WordPress Cookie-Opt-in: vom Problem zur Lösung
Das Urteil des Europäischen Gerichtshofs, kurz EuGH, in Bezug auf die DSGVO bzw. die ePrivacy-Verordnung vom 1. Oktober 2019 beendete die Diskussion rund um den Einsatz von Cookies auf Webseiten wie WordPress, Onlineshops oder sozialen Medien und erforderte ein generelles Umdenken von Webseitenbetreibern. Das sogenannte Opt-out-Verfahren gilt als unzulässig, so dass Webseitenbetreiber und WordPressnutzer zukünftig dazu verpflichtet sind, auf Opt-in-Lösungen zurückzugreifen. Dies bedeutet, dass Cookies erst nach Zustimmung von Webseitenbenutzern gesetzt werden dürfen, was auch den Einsatz der bekannten Cookie Bar – und den damit eingehenden dargestellten Infos inkl. Ok-Button für den Nutzer nicht mehr praxistauglich macht. Doch was bedeutet dies konkret für Webseitenbetreiber?
Die DSGVO in Bezug auf Cookies
Die Bezeichnung DSGVO steht als Abkürzung für die Datenschutzgrundverordnung. Diese gilt seit dem 25. Mai 2016 für alle im EU-Bereich tätigen Unternehmen und regelt den Schutz personenbezogener Daten, die im Rahmen der Tätigkeit eines Unternehmens oder Webseitenbetreibers gesammelt und zu unterschiedlichen Zwecken verarbeitet werden. Im Rahmen dieser Verordnung werden notwendige Bedingungen vorgegeben, die bei der Gestaltung entsprechender Datenprozesse miteinbezogen werden müssen, um diese rechtssicher vornehmen zu können.
Bereits schon die sogenannte Cookie-Richtlinie ABl. 2009/136/EG vom 25. November 2009 besagt, dass Cookies nur dann zulässig sind, wenn der Nutzer zuvor explizit eingewilligt hat. Ausgenommen von dieser Regelung sind Cookies, die aus technischen Gründen erforderlich sind und somit zuerst einmal wenig mit der Nutzung personenbezogener Daten zu tun haben. Diese europäische Richtlinie fand in Deutschland in der Vergangenheit praktisch keine Anwendung, was das Sammeln und Speichern von Daten deutlich erleichtert hat. Mit seiner Entscheidung von 1. Oktober 2019 hat der EuGH nun eindeutig geklärt, dass die Anwendung der Cookie-Richtlinie ABl. 2009/136/EG auch in Deutschland verpflichtend ist, was gleichzeitig bisherig genutzte Opt-out Lösungen als abmahnfähig erklärt und es notwendig macht, auf sogenannte Opt-in Lösungen zurückzugreifen.
Allerdings sind nicht alle Arten von Cookies an die, durch die, von der DSGVO vorgegebenen Bedingungen geknüpft. Man unterscheidet hier allgemein zwischen zwingend notwendigen und nicht notwendigen Cookies. Die Unterscheidung, welche Cookies unter den Begriff notwendig fallen, orientiert sich daran, wie hoch die Gefährdung des Datenschutzes durch diese Cookies einzustufen ist. Die Unterscheidung erfolgt gemäß Art.-29-Datenschutzgruppe.
Unterscheidung von Cookies in Bezug auf Art.-29-Datenschutzgruppe
Bei der Art.-29-Datenschutzgruppe handelt es sich um die unabhängige europäische Arbeitsgruppe, deren Aufgabe es bis zum Inkrafttreten der DSGVO am 25. Mai 2018 war, sich mit dem Schutz der Privatsphäre und der personenbezogenen Daten auseinanderzusetzen und diese entsprechend zu gewährleisten. Gemäß der Auffassung dieser Arbeitsgruppe gelten Cookies, die im Zusammenhang mit dem Warenkorb auf Onlineshopseiten, Cookies die der Sicherheit, beispielsweise in Bezug auf die Nutzererkennung bei bereits angemeldeten Webseitennutzern beziehen, sowie auch Login-Session Cookies und technisch notwendige Cookies als zulässige Cookies, für die keine explizite Einwilligung des Nutzers erforderlich ist.
