Cookie-Handling nach dem EuGH-Urteil

»EuGH: Keine Cookies ohne Zustimmung« – Wirklich?

Der Europäische Gerichtshof hat sein Urteil am 1. Oktober 2019 veröffentlicht und noch am gleichen Vormittag prägen sich oberflächliche Überschriften in das Bewusstsein aller Website-Betreiber. Sinngemäß »EuGH: Keine Cookies ohne Zustimmung«. Eigentlich schade. Jeder mag Kekse und für die Werbebranche im Internet sind sie unverzichtbar. Beides hat für den Betrieb einer normalen Website keine Bedeutung.

Arbeiten wir die Thematik auf. Selbstverständlich: Dies ist keine juristische Beratung und, da unsere Rechtssprechung ein lebendiges Organ ist, gibt es keine Gewährleistung, dass dieser Blogbeitrag der aktuellen Lage entspricht.

Das Urteil: Wissen, worum es ging

»Am 24. September 2013 veranstaltete Planet49 auf der Website www.dein-macbook.de ein Gewinnspiel zu Werbezwecken.« In diesem Formular wurden persönliche Daten erfasst und über eine voreingestellte Checkbox wurde allen Partnern des Unternehmens Zugriff auf diese Daten gegeben. Und diese Daten waren natürlich über den Webanalysedienst Remintrex abrufbar, der ein dem entsprechendes Cookie setzte.

Wer das Urteil bisher nicht gelesen hat, stellt hier fest, dass es um einen Sonderfall geht, der möglichweise durch gesunden Menschenverstand anders hätte gehandhabt werden können. Es ging also explizit darum, Userdaten durch ein Gewinnspiel zu erfassen. Und da viele User offenbar – trotz der Aussicht auf ein MacBook – skeptisch waren, wurde die Einverständniserklärung direkt voreingestellt. Fühlt sich nicht korrekt an? Ist es auch nicht. Das sah auch der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. so:

Der Bundesverband erhob beim Landgericht Frankfurt am Main (Deutschland) eine Klage, die im Wesentlichen darauf abzielte, dass Planet49 verurteilt wird, solche Einverständniserklärungen nicht mehr zu verlangen und an den Bundesverband 214 Euro nebst Zinsen ab dem 15. März 2014 zu zahlen.

Klingt bis hier nicht nach etwas, das die Web-Welt dramatisch verändert? Stimmt.

Der EuGH: Was hat der Europäische Gerichtshof damit zu tun?

Rein inhaltlich betrachtet klingt der Sachverhalt nach einem Thema für ein Amtsgericht? Und wie sind wir von hier bis zum Europäischen Gerichtshof gelangt? Kann ich mein Parkticket jetzt auch vor dem EuGH anzweifeln lassen?

Beim Parkticket stehen die Chancen schlecht. Alles andere hat mit der Klage zu tun: Der Bundesverband hat eine Unterlassungsklage platziert (»Planet49 lass das« / Unterlassungsklagengesetz – UKlaG), wodurch das Verfahren automatisch beim Landgericht landet. Und das Landgericht Frankfurt »gab der Klage teilweise statt«. Planet49 – definitiv um ein Geschäftsmodell betrogen – legte natürlich Berufung beim Oberlandesgericht Frankfurt am Main ein. Und hier befand man, dass man doch von mündigen Usern ausgehen könne. Diese hätten also das Häkchen entfernen können.

Nächste Runde: Der Bundesverband geht in Revision und der deutsche Bundesgerichtshof macht mit. Dieser hat Zweifel, setzt das Verfahren aus und legt dem EuGH Fragen zur Vorabentscheidung vor. Diese lassen sich grob umreißen: Macht es einen Unterschied, ob es um personenbezogene Daten geht oder nicht und ist unter diesen Umständen eine wirksame Einwilligung entstanden? Welche Informationen muss der User im Hinblick auf die Cookies erhalten (Funktionsdauer, Zugriff Dritter)?

Das Urteil: Was steht wirklich drin?

Ohne Vorbemerkungen hat das Urteil exakt drei Punkte. Lange Schachtelsätze mit vielen juristischen Sätzen, die auf 44 Absätzen Vorbemerkungen beruhen (Abs. 38-81). Ironischerweise »sehr gut« lesbar, da Verweise und Kontext direkt in der Urteilsschrift sind. Wer sich das Vergnügen nicht gönnen will, findet hier die Punkte als tl;dr – bitte lesen sie danach dennoch alles im vollen Text, wir möchten nur den Einstieg erleichtern:

Too long; didn't read:

1. »(…) dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.«
2. »(…) nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.«
3. »(…) dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.«

In aller Kürze: Einverständniserklärungen entstehen nur aktiv und explizit. Das gilt für alle Daten. Website-Betreiber müssen über Dauer und Zugriffe auf diese Daten informieren. Alles klar. Oder nicht?

