Der Untergang des Web-Marketings?

Das EuGH Urteil vom 01. Oktober 2019 hat Auswirkungen, aber ist es tatsächlich das „Ende der personalisierten Werbung und des Tracking“, wie manche befürchten? Klar ist: Webseiten-Betreiber, Agenturen und Administratoren müssen tätig werden.

Foto: pixabay.com/de; Pezibaer; Cookies-1383280_1280.jpg

BVMW Mitglied LLP Lohmanns, Lankes & Partner hat eine FAQ zum Urteil (AZ C-673/17) und eine Handlungsempfehlung für Verantwortliche erstellt.

Worum ging es eigentlich?

Der Webseitenbetreiber (ein Veranstalter von Gewinnspielen) hatte ein Cookie zur Sammlung von Informationen zu Werbezwecken für Produkte seiner Partner eingesetzt. Wer an dem Gewinnspiel teilnehmen wollte, erklärte mit einem vorangekreuzten Kästchen sein „Einverständnis“ dass das Cookie eingesetzt wird, sofern er das Kreuz nicht selbstständig entfernte („Opt-out“). In dem Text der Einverständniserklärung war ein Link zu zusätzlichen Informationen enthalten. Dort wurde insbesondere darauf hingewiesen, dass das Einverständnis auch nachträglich widerrufen werden kann.

Was musste der EuGH nun klären?

Vereinfacht ausgedrückt sollte der EuGH nun folgende Fragen beantworten:

  1. Ist ein voreingestelltes Ankreuzkästchen (so funktionieren aktuell viele der noch handelsüblichen Cookie-Banner) mit „Opt-Out“-Möglichkeit ausreichend für eine Einwilligung nach der ePrivacyRL?
  2. Macht es bei den Anforderungen an eine Einwilligung im Anwendungsbereich der ePrivacyRL einen Unterschied ob die Daten personenbezogen sind oder nicht?
  3. Handelt es sich bei 1. um eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten nach der der aktuell geltenden DSGVO?
  4. Welche Informationen muss der Diensteanbieter im Rahmen der ePrivacyRL erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Dürfen jetzt noch irgendwelche Cookies ohne Einwilligung des Nutzers gesetzt werden?

Ja. Aber der Anwendungsbereich der nicht einwilligungsbedürftigen Cookies ist nach dem Urteil sehr eingeschränkt. Der EuGH sieht eine Einwilligung nur dann als entbehrlich an, wenn das Setzen des Cookie „unbedingt erforderlich“ ist, um den Dienst zur Verfügung zu stellen. Dies unabhängig davon, ob das Cookie personenbezogene Daten sammelt, oder nicht.

Wann genügt eine Information in der Datenschutzerklärung auf der Webseite über das Setzen von Cookies.

Nur in der vorstehend erwähnten Ausnahme, nämlich wenn das Setzen des Cookie „unbedingt erforderlich“ ist, um den genutzten und vom Nutzer „ausdrücklich gewünschten“ Dienst zur Verfügung zu stellen.

…was muss in dieser Information stehen?

Immer:

 

  • Identität des Verantwortlichen
  • Art und Funktionsweise des Cookies
  • Zweck der Datenverarbeitung
  • Empfänger oder Empfängerkategorien der Daten
  • Angaben zur Funktionsdauer des Cookies

 

Sofern das Cookie auch personenbezogene Daten sammelt, sind zusätzlich die übrigen Informationen nach Art. 13 oder Art. 14 DSGVO zu beachten (z.B. Widerspruchsrechte etc.).

Wird nun zwingend ein „Cookie-Consent-Tool“ benötigt?

Eine bestimmte technische Lösung für das Einholen notwendiger Einwilligungen ist nicht vorgeschrieben. Der EuGH hat aber festgelegt, dass es für eine wirksame Einwilligung notwendig ist, dass der Nutzer ausreichend informiert wird und er aktiv handelt, also z.B. eine Check-Box oder einen Button betätigen muss. Außerdem dürfen die einwilligungsbedürftigen Cookies (d.h. alle Cookies, die nicht „unbedingt erforderlich“ sind, die Website zu betreiben) vor Abgabe der Einwilligung nicht aktiviert sein. Ob hierfür ein „Consent-Tool“, ein „Cookie-Banner“ oder die Einwilligung im Rahmen eines Onboarding-Prozesses für einen nicht-öffentlichen Nutzerbereichs abgefragt und protokolliert wird, ist eine Frage der Gestaltung des Webauftritts.

Betrifft das Urteil nur „Cookies“ oder auch andere Tracking-Methoden?