Etwas anders sieht dies bei Statistik-Cookies, die primären statistischen Auswertungen dienen, und Cookies aus, die den Nutzerkomfort von Webseiten und Onlineshops für den Nutzer erhöhen sollen, beispielsweise durch Anzeigenpersonalisierung, sowie Cookies, die zur internen statistischen Erfassung im Zusammenhang mit genutzten Analysetools dienen. Diese werden nicht als notwendig betrachtet, unterliegen jedoch weniger harten Regelungen, sofern sie nicht an Dritte weitergegeben und extern verarbeitet werden. Um den Bestimmungen gerecht zu werden, reicht es im Grunde aus, auf die Verwendung von Cookies hinzuweisen und es dem Nutzer zu ermöglichen, die Cookie Einstellungen anzupassen.
Nachträgliche Änderungen durch Besucher
Auch sollte gewährleistet sein, dass Webseitenbesucher nachträglich noch die Möglichkeit haben, diese Einstellungen auch zu einem späteren Zeitpunkt noch einmal einzusehen und ggf. nachträglich anpassen zu können. Diese Lösung ist nach dem Urteil des EuGHs allerdings mit Vorsicht zu genießen, da an dieser Stelle oftmals nicht verallgemeinert werden kann, sondern im Einzelfall unterschiedliche Faktoren dafür relevant sein können, ob ein Opt-out Verfahren ausreichend ist oder hier bereits strengere Voraussetzungen erfüllt werden müssen. Im Zweifelsfall sollten Webseitenbetreiber ihre Informationen und Einstellungen anpassen, um den Anforderungen gerecht zu werden und diesen rechtssicher nachzukommen.
Cookies zu Werbe- und Trackingzwecken wie beispielsweise Tracking-Cookies, die sich auf soziale Plug-Ins beziehen, First-Party-Analyse oder Third-Party-Werbe-Cookies etc. unterliegen in jedem Fall den strengeren Datenschutzrichtlinien, da sie der Analyse des Nutzerverhaltens dienen und somit eine Vielzahl unterschiedlicher personenbezogener Daten erfassen und verarbeiten und/oder den Nutzer eine gewisse Zeitlang bei Aufrufen verschiedener Webseiten verfolgen – und dies zu einem Teil auch geräteübergreifend. An dieser Stelle reicht die normale Opt-out Lösung nicht mehr aus.
Der Unterschied zwischen Opt-out und Opt-in Lösungen
Der Begriff Opt-out steht in Bezug auf Cookies für das Abwählen bestimmter Optionen, die mit dem Datenschutz in Zusammenhang stehen. Die erfolgt z. B. über sogenannte Cookie-Bars oder diverse Plug-Ins, die Webseitenbesucher über die Verwendung von Cookies informieren und diesem die Möglichkeit geben, die Speicherung von Daten auf die notwendigen Cookies zu beschränken, oder dem Webseitenbetreiber die Möglichkeit geben, erweiterte Daten zu speichern und zu analysieren bzw. zu Werbe- oder Analysezwecken zu verarbeiten.
Es obliegt in diesem Fall dem Nutzer, aktiv zu widersprechen, indem das Häkchen aus nicht gewünschten Optionen entfernt bzw. eine Widerspruchserklärung per Mail an den Webseitenbetreiber versendet wird. Die Nutzerzustimmung wird also somit im Allgemeinen vorausgesetzt, sofern kein ausdrücklicher Widerspruch vorliegt. Auch war es bisher durchaus möglich, dass Webseitennutzer erst nach Bestätigung der Cookie Information auf die Inhalte der Webseite zugreifen konnten, so dass eine Einwilligung eine Notwendigkeit darstellte. In den letzten Jahren war diese Vorgehensweise das typische Verfahren in Zusammenhang mit der Speicherung von Nutzerdaten während des Webseitenbesuchs, wird aber durch das vorliegende Urteil des EuGHs langfristig nicht mehr praxistauglich sein.