Cookies im Kontext – Kein Problem? Bis auf einen Punkt.

Wir wiederholen noch einmal, dass das zugrundeliegende Vorgehen und die Methodik von Planet49 keinem normalen Website-Betreiber in den Sinn kommen würde. Im Kontext betrifft das Urteil daher eine kleine Gruppe von Angeboten. Es lohnt sich daher noch ein Blick in die Vorbemerkungen des Urteils – diesmal als Frage, ob Sie zu dieser kleinen Gruppe gehören:

Können Sie über gespeicherte Daten und Cookies personenbezogene Daten oder Profile Ihrer User erstellen, sobald diese online sind? (Abs. 45)

Wahrscheinlich antworten Sie mit »Nein« und prinzipiell wäre die Welt damit in Ordnung. Wenn der EuGH in Abs. 70 dann nicht den Schutz der Privatsphäre des Nutzers auch auf 

(…) 'Hidden Identifiers' oder ähnliche Instrumente, die ohne das Wissen der Nutzer in deren Endgeräte eindringen (…)

genannt hätte.

Und da war doch etwas? Legen nicht Google Analytics, Matomo und andere Tracking-Tools solche Identifier an? Zählen auch sinnfrei im Endgerät gespeicherte Daten als Eindringen in die Privatsphäre?

Die Anwendung in der Realität

Ja, »Hidden Identifier« werden bei nahezu jedem Website-Besuch angelegt. Wir nehmen uns Google Analytics (Stand 15.11.2019) als populärstes Beispiel:

• Sie benutzen Google-Analytics
• Sie anonymisieren die IP (IP-Anonymisierung in Analytics) – wenn Sie es nicht tun, fangen Sie am besten damit an!
• Der »Hidden Identifier« bzw. ein Cookie wird immer gesetzt!

In diesem Paradox liegt die Sorge der Pressereaktionen (bsp. hier, hier oder hier) rund um das EuGH-Urteil. Es sei hier kurz ein Beispiel zitiert:

Internetnutzerinnen und Internetnutzer müssen aktiv der Speicherung sogenannter Cookies zustimmen. Dies hat der Europäische Gerichtshof (EuGH) geurteilt. Demnach ist die voreingestellte Zustimmung zum Speichern der Daten unzulässig.

11. Oktober 2019, 12:26 Uhr, Quelle: ZEIT ONLINE, dpa, Reuters, AFP, sho

Lassen Sie sich von derlei News-Aussagen nicht verwirren. Die meisten Artikel relativieren die, zunächst sehr plakativen, Aussagen selbst wieder. Gut ist auch zu wissen, dass alle aufgeführten Links und auch der Europäische Gerichtshof sofort »Hidden Intentifier« per Cookie auf ihrem Rechner speichern. Falls Sie also Google Analytics oder Matomo verwenden, sind sie aktuell in guter Gesellschaft. Gleichzeitig sagen reguläre Log-Dateien zu Beginn weit mehr über Sie aus, als das normale Tracking – immerhin kennen diese Ihre IP.
Aber auch hier gibt es einen Haken: Tracking-Dienste gewinnen mehr Wissen über Sie, je länger Sie surfen.

Google Analytics vs. Ihre digitale Spur

Wenn der EuGH über »Hidden Identifier« schreibt, schreiben Datenschutzbehörden darüber, dass Dritt-Dienste nicht mehr ohne Einwilligung eingebunden werden dürfen, wenn diese personenbezogene Daten zu eigenen Zwecken nutzen können. Somit steht meist die Aussage im Raum, dass Google Analytics, ohne aktive Zustimmung der Website-Besucher, nicht mehr verwendet werden darf. Für die meisten Website-Betreiber ist Google Analytics damit sinnlos – wer klickt schon aktiv Tracking an, wo wir doch alle nur eine Website besuchen wollen?

Auch hier ist wieder von personenbezogenen Daten die Rede. Werden keine erfasst, fällt Google Analytics in die gleiche Kategorie wie das eigens verwaltete Tracking über Matomo o.ä.. Was macht Google Analytics und werden eigentlich personenbezogene Daten erfasst?

