Praxis-Tipps für die Umsetzung der DSGVO in der Praxis!
B2B-Newsletter > 2020 - Archiv > NL 5/20
EuGH zu rechtskonformer Cookie-Erklärung auf Ihrer Homepage:
Europäischer Gerichtshof macht klare Vorgaben zur Einwilligung!
Im heutigen DSGVO-Praxis-Beitrag sieht sich der auf Versicherungsrecht und DSGVO spezialisierte Jurist Mag. Stephan Novotny genauer an, welcher Anlass dazu führte, dass sich der EuGH mit diesem Thema beschäftigen musste, und was genau unter "aktive, ausdrückliche Einwilligung" in der Praxis bedeutet, die nun das Urteil verlangt. Was genau machen Cookies? Unterschied zwischen technischen und Marketing-Cookies? Welche sind nun zustimmungspflichtig? Welche können ohne Einwilligung verwendet werden? Abgerundet wird der Beitrag mit Praxis-Kurz-Tipps zum Prüfen und Abarbeiten.
Das EuGH-Urteil sollte jeden Webseiten-Betreiber aufrütteln, da sicherlich schon zahlreiche Juristen, die sich auf Abmahnungen spezialisiert haben, genau die praktische Umsetzung beobachten werden und aktiv solche Vergehen im Netz suchen werden.
Vermeiden Sie Abmahnungen von darauf spezialisierten Rechtsanwälten.
Vermeiden Sie Abmahnungen von darauf spezialisierten Rechtsanwälten.
Die bisher erschienen DSGVO-Beiträge von Mag. Novotny beschäftigten sich mit folgenden Themen:
DSGVO 1: DSB-Urteil zur maximalen Speicherdauer: Wie Freibeweisen ohne Unterlagen? Hier weiterlesen...
Alle bisherigen IDD und DSGVO-Praxisbeiträge können Sie hier herunterladen...
Den aktuellen Beitrag können Sie mit einem Mail an g.wagner@b2b-projekte.at und Betreff "Ja zu Infos" anfordern.
Den aktuellen Beitrag können Sie mit einem Mail an g.wagner@b2b-projekte.at und Betreff "Ja zu Infos" anfordern.
EuGH zu rechtskonformer Cookie-Erklärung auf Ihrer Homepage:
Wie muss der Cookie-Hinweis auf Ihrer Homepage rechtskonform gestaltet sein?
Europäischer Gerichtshof macht klare Vorgaben zur Einwilligung!
Wie muss der Cookie-Hinweis auf Ihrer Homepage rechtskonform gestaltet sein?
Europäischer Gerichtshof macht klare Vorgaben zur Einwilligung!
Seit ein paar Wochen fallen Ihnen sicherlich die auffälligen und oftmals lästigen Cookie-Banner auf, die aufpoppen, wenn Sie eine Webseite öffnen möchten. Damit möchten die Betreiber eine neue Vorgabe des Europäischen Gerichtshofes (EuGH) erfüllen, um keine rechtlichen Konsequenzen zu erleiden (etwa von Juristen, die sich auf Abmahnungen spezialisiert haben und genau solche Vergehen aktiv im Netz suchen).
Am 1. Oktober 2019 hat der EuGH entschieden, dass der Einsatz von Cookies auf einer Website immer eine aktive, ausdrückliche Einwilligung benötigt.
A) Anlass-Fall für die EuGH-Entscheidung
2013 veranstaltete die deutsche Planet49 GmbH auf der Homepage
„dein-macbook.de“ ein Gewinnspiel zu Werbezwecken. Auf der Anmeldeseite war ein Kästchen „standardmäßig angehakt“. Damit willigte der Internetnutzer ein, dass auf seinem Computer Cookies gesetzt werden.
„dein-macbook.de“ ein Gewinnspiel zu Werbezwecken. Auf der Anmeldeseite war ein Kästchen „standardmäßig angehakt“. Damit willigte der Internetnutzer ein, dass auf seinem Computer Cookies gesetzt werden.