Beim Opt-in Verfahren sieht die Sache ganz anders aus. Hier muss der Nutzer ausdrücklich der Speicherung der unterschiedlichen Daten zustimmen. Eine mögliche Widerspruchserklärung entfällt und es besteht die Notwendigkeit einer eindeutigen Einwilligungserklärung durch den Nutzer. Vor allem in Bezug auf Werbung via Mail (beispielsweise Newsletter) müssen, gemäß § 7 Abs. 3 UWG, vier Voraussetzungen erfüllt sein, bevor es Webseitenbetreibern möglich ist, Werbung elektronisch an den Webseitennutzer zu versenden. Diese gestalten sich wie folgt:
Nutzung der eMails
Die E-Mail des Nutzers darf ausschließlich durch eine Geschäftsbeziehung (beispielsweise Anmeldung und Bestellung in einem Onlineshop oder Anmeldung zu einem bestimmten Dienst oder einer bestimmten Dienstleistung) in die Datenbank des Webseitenbetreibers gelangt sein. Darüber hinaus darf nur für Produkte und Leistungen geworben werden, die denen ähneln, die zuvor durch den Nutzer erworben oder in Anspruch genommen wurden. Auch darf ein etwaiger Widerspruch des Webseitennutzers nicht ignoriert werden, wobei es im Vorfeld notwendig ist, dass der Nutzer in jeder Werbemail darüber aufgeklärt wird, dass er diesem Service zu jederzeit und ohne Einhaltung einer Frist kostenlos widersprechen kann. Hier eignet sich das Opt-out Verfahren eingeschränkt, wobei das Opt-in Verfahren zumeist rechtssicherer ist, da hier die Einwilligung des Webseitenbesuchers grundsätzlich Voraussetzung für eine weitere Datenverarbeitung zu Werbezwecken ist und im Vorfeld eingeholt werden kann.
Ein bereits von vielen Webseitenbetreibern in Bezug auf Onlinemarketing in Form von Werbemails genutztes Verfahren ist das etwas aufwendigere Double-Opt-in Verfahren. Dies dient der Vermeidung des Missbrauchs von fremden E-Mail-Adressen bei der Anmeldung auf unterschiedlichen Webseiten. Bei diesem Verfahren wird die Angabe der notwendigen Daten, beispielsweise für die Versendung von Newslettern, auf die Daten reduziert, die für diesen Vorgang notwendig sind wie E-Mail-Adresse, Name und Vorname der Person oder auch die Firmenbezeichnung. Nach Versenden der Daten erfolgt eine automatisierte Rückmeldung des Webseitenbetreibers in Form einer Bestätigungsmail, in der Nutzer die notwendigen Datenschutzinformationen finden und die Anmeldung erst durch Anklicken eines Links bestätigen müssen, bevor die Daten in das Adressbuchs des Anbieters übernommen und dort zu Verwendung gespeichert werden. Diese Vorgehensweise stellt sicher, dass die Weitergabe dieser Daten nicht betrügerisch erfolgt, und gewährleistet eine weitestgehend klare Feststellung der Identität des Nutzers.
WordPress Cookie-Opt-in: Datenschutzkonforme Nutzung von Cookies
Um eine eindeutige Entscheidung zu einer Cookie-Opt-in Lösungen treffen zu können, steht zuerst einmal das Verständnis dafür im Vordergrund, was datenschutzkonform in Bezug auf die Datenschutzverordnung überhaupt bedeutet. Grundsätzlich sind erst einmal alle Webseitenbetreiber dazu verpflichtet, die Einwilligung von Nutzern vor der Speicherung und Verwendung unterschiedlicher Daten einzuholen, was in der Vergangenheit auf unterschiedlichem Wege erfolgen konnte. Dies bezieht sich ebenso auf technische Cookies als auch statistische Analyse-Cookies und personalisierte Werbung etc. Bisher erfolgte dies beispielsweise durch Einblendung von Bannern, durch die Nutzer entsprechend informiert wurden und die Möglichkeit hatten, diese zu bestätigen. Im Bereich der Opt-out Lösungen waren die vorgegebenen Optionen allerdings vorab ausgefüllt, so dass Webseitenbenutzer, die nicht gewünschten Optionen aktiv abwählen mussten, um der Speicherung und Verarbeitung zu widersprechen.
