FAQs: EuGH Urteil – Cookies nur mit Einwilligung

Dieser Artikel basiert inhaltlich auf einem gemeinsamen Webinar, „EuGH Urteil – Cookies nur mit Einwilligung“, von Usercentrics mit der renommierten Kanzlei Freshfields Bruckhaus Deringer (Law firm of the Year Compliance JUVE 2019).

Über die Webinar Referenten:

Dr. Christoph Werkmeister
Data Protection Expert and Principal at Freshfields Bruckhaus Deringer

Lisa Gradow
Co-Founder at Usercentrics

Für eine ausführliche Behandlung aller Punkte verweisen wir auf die Aufzeichnung der Live-Webinare in Deutsch und Englisch. Diese können Sie inklusive Folien jederzeit herunterladen und anhören. Einen Auszug der Webinarinhalte sowie eine Auswahl der am häufigsten gestellten Fragen finden Sie im Folgenden:

• Die Planet49 GmbH bot einen Online-Lotterieservice an.
• Um den Service nutzen zu können, mussten sich die Nutzer registrieren und personenbezogene Daten angeben.
• Das Registrierungsformular enthielt zwei Kontrollkästchen.
• Im ersten Fall wurden die Nutzer gebeten, ein Kästchen anzukreuzen, das es der Planet49 GmbH ermöglicht, ihre Daten an Handelspartner weiterzugeben. Das Ankreuzen dieses Feldes war für die Teilnahme an der Lotterie obligatorisch.
• Das zweite Kontrollkästchen war bereits vorab angehakt und ermöglichte es den Nutzern, die Verwendung von Cookies abzulehnen (durch Entfernen des Häkchens).
• Deutsche Verbraucherverbände behaupteten, dass die eingeholten Zustimmungserklärungen nicht den gesetzlichen Anforderungen entsprachen.

• Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) verschiedene Fragen zum Schutz der elektronischen Kommunikation und des Datenschutzes zur Vorabentscheidung vorgelegt.
• Diese Fragen umfassten unter anderem:
  • ob ein vorab angekreuztes Kästchen eine gültige Einwilligung gemäß der Cookie-Richtlinie sowie unter der DSGVO darstellt;
  • ob es notwendig ist, Informationen über die Dauer von Cookies und Cookies von Dritten bereitzustellen;
  • und ob es einen Unterschied macht, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt.

Vor dem Webinar hat uns ein Interessent zwei konkrete Beispiele von Cookie-Bannern zukommen lassen und uns gebeten, darauf einzugehen, ob diese konform mit dem EuGH Urteil sind. Das Vorgehen fanden wir grundsätzlich eine super Idee und haben uns noch weitere Beispiele rausgesucht, um allgemein aufzuzeigen, was mit dem EuGH Urteil praktisch geht – und was nicht.

Insgesamt haben wir sechs Beispiele im Einzelnen analysiert und auf ihre Konformität geprüft. Dabei zeigte sich: “not all Cookie-Banners are created equal” und der Teufel steckt im Detail.

Laden Sie sich jetzt die Aufzeichnung des Webinars herunter, um die Beispiele zu sehen. Spoiler: das sechste und letzte Beispiel bezeichnet unser Experte von Freshfields als “Gold-Standard”.

Grundsätzlich steht auf eine unzulässige Datenverarbeitung ohne gültige Einwilligung eine Strafe von 4% des jährlichen Umsatzes gemäß Art. 83 DSGVO.

Gerade erst Anfang Oktober hat die spanische Airline Vueling ein 30.000 € Bußgeld bekommen, da der Opt-out für Cookies nicht über die Webseite möglich war.

Das Unternehmen hatte in der Datenschutzerklärung lediglich auf die Möglichkeit hingewiesen, dass der Betroffene Cookies generell über die Browsereinstellungen deaktivieren könne, wenn er der Verwendung von Cookies widersprechen wollte.

Das Bußgeld zeigt, dass die Behörden genau hinschauen und zukünftig auch nicht vor Bußgeldern zurückscheuen werden.