Zwar konnte das Hakerl händisch entfernt werden. Der deutsche Verbraucherschutz hielt diese Vorgehensweise für unzulässig (wohl weil man davon ausging, dass die große Mehrheit das Hakerl belassen wird, ohne über die Konsequenzen nach zu denken). Und klagte auf Unterlassung. Der deutsche Bundesgerichtshof bat dann den EuGH um Entscheid, wie man die EU-Datenschutzvorschriften hier im Konkreten auslegen muss.
B) Was sind Cookies? Und warum wird dadurch Ihre Flugreise teurer?
Die Computerzeitung Chip.de hat dazu (nachzulesen hier…) eine gute Übersicht erstellt, die wir hier gekürzt und vereinfacht wiedergeben und mit zusätzlichen Praxis-Tipps versehen:
Cookies (bedeutet auf Englisch Kekse), sind Daten, die eine Webseite auf Ihrem Computer abspeichert, wenn sie diese besuchen. Darin sind etwa enthalten: Angaben zur Sprache, Seiteneinstellungen, E-Mailadresse und Ihr Name, usw.
Cookies sollen Ihnen das Surfen im Internet erleichtern. Aber diese Bequemlichkeit ist auch das „Einfallstor für‘s Datenabsaugen“. Ja, es wird einfacher: Wenn die Webseite Sie bzw. Ihre Login-Daten kennt, ersparen Sie sich etwa das neuerliche Eingeben von Nutzernamen und Passwort. Aber: Dadurch werden Ihre Surfgewohnheiten und Interessen gespeichert und an den Betreiber der Internetseite weitergegeben. Folge: Haben Sie sich etwa ein Produkt in einem Online-Shop angesehen, finden Sie danach - plötzlich wie von Geisterhand - dazu passende Werbung auch auf anderen Webseiten.
Übrigens von Cookies spricht man – laut meinem Techniker – weil Cookies wie Keks-Krümel auf dem Rechner zurück bleiben, obwohl der Keks bereits gegessen ist, also die Webseite schon wieder geschlossen wurde.
Tipp: Schauen Sie doch einfach in Ihrem Browser nach, welche Cookies eine Seite setzt. Bei Firefox geht das über "Einstellungen" > "Datenschutz und Sicherheit" > "Cookies" > "Daten verwalten".
Tipp: Und um herauszufinden, wie viele und vor allem welche Cookies eine Webseite setzt, können Sie sich das kostenlose Programm „Ghostery“ herunterladen. Im Firefox finden Sie es bereits als Add-on zum raschen Installieren.
Tipp: Wenn Sie beim Surfen immer den „Privaten Modus“ – erkennbar im Firefox durch die Augenmaske, schaut aus wie eine „liegende Ziffer 8“ – verwenden, dann löscht Firefox die Cookies und Website-Daten beim Beenden.
Man unterscheidet zwischen guten und bösen Cookies.
Gute Cookies: Nennen sich etwa „Session Cookies“ oder „technische Cookies“ oder ähnlich.
- Technische Cookies bezeichnet man so, weil sie nötig sind, damit eine Webseite überhaupt funktioniert.
- Session Cookies sind beim Surfen besonders hilfreich und unabkömmlich. Sie speichern Ihre Login-Daten, so dass Sie sich auf passwort-geschützen Internetseiten nicht nach wenigen Sekunden neu anmelden müssen.
Hier steht die Sicherheit im Vordergrund, deshalb werden Cookies zum Beispiel beim Online-Banking automatisch verwendet.
Session Cookies bleiben für die Dauer der Verbindung, also während der „Sitzung“ gespeichert. Wenn Sie die Internetseite schließen bzw. sich abmelden, wird dieses Cookie automatisch entfernt.
Böse Cookies: Werbung durch Tracking Cookies, etwa Google Analytics
Die Cookies kamen in Verruf, weil man damit Sie auf lange Sicht viel besser kennt, als Sie sich selbst kennen!
Und man durch die vielen technischen Möglichkeiten und Verknüpfungen etwa mit social media erschreckend viel über Sie und Ihre Interessen erfährt. Und damit Handlungsspielräume, Optionen nimmt. Siehe das Beispiel Flugpreis-Recherche unten.