Anonymisierte IP: Eine IP kann einen User identifizieren, auch wenn die meisten privaten Nutzer laufend wechselnde IPs über ihren Internetanbieter haben. Durch die IP-Anonymisierung werden die letzten drei Stellen einer IP nicht gespeichert, wodurch eine Zuordnung zu Anschlüssen nicht mehr möglich ist (Quelle: Google)

Thema erledigt? Analytics weiß nicht mehr, wer Ihr Besucher ist? Leider nein. Hier bemühen wir Vernunft und gesunden Menschenverstand. Sie kennen Ihre Analytics-Statistik »Wiederkehrende Besucher«? Analytics ist offenbar bewusst, ob ein Besucher bereits Ihre Website besuchte oder nicht, womit wir wieder beim Thema »Hidden Identifier« sind. Analytics hat diese Information, da das entsprechende Cookie für zwei Jahre gilt und mit jedem Aufruf um zwei Jahre verlängert wird – es endet somit praktisch nie. Und selbst wenn Analytics nicht weiß, wer Sie sind, kann durch mehrmalige Besuche ein Bewegungsprofil erstellt werden – womit wir wieder bei personenbezogenen Daten wären.

»Identifier« über Sessions Cookies entfernen: Die IP ist anonymisiert und nun sollte es lediglich möglich sein, einen Besucher nicht identifizieren zu können, bzw. keine wiederkehrenden Bewegungsprofile zu erzeugen. Auch hier bietet Analytics eine Lösung. Anstatt einen Besucher über das einmal gespeicherte Cookie wieder zu erkennen, kann die »Cookie Expiration« auf »0« gesetzt werden – womit das Cookie gelöscht wird, sobald der Browser geschlossen wird (Quelle: Google).

Über IP-Anonymisierung und Session-Cookies speichert Google im Folgenden anonym und erkennt den User nicht wieder – womit per Definition alle Daten geschützt wären, da weder eine Erkennung noch fortlaufende Surfprofile erstellt werden. Die einzige »Einschränkung« ist, dass Sie fortan keine »Wiederkehrenden Besucher« in Ihrer Analytics-Statistik sehen.

Für Website-Betreiber bedeutet dies zumindest halbwegs belastbare Aussagen über die Relevanz und die Nutzung der eigenen Seite. Die aktive Vermeidung der Erfassung personenbezogener Daten stellt natürlich nur die halbe Wahrheit dar, da allein über Google Chrome weit mehr Daten zu Google gelangen können, als das Analytics eines Website-Betreibers erfasst.

Über Handlungsempfehlungen und Eigenverantwortung

Statt blind die vermeintlichen Handlungsempfehlungen der Presse (»Hauptsache der Artikel wird gelesen«), der IT (»Das entscheiden Sie«), der Datenschutzbehörden (»Alles ist böse«) oder der Datenschutzexperten (»Beratung gibt Bedeutung; mehr Beratung gibt mehr Bedeutung«) zu beachten, empfehlen wir ein grundsätzliches Verständnis für »Was, Warum und Wozu« Datenerfassung auf Ihrer Website dient. Denn letztlich entscheiden Sie selbst über den Einsatz. Und wie bei fast jeder geschäftlichen Entscheidung, gibt es Gründe für jede Anwendungsart.

Wir empfehlen prinzipiell grundsätzliche Daten zu erfassen, da Sie irgendwann statistische Auswertungen machen sollten, um über Sinn, Qualität oder auch Unsinn der eigenen digitalen Inhalte zu entscheiden. Je konservativer Sie vorgehen und je mehr Sie wissen, desto entspannter können Sie dem nächsten DSGVO-Hype begegnen.

Mehr Eigenverantwortung und Vorsicht empfehlen wir beim Umgang mit Facebook, Instagram und Co.! Alle Plattformen bieten einfache Möglichkeiten Inhalte einzubetten. Und während Sie mit Google Analytics noch einen Vertrag zur Datenverarbeitung im Auftrag haben, sieht es bei der Integration von Drittanbietern meist dürftiger aus!

Unsere Reaktion: Neues Cookie-Handling in toujou

Nach dem Prinzip der Eigenverantwortung, möchten wir Ihnen mit toujou die bestmögliche Konfigurationsmöglichkeit geben. Ohne dem Hype daher einfach nachzugeben, haben wir das Urteil des EuGH gelesen, nicht überinterpretiert und unsere Datenschutzkonfiguration für Google-Analytics erweitert. Ihre neuen Konfigurationsmöglichkeiten sind beispielhaft wie folgt!

