31.10.2019

Nicht erst seit dem 25. Mai 2018 ist klar, dass mit der in Kraft getretenen Datenschutzgrundverordnung, eine rechtskonforme Erhebung von personenbezogenen Daten für den Betrieb einer Website die Grundvoraussetzung ist.

Die Datenschutzgrundverordnung, kurz DSGVO, setzte in zwei maßgeblichen Prinzipien die rechtlichen und technischen Voraussetzungen. Hier sind an erster Stelle Privacy bei Design (Datenschutz durch Technikgestaltung) und Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen).

Leider lassen diese beiden Grundsätze in ihren gesetzlichen Ausführungen samt Erwägungsgründen sehr viel Spielraum für unterschiedliche Interpretationen und Positionierungen bis heute zu. Die Formulierungen der DSGVO gaben zwar vor, dass ein Opt-in z. B. für Cookies aktiv zu gestalten ist, jedoch ging es nicht auf die praktische Anwendung ein.

Beim genannten Opt-in am Beispiel der Einwilligung für analytische Cookies war zunächst unklar, ob es zulässig sei oder nicht, dass diese Checkbox innerhalb eines Cookie-Consent-Banners vorausgewählt sein darf oder nicht. Verschärft wurde diese Fragestellung in Verbindung mit dem Zeitpunkt, wann diese analytischen Cookies geladen werden dürfen und wann nicht.

Hierbei vertraten sowohl die Datenschutzbeauftragten, Juristen als auch die Deutsche Datenschutzkonferenz (DSK) unterschiedliche Auslegungen sowie Positionen, welche die Unsicherheit bei den Unternehmen zusätzlich erhöhten.

Mit Ablauf der Übergangsfrist zum in Kraft treten der DSGVO veröffentlichten wir bereits die Version 1.0 unseres DSGVO Cookie Managers für TYPO3. In dieser Version waren jedoch die einzelnen Datenkategorien vorausgewählt (sog. Soft-Opt-in), die entsprechenden Code-Snippets wurden jedoch erst mit Einwilligung des Users durch den Klick auf den Akzeptieren-Button geladen.

Mit dem "EuGH Urteil C-673/17 Plantet49“ vom 1. Oktober 2019 wurde höchstrichterlich entschieden, dass z. B. analytische Cookies, Social Media Plugins oder Marketing Cookies ausschließlich mit der aktiven Einwilligung des Users erhoben werden dürfen. Das bedeutet im konkreten Zusammenhang, dass Checkboxen für die einzelnen Datenkategorien nicht vorausgewählt sein dürfen.

Der User muss diesen explizit, aktiv zustimmen. Das hat zur Folge, dass zum Beispiel der Google Analytics Code-Snippet erst nach ausdrücklicher Auswahl und anschließender Einwilligung des Users geladen werden darf. Bereits mit dem "EuGH Urteil C-40/17 Fashion ID“ wurde entschieden, dass Google Analytics nicht zu den technisch notwendigen Technologien zählt, welche über das berechtigte Interesse legitimiert werden können und damit keiner informierten und aktiven Einwilligung des Users bedürfen.

In Verbindung mit beiden Urteilen besteht dahingehend jetzt Rechtssicherheit darin, dass ein Cookie-Consent-Banner, der im Hintergrund Cookies lädt, welchen der User nicht zugestimmt hat, unzulässig ist und entsprechend durch die Aufsichtsbehörden, aber im Rahmen des Verbandsklagerechts empfindlich sanktioniert werden kann.

Wenn Sie auf einer Website einen Cookie-Hinweis-Banner (EU-Richtlinie wurde durch die DSGVO abgelöst) mit nur einem OK-Button oder Ähnlichem vorfinden, oder der Cookie-Consent-Banner bereits ohne Ihre Einwilligung z. B. Google Analytics oder Google Conversion Tracking Cookies lädt, dann können Sie sich sicher sein, dass diese nicht datenschutzkonform sind.

