Social Plugins und Cookies
Rechtskonformer Einsatz von Cookies und Social Plugins
Autorin: Mag. (FH) Annemarie Maurer, H3 Hotel Training & Beratung e.U.
Lesezeit:
Der EuGH (Europäische Gerichtshof) hat nun auf Grund von Anrufen durch deutsche Gerichte bei der Verwendung von Social Plugins (EuGH, 29.07.2019 -C-40/17 „Fashion ID“) und Cookies (EuGH, 1.10.2019-C-673/17“planet49“) entschieden. Ein nationales Gericht kann bei Bezug zu Gemeinschaftsrecht den EuGH um Klärung ersuchen (Vorabentscheidungsverfahren), wie dies in beiden Fällen geschehen ist. Der EuGH spricht kein abschließendes Urteil, sondern gibt Information, wie der vorliegende Fall im Gemeinschaftsrecht auszulegen ist. Das finale Urteil verbleibt in beiden Fällen bei deutschen Gerichten unter Berücksichtigung des Verfahrens beim EuGH.
Sie als Betreiber einer Webseite in Österreich sollten diese Urteile als wesentlich für den technischen Aufbau Ihrer Webseite beachten, denn die Urteile des EuGH sind selbstverständlich auch für die Österreichische Datenschutzbehörde und für österreichische Gerichte ein Wegweiser und bei zukünftigen Entscheidungen/Urteilen bindend. Das Urteil des EuGH vom Juli diesen Jahres bringt mehr Klarheit für Betreiber von Webseiten, welche auf ihrer Seite Social Plug Ins eingebettet haben.
Was sind Social Plugins?
Social Plugins sind kleine Buttons von Social Media Kanälen, welche in Ihrer Webseite eingebaut werden können. Der Besucher Ihrer Webseite kann dann diese Buttons betätigen, um somit den Artikel zu teilen, zu öffnen oder sich auch ein Video ansehen, ohne dabei die geöffnete Webseite verlassen zu müssen. Bei diesem Vorgang übermittelt der Browser automatisch aktuelle IP-Adressen und Cookies an den Social Media Kanal. Loggt sich der Nutzer dann in den Social Media Kanal ein, dann ist dieser in der Lage, die erhobenen Daten rückwirkend dem Nutzer zuzuordnen und somit das Profil für Werbeschaltungen zu schärfen.
Verwenden Sie Social Plugins auf Ihrer Webseite? Wenn ja, dann ist hier Handlungsbedarf gegeben. Wir empfehlen Ihnen folgende Vorgehensweise:
- Prüfen Sie zuerst die Erfordernis des Plugins mit Ihrem Webseitenbetreuer/ Marketingverantwortlichen.
- Social Plugins sind auch einwilligungspflichtig – implementieren Sie hier eine Einwilligung – falls diese noch nicht vorhanden ist. Lassen Sie sich von Ihrem Webseitenbetreuer informieren, welche Variante (z.B. Zwei Klick Lösung) für Sie die passende ist.
- Auch über die Einbindung ist zu informieren. Prüfen Sie Ihre Datenschutzerklärung auf Inhalte diesbezüglich und adaptieren Sie gegebenenfalls.
Cookies
Das zweite Urteil erläutert den Umgang mit Cookies auf Ihrer Webseite. Cookies sind Textdaten, die der Browser (z.B. Firefox, etc.) auf dem Computer des Webseitenbesuchers speichert. Wenn Sie eine Webseite zum ersten Mal aufrufen, werden Cookies angelegt. Der Webseitenbetreiber hat die Möglichkeit, Kopien dieser Cookies zu erhalten, wenn die Cookies dann vom Browser zurückgesendet werden.
Cookies können verschiedene Funktionen erfüllen. Im Groben ist zu unterscheiden zwischen funktionalen Cookies, welche z.B. zum Betreiben der Buchungsplattform auf Ihrer Webseite benötigt werden, und Cookies, mit deren Hilfe man Statistiken ableiten, Schlüsse auf das Surfverhalten des Besuchers ziehen oder auch Nutzerprofile anlegen kann. Ein Beispiel für Cookies, welche wir für unsere Statistiken oft verwenden, ist z.B. Google Analytics.
Ableitend aus dem Cookie Urteil ist zu beachten, dass der Besucher Ihrer Webseite aktiv einwilligen muss, sobald auf der Webseite Marketing Cookies verwendet werden. Eine Formulierung in einem Banner wie z.B. „Mit dem Fortsetzen des Besuches stimmen Sie der Verwendung von Cookies zu“ oder auch ein vorangehaktes Kontrollkästchen in einem Banner sind laut dem aktuellen EuGH Urteil nicht ausreichend.
