DSGVO Update: Opt-In-Pflicht bei Cookies für Ihr Online-Marketing
Die Datenschutz-Grundverordnung, kurz DSGVO der Europäischen Union regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Ziel ist es, personenbezogene Daten innerhalb der EU zu schützen und gleichzeitig den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten.
Seit dem 24.05.2018 gilt die DSGVO endgültig. Zwischenzeitlich wurde ein wegweisendes, höchstrichterliches Urteil des EuGH gesprochen. Dieses hat weitreichende Auswirkungen für Ihr Online-Marketing.
Im EuGH-Urteil vom 29.07.2019 Aktenzeichen (C-40/17 „Fashion ID“) entschied das Gericht, dass ohne informierte Einwilligung, keine Tracking Cookies mehr zulässig sind. Dies wirkt sich auf den Einsatz von Analyse Tools, wie z. B. Google Analytics, Facebook Pixel, Hotjar, Sales Viewer uvm. aus.
Darüber hinaus bestätigte der EuGH die bisherige Rechtsprechung zur Integration von Social Plugins. Diese bedürfen ebenfalls einer informierten Einwilligung. Weiter bestätigte man die Mitverantwortlichkeit bei der Verarbeitung von Daten in sozialen Netzwerken und stärkte das Verbandsklagerecht.
Auch in Hinblick auf vorausgewählte Cookies entschied der EuGH jüngst in seinem Urteil (C‑673/17), dass das sog. Soft-Optin (vorausgewählte Cookies, der erst mit Klick auf Akzeptieren geladen werden) keine aktive Einwilligung im Sinne des Art. 7 DSGVO darstellt. Damit wurde die Auslegung der Einwilligung nach Art. 6. Abs. 1 lit a DSGVO in Verbindung mit Art. 4 Abs. 11, Art. 7 und Art. 9 Abs 1 lit a DSGVO höchstrichterlich geschärft.
Update 28.05.2020: Die Entscheidung des EuGH, dass Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung dienen, einer Einwilligung ("Opt-In") bedürfen, wurde zwischenzeitlich durch das BGH im Urteil I ZR 7/16 - Cookie-Einwilligung II für Deutschland bestätigt.
Allgemein lässt sich sagen, dass Codes, die zum Tracking oder zur Integration von Social Pugins dienen, erst geladen werden dürfen, wenn der User hierzu seine informierte Einwilligung abgegeben hat.
Damit wird der Einsatz eines sogenannten Cookie-Consent-Banners (kein Cookie-Hinweis-Banner) unumgänglich.
Für nähere Informationen sowie eine entsprechende Beratung, wenden Sie sich bitte an Ihren Datenschutzbeauftragten und Rechtsbeistand.
Welche Funktionen u. U. hiervon betroffen sind, erfahren Sie nachstehend.
Gerne stehen wir Ihnen mit unserer Erfahrung sowie unseren technischen Empfehlungen zur Seite. Jetzt anfragen!
zeroseven DSGVO Cookie Manager
TYPO3 und Shopware Kunden, die diesen bereits integriert haben, werden wir ein Update einspielen, um dem Urteil Rechnung zu tragen.
In diesem Zusammenhang empfehlen wir, die Datenschutzerklärung vollständig inhaltlich zu prüfen und anzupassen.
Sollten Sie den zeroseven DSGVO Cookie Manager noch nicht für Ihr TYPO3 oder Shopware einsetzen, beraten wir Sie gerne zu dieser Extension.
Social Plugins wie der Like-Button
Sofern die TYPO3 Sharefunktion der zeroseven design studios oder eine auf Shariff basierende Funktion (z. B. in Shopware) integriert ist, sind hier keine Anpassungen notwendig.
Sollten Sie Social Plugins der jeweiligen Plattformen integriert haben, so empfiehlt sich eine kritische Prüfung bzw. ein Wechsel.
Diese Plugins übertragen initial (also von Beginn des Seitenbesuchs) Daten der Seitenbesucher an die jeweilige Plattform, ohne eine informierte Einwilligung (nach Art. 6 Abs. 1 lit. a) DSGVO) der Betroffenen einzuholen.
Dies ist seit dem Urteil des LG Düsseldorfs vom 09.03.2016 (Az. 12 O 151/15) nicht mehr zulässig und wurde jüngst im durch den EuGH am 29.07.2019 bekräftigt.
Des Weiteren ist der Websitebetreiber über die erhobenen Daten neben den jeweiligen Social Media Plattformen mitverantwortlich.
Hierzu sollten Sie entsprechende Passagen in Ihrer Datenschutzerklärung vorhalten und in den jeweiligen Kanälen hierauf verweisen.