Und man durch die vielen technischen Möglichkeiten und Verknüpfungen etwa mit social media erschreckend viel über Sie und Ihre Interessen erfährt. Und damit Handlungsspielräume, Optionen nimmt. Siehe das Beispiel Flugpreis-Recherche unten.
Zu den bösen Cookies gehören die „Tracking Cookies“. To track heißt auf Deutsch „Verfolgen“, gemeint ist damit dass man sich merkt, welche Suchen Sie gemacht haben, welche Webseiten Sie angesehen haben, wie oft und wie lange. Etc.. Daraus erkennt man Ihre Interessen, was etwa auf Sie zugeschnittene Werbung ermöglicht.
Beispiel: Sie suchen im Internet nach einem Flug? Plötzlich wird Ihnen „überall“ Flugwerbung eingeblendet. Durch diese Cookies kann Ihnen etwa Amazon personalisierte Produktvorschläge anzeigen. Motto: Folgende Bücher könnten Sie noch interessieren…
Was soll daran schlecht sein, fragen Sie?
Sie suchen ein paar Tage im Internet nach günstigen Flügen nach Nizza. Nach einiger Zeit werden die Angebote teurer, als zu Beginn. Der Grund sind die Cookies, die den Seitenbetreibern Ihr langanhaltendes Suchen nach Flügen nach Nizza mitgeteilt haben. Wer länger nach etwas sucht, will dort wirklich hin, daher steigt der Preis an, so die dahinter steckende Logik.
Auch erkennen die Webseiten, auf welchem Gerät Sie suchen. Bei Apple Geräten wird angeblich ein höherer Preis angezeigt, weil Apple Kunden gerne mehr Geld ausgeben, also nicht so preissensibel sind, wie Andere, usw.
Tipp: Löschen Sie nach einer Suche den Browserverlauf und die Cookies. Oder buchen Sie gleich von einem anderen Gerät aus, um diesen Nachteil wieder auszugleichen.
C) Was hat der EuGH nun entschieden? Bedeutung für die Praxis?
Der EuGH hat in seiner Entscheidung klargestellt, dass Cookie-Einwilligungen – gemeint ist die Zustimmung zum Setzen von Cookies auf Ihrem PC – eine aktive Handlung durch den Webseiten-Besucher erfordern. Doch was heißt das genau? Und zusätzlich müssen die Besucher „umfassend informiert“ werden.
Das Urteil zur Rechtssache C-673/17 können Sie online nachlesen und zwar hier…
Was genau bedeutet das Urteil für die Praxis?
Der Fachverband der IT-Dienstleister hat dazu weitere Informationen/ Tipps zusammengestellt, die wir hier gekürzt und vereinfacht präsentieren.
ad Einwilligung:
Hier verweist der Fachverband auf die aktuell geltende „e-Privacy-Richtlinie“, die im § 96 des Telekommunikations-Gesetz (TKG) umgesetzt wurde. Bereits dort wird darauf verwiesen, dass „das Abspeichern von Cookies auf dem Endgerät der Nutzer (Handy, Computer, etc.) oft nur zulässig ist, wenn zuvor eine entsprechende Einwilligung eingeholt wurde.“
Und der Fachverband rät: Wenn eine Einwilligung erforderlich ist, muss diese jedenfalls durch ein aktives Verhalten der Nutzer erteilt werden. Unzulässig sind etwa bereits vorangekreuzte Einwilligungskästchen, die Nutzer erst anklicken müssen, um nicht einzuwilligen („Opt-out“).
Hier verweist der Fachverband auf die aktuell geltende „e-Privacy-Richtlinie“, die im § 96 des Telekommunikations-Gesetz (TKG) umgesetzt wurde. Bereits dort wird darauf verwiesen, dass „das Abspeichern von Cookies auf dem Endgerät der Nutzer (Handy, Computer, etc.) oft nur zulässig ist, wenn zuvor eine entsprechende Einwilligung eingeholt wurde.“
Und der Fachverband rät: Wenn eine Einwilligung erforderlich ist, muss diese jedenfalls durch ein aktives Verhalten der Nutzer erteilt werden. Unzulässig sind etwa bereits vorangekreuzte Einwilligungskästchen, die Nutzer erst anklicken müssen, um nicht einzuwilligen („Opt-out“).
