Cookie Opt-In nun Pflicht? EuGH Urteil zum Facebook Button und Cookies

Cookie Opt-In nun Pflicht?! Neues EuGH Urteil zum Facebook Button und CookiesEin gutes Jahr war es relativ ruhig um die verschärften Datenschutz-Anforderungen, die es seit der Einführung der DS-GVO gibt. Doch mit einem aktuellen Urteil hat der EuGH vor allem bzgl. Cookies wieder Öl ins Feuer gegossen.

Muss man nun für alle Cookies erstmal ein Opt-In einholen? Wie sieht es mit dem Facebook-Button aus? Und was ist z.B. mit Google Analytics und dem VG Wort Cookie?

Diesen Fragen versuche ich im folgenden so gut es geht auf den Grund zu gehen und schildere dabei, wie ich in Zukunft damit umgehe.

Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.

Ist das Cookie Opt-In nun Pflicht?

Eigentlich ging es in der Verhandlung vor dem EuGH um den Facebook Button, der von einem großen Modehaus auf der eigenen Website eingesetzt wurde. Dabei ging es um die Frage, ob der Einsatz so eines Button erlaubt ist und wenn ja, unter welchen Voraussetzungen.

Das Problem bei dem Button ist, dass hier sofort beim Besuch einer Seite mit diesem Button Daten von Facebook gesammelt werden und das auch von Nichtmitgliedern. Dafür werden Cookies genutzt.

Um es kurzzufassen, das Gericht hat im Urteil entschieden, dass der Website-Betreiber zumindest für den Einbau des Buttons die Mitverantwortung trägt und von den Nutzern vorher eine Einwillung einholen muss, bevor der Facebook Button Daten sammelt bzw. ein Cookie setzt.

Positiv kann man sehen, dass das Gericht die gemeinsame Verantwortung des Website-Betreibers auf den Einbau des Buttons und die Datenübertragung beschränkt, aber für die endgültige Verarbeitung der Daten durch Facebook ausgeschlossen hat. Darauf haben die Website-Betreiber ja auch keinen Einfluss. Aber ob das in der Praxis bei einer Abmahnung aber wirklich hilft, ist die Frage.

Klar ist, wer irgendwelche Buttons, Widgets und andere Elemente von Social Networks wie Facebook, Twitter, Instagram und anderen bei sich einbaut, muss diese solange deaktiviert haben, bis der Nutzer über die Datenerfassung informiert wurde und zugestimmt hat. Erst dann dürfen diese aktiv werden.

Die Frage, die sich mir dabei aber immer stellt ist, wie will ich das nachweisen. Es geschieht durch eine Abfrage beim Betreten der Website und dann speichert das betreffende Datenschutzplugin selber in Cookies, ob der Nutzer zugestimmt hat oder nicht. Ich selber als Website-Betreiber habe aber keine Dokumentation über die Zustimmung oder Ablehnung. Vor Gericht hat man da wohl dann immer schlechte Karten.

Noch kritischer ist aber der Verweis des EuGH auf die Cookie Richtlinie, über deren Wirksamkeit sich selbst die Juristen derzeit nicht einig sind. Sie ist noch nicht in nationales Recht umgesetzt, manche sehen sie aber dennoch schon in Kraft.

Und so sind viele Juristen der Meinung, dass das Urteil auch bedeutet, dass ab sofort jede Cookie-Setzung einer vorherigen Einwilligung bedarf.

Betrifft das alle Cookies?

Schaut man sich viele Websites an, so gibt es verschiedene Arten von Cookies und nicht alle sind gleich betroffen. So sind technisch notwendige Cookies, die zum Betrieb der Website wichtig sind, von der Regelung ausgeschlossen. Wobei das auch viel Interpretationsspielraum lässt.

Andere Cookies sammeln ausdrücklich keine personbezogenen Daten und deshalb ist da die Frage, wie diese eingeordnet werden. Bisher gibt es dazu keine verlässliche Aussage.

Das bei Cookies immer eine Einwilligung erforderlich ist, halte ich daher nicht für korrekt, da die DS-GVO explizit nur für personenbezogene Daten gilt und es zudem eine Interessenabwägung gibt, die eben nicht automatisch verlangt, dass eine Einwilligung eingeholt wird. Es kommt auf den jeweiligen Dienst an und welche Daten er erhebt und verarbeitet.

