Consulting eCommerce digitaler Wandel

Nun hat der EuGH am 1.10.19 zum Datenschutz bei Cookies entschieden und wie Sie Ihr Banner und Ihre Datenschutzerklärungen gestalten müssen, damit eine datenschutzkonforme Speicherung besteht. Deutsche Seitenbetreiber konnten sich noch auf anderslautende Auslegungen im Telemediengesetz berufen. Diese Zeiten werden mit den zu erwartenden deutschen Urteilen demnächst vorbei sei. Das Wegklickbanner ist unzulässig. Sie brauchen eine eine explizite Zustimmung. Aber das Urteil hat noch sehr viel weiter greifende Überraschungen. Die Gefahr Geldbußen vom Landesdatenschutzbeauftragten  oder Abmahnungen zu erhalten, steigt deutlich.

Werfen wir mal einen Blick ins Urteil und klären was entschieden wurde: Zunächst eigentlich fast nichts, denn es handelt sich um eine Vorabentscheidung, also eine Anfrage eines deutschen Gerichts wie der EuGH die sieht. Die eigentliche Konsequenz für die deutsche Rechtsprechung ergibt sich erst aus dem Urteil des deutschen Gerichts und ggf. anderer Instanzen. Trotzdem ist herauslesbar, wohin sich das deutsche Onlinevertriebsrecht entwickeln wird. Grundsätzlich ist es um folgende drei Kernfragen gegangen:

1. Sind Cookies überhaupt zustimmungsbedürftige personenbezogenen Daten und muss zwischen personenbezogenen und nicht personenbezogenen abgelegten Daten unterschieden werden? Hierzu gab es ein klares Ja vom EuGH. Aber der EuGH legt noch was drauf: Der „Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt, und erfasst insbesondere – wie ebenfalls aus diesem Erwägungsgrund hervorgeht – „Hidden Identifiers“ oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen.“ Begründet wird dies mit den europäischen Menschenrechten. Jeder, der irgendwas auf einem Gerät eines Nutzers ablegen will, braucht dessen Einwilligung!
   Nach meiner Meinung ist dies eine harte Nuss, denn schließlich gibt es auch technische Cookies, die am Rechner abgelegt werden. Wie verhält es sich mit temporären Dateien des Browsers? Auch die werden auf Endbenutzergeräten gespeichert.Ist eine abwählbare, voreingestellte Zustimmung eine „Einwilligung“ der Person, wenn diese nicht abwählt? Es geht also um die Frage, ob eine passive Einwilligung genügt? Nein, dies genügt nicht. Keine wirksame Einwilligung liegt vor, wenn die Speicherung oder Auslesen von Informationen beim Endgerät durch ein abwählbares Ankreuzkästchen erlaubt wird – so der EuGH.
   
   
2. Ist eine abwählbare, voreingestellte Zustimmung eine „Einwilligung“ der Person, wenn diese nicht abwählt? Es geht also um die Frage, ob eine passive Einwilligung genügt? Nein, dies genügt nicht. Keine wirksame Einwilligung liegt vor, wenn die Speicherung oder Auslesen von Informationen beim Endgerät durch ein abwählbares Ankreuzkästchen erlaubt wird – so der EuGH.
   
   
3. Reicht es einfach dem Banner zuzustimmen? Nein. Der Besucher muss „klaren und umfassenden Informationen“ erhalten, über die Zwecke der Verarbeitung für die er seine Einwilligung gegeben hat. Insbesondere ist entschieden, dass die „Identität des für die Verarbeitung Verantwortlichen“, die „Zweckbestimmungen der Verarbeitung“, „die Empfänger oder Kategorien der Empfänger der Daten“ anzugeben sind; sowie „Angaben zur Funktionsdauer der Cookies“ und dazu, „ob Dritte Zugriff auf die Cookies erhalten können. Gerade bei Letzteren wird es wiederum heikel. Woher wollen Sie wissen, wer auf ihre Facebook- und Google-Cookies alles Zugriff bekommt.

