„Gefällt mir“ nicht – Social Media, Cookie-Banner und der EuGH

13.08.2019, Markus Gronemann

Wer kennt sie nicht, die diversen Banner, Pop-ups oder sonstigen Meldungen, die beim Besuch einer Webseite aufpoppen und darüber informieren, dass die Seite Cookies verwendet? „Aber natürlich tut sie das“, denkt der geneigte Webseitenbesucher, halb genervt, halb resignierend, „wie so ziemlich jede andere Seite auch“.

Längt haben wir uns daran gewöhnt, kaum jemand liest noch was in den Bannern steht und in den meisten Fällen geht es mit einem beherzten Klick auch direkt weiter Richtung Katzen-Meme, Technik-Gadget oder Business-Info. Wir nehmen in der Regel stumm zur Kenntnis, dass Cookies, jene kleinen Textdateien die uns gegenüber der Webseite wiedererkennbar machen, zum Einsatz kommen. Was sollen wir auch sonst tun, etwa die Seite verlassen?

Seit der letzten Aktualisierung der ePrivacy-Richtlinie im Jahr 2009 ist es für Webseitenbetreiber eigentlich bereits verpflichtend, die Zustimmung des Besuchers zum Setzen von Cookies einzuholen und diese auch erst nach erteilter Zustimmung zu setzen. Die gelebte Praxis allerdings ist hingegen eine andere - die Hinweise sind meist so gestaltet, dass man das Setzen der Cookies stillschweigend akzeptiert. Man könne der Verarbeitung der Daten ja auch widersprechen, würde man lesen, wenn man einen Blick in die verlinkten Datenschutzbestimmungen werfen würde.

„Macht ja auch nichts“, denkt man sich, „ist doch praktisch, wenn die Seite sich merkt, dass ich eingeloggt bin oder was ich im Warenkorb habe“.

Was aber möglicherweise auch passiert ist, dass im gleichen Schritt ungefragt identifizierbare personenbezogene Daten von der Webseite wegfließen. Zu Facebook, Google, Amazon, Twitter oder einem anderen Anbieter. Vielleicht hat der Seitenbetreiber ja eine „Gefällt mir“-Schaltfläche von Facebook unter seine Artikel eingebaut, oder das Surfverhalten des Besuchers wird via Google Analytics ausgewertet. Natürlich kann man ein Add-On verwenden, welches Tracking-Cookies blockiert, aus Google Analytics herausoptieren oder sich konsequent nach jedem Facebook-Besuch ausloggen. Der Großteil der User tut dies aber nicht, da die Mehrheit auch die technischen Zusammenhänge im Hintergrund nicht kennt und sich damit auch nicht beschäftigen möchte.

Das Cookie wird also gesetzt – gerade im Marketingbereich berufen sich viele hier auch auf eine Verarbeitungsausnahme in der DSGVO, die die Verarbeitung personenbezogener Daten erlaubt, wenn das berechtigte Interesse des Verantwortlichen an der Verarbeitung das Interesse des Betroffenen übersteigt. Und jeder Marketingmitarbeiter wird sich darauf berufen, dass es z.B. von großem Interesse ist, den Weg eines Besuchers über die Webseite zu verfolgen oder via Facebook gezielt Werbung ausspielen zu können.

Ein aktuelles Urteil des europäischen Gerichtshofs (EuGH) treibt Marketingmitarbeitern, Seitenbetreibern, Webagenturen und auch dem einen oder anderen Datenschutzconsultant derzeit allerdings die Schweißperlen auf die Stirn. Denn eben jener EuGH hat kürzlich letztinstanzlich beschlossen, dass tatsächlich die Zustimmung des Seitenbesuchers notwendig ist, bevor Cookies gesetzt werden dürfen. Und darüber hinaus auch, dass jeder, der eine „Gefällt mir“-Schaltfläche von Facebook in die eigene Seite einbindet auch mitverantwortlich für die Verarbeitung der dadurch an Facebook gesendeten Daten ist. Da hilft es auch nichts darüber zu klagen, dass man doch gar nicht gemeinsam mit Facebook irgendwelche Daten verarbeite. Tut man wohl nicht, allerdings ermöglicht man den Abfluss der Daten in Richtung des Social-Media-Giganten.