Was ist dann mit den Cookies, die z.B. Google Analytics setzt? Muss man da jetzt immer erst ein Opt-In einholen, bevor man das nutzen darf, obwohl man die Anonymisierungs-Option aktiviert hat? Einige Juristen sind dieser Ansicht, andere sehen das nicht ganz so. Die Sachlage bleibt mal wieder sehr unübersichtlich und am Ende ist der Website-Betreiber wieder der Dumme.

Facebook Button, Google Analytics, YouTube Videos, VG Wort…?

Was bedeutet das nun für die Einbindung einzelner Services, wie z.B. den Facebook Button, Google Analytics, YouTube Videos und die VG Wort in die eigenen Website?

Ich schildere im Folgenden, wie ich das sehe, ohne eine Garantie darauf, dass das dann auch Gerichte oder Anwälte genauso sehen.

Facebook Button

Diesen sollte man schon seit Jahren nicht mehr nutzen und daran hat sich nichts geändert. Sieht man die aktuelle Rechtssprechung sehr eng, dann ist die Nutzung von Social Media aus beruflichen Gründen generell eigentlich illegal. Sowohl als Einbindung auf der eigenen Website, als auch z.B. Fanpages.

Kann man deshalb darauf verzichten? Meistens nicht, weshalb man zumindest vermeiden sollte irgendwelche Scripte und Buttons der Netzwerke auf der eigenen Website einzubinden. Zudem sollte man die entsprechenden Datenschutzerklärung einbauen.

Google Analytics

Wenn Tracking/Analytics-Cookies nun wirklich ein Opt-In erfordern, müsste man das auch bei Google Analytics so handhaben, obwohl hier ja die Möglichkeit angeboten wird die IP-Adresse zu anonymisieren. Ein Opt-In würde im Ergebnis aber zu Statistiken führen, die nichts mehr Wert sind, denn sicher werden viele dem nicht zustimmen.

Andere Lösungen, wie z.B. Statify, wären dann eine stark eingeschränkte, aber nutzbare Alternative.

Cookie Opt-In nun Pflicht?! Neues EuGH Urteil zum Facebook Button und Cookies

YouTube-Videos

Auch YouTube-Videos werden von vielen Websites und Blogs eingebunden, was ja auch Sinn macht und den Nutzern gefällt. Aber auch hier besteht das Problem, dass Cookies gesetzt und Daten übertragen werden. Insofern müsste man auch hier erst die Zustimmung einholen und erst danach dürfte man den YouTube-Code einbinden.

Dafür gibt es bereits Plugins, aber ideal ist es dennoch nicht. Ein normaler externer Link zum jeweiligen YouTube-Video ist hier die sichere, aber auch für den Nutzer unbequemere Variante.

VG Wort

Was ist mit dem VG Wort Zählpixel? Auch dieser setzt ein Cookie, aber nach Aussagen der VG Wort werden damit keine personenbezogenen Daten erfasst. Deshalb können die Zählpixel nach Meinung der VG Wort auch weiterhin ohne Opt-In eingebaut werden. Allerdings sollte man hier ein Opt-Out anbieten, um den Nutzern zumindest ein wenig entgegenzukommen.

Sonstiges

Andere Services, wie Google Maps, Twitter, Pinterest, Instagram und so weiter erfordern nach der strengen Auslegung des Urteils alle erstmal eine Zustimmung für die Einbindung und damit die Cookie-Setzung und Datenübertragung.

Wie gehst du mit Cookies auf deiner Website in Zukunft um?

Ergebnis anschauen

Lösungen durch Plugins?!

Die Services selber bieten keine Opt-In Lösungen an und selber etwas zu programmieren, ist für die meisten nicht realistisch. Deshalb lohnt sich ein Blick auf WordPress-Plugins, die es dazu gibt.

Neben einigen kostenlosen Plugins, die aber meist nicht ausreichend für eine umfassende Opt-In-Lösung sind, möchte ich noch 2 Premium-Plugins für WordPress vorstellen.