Empfohlen wird die Verwendung eines Cookie-Pop-Up-Fensters, das durch Anklicken einer Schaltfläche (z.B. „O.K.“) bestätigt werden kann. Einwilligungen über allgemeine (gemeint sind wohl versteckte) Browsereinstellungen oder konkludente Einwilligungen, also durch das Weitersurfen auf einer Webseite, sind rechtlich sehr unsicher und werden nicht empfohlen.
ad Information:
Um Ihre Informationspflicht zu erfüllen, müssen Sie Ihren Website-Besuchern noch VOR Abgabe der Einwilligung die Informationen über die damit verbundenen Datenverarbeitungen zur Verfügung stellen. Eine wirksame Einwilligung können Nutzer nur bei Kenntnis der vollen Sachlage erteilen.
Somit müssen die Informationen verständlich und detailliert genug sein, um den Besuchern zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. Also etwa Angaben zum konkreten Verwendungszweck der Cookies, deren Funktionsdauer und ob auch Drittanbieter bei der Verwendung involviert sind (z.B. als Dienstleister oder als Datenempfänger, wie etwa Google).
Um Ihre Informationspflicht zu erfüllen, müssen Sie Ihren Website-Besuchern noch VOR Abgabe der Einwilligung die Informationen über die damit verbundenen Datenverarbeitungen zur Verfügung stellen. Eine wirksame Einwilligung können Nutzer nur bei Kenntnis der vollen Sachlage erteilen.
Somit müssen die Informationen verständlich und detailliert genug sein, um den Besuchern zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen. Also etwa Angaben zum konkreten Verwendungszweck der Cookies, deren Funktionsdauer und ob auch Drittanbieter bei der Verwendung involviert sind (z.B. als Dienstleister oder als Datenempfänger, wie etwa Google).
Die Wirtschaftskammer hat ein Muster-Formular online gestellt, aus dem Sie etwa Text-Blöcke für Ihre Webseite verwenden können, je nachdem, ob Sie nur technische Cookies, oder Tracking-Cookies wie Google Analytics verwenden. Diese Muster-Formulierungen können Sie hier herunter laden…
D) Welche Cookies sind einwilligungspflichtig?
Der Fachverband der IT Dienstleister weist ausdrücklich darauf hin, dass die neue EuGH-Entscheidung nicht dazu führt, dass man immer eine Einwilligung einholen muss.
Sondern das Urteil klärt nur auf, WIE die EINWILLIGUNG in JENEN FÄLLEN AUSZUSEHEN hat, in denen auch jetzt schon eine Einwilligung einzuholen nötig war.
Der Fachverband der IT Dienstleister weist ausdrücklich darauf hin, dass die neue EuGH-Entscheidung nicht dazu führt, dass man immer eine Einwilligung einholen muss.
Sondern das Urteil klärt nur auf, WIE die EINWILLIGUNG in JENEN FÄLLEN AUSZUSEHEN hat, in denen auch jetzt schon eine Einwilligung einzuholen nötig war.
Doch WANN braucht man eine Einwilligung für die Nutzung von Cookies?
Keine Einwilligung muss für Cookies eingeholt werden, die für einen vom Nutzer angefragten Dienst unbedingt erforderlich sind. Dazu zählen etwa „Warenkorb“-Cookies, Cookies zur Speicherung einer individuellen Benutzereinstellung (z.B. Sprache, Darstellung), Authentifizierungs-Cookies oder Cookies, die zur Medienwiedergabe erforderlich sind. Anmerkung Redaktion: Gemeint sind hier wohl die Session Cookies, oder technischen Cookies, von denen wir oben berichtet haben.
Keine Einwilligung muss für Cookies eingeholt werden, die für einen vom Nutzer angefragten Dienst unbedingt erforderlich sind. Dazu zählen etwa „Warenkorb“-Cookies, Cookies zur Speicherung einer individuellen Benutzereinstellung (z.B. Sprache, Darstellung), Authentifizierungs-Cookies oder Cookies, die zur Medienwiedergabe erforderlich sind. Anmerkung Redaktion: Gemeint sind hier wohl die Session Cookies, oder technischen Cookies, von denen wir oben berichtet haben.