Aktuell gibt es unterschiedliche Ansätze, Cookie-Consent-Banner in einer Website zu integrieren. Die am häufigsten eingesetzte Lösung ist dabei, dass der Cookie-Consent-Banner ein Teil der Website abdeckt.

In einer Bachelorarbeit, die unser Mitarbeiter Kristof Fähndrich im August 2019 schrieb, erhoben wir umfangreiche Studien, unter anderem auch Eye-Tracking-Analysen, an welcher Stelle und in welchem Umfang ein Cookie-Consent-Banner in einer Website integriert werden kann und wie der User mit diesen interagiert. Die Ergebnisse können Sie in unserem Blog-Beitrag „Datenschutz - Ein Haus mit 3-Säulen nachlesen.

Auf Grundlage der Ergebnisse der Bachelorarbeit erweiterten wir unseren TYPO3 DSGVO Cookie-Manager in der 2.0 Version um weitere Funktionen.

Unter anderem untersuchte Kristof Fähndrich in seiner Bachelorarbeit alle DAX30-Konzerne, ob diese datenschutzkonform auf ihrer Website mit Cookies arbeiten. Das Ergebnis war erschreckend.

Selbst heute ein knappes halbes Jahr später ist die Quote der rechtskonformen Datenerhebung immer noch ernüchternd. Tracking ohne das Einholen der informierten Einwilligung ist ebenso an der Tagesordnung, wie das einsetzen von nicht datenschutzkonformen Cookie-Bannern unterschiedlichster Ausprägungen. Dies beweist unsere neuste Analyse zur Integration von Cookie-Bannern in den DAX30 Unternehmenswebsites.
Nach dem neusten Stand vom Januar 2020 binden 100 Prozent der Unternehmen einen Cookie-Banner auf ihren Websites ein. Unterschiedliche Code-Snippets werden auf 56 Prozent der Websites initial also vor Einwilligung geladen. Tracker werden hingegen bei 44 Prozent nicht vor einer informierten Einwilligung gesetzt. Eine explizite Einwilligung sprich Buttons zur Annahme und zum Ablehnen weisen nur 19 Prozent auf. Hier ist jedoch zu vermerken, dass eine Opt-In-Funktion auch eine Funktion als solches inne hat, sollte der User zum Beispiel auf „Auswahl bestätigen“ drucken um nicht ausgewählte sprich nichtbenötigte Technologien abzulehnen (was in diesem Falle jedoch nicht einberechnet wurde). Faktisch sind von den 30 Websites-Bannern lediglich 40 Prozent Cookie-Consent-Banner und 60 Prozent reine Cookie-Hinweis-Banner. Bei diesen Consent-Banner ist jedoch anzuführen, dass hiervon nur 10 Prozent eine Opt-In-Funktion direkt im Banner vorweisen. Bei den anderen 30 Prozent kann der User erst bei einer Klick-Lösung hier beispielhaft „Cookie-Einstellungen verändern“ die Opt-Funktion manipulieren/verändern. Somit holen nur wenige dieser DAX30 Unternehmen die notwendige informierte Einwilligung nach Vorgaben des EuGH und der DSK ein.

Der Verdacht, dass etwaige Bußgelder im Vorfeld einkalkuliert würden bei der Durchführung von Performance-Marketing-Maßnahmen könne damit nahe liegen.
Eine alternative Form der Cookie-Consent-Banner-Integration ist, dass der Banner über die komplette Website gelegt wird und dass der User erst durch die Einwilligung in Verbindung mit der Aktivierung bestimmter Datenkategorien, die Website zu sehen bekommt.

Das Modell wird gerne als „Consent to Content“ bezeichnet. Diese Variante eröffnet schnell die Diskussion um das Koppelungsverbot. Das bedeutet, kann ein User gezwungen werden, dass er erst einer Aktivierung von Cookies einwilligen muss, bevor er die Website besuchen kann? Dies würde den Tatbestand des Kopplungsverbots erfüllen, jedoch gibt es hierzu ebenfalls unterschiedlichste Ansichten der einschlägigen Berufsgruppen.
Vergleichen wir die beiden Ansätze und die Ergebnisse der Bachelorthesis mit der Praxis, so bietet die eine Variante die Möglichkeit, dass der User die Website besuchen kann, aber der Websitebetreiber im Hintergrund keine auswertbaren Daten mehr erheben kann.