PixelMate

Cookie Opt-In nun Pflicht?! Neues EuGH Urteil zum Facebook Button und CookiesZum einen ist es das Plugin PixelMate*, welches bereits einige Services (Google Analytics, Facebook Pixel) integriert hat und eine Opt-In-Lösung dafür anbietet. Aber man kann auch andere Scripte damit erstmal blockieren und ein Opt-In fordern.

Damit kann man alle Cookies auf einmal erlauben oder ablehnen. Lehnt man ab oder hat noch keine Entscheidung getroffen, dann werden keine Tracking-Scripte dieser Services eingebunden und auch keine Cookies gesetzt, aber man sieht z.B. auch die YouTube-Videos nicht, sondern bekommt einen gesonderten Hinweis. Hier kann man dann manuell einzelne Services per Opt-In freischalten.

Durch einen Shortcode kann man in der Datenschutzerklärung zudem eine Möglichkeit anbieten das Opt-In bei den einzelnen Service zu aktivieren oder zu deaktivieren.

Insgesamt ein sehr gutes und ausgefeiltes Plugin, welches es auf jeden Fall vereinfacht das Opt-In für die gängigsten Services einzuholen. Laut dem Autor des Plugins soll es zudem erweitert und verbessert werden.

Borlabs Cookies

Auch das Plugin Borlabs Cookies ist kostenpflichtig und bietet die Opt-In-Einholung für Cookies an. Unterstützt werden z.B. Google Analytics, Google Maps, AdSense, der Tag Manager, Facebook und andere Services.

Ich selber habe es noch nicht getestet, aber viele positive Reviews sprechen dafür, dass das Plugin gut funktioniert.

Ein Pluspunkt ist hier auf jeden Fall, dass es eine Einwilligungs-Historie gibt, wobei ich mich da natürlich wieder frage, wie man diese datenschutzgerecht umsetzen kann. Schließlich speichert man da ja wieder personenbezogene Daten von Nutzern.

weitere Plugins

Wer das Einbinden von YouTube-Videos erstmal blockieren will, kann z.B. das Plugin Embed videos and respect privacy nutzen. Da bekommt der Nutzer erstmal den Hinweis, dass Google Daten sammelt, wenn man das Video anschaut. Erst nach einem Klick wird das Video dann eingebunden.

Das Plugin Shariff Wrapper bietet die Möglichkeit an Social Network Buttons einzubinden, ohne dass Daten an diese Netzwerke übertragen oder Cookies gesetzt werden.

Wie ich mit Cookies in Zukunft umgehen werde

Die neue Entscheidung des EuGH hat mal wieder für Unruhe gesorgt und viele fragen sich, ob sie Google Analytics nun ausbauen sollen oder nicht.

Klar ist erstmal, dass technisch notwendige Cookies kein Problem darstellen. Da auch WordPress so etwas setzt, ist das erstmal eine gute Nachricht. Allerdings sollte man auf jeden Fall prüfen, ob nicht irgendein Plugin ein Cookie setzt. Ihr könnt auf Websites, wie cookiemetrix.com oder dataskydd.net prüfen, welche Cookie eure Website setzt.

Ich habe ja schon mal im Artikel Website ohne Cookies und Tracking – DS-GVO-Anpassung Extrem-Beispiel gezeigt, wie ich Nischenwebsites komplett ohne Cookies (bis auf die von WordPress) und fremde Tracking-Skripte umgesetzt habe. Das wäre nun auch eine Möglichkeit bei allen meinen Blogs und Websites so vorzugehen.