Gemäß Urteil des EuGHs kann bei dieser Vorgehensweise jedoch ein Verstoß gegen die datenschutzrechtlichen Vorschriften und damit vor allem gegen die Regelungen der Datenschutzrichtlinie für elektronische Kommunikation vorliegen, die im Telemediengesetz vorgegeben sind, auch RL 2002/58/EG bzw. ePrivacy-Richtlinie. Hier heißt es, dass eine solche Opt-out Lösung nicht allen Anforderungen an eine wirksame Einwilligung erfüllt, da die ePrivacy-Richtlinie eine aktive Einwilligung des Nutzers voraussetzt. Optionen, die bereits automatisch ausgefüllt sind, beispielsweise durch vorab gesetzte Häkchen zu verschiedenen Daten-Optionen, erfüllen diese Voraussetzung nicht, da hier von keiner expliziten Einwilligung, sondern lediglich einer Duldung des Nutzers auszugehen ist. Setzt der Nutzer diesen Haken dagegen selbst, kann dies als aktive Handlung und Einwilligung angenommen werden.
Probleme bei der Verwendung
Ein zusätzliches Problem bei der Verwendung von Opt-out Lösungen stellt die zumeist mangelhafte Darstellung notwendiger Informationen in Bezug auf den Schutz personenbezogener Daten sowie auch sonstiger Daten dar. Webseiten- und Onlineshop-Betreiber unterliegen der Pflicht, Nutzer ebenso über die Zugriffsmöglichkeiten als auch über die Dauer der Datenverwendung zu informieren, um ihm eine umfassende Erkenntnis der Sachlage zu verschaffen. Eine etwaige Kenntnis des Nutzers über die Funktion von komplexen Cookies darf nicht vorausgesetzt werden. Stattdessen ist davon auszugehen, dass ein Webseitennutzer zwar eine gewisse Ahnung davon hat, was Cookies eigentlich sind, aber deren Nutzungsmöglichkeit sowie die Tragweite seiner Entscheidung für oder gegen etwaige Optionen nicht kennt.
Im Kontext heißt dies, dass das Augenmerk von z. B. Webseiten- Onlineshop-Betreibern und WordPress Nutzern sich insbesondere auf den Schutz der personenbezogenen Daten sowie auf eine transparente Verarbeitung dieser Daten bei der Nutzung von Cookie-Lösungen richten muss. Dies bedeutet auch, dass die Einwilligungseinholung datenschutzkonform gestaltet sein muss, was eine Duldung oder stillschweigende Einigung zwischen Webseitenbetreibern und Webseitennutzern in diesem Bereich ausschließt. Stattdessen müssen genutzte Plug-Ins die Möglichkeit einer einfachen, transparenten und übersichtliche Verwaltung bieten und es gewährleisten, dass Nutzer sich aktiv für oder gegen bestimmte Optionen entscheiden können.
Hierbei muss auch die Dauer der Speicherung genutzter Daten dargestellt werden sowie auch, ob diese durch Dritte oder unterschiedliche Plug-Ins weiterverarbeitet werden. Somit fallen für die meisten Cookies, ausgenommen technisch notwendige Daten, Opt-out Lösungen weg und es muss auf rechtssichere Opt-in Lösungen zurückgegriffen werden. Für Webseitenbetreiber stellt sich nun natürlich die Frage, wie die Cookie-Informationen gestalten sein müssen, um eine umfassende Rechtsprüfung zu bestehen.
