EuGH Urteile C-40/17 und C-673/17 zur Verwendung von Social Media-Plugins und Cookies.
Der Europäische Gerichtshof (EuGH) hat sich in zwei aktuellen Urteilen zum Einsatz von Social Media Plugins und Cookies geäußert. Beide Entscheidungen haben Auswirkungen für den Einsatz von Technologien zum Online-Marketing auf Webseiten haben kann.
In der Entscheidung C-40/17 vom 29. Juli 2019 beschäftigte sich der EuGH mit Fragen der Verantwortlichkeit beim Einsatz von Social Media Plugins und entschied, dass Webseitenbetreiber für die Vorgänge des Erhebens personenbezogener Daten von Webseitenbesuchern und deren Weitergabe an die Anbieter eingebundener Social Media Plugins als verantwortlich anzusehen sind. (vgl. para. 84f). Um damit Social Media Plugins bei einem Webseitenaufruf aktivieren zu können muss der Webseitenbetreiber bereits vor Aktivierung des Plugins eine datenschutzrechtliche Information geben und eine Einwilligung zur Nutzung bei den Webseitenbesuchern einholen.
In der Entscheidung C-673/17 vom 01. Oktober 2019 hat der EuGH vorrangig die Wirksamkeit von Einwilligungen bei der Verwendung von Tracking-Cookies und den damit verbundenen Informationspflichten diskutiert. Das Gericht weist darauf hin, dass nach den Vorgaben der EU Richtlinie 2002/58 „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind [z.B. Cookies], nur gestattet ist, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen (…) seine Einwilligung gegeben hat.“ Dabei sei es unerheblich, ob es sich bei den abgerufenen Informationen um personenbezogene Daten handelt oder nicht (vgl. para. 71).
Mit dieser Entscheidung auf Grundlage der EU Richtlinie 2002/58 wäre das setzen und auslesen von Cookies grundsätzlich nur noch mit Einwilligung der Nutzer erlaubt. In Deutschland wurde die EU Richtlinie 2002/58 jedoch nicht umgesetzt. Da EU Richtlinien keine unmittelbare horizontale Rechtswirkung haben, sind die Regeln daraus national nicht direkt anwendbar. Somit gibt es in Deutschland aktuell keine Pflicht zur generellen Abfrage von Einwilligungen bei Cookies. Der EuGH gibt mit seinem Urteil jedoch eine Richtung vor. Voraussichtlich wird eine verbindliche Regelung durch die neue, jedoch noch nicht verabschiedete ePrivacy-Verordnung eingeführt. Möglich ist auch, dass noch vor Inkrafttreten der ePrivacy-Verordnung das deutsche Telemediengesetz mit einer europarechtskonformen Regelung für Cookies neu gefasst wird.
Bis auf weiteres sollten beim Einsatz von Cookies die Empfehlungen der Landesdatenschutzbeauftragten berücksichtigt werden. Die Aufsichtsbehörde in Baden-Württemberg ist aktuell der Ansicht, dass eine Einwilligung für das Speichern oder Lesen von Cookies u.a. nicht nötig ist, wenn Cookies:
- technisch notwendig sind um einen Dienst zur Verfügung zu stellen (z.B. Session-Cookies),
- die Funktion „Einkaufswagen“ ermöglichen oder Einstellungen (wie Schriftgrößen o.ä.) speichern und nur für diesen Zweck verwendet werden.
Die Einwilligung ist bei Cookies hingegen immer erforderlich, wenn diese genutzt werden „um das Nutzerverhalten zu Werbezwecken zu analysieren und zu tracken oder durch Dritte analysieren zu lassen“ (LDSB-BW, 2019). Eine wirksame Cookie-Einwilligung ist auch vertragliche Voraussetzung um manche Google-Dienste nutzen zu können (z.B. Google Adsense), siehe: https://www.google.com/intl/de/about/company/user-consent-policy/.
Mit dem Urteil C-40/17 erscheint die Verwendung von Plugins der Social Media-Dienste auf der eigenen Webseite ohne vorherige Information und Abfrage der Einwilligung künftig unmöglich. Wir empfehlen daher, auf die von den Social Media-Diensten angebotenen Standard-Plugins zu verzichten. Verwenden Sie stattdessen datenschutzkonforme Shariff-Buttons oder eine sog. 2-Click-Lösung und informieren Sie über die Datenverarbeitung bei der Verwendung von Plugins.
Lassen Sie von Ihrer Werbeagentur überprüfen, ob Plugins von Drittanbietern datenschutzkonform eingesetzt werden können. So lassen sich beispielsweise YouTube-Videos auf der eigenen Webseite mit datenschutzfreundlichen Einstellungen und ohne das Setzen von Cookies durch Google einbetten. Sofern auf Ihrer Webseite Cookies gesetzt werden sollte generell ein Cookie-Banner angezeigt werden, in dem auf die Datenschutzerklärung hingewiesen wird. Zur weiteren Verwendung von Cookies lassen Sie sich zunächst von Ihrer Werbeagentur eine Liste der auf Ihrer Webseite eingesetzten Cookies und deren Einsatzzwecke zusammenstellen. Notwendig sind auch Informationen, ob Cookies für eigene Zwecke selbst gesetzt oder von einem Drittanbieter verarbeitet werden. Lassen Sie überprüfen ob auf bestimmte Cookies bei der Bereitstellung der Webseite verzichtet werden kann. Aus dieser Zusammenstellung ist im Folgenden zu entscheiden ob eine weitergehende Cookie-Einwilligung auf Ihrer Webseite notwendig ist. Wenn Sie weitere Fragen haben oder Unterstützung benötigen können Sie sich an uns wenden. Wir helfen Ihnen gerne weiter.
Referenzen:
Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW e. V. (Case C 40/17). Verfügbar unter: http://curia.europa.eu/juris/document/document_print.jsf?docid=216555&text=&dir=&doclang=DE&part=1&occ=first&mode=DOC&pageIndex=0&cid=5824814Bundesverband der Verbraucherzentralen und Verbraucherverbände v Planet49 GmbH (Case C 673/17) Verfügbar unter: http://curia.europa.eu/juris/document/document_print.jsf?docid=218462&text=&dir=&doclang=DE&part=1&occ=first&mode=lst&pageIndex=0&cid=6076996
Landesdatenschutzbeauftragter Baden-Württemberg (2019), „Zum Einsatz von Cookies und Cookie-Bannern“ [online]. Verfügbar unter: https://www.baden-wuerttemberg.datenschutz.de/zum-einsatz-von-cookies-und-cookie-bannern-was-gilt-es-bei-einwilligungen-zu-tun-eugh-urteil-planet49/