustimmen. Eine spezielle Regelung die einen Opt-out Button rechtlich vorsieht, gibt es nicht. Doch ergibt sich aus diesem Grundsatz, dass die Möglichkeit die Verarbeitung abzulehnen dem Nutzer zur Verfügung gestellt werden muss. Es sollte nicht mehr Aufwand notwendig sein als für die Erteilung der Einwilligung.

Verhindert das Overlay nicht, dass der Nutzer auf Datenschutz oder Impressum klicken kann?

Nein, das Overlay muss immer so platziert sein, dass der Nutzer weiterhin Zugriff auf Datenschutzerklärung, AGB und Impressum hat.

Funktioniert Google Ads überhaupt noch, wenn der Cookie erst nach Einwilligung gesetzt wird?

Ja, die Setzung des Cookies erst nach Einwilligung ändert nicht die Funktion des Services.

Wie sind Analytics Nutzungen ohne Cookie Gebrauch zu verurteilen? Ist hier ebenso eine Einwilligung notwendig?

Es kommt darauf an, wie man an die Daten technisch rankommt. Wird eine Technologie auf dem Endgerät des Nutzers gesetzt und diese sammelt Daten, dann greift Art. 5 III ePrivacy-RL ein. Danach ist für alle Technologien, die nicht notwendig für die Funktion der Seite sind, eine Einwilligung erforderlich. Werden Daten auf andere Weise erhalten, dann greift die DSGVO und die Sammlung kann evtl. auf dem berechtigten Interesse des Anbieters basiert werden. Es kommt hier immer auf die Eingriffsstärke an, ob man die Verarbeitung auf ein berechtigtes Interesse basieren kann oder nicht. Ist der Eingriff nicht zu stark, ist eine Einwilligung nicht unbedingt notwendig, es kann mit einem berechtigten Interesse argumentiert werden. Ist also ein technisches Mittel notwendig, welches auf dem Endgerät des Nutzers platziert wird, dann ist streng eine Einwilligung notwendig. In den restlichen Fällen ist immer eine Einzelfallabwägung notwendig.

Sehen Sie einen rechtlichen Unterschied zwischen dem Tracking durch Google Analytics und durch Matomo (self-hosting)?

Rechtlich gibt es keinen großen Unterschied. Der bloße Unterschied könnte bei der Userakzeptanz liegen. Webseitenbetreiber bleiben Eigentümer der Daten unabhängig davon, wo sie gespeichert werden. Es sollte keine Privilegierung von on-premise Lösungen und eine Benachteiligung von Cloud Lösungen geben. Google LLC/Alphabet Inc. wird bei der Nutzung von Google Analytics nicht Eigentümer der Daten, er verbleibt weiterhin bloß Data Processor, wenn dies so durch eine Auftragsverarbeitungsvereinbarung geregelt wird.

Ist es zulässig, den Zugriff auf die Website zu verweigern, wenn der Nutzer keine Entscheidung getroffen hat?

Cookie Walls sind nicht erlaubt. Bei einer Ablehnung der Verarbeitung darf dem Nutzer der Zugriff auf die Website nicht verweigert werden. Rechtlich wurde der Fall des Nichtentscheidens nicht geregelt. Der Zugang darf nicht von der Zustimmung abhängig gemacht werden und aus der fehlenden Zustimmung darf kein Nachteil erfolgen. Wird einem Nutzer der Zugriff verweigert, weil keine aktive Zustimmung erfolgt, stellt dies für den Nutzer einen Nachteil dar.

Kann man anstelle eines Ablehnen-Buttons einen „Einstellungen ändern/ablehnen“-Button anbieten? 

Grundsätzlich spricht nichts gegen diese Option, da nicht genau vorgegeben wird, wie man ablehnen muss. Doch wird vorgegeben, dass das Ablehnen so einfach sein muss wie das Zustimmen. Es besteht also die Gefahr, dass diese Funktion nicht als gleichwertig angesehen wird, da man erst auf einer zweiten Ebene entscheidet, ob man ablehnt und die Ablehnung somit nicht genau so einfach erfolgt, wie die Einwilligung.

Wie verfahre ich, wenn der User sich beim Besuch der Seite nicht entscheidet und die Cookies auf der Seite weder akzeptiert noch ablehnt?

Eine Nichtentscheidung steht weder der Einwilligung noch der Ablehnung gleich. Das Weitersurfen oder ähnliches Verhalten kann nicht als konkludierte Einwilligung gesehen werden. Somit dürfen keine Cookies gesetzt werden, welche einer Einwilligung bedürfen.
Finden Sie die Beantwortung einiger im Webinar gestellter Fragen auch in unserem online Video des Webinars. 
Erste Untersagungsanordnung wegen Google Analytics Google Analytics Usercentrics - Die aktuellen Guidelines des EDSA zur DSGVO-konformen Einwilligung Die aktuellen Guidelines des EDSA zur DSGVO-konformen Einwilligung