Selbst wenn 30.000 € nicht in die Richtung der 4% des Umsatzes geht, so ist es doch ein schwierig quantifizierbarer Image Schaden in Bezug auf Transparenz und Respekt der Privatsphäre des Nutzers.

Um alle Folien und die gesamten Inhalte einzusehen, können Sie sich jetzt die Aufzeichnung des Live-Webinars herunterladen.

Wir haben außerordentlich viele Fragen von den Live-Webinar Teilnehmern erhalten, von denen wir einige hier schriftlich beantworten möchten. Sollten Sie noch weitere Fragen oder Rückfragen haben, stehen wir Ihnen jederzeit zur Verfügung. (Kontaktdaten siehe unten)

WICHTIG: Die Usercentrics GmbH führt keine Rechtsberatung durch. Die Inhalte dieses Artikels sind nicht als Rechtsrat oder rechtlich bindend zu verstehen. Die Darstellungen entsprechen der Meinung und Interpretation von Usercentrics. Für eine explizite Rechtsberatung zu diesen Themen, empfehlen wir Ihnen, sich an Christoph Werkmeister von Freshfields bzw. Ihren Anwalt zu wenden.

“Granularität: Ist eine granulare (jeder einzelne Cookie) Einwilligung Pflicht? Oder reicht die Einwilligung pro Kategorie (inkl. der detaillierte Info pro Cookies)? Und, darf die Ausfüllung der einzelnen Opt-In-Checkboxen technisch durch einen Button „Alle akzeptieren“ erfolgen, sodass alle Checkboxen gesammelt akzeptiert werden?”

Eine Einwilligung auf Cookie-Ebene erscheint nicht zweckgerecht. Vielmehr sollte ein Opt-in / Opt-out auf Anbieter- bzw. Datenverarbeitungsservice-Ebene möglich sein, also Einwilligung für z.B. Google Analytics oder Criteo. Hintergrund ist, dass teilweise mehrere Cookies von einem Anbieter gesetzt werden, die aber denselben Zweck verfolgen und die auch nur in Abhängigkeit voneinander funktionieren.

Das schließt nicht aus, dass der Nutzer auch auf Kategorie-Ebene gültig zustimmen kann, sofern er pro Kategorie erkennt (z.B. durch ein Aufklappen oder weiteres Pop-up), welche Anbieter darunter gruppiert sind.

Die Gültigkeit des “Alle Akzeptieren”-Buttons ist auch an die Umstände geknüpft. Sofern

• der Banner sich aufklappen lässt und
• sowohl detaillierte Informationen auf Kategorie- als auch auf Betreiberebene einsehbar sind,
• ohne, dass die Webseite bereits besucht werden muss,
• bzw. ohne, dass bereits Cookies gesetzt werden
• und dies entsprechend dokumentiert und nachgewiesen werden kann,

kann davon ausgegangen werden, dass der “Alle Akzeptieren”-Button zu einer gültigen Einwilligung führt.

Weitere Infos zur “Granularität” finden Sie in unserem Artikel zu den 7 Kriterien einer gültigen Einwilligung nach DSGVO.

“Können wir mit einem Cookie Banner Consent für mehrere unserer Websites abfragen, wenn wir alle eingesetzten third-parties aller Websites jeweils auf jeder betreffenden Seite anzeigen?”

Ja, sofern

• die Unternehmen aktienrechtlich oder gesellschaftlich als Unternehmensgruppe verbunden sind und
• die Einwilligung im Banner für die Entität der Gruppe eingeholt wird und
• der Besucher transparent darüber informiert wird, z.B. in dem die weiteren Webseiten mit einem Pop-up aufrufbar verlinkt und als Liste angezeigt werden

(Wenn Sie weitere Fragen zum Thema “Consent Sharing in der Unternehmensgruppe / im Konzern” haben, schreiben Sie eine Email an marketing@usercentrics.com. Wir lassen Ihnen dann ein kurzes anwaltliches Gutachten von einer unserer Partnerkanzleien zu der Fragestellung zukommen.)

