Zum Inhalt springen

cookie

BayL­DA: Wie rechts­kon­form ist Ihr Coo­kie-Ban­ner? Ein­wil­li­gungs­ma­nage­ment auf Web­sei­ten auf dem Prüfstand

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Das eine oder ande­re Unter­neh­men mit Sitz in Bay­ern hat bereits Post vom BayL­DA erhal­ten. Hin­ter­grund: In einem ers­ten Durch­lauf zur Prü­fung der Rechts­kon­for­mi­tät von Coo­kie-Ban­nern und dem Con­sent-Manage­ment hat das BayL­DA im ers­ten Schwung bei 350 Unter­neh­men kon­kre­te Grün­de gefun­den, deren Umset­zung zu bean­stan­den. Dem BayL­DA miß­fiel dabei unter ande­ren, dass

  • bereits Pro­zes­se rund um Coo­kies und Daten­über­tra­gun­gen in Gang gesetzt wer­den, sobald die Web­sei­te auf­ge­ru­fen wird, noch bevor mit dem Besu­cher im Hin­blick auf not­wen­di­ge Ein­wil­li­gun­gen (Con­sent-Manage­ment) inter­agiert wird (§ 25 TTDSG) und
  • es auf der ers­ten Ebe­ne im Con­sent-Manage­ment sel­ten eine ein­fa­che Opti­on zur Ableh­nung (Nicht-Ein­wil­li­gung) für den Besu­cher zur Ver­fü­gung steht bzw. durch des­sen Feh­len nach Sicht­wei­se des BayL­DA kei­ne rechts­wirk­sa­me Ein­wil­li­gung im Sin­ne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetz­lich klar fest­ge­schrie­be­nen Ein­wil­li­gungs­pflicht für Zugrif­fe auf End­ein­rich­tun­gen, also bei­spiels­wei­se das Set­zen von Coo­kies oder das Aus­le­sen von Wer­be-IDs und ande­ren Iden­ti­fi­ern, erhal­ten wir wei­ter­hin eine sehr hohe Anzahl an Beschwer­den und Kon­troll­an­re­gun­gen in die­sem Bereich”, so das BayL­DA zur Moti­va­ti­on für die­se anlass­los Prüfaktion.

Im Zuge des­sen wur­den auch Apps und deren Ver­hal­ten im og. Kon­text geprüft. Im Gegen­zug zur auto­ma­ti­sier­ten Prü­fung der Umset­zung auf Web­sei­ten, gestal­tet sich die App-Prü­fung lt. BayL­DA deut­lich aufwendiger.

“Die Prü­fung knüpft zunächst am Ein­satz einer sehr ver­brei­te­ten Con­sent-Manage­ment-Platt­form (CMP) an, soll in wei­te­ren Durch­läu­fen aber auf wei­te­re CMP-Anbie­ter und damit eine noch grö­ße­re Zahl von Web­sei­ten aus­ge­dehnt wer­den”, schreibt das BayL­DA in sei­ner Pres­se­mit­tei­lung vom 09.02.2024. Wer also als Unter­neh­men, Frei­be­ruf­ler oder Ver­ein mit Sitz in Bay­ern bei den bis­her 350 Bean­stan­dun­gen noch nicht dabei war, hat gute Chan­cen, zukünf­tig doch noch Post vom BayL­DA zu erhalten.

Anfor­de­run­gen an ver­ant­wort­li­che Stel­len sowie Ergeb­nis­se aus die­ser Prüf­ak­ti­on wer­den suk­zes­si­ve im Abschnitt “Daten­schutz­prü­fun­gen” auf der Web­sei­te des BayL­DA ver­öf­fent­licht. Rein­schau­en lohnt sich.

Wer übri­gens etwas zum The­ma Coo­kies auf unse­rer Web­sei­te erfah­ren möch­te, bit­te hier ent­lang.

EuGH nimmt Web­sei­ten­be­trei­ber bei Face­books Like But­ton in die Pflicht

EuGH Urteil C‑40/​17 zu Face­books Like Button

Am Mon­tag, 29.07.2019 ver­kün­de­te der EuGH in sei­nem Urteil C‑40/​17 eigent­lich wenig Über­ra­schen­des. Das ein­fa­che Ein­bin­den von akti­ven Social Media Kom­po­nen­ten wie dem Face­book Like But­ton (um den ging es hier kon­kret), ist dann doch nicht so ein­fach, wie es sich manch Web­sei­ten­be­trei­ber erhofft.

Die Crux am Face­book Like Button

Als akti­ver Inhalt über­trägt der Face­book Like But­ton bereits beim Öff­nen der Web­sei­te Daten des Sei­ten­be­su­chers an Face­book. Dies geschieht, wenn kei­ne wei­te­ren Vor­keh­run­gen sei­tens des Web­sei­ten­be­trei­bers getrof­fen wer­den, noch bevor der Sei­ten­be­su­cher über die­se Art der Daten­wei­ter­ga­be infor­miert wur­de oder (und hier bleibt ein wei­te­res Urteil abzu­war­ten) in die Wei­ter­ga­be ein­ge­wil­ligt hat.