Was gilt es jetzt also zu tun?

Zunächst sollte man den Umgang mit Cookie-Hinweisen auf der eigenen Webseite unter die Lupe nehmen und auf Konformität mit dem aktuellen Urteil prüfen – also ob dort tatsächlich die Zustimmung des Besuchers abgefragt wird und Cookies auch erst nach dieser Zustimmung gesetzt werden. Ist dies nicht der Fall, sollte der Hinweis ersetzt werden, meist wird das die Aufgabe der Webagentur oder der für die Webseite zuständige Abteilung im Haus sein.

Parallel dazu gilt es, die Seite auf eingebundene Skripte, Dienste und Tracker von Drittanbietern bzw. von diesen gesetzte Cookies zu untersuchen – oder durch einen Experten untersuchen lassen. Dabei kann man sich auch gleich die Frage stellen, ob all diese Dienste wirklich noch benötigt bzw. aktiv genutzt werden. Ist es wirklich sinnvoll, jeden Beitrag durch den Nutzer auf Facebook, Twitter, Instagram, Pinterest und dem gar nicht mehr existierenden Google+ teilen zu lassen? Gibt es überhaupt die nötige Manpower und Expertise, um die anfallenden Daten auf Google Analytics zu analysieren und daraus die richtigen Schlüsse zu ziehen? Sind all die Werbetracker auf der eigenen Seite nötig, oder schaltet man aktuell weder Anzeigen in einem Werbenetzwerk noch bietet auf der eigenen Seite Platz für entsprechende Banner an?

Wenn die Anzahl der extern eingebundenen Skripte reduziert werden kann, dann ist das ein nächster, sinnvoller Schritt. Bei den verbleibenden Diensten sollte man sich auch davon überzeugen, dass auf eine mögliche Datenübertragung an die Betreiber dieser Dienste in den eigenen Datenschutzbedingungen hingewiesen wird.

Zu guter Letzt wird es in den meisten Fällen auch sinnvoll sein, gerade die diversen Social Media Schaltflächen mit einem Dienst wie Shariff einzubinden – einem Skript mit Fokus auf datenschutzfreundlichen Umgang mit diesen Diensten, dank dem Daten erst dann an Facebook & Co. übertragen werden, wenn der Benutzer die Schaltfläche aktiv anklickt und nicht schon, wenn er die Seite nur besucht. Den umgekehrten Weg geht übrigens Embetty, welches erlaubt Inhalte von Plattformen wie Twitter, Facebook, Instagram und YouTube datenschutzfreundlich in die eigene Webseite einzubinden.

Da der EuGH auch festgelegt hat, dass Verstöße gegen das Urteil abmahnbar sind, herrscht hier doppelter Handlungsbedarf, möchte man einer Abmahnung bzw. einem Bußgeld durch die Behörde entgehen.

Falls Sie unsicher sind, ob Ihre eigene Webseite hier auf dem aktuellsten Stand ist, kommen Sie gerne auf uns zu. Wir überprüfen im Rahmen eines ersten Check-Ups Cookie-Hinweis, Tracker, Skripte und Cookies sowie ihre Datenschutzbestimmungen und koordinieren ggf. auch nötige technische Änderungen mit der verantwortlichen Webagentur bzw. Abteilung in Ihrem Haus – lebbar, leistbar und sicher machbar!


Gefällt Ihnen dieser Blogpost? Wenn Sie regelmäßig die neuesten Trends im Datenschutz & IT-Sicherheit mitbekommen möchten, dann abonnieren jetzt unseren Newsletter. Hier geht es zum Anmeldeformular.