“Muss für Youtube oder Google Maps jedes einzelne Video mit einem Banner überdeckt werden, oder reicht eine Einwilligung für ein Video / Karte für alle zukünftigen?”

Eine Einwilligung pro Video-Provider bzw. Karten-Provider insgesamt reicht aus. Es muss nicht bei jedem Video einzeln die Einwilligung abgefragt werden.

“Wie lange muss man Consent Einwilligungen abspeichern?”

Die DSGVO selbst gibt keine Dauer vor. Man muss sich jedoch überlegen, dass man die Einwilligungen dokumentiert, um sich entlasten zu können, falls ein Verstoß vorgeworfen wird. Somit empfiehlt es sich, die Einwilligungen bis zur Verjährung eines eventuellen Schadensersatzanspruches zu speichern.

Rein praktisch kann man sich auch an der ständigen Rechtsprechung zu Double-Opt-ins bei E-mails und Newslettern orientieren.

“Wie genau muss die Dokumentation erfolgen – wer, wann, welchen Cookie bestätigt hat? Wie wird das „wer“ gespeichert? IP-Adresse dürfte rechtlich nicht zulässig sein.”

Grundsätzlich gibt es eine Nachweispflicht für Website-Betreiber. Diese leitet sich aus Art. 7 Abs. 1 DSGVO ab, in dem steht, dass die Einwilligung dokumentiert werden muss. Die Dokumentation ist also eine gesetzliche Pflicht. Um dieser nachzukommen, ist es nötig, gewisse Datenpunkte zu erheben. Wichtig ist, dass diese natürlich nur rein für die Dokumentation der Einwilligung genutzt werden dürfen.

Die IP-Adresse kann erhoben werden, um die Einwilligung entsprechend einem eindeutig identifizierbaren Haushalt bzw. einer Person zuzuweisen. Außerdem um zu ermitteln, aus welchem Land der Besucher kommt, um etwaigen Öffnungsklauseln in den einzelnen Mitgliedstaaten gerecht zu werden. Dies ist z.B. der Fall, wenn es um die Altersgrenze geht, ab wann ein Jugendlicher selbst einwilligen kann und bis wann seine Eltern für ihn einwilligen müssen. um die Einwilligung entsprechend abzulegen.

Auch die Browsersprache kann erfasst werden, um die Einwilligungsabfrage in der richtigen Sprache anzuzeigen, um der Informationspflicht nachzukommen, die Information so einfach wie möglich darzustellen.

Um der Nachweispflicht nachkommen zu können, sollten Einwilligungen durch die Consent Management Platform (CMP) unbedingt sowohl serverseitig als auch auf dem Endgerät des Nutzers abgelegt werden. Das Ablegen der Einwilligung auf dem Gerät des Nutzers ist im Übrigen zulässig, idealerweise nicht unbedingt über einen Cookie, aber z.B. über den localStorage.

Das Papier Orientierungshilfe für Telemedienanbieter der DSK (Konferenz der Aufsichtsbehörden den Bundes und der Länder) sieht auch vor, dass der Verantwortliche zum (ausschließlichen) Zweck der Dokumentation, etwas auf dem Gerät des Nutzers ablegen darf. (Seite 9)

Die Einwilligungen sollten sich per Export aus der CMP in die eigenen Datenbanken transferieren lassen.

“Sehen Sie ihrer Meinung nach mit diesem neuen Urteil Web Analyse Tools wie Google Analytics als Opt-In pflichtig? / Ist für Google Analytics die Einwilligung erforderlich? // Lässt sich der Einsatz von „Google Analytics“ immer noch auf das „berechtigte Interesse“ stützen, wenn in der GA-Property die Funktionen für Werbeberichte aktiviert wurden?”

Bei Google Analytics gehen die Meinungen auseinander und es werden verschiedene Ansichten vertreten. Sehr eindeutig zu Webtracking und insbesondere Google Analytics hat sich am 14.11.2019 der Bundesbeauftragte für Datenschutz und Informationssicherheit Ulrich Kelber in einer Pressemitteilung geäußert:

“Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.”

