In meinem letzten Beitrag DSGVO/GDPR – WordPress datenschutzkonform machen habe ich Dir erklärt, wie ich meinen Blog datenschutzkonform eingerichtet habe.

Hinweis: Dieser Artikel stellt keine rechtliche Beratung dar!

Die Rechtslage: Alle Klarheiten sind beseitigt.

Urteile des EuGH vom 29.07.2019 und 01.10.2019

(1) Cookies dürfen nicht ohne eine vorhergehende und informierte Einwilligung gesetzt werden  außer sie sind für die Nutzung der Website essentiell (z. B. Warenkorb, Cookie Consent, etc.)

(2) die Auswahl darf nicht vorausgewählt sein

(3) Der Einsatz der „Gefällt mit“-Schaltflächen, YouTube-Videos, Google Maps, Widgets von Bewertungsplattformen und ähnliche Drittdienste bedürfen der Zustimmung des Nutzers und einer vollständigen Datenschutzinformation.
Konsequenz: Lazy Loading oder 2-Klick-Lösung

(4) Nutzer müssen jederzeit widersprechen oder die Einstellungen ändern können.

Art. 8 DSGVO – Voraussetzungen für die Einwilligungen

Hinzu kommt noch der Art. 8 DSGVO, der die Voraussetzungen für die Einwilligungen wie folgt regelt:

„(…) so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Das heißt, es ist meiner Meinung nach ein weiterer Hinweis in den Cookie-Bannern einzubinden, der absichert, dass die Nutzer mind. 16 Jahre alt sind.

Über was muss informiert werden?

Art und Funktionsweise: Welche Arten von Daten? Zu welchen Zwecken? Beispiel: IP-Adressen, Verhaltens- und Interessensbezogene Angaben für Markerting, Profiling, Personalisierung, etc.

Lebensdauer: Meistens 24 Monate

Identität des Anbieters: Dienstleistername ist ausreichend, am besten schon im Cookie-Banner und mit Link zu seiner Datenschutzerklärung. Stehen die Cookies und/oder die Datenverarbeitung in eigener Verantwortung ist dies auch anzugeben (z. B. eigenes Hosting von Matomo)

EuGH + DSGVO = DSGVNO

Mit den Entscheidungen des EuGH am 29.07.2019 und 01.10.2019 wurde beschlossen, dass (1) Cookies nicht ohne eine vorhergehende und informierte Einwilligung eingesetzt werden dürfen und (2) die Auswahl nicht vorausgewählt sein darf. Vor der Einwilligung dürfen keine Daten erhoben werden, auch nicht, wenn sie nachträglich gelöscht werden. Mit Cookies sind alle Technologien, die Daten auf den Geräten der Nutzer speichern und auslesen – auch Fingerprints – gemeint.

Der EuGH entschied nur, dass die einzelnen Anbieter einzeln aufgeführt werden müssen, nicht jedoch, ob eine Einwilligung für jeden einzelnen Dienst separat einzuholen ist.

Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer.
Es wurde jedoch nicht genau definiert, welche dazu zählen: wie z. B. nur Warenkorb-Cookies, Login-Cookies, Sprachauswahl-Cookies, Speicherung der Cookie-Entscheidung selbst.

Mit den Urteilen vom EuGH ist das Deutsche Telemediengesetz (TMG) in Teilen hinfällig bzw. schlicht weg illegal:

„(…) [Man darf] für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“– § 15 Abs. 3 TMG

Selbst die Allzweckwaffe Art. 6 Abs. 1 DSGVO kann nun nur noch schwierig geltend gemacht werden:

„(…) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ – Art. 6 Abs. 1 lit. f DSVGO

Noch unklar ist …

  • Inwiefern gilt das Urteil auch für andere Tracking-Technologien als Cookies (z. B. Local Storage, server-side Tracking)?
  • Ist das Urteil auch auf andere Technologien wie Mobiles übertragbar (z. B. IDFA, GAID, etc)?
  • Welche Cookies sind „unbedingt erforderlich“?
  • Was ist mit Affiliate-Cookies für die Abrechnung von Marketing-Kampagnen?
  • Inwiefern kann das berechtigte Interesse (Art. 6 Abs. 1 lit f DSGVO) doch noch zur Anwendung kommen?
  • Wer ist datenschutzrechtlicher Controller für das Setzen eines third-party Cookies?
  • Darf ich Empfängerkategorien nennen?
  • Was ist mit AB-Testing-Tools?

Abmahnwelle im Anmarsch …

Bußgeldverfahren des BayLDA gegen Einsatz von Webseitentracking
Das BayLDA (Bayrische Landesamt für Datenschutzaufsicht) plant offenbar ein Bußgeldverfahren gegen die Nutzung von Website-Tracking und ähnlichen Technologien auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit f DSGVO).

Nach deren Ansicht dürfen diese Tools in bestimmten Fällen nicht auf Rechtsgrundlage des Art. 6 Abs. 1 lit f DSVGO (berechtigte Interessen) eingesetzt werden. Die Verantwortlichen der Datenverarbeitung können sich nur dann drauf berufen, wenn die konkreten Umstände der Datenverarbeitung bekannt sind, d. h. die Daten dürfen nicht für weitere Zwecke als das Webseitentracking verwendet werden.

Wenn auch Du einen Blog oder eine Website hast, solltest jetzt Du handeln

Ich setze Borlabs Cookie ein – auch wenn ich etwas gezögert habe, da mich der Preis von 39€ etwas abgeschreckt hat. Aber es lohnt sich. Die Einstellung ist super leicht. Lediglich beim Google Tag Manager musste ich auf die Dokumentation zurückgreifen, da ich bei mir über den Tag Manager auch Google Analytics lade.

Hier geht’s zur Website von Borlabs (Affiliate Link)

In Kombination mit dem (kostenlosen) Datenschutz Generator eine prima Lösung.
https://datenschutz-generator.de/datenschutzerklaerung