Cookie-Informationen rechtskonform gestalten
Wie bereits angeschnitten sind alle Webseitenbetreiber dazu verpflichtet, entsprechende Cookie Informationen bereitzustellen. Unklar ist allerdings oft, was in diesen enthalten sein muss. Grundsätzlich kann man sagen, dass Webseitenbetreiber auf alle Cookies sowie deren Nutzung und Art der Verarbeitung hinweisen müssen. Hierbei kann eine explizite Darstellung der Information per Banner oder auch durch Verweis auf bestehende Datenschutzerklärungen erfolgen. Darüber hinaus muss eine explizite Darstellung darüber erfolgen ob und zu welchem Zweck diese Daten an Dritte weitergegeben werden, beispielsweise bei der Nutzung von Analysetools. Zusätzlich muss der Nutzer die Möglichkeit erhalten, der Speicherung seiner Daten zu bestimmten Zwecken zu widersprechen.
Zu den notwendigen Informationen gehören daher umfassende und transparente Informationen zum Speicherungszweck und der Dauer der Speicherung, zu den, für die Datenverarbeitung verantwortlichen Stellen sowie auch Hinweise zum Widerrufsrecht des Nutzers vor allem in Bezug auf Analysetools, die das Verhalten des Nutzers erfassen als auch Tracking Tools, die das Aufrufen unterschiedlicher Webseiten durch den Nutzer über einen bestimmten Zeitraum verfolgen und speichern.
Für Webseitenbetreiber, die Daten ausschließlich für technische Vorgänge verwenden, reicht hier jedoch im Allgemeinen der Hinweis auf die eigene Datenschutzerklärung in Bezug auf die Notwendigkeit der Cookies aus. Problematisch ist allerdings, dass dies im Grunde die wenigsten Webseiten betrifft, da effizientes Marketing sehr häufig auf die Nutzung unterschiedlicher analytischer Tools angewiesen ist bzw. verschiedene, nicht immer offensichtliche Prozesse durchaus personenbezogene Daten speichern. Es kann somit ebenfalls unzureichend sein, wenn Webseitenbetreiber zu irgendeiner Opt-in Lösung übergehen. Denn grundsätzlich sehen die Datenschutzrichtlinien eine besonders strenge Vorgehensweise vor, die für Webseitenbetreiber durchaus problematisch werden kann – und dies nicht nur in Bezug darauf, dass sie in vollem Umfang umgesetzt werden müssen.
Wichtig zu beachten ist…
Zu beachten ist insbesondere, dass keine Cookies im Vorfeld geladen werden dürfen, bevor eine Bestätigung des Nutzers in Form einer expliziten Einwilligung vorliegt. Dies setzt natürlich voraus, dass der Nutzer vorab umfassend über die Nutzung und Speicherung seiner Daten aufgeklärt werden muss, bevor dieser um seine entsprechende Einwilligung gebeten werden kann. Zusätzlich darf auch die Nutzung der Webseite nicht von der Akzeptanz des Nutzers in Bezug auf diverse Cookies abhängig sein. Dies bedeutet, dass Nutzern eine Webseite auch dann zugänglich gemacht werden muss, wenn er seine Einwilligung zur Datenverarbeitung nicht erteilt. Und schlussendlich dürfen bei der Abfrage keine Cookies voreingestellt sein bzw. darf die Einwilligung des Nutzers nicht durch Automatisierung voraussetzt werden. Die Cookies sollten, möglichst in ihrer Funktion aufgegliedert, vollständig dargestellt sein und es muss für Nutzer die Möglichkeit bestehen, diese unabhängig voneinander zu blockieren.
Die Probleme, die sich daraus ergeben, liegen entsprechend auf der Hand. Webseitenbesucher müssen grundsätzlich erst einmal aktiv werden und selbständig alle datenschutzrelevanten Informationen lesen und den einzelnen Verwendungszwecken zustimmen, beispielsweise durch Anhaken der entsprechenden Optionen. Allerdings ist dies in den meisten Fällen dem Nutzer gar nicht zuzumuten oder wird durch Nutzer oftmals erst gar nicht in Betracht gezogen. Überdies entscheiden sich Nutzer, die keinen Überblick über die Arten von Cookies sowie deren Verwendung haben oftmals vorsichtshalber gegen alle Optionen und somit generell gegen einen Einsatz von Cookies.