Ob man sich dagegen stellt, bleibt jedem Websiteverantwortlichen selbst überlassen. Klar ist, dass die Aufsichtsbehörden der Länder dieser Meinung folgen werden und entsprechende Bußgelder verteilen, die dann vor Gericht angefochten werden müssten um sich dagegen zu wehren. Ob ein Gericht das dann anders sieht, ist fraglich. So gesehen, werden viele auf den ersten Google Analytics Präzedenzfall warten. Wann und ob der kommt, wie er dann entschieden wird, ist jedoch nicht vorherzusagen. Auch, ob ein Gericht dann wirklich in die Einzelheiten einsteigt und beispielsweise anonymize_IP berücksichtigt oder sich anschaut, was genau im Einzelfall in der GA-Property aktiviert war, ist fraglich.

Wer kein Risiko eingehen möchte, sollte definitiv eine explizite Einwilligung für Google Analytics einholen.

“Benötige ich bei der Verwendung des Web-Analysedienstes matomo, den ich auf den eigenen Servern hoste und ohne Cookies verwende, eine Einwilligung?”

Eher nicht. Der Eingriff in die Privatsphäre des Nutzers ist vergleichsweise geringer, da die Daten nicht an einen in den USA-ansässigen Anbieter weitergegeben werden. Damit lässt sich die Interessenabwägung zugunsten des Verantwortlichen argumentieren.

Wichtig ist jedoch sicherzustellen, dass die gesammelten Daten dann für keine weiteren Zwecke wie Marketing oder Personalisierung verwendet werden, sondern ausschließlich für die statistischen Reichweitenmessung.

“reCAPTCHA ist eine Technik, die hilft, DDOS Angriffe zu verhindern. Gleichzeitig setzt Google dabei aber ein Cookie – also ein Drittanbieter-Cookie. Eigentlich bräuchte man dafür eine Einwilligung, da Google ja die Daten des Cookies weiterverwendet. Aber eine Einwilligung wäre dann ja nicht freiwillig. Wie ist das zu sehen?”

Eine sehr gute Frage, auf die es keine eindeutige Antwort gibt. Grundsätzlich will die DSGVO, dass berücksichtigt wird, wenn Daten etwa für die Sicherheit erhoben werden. Das bedeutet, dass auch Cookies, die zu Sicherheitszwecken gesetzt werden, gesondert zu bewerten sind.

Neben der Einwilligung wären Art. 6 Abs. 1 lit. d und Art. 6 f DSGVO mögliche Rechtsgrundlagen für reCAPTCHA. Laut Google gilt für reCAPTCHA in jedem Fall auch die EU Consent Policy:

“Welche anderen Google-Produkte fallen unter diese Richtlinie?
Zusätzlich zu den Werbe- und Measurementprodukten wird auch in den Nutzungsbedingungen der Google Maps Platform, der YouTube API-Dienste und von reCAPTCHA sowie in den Richtlinien für Google+ Schaltflächen und für Blogger auf diese Richtlinie verwiesen.”

Da Behörden und Gerichte bei Google-Produkten realistischerweise immer kritisch sein werden, da Google in den USA sitzt, empfiehlt es sich unter Umständen einen anderen CAPTCHA- bzw. DDOS-Schutz-Anbieter (möglichst als first-party) einzubinden und dann eine Argumentation für Art. 6 Abs. lit. d und/oder f DSGVO anwaltlich aufsetzen lassen. Ansonsten sollte man eine CMP einbinden, die es auch ermöglicht reCAPTCHA gekoppelt an die Einwilligung zu aktivieren und deaktivieren.

“Würde man Tools zum A/B-Testing als technisch-notwendig ansehen? Sonst ist die getestete Funktion des Shops ja nicht testbar (bzw. funktionieren nicht) und entsprechend können diese auch nicht bewertet werden.”

Es kommt wohl darauf an, welche Art von A/B-Testing tatsächlich gemeint ist.

Viele A/B-Testing Tools, sind nicht darauf ausgelegt, die technischen Funktionalitäten zu testen, sondern viel mehr darauf, die UI/UX, die Interaktionsrate und die Conversion zu optimieren. Diese Funktionalitäten lassen sich nicht mehr unter technisch-notwendige Funktionen subsumieren.

