Datenschutz mag keine Cookies

31.01.2020

Gerade Liebhaber und Freunde von Süßwaren beschäftigen sich häufig mit dem Thema Cookies. Dieser Beitrag dreht sich allerdings (leider) nicht um leckere Kekse, sondern betrifft die kleinen Textdateien mit Informationen, die bei dem Besuch einer Webseite über den Browser auf dem Endgerät des Nutzers gespeichert werden können.

Der Europäische Gerichtshof hat sich in zwei aktuellen Urteilen zu datenschutzrechtlichen Fragen des Einsatzes von Cookies und Plugins geäußert.

Ausgangspunkt der EuGH-Entscheidung vom 29.07.20191 war ein Verfahren der Verbraucherzentrale NRW gegen den deutschen Online-Händler „Fashion ID“. Die Verbraucherzentrale hatte beanstandet, dass „Fashion ID“ auf der eigenen Webseite den Facebook-Like-Button eingebunden hatte, ohne dass die Benutzer der Webseite in die Datenübermittlung zu Facebook einwilligen mussten oder jedenfalls darüber aufgeklärt wurden. Der EuGH musste vor diesem Hintergrund entscheiden, ob der Online-Händler für die Datenübermittlung und möglicherweise die Datenverarbeitung durch Facebook (mit-)verantwortlich ist.

Beim Facebook-Like-Button bindet der Betreiber der Webseite einen kurzen Code in seine Webseite ein, der eine Anwendung auf Servern von Facebook startet. Dabei kann Facebook auch dann Daten vom Besucher der Webseite erheben, wenn dieser nicht auf den Like-Button klickt (IP-Adresse, Daten über das genutzte Gerät). Das Verfahren war noch nach dem Recht der alten EU-Datenschutzrichtlinie von 1995 (RL 95/46/EG) zu entscheiden; die Entscheidung ist aber auf die Rechtslage nach der DSGVO übertragbar.

Der EuGH hat entschieden, dass keine Mitverantwortung des Seitenbetreibers besteht, wenn er auf die tatsächliche Verarbeitung durch einen anderen Verantwortlichen keinen Einfluss hat, also die Zwecke und Mittel der Verarbeitung nicht bestimmt. Im konkreten Fall heißt das, dass der Online-Händler nicht für alle Datenverarbeitungen durch Facebook mitverantwortlich ist. Allerdings ist der EuGH der Ansicht, dass der Händler durch die Einbindung und Konfiguration des Plug-ins auf seiner Seite die Datenverarbeitung beeinflusst und daher die Mittel der Verarbeitung mit Facebook gemeinsam bestimmt hat. Hinsichtlich der Zwecke der Verarbeitung geht der EuGH davon aus, dass die Einbindung des Plug-ins der besseren Sichtbarkeit der Angebote des Händlers auf Facebook dient und daher der Händler und Facebook auch gemeinsam jedenfalls einen Zweck (Werbung) definiert haben.

Wenn schon die bloße Ermöglichung der Datenerhebung durch einen anderen Verantwortlichen zu einer gemeinsamen Verantwortung führt, läge eine solche wohl bei jeder Einbindung von Drittinhalten wie z. B. Videos, Bilder, Wetterberichten, Börsenkursen, etc. vor. Sofern die Datenverarbeitung auf ein berechtigtes Interesse gestützt werden soll, muss ein solches berechtigtes Interesse bei jedem der gemeinsam Verantwortlichen vorliegen. Wird die Verarbeitung auf eine Einwilligung gestützt, muss der Betreiber diese nur zu den Vorgängen einholen, für die er Verantwortlicher ist, also tatsächlich über die Zwecke und Mittel entscheidet.

Neuigkeiten für die konkrete Ausgestaltung einer Cookie-Einwilligung ergeben sich aus der Entscheidung des EuGH vom 1. Oktober 20192. Hiernach kann der Betreiber einer Website eine Einwilligung in das Setzen von Cookies für Werbezwecke nicht durch ein vorangekreuztes Häkchen einholen. Vielmehr müsse der Nutzer aktiv ein Häkchen setzen, um seine Einwilligung zu erteilen. Die Entscheidung des EuGH gilt unabhängig davon, ob die in dem Cookie gespeicherten Daten personenbezogene Daten darstellen oder nicht. Weitere Voraussetzung für eine wirksame Einwilligung ist nach dem Urteil, dass der Nutzer über die Funktionsdauer des Cookies und mögliche Zugriffsrechte Dritter auf den Cookie informiert wurde.

Leider erhöhen sich die Haftungsrisiken durch die dargestellten Entscheidungen beim Einsatz von Cookies erheblich. Wir raten daher dazu, sich erst einmal einen Überblick über den Umfang der eingesetzten Cookies auf der eigenen Webseite zu verschaffen. Sofern externe Inhalte wie Social-Media-Plugins, Kartendienste, Videos, Bilder, Webschriftarten etc. in Ihrer eigenen Webseite eingebunden bleiben sollen, sollten diese jedenfalls erst nach einer aktiven Handlung der Besucher nachgeladen werden (z. B. durch Einbettung von Vorschaubildern, die die aktiven Inhalte erst nach einem Klick laden). In jedem Fall sollte die Datenschutzerklärung geprüft und um Hinweise auf die Speicherdauer von Cookies und die Klarstellung von Dritten, die Zugriff auf die Cookies haben, ergänzt werden.

Veröffentlicht im Newsletter Süßwarenindustrie Spezial – Ausgabe 2020.

__________

1 EuGH, Urt. v. 29.7.2019, C40/17 – Fashion ID.

2 EuGH, Urt. v. 01.10.2019, Az. C-673/17 – Planet49.