Grundsätzlich betrifft das Urteil jede Art von Technologie, die Informationen auf Nutzerendgeräten speichert oder von ihnen ausliest (z.B. Google Werbe-ID, Browser-Fingerprinting-Methoden, Zählpixel) und die Weitergabe von diesen Informationen an Dritte (z.B. Retargeting und Remarketing).

Wie kann ich beurteilen, welche Cookies wirklich als „unbedingt erforderlich“ durchgehen und welche nicht?

Wann ein Cookie „unbedingt erforderlich“ ist  und wann nicht, und ob dies allein technisch bestimmt ist oder auch wirtschaftliche Interessen berücksichtigt, ist leider gesetzlich nicht vorgegeben und wird auch durch das Urteil nicht weiter detailliert.

Kann die Webseite auch ohne Cookie fehlerfrei aufgerufen werden, spricht viel dafür, dass es technisch nicht notwendig und damit nicht „unbedingt erforderlich“ ist.

Viele Session-Cookies oder Persistent-Cookies werden demnach für das Funktionieren der Seite bzw. ihren wesentlichen Funktionen sorgen und demnach noch als „unbedingt erforderlich“ gelten, beispielsweise für den Login-Status („Remember-Me“), Sprachauswahl-Cookies, Warenkorb-Cookies eines Online-Shops oder Cookies zur Speicherung einer Cookie-Einwilligung („Consent-Cookies“) werden demnach als „vom Nutzer verlangt“ gelten und ohne Einwilligung einsetzbar bleiben.

Ein aktuell nicht auflösbarer Graubereich stellen Cookies dar, die den wirtschaftlichen Betrieb der Website unterstützen oder sie verbessern, z.B. Design- oder Mediensteuerungs-Cookies oder einfache, lokal installierte Analyse-Cookies, aber aus Sicht des Anbieters erforderlich sind um sein mit der Webseite verfolgtes Geschäftsmodell zu betreiben. Im Zweifelsfall sollte hier eine Einwilligung eingeholt werden.

Cookies, die von externen Dritten stammen bzw. Daten an oder über Dritte senden (z.B. an Google beim Einsatz von Google Analytics) und für Marketing-, Analyse- oder Statistikzwecke eingesetzt werden, werden nach dem Urteil sicher nicht „unbedingt erforderlich“  sein, insbesondere wenn sie das Nutzerverhalten über Webseiten- oder Geräteübergreifend zusammenfassen. Solche Cookies sind daher zukünftig nicht ohne vorherige Einwilligung zulässig.

Was bleibt weiterhin unklar?

Der EuGH hat sich nur mit einer recht offensichtlichen Fallgestaltung eines nicht notwendigen und damit einwilligungsbedürftigen „Werbecookies“ befasst.

Es gibt außerdem keine genaue Aussage ob jedem einzelnen Cookie separat zugestimmt werden muss, oder ob es ausreicht bestimmten Kategorien gesammelt zuzustimmen (z.B. „Marketing-Cookies“).

Ebenfalls wurde nicht entschieden, ob es zulässig ist, den Besuch einer Webseite von der Abgabe einer ggfs. vollumfänglichen Einwilligung in alle eingesetzten Technologien abhängig zu machen (Stichwort: Reichweite des Koppelungsverbotes).

Was soll ich jetzt machen?

 

  • Ruhig bleiben.
  • Die eingesetzten Cookies, die bei Aufruf des Webauftritts geschaltet werden, auflisten.
  • Kategorisieren, wofür die Cookies jeweils eingesetzt werden.
  • Prüfen, ob die Webseite ohne die jeweiligen Cookies überhaupt noch fehlerfrei funktioniert.
  • Kritisch hinterfragen, ob die mit den Cookies verbundenen Funktionalitäten überhaupt verwendet werden, technisch aktuell sind und welchen Nutzen sie für das Geschäftsmodell bringen.
  • Für Cookies von denen man sich partout nicht trennen möchte und die für das Funktionieren der Webseite aber entbehrlich wären, sollte dann eine Einwilligungslösung auf der Webseite eingebunden werden.
  • Bestehende Einwilligungs- und Informationstexte überprüfen. Einwilligungslösungen mit offensichtlichen Fehlern wie bloße Opt-Out Gelegenheiten abschalten und ersetzen.

 

Kontakt:

LLP München - Lohmanns Lankes & Partner PartGmbB

Würmtalstraße 20 a, 81375 München

Rechtsanwalt Richard Metz

E-Mail: r.metz@llp-law.de
Telefon: +49 89 552755 00