Da Webseitenbetreiber gleichzeitig den Besuch der Webseite nicht von der Einwilligung abhängig machen können, verlieren unterschiedliche Analysetools, die innerhalb der letzten Jahre sehr effizient im Bereich des Onlinemarketings eingesetzt werden konnten, recht schnell an Wert. So kann es, aufgrund der Tatsache, dass beispielsweise Google Analytics erst dann starten darf, wenn der Nutzer zugestimmt hat, dazu kommen, dass wesentlich weniger Daten durch Analytics erfasst werden. Opt-out Lösungen sind daher in die Praxis meist nützlicher, auch wenn sie nicht in vollem Umfang rechtskonform sind. Allerdings kann es bei der Verwendung durchaus zu Abmahnungen kommen. Die Nutzung einer Opt-in Lösung schließt das Risiko, eine Abmahnung zu erhalten. insgesamt aus.
Weiternutzung bestehender Opt-out Lösungen trotz Urteil
In Bezug auf den praktischen Nutzen von Analysetools etc. und der Problematik, die sich auf der rechtskonformen Gestaltung von Opt-in Lösungen ergibt, stellen sich viele Webseitenbetreiber die Frage, ob es nicht dennoch sinnvoller ist, das Risiko einer möglichen Abmahnung einzugehen und weiterhin auf bewährte Opt-out Lösungen zurückzugreifen, um auch künftig von Marketingmaßnahmen, Analyse und Tracking zu profitieren. Dies ist jedoch langfristig nicht zu empfehlen, denn in Verstoß gegen die geltenden Datenschutzrichtlinien kann empfindlich hohe Strafen von bis zu 30.000 Euro mit sich bringen.
Eher sollte man das Urteil vom 1. Oktober 2019 als richtunggebend betrachten und sich auf rechtssicherem Wege mit den Konsequenzen daraus auseinandersetzen. Relativ einfach aber dennoch rechtskonform gestaltete Opt-in Lösungen bieten hierbei eine gute Möglichkeit, das bisher genutzte Opt-out Verfahren zu ersetzen, ohne dass diese Umstellung mit einem zu hohen Aufwand und einem vorausgesetzten, weitreichenden technischen Verständnis verbunden ist. Wichtig ist allerdings, dass das neue Verfahren explizit auf die individuelle Nutzung von Cookies zugeschnitten ist und eingehend auf seine Rechtssicherheit geprüft bzw. vollständig an den individuellen Bedarf einzelner Webseitenbetreiber angepasst werden kann.
Das bestehender Urteil sorgt relativ schnell für eine Sensibilisierung in Bezug auf den Umgang mit Cookies, so dass davon auszugehen ist, dass es zeitnahe zu regelrechten Abmahnwellen kommt, die aufgrund ihrer einfachen Umsetzungsmöglichkeit und der damit einhergehenden Verdienstmöglichkeit für mehr oder weniger seriöse Rechtsunternehmen relativ schnell zu Gerichtsentscheidungen führen können, in denen der Webseitenbetreiber den Kürzeren zieht. Man sollte daher nicht darauf bauen, dass man mit Glück langfristig an notwendigen Veränderungen in Bezug auf die Verwendung von unterschiedlichen Cookies vorbeikommt. Darüber hinaus sollten Webseitenbetreiber nicht vergessen, dass es hierbei um die Rechte des Webseitennutzers geht, der ebenfalls einen Anspruch darauf hat, dass eine entsprechende Lösung zu seinen Gunsten eingesetzt wird und er diese ggf. auch auf rechtlichem Wege einfordern kann.