Was denkbar ist, ist randomisiertes A/B Testing ohne entsprechende Technologien zu setzen. Das heißt, man spielt verschiedene Versionen und Konfigurationen der Website den Nutzern aus und kann dann die Gruppen gegeneinander analysieren sehen. Das ist bei einigen Content Management System möglich, ohne einen Cookies zu setzen.

“Wenn für „notwendige“ Cookies keine Einwilligung eingeholt werden muss, brauche ich dann hierfür überhaupt einen Cookie Banner (Voraussetzung, dass keine weiteren Marketing- oder Tracking Cookies auf der Seite eingesetzt werden)” // “Muss ein Cookie Banner verwendet werden, wenn es NUR funktionale Cookies gibt?“

Es lässt sich argumentieren, dass die Informationspflicht bei Cookies immer besteht. Der Cookie-Banner wäre in diesem Fall dann nur zu Informationszwecken da und muss keinen Einwilligungs-Button enthalten. Es ließe sich wohl auch verargumentieren, dass dieser nach einer bestimmten Zeit automatisiert ausgeblendet werden kann.

Wichtig ist, die Begrifflichkeiten “funktional” und “technisch-notwendig” richtig zu definieren. Während technisch-notwendig recht eindeutig ist und Cookies wie den Warenkorb-Cookie meint, welche nicht unter die Einwilligungspflicht fallen, kann bei funktional schon ein Analyse-Tool wie Google Analytics gemeint sein. In dem Fall muss dann zwingend ein Cookie-Banner gezeigt werden.

“Wie sollte man mit Daten, die bisher generiert wurden – aber nicht im Rahmen eines einwandfreien Consent Managements – umgehen?”

Wenn man es streng nimmt, sollten diese Daten nicht verwendet werden, da es keine gültige Rechtsgrundlage hierfür gibt. Es gab bereits einen Fall in Frankreich, wonach die französische Aufsichtsbehörde CNIL ein Unternehmen unter anderem dazu verpflichtet hatte, sämtliche Daten, die basierend auf ungültigen Einwilligungen erhoben worden waren, zu löschen. (Fall Vectaury)

“Wenn wir bisher Consents in etwas weniger informierten Weise als „Gold Standard“ eingeholt haben, bedeutet das nach diesem Urteil müssen alle Nutzer erneut für Consent gefragt werden?”

Ja.

“Gibt es eine „Schonfrist“ für die Umsetzung eines sauberen Consent Managements oder ist mit zeitnahen Strafen zu rechnen?”

Mit der Einigung auf eine bundesweite Bußgeldtabelle ist auch das regere Tätigwerden von Behörden zu erwarten. Die Bußgeldtabelle wurde im Oktober veröffentlicht.

Wie wird technisch z.B. bei den Tracking-Anbietern sichergestellt, dass tatsächlich erst getrackt wird, nachdem eine Einwilligung erfolgt ist?

Die CMP wird so implementiert, dass andere Skripte, Cookies und Plugins geblockt werden, bis eine Einwilligung über die Aktionsfläche der CMP ausgeführt wird.

Bei Usercentrics funktioniert das so, dass das Usercentrics JavaScript direkt auf der Webseite oder im Tag Manager verbaut wird. Eine genaue Erklärung der einzelnen Schritte finden Sie in unserem Integration Guide.

“Wie steht Usercentrics als BVDW Mitglied zu deren Stellungnahmen zum EUGH Urteil?”