Das Urteil enthält Sprengstoff ...

aus dem prompt die jeweiligen Interessensgruppen Ihr Kapital schlagen werden. Ihr gutes Recht, aber für Leute in der Vertriebspraxis meist eher verunsichernd oder generell desaströs als hilfreich. Daher war es gut zuerst einen Blick ins Urteil zu werfen. Wie dies in der deutschen Rechtspraxis dann weiter ausgelegt wird, bleibt abzuwarten. Aber Sie sind nicht auf der sicheren Seite, wenn Sie dies vorerst ignorieren. Denn mit der DSGVO können die Landesdatenschutzbehörden Bußgelder verhängen, wenn deren Rechtsauffassung mit Ihrer kollidiert. Zumindest ein Teil der Behörden setzen dieses Instrument auch strategisch ein, um Urteile in deren Sinne zu forcieren. Statistisch ist bewiesen: Bevorzugt werden hier kleine Unternehmen ausgewählt (näheres dazu in einem Folgebeitrag).

Für Ihren eCommerce kann ich folgende Empfehlungen ausgesprechen:

• Weisen Sie im Banner auf Zweck und Identität der Verarbeitung hin und ob andere Zugriff haben. Weisen Sie auf die Datenschutzbestimmungen für weiter Informationen hin. Eine Verlinkung ist m.E. nicht erforderlich und ggf. für die Navigation hinderlich. Dies gilt für alle Cookie-Arten.
• Weisen aber deutlich und leicht aufrufbar auf die Datenschutzbestimmungen auf der gleichen Seite hin, z.B. im Footer.
• Vergessen Sie für Cookies und sonstige Zustimmungen alle voreingestellten Ja-Optionen. Sie brauchen den aktiven Zustimmungsklick. Ihnen kann aber niemand verwehren, Besucher von der Seite fern zu halten, wenn diese nicht zustimmen. Haben Sie wertvolle Inhalte, werden Ihnen die wirklich Interessieren die Zustimmung geben. Dies kann eine Chance für mehr Besucherqualität sein.
• Insbesondere wenn Funktionen durch die Nichtzustimmung eingeschränkt werden, weisen Sie deutlichst darauf hin. Ansonsten erzeugen Sie eine neue Beschäftigungswelle für Supportanfragen.
• Wenn Sie ohnehin lt. EuGH immer eine Einwilligung für jede Endgerätespeicherung brauchen, egal ob technisch erforderliche Cookies oder personenbezogene Werbecookies, dann macht es m.E. nur wenig Sinn zwischen den zu speichernden Informationen zu unterscheiden. In der Regel wird auch die Zustimmungskonversion steigen, wenn Sie die notwendigen technisch Cookie-Grunde vorliegen. 
• Wenn Sie Produkte von Dritten, wie Facebook, Google, Amazon …. einsetzen: Verweisen und verlinken Sie unbedingt auf deren Datenschutzbestimmungen.
• Erfahrungsgemäß geht mit aktiver Zustimmung Anzahl der Online-Messdaten massiv zurück (Einbrüche um 50% sind nicht selten). Wenn Sie also nur jeden 2. Besucher messen können (dürfen), müssen Sie Ihr internes Reporting auf den Prüfstand stellen und die KPI-Auswirkungen mit der Geschäftsführung abstimmen. Eine seriöse Vergleichsbasis zu Vorjahreswerten ist dann in der Regel Vergangenheit.
• Die Zeiten der komfortablen automatischen Bannerzustimmung sind vorbei! Sie brauchen jetzt Kommunikationspläne wie Sie Ihren Besuchern die Bannerzustimmungen schmackhaft und plausibel machen. Planen Sie hierfür Kapazitäten und Budgets ein. Positiver Nebeneffekt: Im Kern setzen Sie damit auf Vertrauenswerbung in Ihr Unternehmen und dies ist nie verkehrt.

Brauchen Sie Unterstützung im „Leben nach der DSGVO“, bei der Neuausrichtung Ihres e-Commerce oder Fragen zur Strategie. Ich unterstütze Sie gerne. Nehmen Sie mit mir Kontakt über Mail oder per Telefon 0151 505 24576 auf.
Ihr Dr. Thomas Artmann