Google-Map
Die Integration von Goolge Maps hat sich als Lösung zur Darstellung von Standorte. oder zur Routenplanung auf der eigenen Webseite im etabliert.
Doch auch Google Maps verarbeitet personenbezogene Daten, initial mit Aufruf der Karte, ohne eine informierte Einwilligung des Users einzuholen.
Wir empfehlen Ihnen in diesem Zusammenhang, mit Ihrem Datenschutzbeauftragten eine entsprechende Passage in der Datenschutzerklärung aufzunehmen.
Darüber hinaus passen wir, auf Wunsch, die von den zeroseven design studios entwickelten TYPO3 Extensions sowie Shopware Plugins gerne an, sodass die Karten durch eine sogenannte 2-Klick-Lösung geladen werden.
Der User wird damit vor dem Laden der Karte über die Verarbeitung seiner Daten bei Google informiert und willigt mit dem zweiten Klick in diese Verarbeitung ein, sodass die Karte anschließend geladen wird.
YouTube Video
YouTube Videos können über zwei Wege integriert werden: Entweder als eingebettetes Video durch ein HTML-Snippet oder durch die TYPO3 Core Funktion sowie Shopware Plugins.
Bei der ersten Methode ist darauf zu achten, dass der HTML-Snippet im erweiterten Datenschutz erstellt wird. Dies erkennen Sie daran, dass die URL des Videos "nocookie" enthält.
Bei der TYPO3 Core Funktion müssen Sie seit der TYPO3 Version 7.6 LTS nichts weiter beachten, da die Videos automatisch mit dem erweiterten Datenschutz in TYPO3 integriert werden. Hinsichtlich Shopware, arbeiten die von uns eingesetzten Plugins ebenfalls auf dieser Basis.
In jedem Fall müssen Sie hierauf in Ihrer Datenschutzerklärung hinweisen.
Webfont
Je nach Corporate Design integrieren wir in den zeroseven design studios unterschiedliche Webfonts.
In der Regel erfolgt dies über einen Partner. Die Nutzung von dieser Webfonts erfolgt, um eine einheitliche und ansprechende Darstellung des Online-Angebots zu realisieren. Darüber hinaus sind diese Schriften lizenzpflichtig – die Höhe der Lizenzgebühr richtet sich nach der Anzahl der Seitenaufrufe, die demzufolge getracked werden müssen, um die Lizenzgebühr zu berechnen.
Beide Aspekte stellen ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Abschließend empfehlen wir, dies von Ihrem Datenschutzbeauftragten oder Rechtsbeistand bewerten zu lassen und entsprechend in Ihrer Datenschutzerklärung darauf hinzuweisen.
Anders verhält es sich mit Google Fonts.
Diese tracken ebenfalls personenbezogene Daten. Mit dieser Integration bedarf es der informierten Einwilligung bevor die Schrift geladen wird.
Dementsprechend empfehlen wir hierbei, die Google Fonts zukünftig nur noch offline zu integrieren. Das bedeutet, die Schrift liegt auf Ihrem Webserver und wird von dort und nicht vom Google Server geladen.
Weiterführende Links
- BGH Urtel vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II
- Einschätzung Dr. Thomas Schwenke zum EuGH Urteil: Keine Einwilligung, keine Cookies
- Unzulässigkeit Soft-Opt-In (vorausgewählte Cookies): EuGH Urteil C‑673/17 Verbraucherzentrale Bundesverband e. V. ./. Planet49
- Dr. Carsten Ulbricht
- EuGH-Urteil vom 29.07.2019 Aktenzeichen (C-40/17 „Fashion ID“)
- Datenschutzbehörde kann Betrieb einer Facebook-Fanpage untersagen
- EuGH-Urteil zum Like-Button: Abmahnbare Opt-In-Pflicht bei Cookies und Social Media wird illegal (Dr. Thomas Schwenke)
- Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit
- Positionsbestimmung der DSK zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018
- Beschluss der DSK zu Facebook Fanpages
- Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern
- Urteil LG Düsseldorf vom 09.03.2016 (Az. 12 O 151/15)
Datenschutzkonformer Betrieb von Websites
Einen datenschutzkonformer Betrieb von Website ist gesetzlich vorgeschrieben. Unsere Lösungen helfen Ihnen dabei Ihre Website nach DSGVO Richtlinien zu betreiben.
Leidenschaft für evidenzbasierte Markenkommunikation. Als Ihr Partner teile ich Werte, Haltung und praxisnahe Einsichten in meinen Beiträgen.