ToDo-Liste für Website-Betreiber und E-Commerce-AnbieterEuGH-Urteil zu Tracking-Cookies und der Datenschutz-Grundverordnung

11. Januar 2021

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. Ziel ist es, personenbezogene Daten innerhalb der EU zu schützen und gleichzeitig den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten. Seit dem 24.05.2018 gilt die DSGVO endgültig. Zwischenzeitlich wurde ein wegweisendes, höchstrichterliches Urteil des Europäischen Gerichtshofs (EuGH) gesprochen. Dieses hat weitreichende Auswirkungen für das Online-Marketing.

Im EuGH-Urteil vom 29.07.2019 Aktenzeichen (C-40/17 „Fashion ID“) entschied das Gericht, dass ohne informierte Einwilligung, keine Tracking Cookies mehr zulässig sind. Dies wirkt sich auf den Einsatz von Analyse Tools, wie z. B. Google Analytics, Facebook Pixel, Hotjar aus. Darüber hinaus bestätigte der EuGH die bisherige Rechtsprechung zur Integration von Social Plugins. Diese bedürfen ebenfalls einer informierten Einwilligung. Weiter bestätigte man die Mitverantwortlichkeit bei der Verarbeitung von Daten in sozialen Netzwerken und stärkte das Verbandsklagerecht.

Allgemein lässt sich sagen, dass Codes, die zum Tracking oder zur Integration von Social Pugins dienen, erst geladen werden dürfen, wenn der User hierzu seine informierte Einwilligung abgegeben hat. Damit wird der Einsatz eines sogenannten Cookie-Consent-Banners (kein Cookie-Hinweis-Banner) unumgänglich.

Abhilfe durch den DSGVO Cookie Manager

Für TYPO3 CMS (ab 8.7 LTS) & Shopware (ab 5.2.6) bietet die aktuelle Version des DSGVO Cookie Manager eine Lösungsmöglichkeit. Anwender, die auf ihren TYPO3- und Shopware-Systemen diesen bereits integriert haben, können ein Update einspielen, um dem Urteil Rechnung zu tragen. Generell sollten die Verantwortlichen, die Datenschutzerklärung vollständig inhaltlich zu prüfen und eventuell an die neunen Gegebenheiten anpassen.
Social Plugins wie der Like-Button

Sofern die TYPO3 Sharefunktion der zeroseven design studios oder eine auf Shariff basierende Funktion (z. B. in Shopware) integriert ist, sind hier keine Anpassungen notwendig. Sollte man aber andere Social Plugins der verschiedenen Plattformen integriert haben, so empfiehlt sich eine kritische Prüfung bzw. ein Wechsel.

Denn diese Plugins übertragen initial (also von Beginn des Seitenbesuchs) Daten der Seitenbesucher an die jeweilige Plattform, ohne eine informierte Einwilligung (nach Art. 6 Abs. 1 lit. a) DSGVO) der Betroffenen einzuholen. Doch diese Vorgehensweise ist seit dem Urteil des LG Düsseldorfs vom 09.03.2016 nicht mehr zulässig und wurde auch durch den EuGH am 29.07.2019 bekräftigt.

Des Weiteren ist der Website-Betreiber über die erhobenen Daten neben den jeweiligen Social Media-Plattformen mitverantwortlich. Hierzu sollte man entsprechende Passagen in der Datenschutzerklärung vorhalten und in den jeweiligen Kanälen hierauf verweisen.

Problemfall Google-Maps

Die Integration von Goolge Maps hat sich als Lösung zur Darstellung von Standorten oder zur Routenplanung auf der eigenen Webseite etabliert. Doch auch Google Maps verarbeitet personenbezogene Daten, initial mit Aufruf der Karte, ohne eine informierte Einwilligung des Users einzuholen. Experten empfehlen in diesem Zusammenhang, sich mit dem Datenschutzbeauftragten des eigenen Unternehmens abzusprechen und eine entsprechende Passage in der Datenschutzerklärung aufzunehmen.

Eine weitere Option besteht darin, die Systeme so anzupassen, dass die Karten über eine sogenannte 2-Klick-Lösung geladen werden: Der User wird damit vor dem Laden der Karte über die Verarbeitung seiner Daten bei Google informiert und willigt mit seinem zweiten Klick in diese Verarbeitung ein, sodass die Karte anschließend geladen wird.

Integration von Youtube-Videos

YouTube Videos können über zwei Wege integriert werden: Entweder als eingebettetes Video durch ein HTML-Snippet oder durch die TYPO3 Core Funktion sowie Shopware Plugins. Bei der erstgenannten Methode ist darauf zu achten, dass der HTML-Snippet im erweiterten Datenschutz erstellt wird. Dies erkennen Sie daran, dass die URL des Videos https://www.youtube-nocookie.com enthält.

Bei der TYPO3 Core Funktion müssen ist seit der TYPO3 Version 7.6 LTS nichts weiter zu beachten, da die Videos automatisch mit dem erweiterten Datenschutz in TYPO3 integriert werden. Hinsichtlich Shopware, arbeiten einige Plugins ebenfalls auf dieser Basis. Doch in jedem Fall muss man hierauf in seiner Datenschutzerklärung hinweisen.

Einsatz von Webfonts

Die Nutzung von Monotype Webfonts erfolgt, um eine einheitliche und ansprechende Darstellung des Online-Angebots zu realisieren. Doch diese Schriften sind lizenzpflichtig – die Höhe der Lizenzgebühr richtet sich nach der Anzahl der Seitenaufrufe, die demzufolge getracked werden müssen, um die Lizenzgebühr zu berechnen.

Beide Aspekte stellen ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Doch die Empfehlung dazu lautet: Man sollte es von seinem Datenschutzbeauftragten oder Rechtsbeistand bewerten lassen und entsprechend in der eigenen Datenschutzerklärung darauf hinweisen.

Anders verhält es sich mit Google Fonts. Denn diese tracken ebenfalls personenbezogene Daten, wenn diese per JavaScript geladen werden. Mit dieser Integration bedarf es der informierten Einwilligung bevor die Schrift geladen wird. Daher empfehlen Experten, die Google Fonts nur noch offline zu integrieren. Das bedeutet, die Schrift liegt auf dem eigenen Webserver und wird von dort und nicht länger vom Google Server geladen.

Cookie-freie und DSGVO-konforme Tracking-Alternativen

Abschließend sollte man noch darauf hinweisen, dass es für unterschiedliche Zwecke weiterhin Tools gibt, die gänzlich auf ein Cookie-basiertes Tracking verzichten und somit dem deutschen und europäischen Datenschutz und der DSGVO gerecht werden. Je nach Anforderung und Zweck kann man hier beispielsweise für Web-Analytics auf die Open Source Lösung „Matomo“ hinweisen, welche eine echte Alternative für Google Analytics darstellt.

Wenn es um datenschutzkonforme Leadgenerierung und verkaufsbezogene Absichten auf der eigenen Website geht, so kann man beispielweise die deutsche Lösung „SalesViewer“ nutzen, welche anonyme Website-Besucher identifiziert und gänzlich ohne Cookies auskommt. Beide Tools punkten durch transparenten Datenschutz, einer Vielzahl von zufriedenen Nutzern und Bewertungen und eigenes Hosting bzw. einen datenschutzkonformen Sitz innerhalb der EU.(rhh)

Zeroseven design studios

Lesen Sie auch