  • Den Facebook Button (oder andere Widgets/Scripte von Social Networks) baue ich schon lange nicht mehr ein und nutze stattdessen das Shariff Wrapper Plugin.
  • Noch etwas abwarten werde ich, was zum Einsatz von Google Analytics gesagt wird. Es sieht im Moment so aus, als sollte man hier ein Opt-In nutzen, was diese Statistiken aber wohl wertlos machen würde. Ausprobieren werde ich es aber mal. Alternativ werde ich dann Statify nutzen, was aber schon einen Rückschritt in die Steinzeit der Website Analytics bedeutet.
  • Der VG Wort Zählpixel bleibt bei mir ohne Opt-In drin, auch wenn dieser ein Cookie setzt. Aber es gibt hier einen Rechtsanspruch der Autoren und die VG Wort hat klar gesagt, dass hier keine personenbezogenen Daten erfasst werden. In der Datenschutz-Erklärung lasse ich aber die Opt-Out Möglichkeit für den VG Wort Cookie zu, auch wenn selbst das wohl nicht unbedingt notwendig ist.
  • Bzgl. YouTube-Videos bin ich noch unschlüssig. Hier habe ich ja schon ein Plugin im Einsatz, welches die Einbindung der Videos erst nach einem Klick ermöglicht. Zudem binde ich die Videos über die URL https://www.youtube-nocookie.com ein, was das Setzen eines Cookies durch YouTube verhindert.
  • Zu guter Letzt wären da noch die verschiedenen Affiliate-Marketing Anbieter. Fast jeder von diesen hat irgendwelche Scripte, die Daten sammeln und teilweise Cookies setzen. Diese nutze ich nicht, sondern setze entweder ganz normale Affiliate-Textlinks ein oder greife im Falle von Amazon auf das Plugin AAWP zurück, welches die datenschutzgerechte Einbindung von Produktbildern, Affiliatelinks etc. erlaubt.

Durch meine Website-Anpassungen im Zuge der Einführung der DS-GVO habe ich eigentlich nur noch mit der Entscheidung zu tun, wie ich mit Google Analytics weiter umgehe. Dazu werde ich die Berichterstattung weiter verfolgen und mich dann entscheiden.

Wie seht ihr das mit den Cookies?

Wie geht ihr das Cookie-Problem in Zukunft an? Nutzt ihr Google Analytics weiter, nutzt ihr ein Opt-In-Plugin oder baut ihr GA sogar aus?
Oder ignoriert ihr diese Diskussionen einfach und macht weiter wie immer?

Perfekt sicher wird man wohl mit keiner Lösung sein, aber darum geht es auch gar nicht. Wer gewisse Datenschutz-Maßnahmen vornimmt und die größten Fehler vermeidet, ist schon relativ sicher. Abmahner suchen sich ja „Opfer“ aus, die klar gegen die Regeln verstoßen. Sie haben gar kein Interesse über Details zu diskutieren oder deswegen vor Gericht zu gehen. Wer also zumindest einiges zum Datenschutz macht, ist relativ sicher.

Ich sehe im Übrigen die Vorgehensweise der EU bzgl. des Datenschutzes eher kritisch. Statt Google, die Social Networks und andere Anbieter in die Verantwortung zu nehmen und dort den Datenschutz durchzusetzen, bestraft man die Website-Betreiber.

Dagegen geht man in den USA z.B. direkt gegen Facebook vor, verhängt Milliarden-Strafen und fordert mehr Datenschutz direkt bei Facebook. Das finde ich die viel sinnvollere Vorgehensweise. Auch unter dem Gesichtspunkte der weiteren technischen Entwicklung. Datenschutz sollte „by Design“ sein und das heißt bei den Anbietern.

Auf jeden Fall bleibt beim europäischen Datenschutz weiterhin die Ungewissheit für die Website-Betreiber und wer online tätig ist, trägt immer ein gewisses Risiko.

Ähnliche Artikel:

Bild von Peer Wandiger
Peer Wandiger
Studium der BWL und langjährige Arbeit in einem mittelständischen Unternehmen. Seit 2006 selbständig als Webentwickler und Website-Betreiber, 2007 Gründung von Selbständig im Netz.

Wer wir sind und wie wir arbeiten. In unserem Büro im Zentrum von Köln arbeiten ausgebildete Redakteur/innen an der Ausarbeitung erstklassiger Inhalte, auf die du dich verlassen kannst. Sämtliche Artikel werden nach dem Vier-Augen-Prinzip publiziert: Nach Fertigstellung der Rohfassung werden die Texte von (mindestens) einem/r anderen Redakteur/in auf orthografische und inhaltliche Richtigkeit hin überprüft.

Diese Seite ist ein Angebot der 4pub GmbH mit Sitz in Köln. Wir haben uns auf den Betrieb hochwertiger redaktioneller Online-Portale spezialisiert und berichten stets redaktionell unabhängig.