Ursprüng­lich als kom­for­ta­ble Mög­lich­keit gedacht, Inhal­te der besuch­ten Web­sei­te schnell in Face­books Netz­werk durch den Besu­cher tei­len zu las­sen und damit eine höhe­re Reich­wei­te für die eige­ne Web­sei­te zu erzie­len, bringt die­se Kom­fort­funk­ti­on jetzt Mehr­auf­wand für den Betrei­ber der Web­sei­te mit sich.

Emp­feh­lung zur Umset­zung bzw. Ein­bin­dung des Face­book Like But­ton in die eige­ne Webseite

Orga­ni­sa­tio­nen, die bereits den akti­ven Face­book Like But­ton auf der Web­sei­te nut­zen oder dies in naher Zukunft pla­nen, soll­ten als Reak­ti­on auf das EuGH Urteil zum Face­book Like But­ton nun reagie­ren. So gilt es, die Anga­ben zu den Infor­ma­ti­ons­pflich­ten bzw. die Daten­schutz­er­klä­rung um die Punk­te Erhe­bung und Wei­ter­lei­tung von Besu­cher­da­ten an Face­book zu ergän­zen, sofern noch nicht erfolgt.

Noch offen ist bzw. dis­ku­tiert wird die Fra­ge, ob eine Ein­wil­li­gung des Besu­chers für die Erhe­bung und Wei­ter­ga­be an Face­book not­wen­dig ist oder ob (zumin­dest nicht-öffent­li­che Stel­len) auf das sog. berech­tig­te Inter­es­se abstel­len kön­nen. In den aktu­el­len Dis­kus­sio­nen kris­tal­li­siert sich hier jedoch eine Mehr­heits­mei­nung her­aus, die eine akti­ve Ein­wil­li­gung wie z.B. bei den bereits gut ver­brei­te­ten 2‑Klick-Lösun­gen bevor­zugt bzw. voraussetzt.

2‑Klick-Lösun­gen für die eige­ne Webseite

Wer also so gar nicht ohne Face­books Like But­ton auf der eige­nen Web­sei­te aus­kom­men kann, dem ste­hen mit die­sen Lösun­gen prak­ti­sche Hel­fer­lein zur Ver­fü­gung. Bekannt sind z.B. die bei­den c’t Pro­jek­te Embet­ty und Sha­riff. Für zahl­rei­che Con­tent Manage­ment Sys­te­me wie Word­Press ste­hen fer­ti­ge Plug­ins zur Ver­fü­gung, die rela­tiv ein­fach in die Web­sei­te ein­zu­bin­den sind und den her­kömm­li­chen Like But­ton erset­zen. Optisch durch­aus an das Ori­gi­nal ange­lehnt, ver­fügt die­ser erst mal über kei­ne akti­ven Inhal­te. Erst nach einem ers­ten Klick auf den But­ton, der Anzei­ge und Bestä­ti­gung durch einen wei­tern Klick, um die akti­ven Inhal­te zu star­ten, beginnt die Erhe­bung und Wei­ter­ga­be an Face­book. Die meis­ten 2‑Klick-Lösun­gen kön­nen ent­spre­chend auch mit ande­ren akti­ven Con­nec­to­ren zu wei­te­ren sozia­len Netz­wer­ken umgehen.

Das Urteil des EuGH fußt noch auf der frü­he­ren EU Daten­schutz-Richt­li­nie 96/​45. Da die Grund­sät­ze in der DSGVO jedoch nicht son­der­lich abwei­chen, dürf­te sich in der Anwen­dung des EuGH Urteils wenig ändern.

Coo­kie Opt-In wird Pflicht — Abmahn­ri­si­ko steigt

Für viel weit­rei­chen­der als die kon­kre­ten Anmer­kun­gen zu Face­books Like But­ton hal­ten wir die Aus­sa­ge des EuGH, das Coo­kies ein­wil­li­gungs­pflich­tig sind. Damit setzt der EuGH hier ein deut­li­ches Signal zu den bis­he­ri­gen Unsi­cher­hei­ten aus der Coo­kie Richt­li­nie. Die Rand­be­mer­kun­gen 88–90 haben es hier deut­lich in sich. Details hier­zu lesen Sie aus kom­pe­ten­ter Feder des RA Tho­mas Schwen­ke in sei­nem Blog­bei­trag. Und neh­men Sie das The­ma bit­te nicht auf die leich­te Schulter.

Unse­re Bestands­kun­den haben wir zum The­ma Coo­kies im Rah­men eines Pakets mit wei­te­ren Infor­ma­tio­nen zur Umset­zung aus­ge­stat­tet. Lesern unse­res Blogs emp­feh­len wir den oben ver­link­ten Bei­trag von Schwenke.

 

Die mobile Version verlassen