Aktuell

< Einziehung von Mobiltelefonen in den Schulen
29.07.2019 22:00 Alter: 138 days

Websites brauchen Einwilligung für Like-Buttons - und wohl auch für Cookies

Ein Urteil des EuGH verschärft die Pflicht zur Einwilligung und zur transparenten Information. Neu braucht es einen Cookie-opt-in-Banner.


Grundsätzliches

Webseiten-Betreiber müssen künftig die Einwilligung ihrer Leser einholen, wenn sie den Like-Button von Facebook oder andere Social-Plugins einbinden. Dies hat der Europäische Gerichtshof (EuGH) am 29. Juli 2019 entschieden (siehe Urteil C 40/17 i.S. Fashion ID). Das Urteil bedeutet, dass Webseitenbetreiber in Zukunft ihre User noch klarer darüber informieren müssen, wenn sie selber oder Drittfirmen Informationen über deren Surfverhalten erfassen. Von der Entscheidung dürften neben dem "Gefällt mir"-Knopf von Facebook auch andere ähnlich funktionierende Plugins von Online-Werbefirmen sowie Cookies betroffen sein.

Ausgangslage für das Urteil war die Website des Düsseldorfer Mode Online-Händlers Fashion ID. Neben den angebotenen Kleidungsstücken war auf den Seiten des Online-Händlers der Facebook-Knopf sichtbar. Besucher konnten ihn anklicken, um anderen auf Facebook anzuzeigen, dass sie ein Produkt interessant fanden (das Produkt "liken"). Der Like-Button überträgt beim Laden der Seite die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs, auch ohne dass der Knopf angeklickt wird. So kommt Facebook auch an Daten von Menschen, die gar keinen eigenen Facebook-Account haben und die nicht "liken".

Das Urteil stützt sich nicht auf die EU-Datenschutzgrundverordnung (DSGVO), sondern noch auf altes Recht (Richtlinie EU 95/46). Es ist aber auch unter der DSGVO zu beachten.

Geltung auch für Cookies?

Mit seiner vierten Frage möchte das vorlegende deutsche Gericht wissen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten an diesen Anbieter zu übermitteln, bei der Anwendung von Art. 7 Buchst. f der Richtlinie 95/46 auf das berechtigte Interesse dieses Betreibers oder das berechtigte Interesse des genannten Anbieters abzustellen ist. Der EuGH führt in seinen Erwägungen dazu vorab folgendes aus (E. 88): "Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde." Daraufhin führt der EuGH weiter folgendes aus (E. 89): "Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat." Der EuGH ist also offenbar der Auffassung, dass es in jedem Fall einer Einwilligung des Besuchers der Website bedarf, wenn beim blossen Besuch der Website Daten vom Endgerät des Besuchers erhoben und an den Betreiber der Website oder an einen Dritten weitergeleitet werden.

Genau das ist aber auch bei Cookies der Fall. Somit muss aus dem Urteil geschlossen werden, dass künftig für die Verwendung von Cookies eine ausdrückliche Einwilligung des Besuchers der Website notwendig ist. Die Einwilligung muss nach dem EuGH zudem vor bzw. zu Beginn des Besuchs der Website erteilt werden (E. 102). Weiter muss der Betreiber der Website in der Datenschutzerklärung über die Datenerhebung und Datenweitergabe detailliert informieren (E. 103 und 104).

Konsequenz: Cookie-opt-in-Banner

Als Folge des Urteils des EuGH wird künftig ein Cookie-opt-in-Banner notwendig sein. Wenn der Betreiber der Website Cookies einsetzt, genügt es nicht mehr, dass in der Datenschutzerklärung oder in einem ohne weiteres "wegklickbaren" Cookie-Banner über die Verwendung von Cookies informiert wird. Es ist vielmehr notwendig, dass ein Cookie-Banner dazu auffordert, der Verwendung von Cookies (genauer der Verwendung der in der Datenschutzerklärung beschriebenen Cookies) zuzustimmen, d.h. durch Klicken eines Buttons die ausdrückliche Einwilligung zu erteilen. Der Cookie-opt-in-Banner kann so ausgestaltet sein, dass der Erklärung "Ich habe die Datenschutzerklärung zur Kenntnis genommen und stimme der Verwendung von Cookies zu" mit einem Button "Zustimmung" o.ä. zugestimmt wird. Allenfalls ist vom Besucher zudem ein Häckchen einzusetzen.

Handlungsbedarf für Schweizer Unternehmen?

Ein Handlungsbedarf besteht für schweizerische Unternehmen nur dann, wenn sie (kumulativ)

  • der DSGVO unterstehen;
  • auf Website Cookies verwenden oder Social-Plugins (z.B. den Like-Button von Facebook) eingebunden haben.

In diesem Fall muss ein Unternehmen die Angaben in seiner Datenschutzerklärung überprüfen und allenfalls ergänzen sowie einen Cookie-opt-in-Banner einrichten.