Tracking ohne Einschränkungen

Sehen Sie diesen Punkt bitte mit einem Augenzwinkern und nicht als Empfehlung! Da alle Konfigurationen in toujou optional sind, können Sie natürlich auch einfaches Website-Tracking betreiben. Ohne Hinweis oder Einverständnis. Hiervon raten wir unbedingt ab.

Reguläres Tracking mit Opt-Out

Google Analytics ist beim ersten Aufruf eines Nutzers aktiviert und im Cookie-Hinweis erhalten Sie die direkte Möglichkeit, das Tracking zu unterbinden. Diese Information wird in einem Cookie gespeichert und ist dementsprechend eine notwendige Information. Diese Opt-Out-Methode funktioniert auf allen Endgeräten!

Da das Google-Analytics-Cookie mit zwei Jahren Gültigkeit gespeichert wird, sehen wir jedoch die Interpretationsmöglichkeit zu personenbezogenen Daten durch das dauerhaft zuordenbare Surfverhalten auf Ihrer Website.

Tracking mit Session-Einschränkung mit Opt-Out

Unsere Empfehlung zur Verwendung von Google Analytics und die Art, wie wir das Tracking aktuell einsetzen. Google Analytics ist beim ersten Aufruf eines Nutzers aktiviert und im Cookie-Hinweis erhalten Sie die direkte Möglichkeit, das Tracking zu unterbinden. Diese Information wird in einem Cookie gespeichert und ist dementsprechend eine notwendige Information. Diese Opt-Out-Methode funktioniert auf allen Endgeräten!

Um personenbezogene Daten per Definition zu vermeiden, beschränken wir die Dauer des Google-Analytics-Cookies auf die laufende Browser-Session. Wie oben beschrieben haben wir somit nicht zuordenbare und einmalige Statistiken über den Besuch. Im Gegensatz zu einem Opt-In sind diese Daten auch halbwegs belastbar und Sie erhalten ein grundsätzliches Gefühl für die Useranzahl auf Ihrer Website.

Tracking mit Opt-In

Wenn Sie den Handlungsempfehlungen der Datenschutzbehörden folgen möchten, können Sie Google Analytics in toujou auch mit dem Opt-In-Verfahren verwenden. In diesem Szenario muss Ihr Besucher sein Einverständnis zum Tracking aktiv geben, wodurch Sie im Prozess eine eindeutige Willenserklärung haben.

Auch in diesem Szenario ist es möglich, das Tracking auf die aktuelle Browser-Session einzuschränken. Wir halten diesen Schritt im Rahmen eines Opt-In jedoch für unnötig.

Kein Tracking

Auch das geht. Wer definitiv nichts mit dem Cookie-Thema zu tun haben möchte, trägt schlicht keine Tracking-Informationen ein. In diesem Moment speichert toujou kein Cookie, da es ja auch keine Notwendigkeit dazu gibt. Die einzige Ausnahme: Sobald Ihre Seiten eine Altersfreigabe erfordern, würden auch diese Einstellungen in einem Cookie gespeichert werden.

Quellen

Urteil des Gerichtshofs
»Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Richtlinie 2002/58/EG – Verordnung (EU) 2016/679 – Verarbeitung personenbezogener Daten und Schutz der Privatsphäre in der elektronischen Kommunikation – Cookies – Begriff der Einwilligung der betroffenen Person – Einwilligungserklärung mittels eines mit einem voreingestellten Häkchen versehenen Ankreuzkästchens«
http://curia.europa.eu/juris/document/document.jsf;jsessionid=ED264952091FDEA5D749A4BE9D6D5CA6?text=&docid=218462&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1586898

IP-Anonymisierung bei Google-Analytics
Technische Erläuterung zur Anonymisierung von IP-Adressen in Analytics
https://support.google.com/analytics/answer/2763052?hl=de

Session Cookies über Google-Analytics
Englische Dokumentation: Aus einem Analytics-Cookie mit zwei Jahren Speicherdauern wird ein Session-Cookie, dass nur für den Besuch gilt.
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#cookie_expiration

Wie kam es zum EuGH?
Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz - UKlaG) – § 6 Zuständigkeit
https://www.gesetze-im-internet.de/uklag/__6.html

---