Der BVDW ist der deutsche Ableger des IABs, das technische Framework, welches auch von Google unterstützt wird. Um dieses zu erfüllen, muss man sich vom IAB zertifizieren lassen. Wir betrachten es als hilfreich für unsere Produktentwicklung und damit vor allem für unsere Kunden, sich auch weitgehend in dem Verband zu engagieren, z.B. in relevanten Arbeitskreisen um immer am Puls der Zeit zu sein und die Weiterentwicklung dieses Bereichs mit zu gestalten und beispielsweise unsere praktischen Erfahrungen mit Kunden einzubringen. Die Äußerung des BVDW zum aktuellen EuGH Urteil ist Meinung, die insbesondere darauf eingeht, welche Auswirkungen das Urteil hat. Wir respektieren verschiedene Interpretationen des Urteils und überlassen die finale Entscheidung, wie sie mit einem Urteil umgehen wollen, unseren Kunden. Wir unterstützen bei der Meinungsfindung, indem wir beispielsweise Experten wie Christoph Werkmeister von Freshfields Bruckhaus Deringer zu einem Webinar und Austausch einladen.

“Wer ist rechtlich verantwortlich und damit haftbar für die CMP: der Website-Betreiber (-Inhaber) oder die Agentur, welche die CMP einbindet?”

Rechtlich verantwortlich ist immer der für die Daten “Verantwortliche i.S.d. Art. 4 DSGVO” (eng. Controller). In den meisten Fällen ist das der Website-Betreiber und die Agentur wird im Auftrag tätig und folgt den Weisungen.

Allerdings kann es durchaus sein, dass die Agentur in einigen Fällen nicht nur Auftragsverarbeiter ist, sondern sogenannter “gemeinsamer Verantwortlicher”. Dies ist laut Gesetz dann der Fall, wenn die Agentur maßgeblich darüber bestimmt, mit welchen Mitteln, die Daten erhoben und wie sie verarbeitet werden. Beispielsweise wenn man bei der Agentur den gesamten Bereich Analytics einkauft, und die Agentur bestimmt, welche Tools man verwendet und wie die Daten im weiteren Verlauf ausgewertet werden, wie sie in andere Tools einfließen, etc., dann besteht wahrscheinlich eine gemeinsame Verantwortlichkeit.

Auf die CMP bezogen, kommt es auch darauf an, ob die Agentur eigenständig handelt, oder nur Anweisungen des Website-Betreibers ausführt. Der Website-Betreiber kommt aber nie aus der Verantwortlichkeit raus und ist immer haftbar für die Einstellungen, die in der CMP hinterlegt sind.

“Haben sie eine Referenzinformation zu dem erwähnten Consent Transfer ab März von Google?”

Was ist gemeint: Google tritt dem IAB Transparency & Consent Framework (TCF) als Vendor bei und wird fortan die Einwilligungen in einem bestimmten programmatischen verifizierten Format geschickt haben wollen. Dies hat Google schon mehrmals so bekannt gegeben und die Schritte dazu schon lange eingeleitet, indem sie sich z.B. aktiv an der Gestaltung von TCF 2.0 in Arbeitskreisen des IAB beteiligt haben. Meldung des Beitritts von Google findet sich hier. Der genaue Wortlaut ist:

“Google supports IAB Europe’s Transparency & Consent Framework that will help publishers large and small to comply with the requirements of GDPR,” a Google spokesperson said. “We have signed the contract with IAB Europe to join the Framework and are working with the IAB to integrate as quickly as we can.”

Das bedeutet, dass Sie als Google-Werbekunde eine entsprechende Consent Management Platform (CMP) implementieren müssen, die den IAB TCF 2.0 Standard unterstützt. Wichtig ist, dass die CMP auch vom IAB für TCF 2.0 (und nicht nur für TCF 1.0!) zertifiziert sein muss. Andernfalls hilft das Consent Tool nicht bei der programmatischen Weitergabe der Einwilligung an Google und andere Betreiber.

Eine ausführliche Erläuterung zum IAB TCF und was es damit auf sich hat, finden Sie in unserem Artikel “TCF einfach erklärt in unter 15 Minuten”.

Sollten Sie noch weitere Fragen oder Rückfragen haben, stehen wir Ihnen jederzeit zur Verfügung!

• Checkliste EuGH Urteil zu Cookies
• FAQ zum Webinar Consent Rate Optimization
• FAQ zum Webinar BGH Urteil
• FAQs: EuGH Urteil – Cookies nur mit Einwilligung
• BGH entscheidet: Cookies dürfen nur mit aktiver Einwilligung der Nutzer gesetzt werden