Die Alternative hierzu wäre, dass der User die Website gar nicht besuchen kann. Unsere Meinung ist dabei eindeutig: Lieber dem User die Website zeigen, als einem potenziellen Neukunden den digitalen Zugang zu versperren.

Auf Grundlage der Ergebnisse aus der Bachelorarbeit und im Zusammenhang mit dem EuGH Urteil „C-673/17 Plantet49“ vom 1. Oktober 2019 erweiterten wir unseren TYPO3 DSGVO Cookie Manager in der 3.0 Version nochmals um weitere Funktionen und Einstellmöglichkeiten. Mit dieser Version werden die Anforderungen hinsichtlich aktiver und informierter Einwilligung erfüllt, die Snippet-Codes erst damit geladen, aber auch das unternehmerische Interesse nach auswertbaren Daten oder digitalen Direktmarketingmaßnahmen können realisiert werden.
In verschiedenen Ansätzen und Untersuchungen hat sich dabei eine Lösung herauskristallisiert, dass der User dazu animiert werden sollte, unter rechtskonformer Voraussetzung den Einsatz der Cookies zu aktivieren.
Am Beispiel unserer eigenen zeroseven Website sehen Sie, wie nach unserem datenschutzrechtlich geprüften Konzept, die optimale Integration des Cookie-Consent-Banners für TYPO3 aussehen kann. Die Google-Anatytics Zahlen bestätigen dabei unsere Untersuchung und Einschätzung zur Integration des Banners.
Wie erkenne ich, welche Cookies geladen werden?
Wenn Sie Interesse daran haben zusehen, welche Cookies eine Website bei Ihnen im Hintergrund zu setzen versucht, installieren sie hierzu das Browser-Plug-in „ghostery“. Hier können sie sehen, welche Aktivitäten im Hintergrund einer Website laufen. Natürlich können sie dies entsprechend unterbinden und über das Browser-Plug-in steuern.

Die voll umfängliche Bachelorarbeit von Kristof Fähndrich zu den Chancen und Risiken von Online-Marketing-Technologien für Unternehmen vor dem Hintergrund der DSGVO bieten wir ihnen hier zum Download an. Im Download enthalten ist ein übersichtlicher Leitfaden wie sie die jeweilige Situation am besten bewerten und einschätzen können. Bitte achten sie darauf, dass es aufgrund von Gesetzesänderungen sich permanent der Stand ändert. Die Bachelorarbeit bietet aber eine sehr gute Orientierung.

Kristof erlernte zunächst den Kochberuf. Nach diversen Stationen in diesem Berufsfeld absolvierte Kristof erfolgreich seine Fachhochschulreife. Dies war die Grundlage für ein Studium an der Hochschule Neu-Ulm im Bachelorstudiengang Betriebswirtschaft. Von Beginn an fokussierte sich Kristof auf die Fächer Marketing, Branding and Strategy sowie Wirtschaftsprivatrecht. Auf der Suche nach einem Bachelorplatz in einer Agentur wurde er auf die zeroseven design studios in Ulm aufmerksam und fand so den Weg zu uns ins Team. Nach der erfolgreich abgelegten Bachelorarbeit mit dem Thema: „Analyse der Chancen und Risiken von Online-Marketing-Technologien für Unternehmen vor dem Hintergrund der DSGVO“, nahm er schlussendlich seine Arbeit in Festanstellung in unserer Agentur auf. Als Online Marketing Manager ist Kristof seitdem mitunter für die Bereiche Social Media, SEO und SEA verantwortlich.

DSGVO

Einen datenschutzkonformer Betrieb von Website ist gesetzlich vorgeschrieben. Unsere Lösungen helfen Ihnen dabei Ihre Website nach DSGVO Richtlinien zu betreiben.