Das heißt, wenn Sie Cookies verwenden, welche über die Funktionserhaltung (Nutzung) für die Webseite hinausgehen, dann erfordert das Setzen dieser Cookies eine aktive und informierte Einwilligung des Besuchers.
Cookies für eine Webseite gelten dann als unbedingt erforderlich und einwilligungsfrei, „wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen“ (Art. 5 Abs 3 ePrivacy-RL). Leider gibt es keine Auflistung, welche Cookies genau darunter zu verstehen sind. Es ist aber davon auszugehen, dass darunter Cookies fallen, welche für Ihre Buchungsmöglichkeit auf Ihrer Webseite benötigt werden, für die Login Möglichkeit bei Gästeprogrammen, für die Sprachauswahl sowie Cookies, die eine Cookie Einwilligung speichern.
Unter informiert ist zu verstehen, dass der Besucher vor Einwilligung erfährt, welche Cookies eingesetzt werden, die Art, die Funktion und die Funktionsdauer der Cookies, die Zugriffsmöglichkeiten durch Dritte und die Möglichkeit des Widerrufs. Besucher Ihrer Webseite sollten auf die Datenschutzerklärung und das Impressum zugreifen können, ohne dass hierfür Cookies verwendet werden. Verlinken Sie am besten im Cookie Banner auf die Datenschutzerklärung – in welcher Sie der Informationspflicht nachkommen und weisen Sie hier auch auf die Opt Out Möglichkeit (wie kann ich meine Cookie Einwilligung widerrufen) hin.
Sie verwenden Cookies auf Ihrer Webseite? Was ist nun zu tun?
- Prüfen Sie mit Ihrem Webseitenbetreuer, ob Sie Cookies einsetzen.
- Wenn ja – bringen Sie in Erfahrung, welche Art von Cookies verwendet werden.
- Sind die Cookies lediglich technisch erforderlich für den Betrieb der Webseite, so sind keine weiteren Maßnahmen durchzuführen. (Lassen Sie sich diese Info am Besten schriftlich von Ihrem Webseitenbetreuer geben).
- Werden „Marketing Cookies“ verwendet? Wenn ja
a Prüfen Sie, wann das Cookie gesetzt wird. Dieses sollte nicht schon dann gesetzt werden, wenn der Besucher noch nicht die Möglichkeit hatte, zuzustimmen bzw. abzulehnen. Wenn dies der Fall sein sollte, so ist dies zu ändern.
b Bietet Ihre Webseite die Möglichkeit, das Setzen der Marketing Cookies aktiv und informiert abzulehnen? Wenn dies nicht der Fall ist, dann ist dies zu adaptieren.
c Ist die Information (Datenschutzerklärung) zu den Cookies genügend?
Nichtsdestotrotz bleiben tiefergehende Fragen aus diesem Urteil offen, wie z.B. ob es ausreichend ist, für Cookie Gruppen (z.B. Online Marketing, Statistik) eine Einwilligung einzuholen oder ob dies nach Anbieter zu geschehen hat (wie z.B. Google Analytics, Facebook Pixel). Unsere Empfehlung ist, sich die Einwilligung nach Cookie Gruppen einzuholen und in der Datenschutzerklärung alle Cookies mit Anbieter anzuführen.
Für Ihre Marketingzwecke sind Social Plug Ins und Cookies mit Sicherheit wertvolle Instrumente. Diese sollten aber ebenso datenschutzkonform auf Ihrer Webseite eingebunden sein. Viele Webseitenbetreiber stehen nun vor der Herausforderung, wie eine Umsetzung zu geschehen hat. Unser Tipp, machen Sie keine „Schnellschüsse“, sondern erarbeiten Sie konzentriert mit Ihrem Webseitenbetreuer/ Marketingverantwortlichen die nächsten Schritte, um sicherzustellen, dass Sie einerseits weiterhin die Daten erhalten, die Sie für Ihre Marketingaktivitäten benötigen aber andererseits Ihre Webseite auch die datenschutzrechtlichen Aspekte erfüllt. Anderenfalls besteht die Gefahr, dass Sie abgemahnt werden.
Autorin
Mag. (FH) Annemarie Maurer
H3 Hotel Training & Beratung e.U.
office@h3training.at
www.h3training.at