Jedenfalls einwilligungspflichtig sind etwa Tracking-Cookies (die das Online-Verhalten von Nutzern z.B. für Werbezwecke nachverfolgen) oder Analyse-Cookies (die das Verhalten von Besuchern auf der eigenen Webseite analysieren), bevor diese auf dem Endgerät gespeichert werden. Unerheblich ist, ob dabei personenbezogene Daten verarbeitet werden.
Bezüglich Google Analytics sollten Sie die Einstellung wählen, dass die IP-Adressen, welche von Website-Besuchern erfasst werden, vor Übermittlung in die USA derart verkürzt werden, dass sie keiner Person mehr zugeordnet werden können. Die Software sollte eine entsprechende Einstellung enthalten.
Kleine To Do Liste: Was bedeutet diese EuGH-Entscheidung nun für Sie konkret?
(basiert auf einem Newsletter von meineberater.at, die sich auf Datenschutz spezialisiert haben. Wurde von uns erweitert und ergänzt).
(basiert auf einem Newsletter von meineberater.at, die sich auf Datenschutz spezialisiert haben. Wurde von uns erweitert und ergänzt).
- Bitte prüfen Sie:
- Verwendet Ihre Website Cookies?
Wie man das auf einfache Weise eruiert, haben wir oben beschrieben.
Und falls JA, welche Art (technische, Analyse, Tracking)? - Blenden Sie beim Öffnen der Webseite einen Cookie-Banner ein?
Fragt dieser ab, welche Cookies der Nutzer akzeptieren will? - Muss der Besucher aktiv ein Hackerl bei OK setzen (ist also kein Hackerl bei Analyse- bzw. Tracking-Cookies standardmäßig gesetzt?)
- Und das Wichtigste: Saugen Ihre Cookies Daten des Besuchers erst dann ab, NACHDEM der Besucher seine Zustimmung gegeben, also auf „OK“ geklickt hat?
- Vorangehakte Einwilligungen, denen Besucher nur durch aktives „Abhaken“ entgegenwirken können, reichen ebenso wie einfache Cookie-Hinweistexte NICHT aus, um die EuGH-Entscheidung umzusetzen.
- Die Einwilligung muss für den Einsatz von Cookies erfolgen und darf zu keinem anderen Zweck verwendet werden (diese Zustimmung darf nicht gleich auch die Zustimmung zur Verarbeitung von personenbezogenen Daten sein).
- Nur die Verwendung von notwendigen (technischen) Cookies ist ohne Einwilligung erlaubt. Beispiele dazu sind jene über den Login-Status auf Webseiten, bei Warenkörben auf Online-Shoppingportalen, sowie auch jene zur Auswahl der Sprache auf Webseiten. Cookies zu Marketingzwecken zählen eindeutig nicht dazu!
Weitere Details zum Thema „elektronische Kommunikation“ hätten schon länger durch die Überarbeitung der oben zitierten „ePrivacy-Verordnung“ geregelt werden sollen. Doch nach heftiger Kritik wurde sie zurückgezogen und soll nun einem Neu-Start unterzogen werden. Sobald es dazu weitere Neuheiten geben, werden wir Sie in einem nachfolgenden Newsletter informieren.
Mag. Stephan Novotny, Mag. Günter Wagner, B2B-Projekte für Finanz- und Versicherungswirtschaft
Quellen: Newsletter der EU Kommission, Homepage der Curia-Dokumente (Urteil des EuGH), Newsletter von meineberater.at, Computerzeitung Chip.de, Newsletter Fachverband der IT Dienstleister, WKO Homepage
Alle bisherigen IDD und DSGVO-Praxisbeiträge können Sie hier herunterladen...
Den aktuellen Beitrag können Sie hier als PDF anfordern. Senden Sie ein Mail mit "JA zu Info" an g.wagner@b2b-projekte.at
Den aktuellen Beitrag können Sie hier als PDF anfordern. Senden Sie ein Mail mit "JA zu Info" an g.wagner@b2b-projekte.at
Für Rückfragen:
RA Mag. Stephan Novotny, Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Weihburggasse 4/2/22