WordPress Cookie-Opt-in: Was gute Lösungen gewährleisten sollten
Aktuell besteht die Möglichkeit, auf unterschiedliche Plug-Ins in Bezug auf Opt-in Lösungen zurückzugreifen. Jedoch ist nicht immer gewährleistet, dass diese einfach zu händeln sind oder den individuellen Bedarf von Webseitenbetreibern auch vollumfänglich decken. Um eine optimale Opt-in Lösung in WordPress zu integrieren, sollte diese unterschiedliche Optionsmöglichkeiten bieten. Zu diesen gehört insbesondere eine sinnvolle und transparente Gruppenverwaltung, die eine übersichtliche Darstellung der Cookie-Auflistung inkl. deren Funktion ermöglicht. Zusätzlich sollte es möglich sein, alle notwendigen Informationen wie Bezeichnung, Laufzeit, Verarbeitungs- und Speicherzweck, Herkunft usw. in die individuelle Datenschutzerklärung aufzunehmen. Die Anzahl der Cookies sollte weiterhin flexibel sein, so dass es möglich ist, alle verwendeten Cookies detailliert aufzuzeigen und die Darstellung ggf. anzupassen, wenn sich in diesem Bereich Änderungen ergeben.
Natürlich sollte überdies gewährleisten sein, dass Nutzer die Option haben, ihre Einwilligung variabel zu gestalten, was bedeutet, dass die Möglichkeit bestehen muss, Cookies aus- aber auch wieder abzuwählen. Der Nutzer entscheidet somit immer, für was er seine Einwilligung gibt und muss diese auch grundsätzlich wieder entziehen können. Zur Vereinfachung sollten in einer optimalen Lösung alle notwendigen Codes bereits enthalten sein, so dass Webseitenbetreiber lediglich ihre Tracking-ID eintragen müssen. Eine mehrsprachige Darstellung der Opt-in Lösung sowie der damit einhergehenden Datenschutzinformation sollte ebenfalls selbstverständlich sein. Und zu guter Letzt ist es zum einen natürlich wichtig, dass das verwendete Plug-In mit dem genutzten Theme kompatibel ist, um technische Probleme zu vermeiden, und zum anderen muss gewährleistet sein, dass alle Cookies vorerst blockiert sind, bis der Nutzer seine Einwilligung erteilt hat.
Die Notwendigkeit von Opt-in Lösungen für Onlinehändler und Dienstleister
Die Gewährleistung des Datenschutzes spielt vor allem im Bereich des Onlinehandels eine sehr große und wichtige Rolle. Dies beginnt schon bei Hosting des Onlineshops bzw. der Webseite bei einem externen Hoster und/oder der Nutzung einer E-Mail-Adresse eines E-Mailproviders, geht über die Verarbeitung von Kunden- und Auftragsdaten bis hin zu der Verwendung von Tools zur statistischen Erfassung wie beispielsweise Google Analytics und Co.
Auch die Integration von Facebook oder Amazon stellt in Bezug auf Cookies einen eigenen Bereich dar, der explizit dargestellt und in der Opt-in Lösung aufgezeigt werden muss, sowie auch jedwede andere Form von Diensten, wie beispielsweise Affiliate-Partnerschaften, die auf die Verwendung von Cookies angewiesen sind, um den Nutzer entsprechend identifizieren zu können. Somit ist klar, dass vor allem gewerbliche Tätigkeiten via Onlinehandel und Onlineplattformen sich schnellstmöglich mit den neuen Gegebenheiten anfreunden und rechtssichere Lösungen umsetzen sollten, um sich künftig vor Abmahnungen zu schützen. Allerdings sind nicht ausschließlich nur gewerbliche Bereiche von den Veränderungen betroffen, die mit dem Urteil vom 1. Oktober 2019 einhergehen.
Bloggen über WordPress: Opt-in Lösungen notwendig oder nicht?
Gerade Blogger, die WordPress für ihre die Publikation ihrer Blogs verwenden, stellen sich an dieser Stelle möglicherweise die Frage, ob das Integrieren von Opt-in Lösungen für sie überhaupt in Betracht kommt, da sie grundsätzlich davon ausgehen, dass im Rahmen ihrer Tätigkeit keine personenbezogenen Daten gesammelt und gespeichert werden. Dies ist jedoch ein weitreichender Irrtum, da schon im Rahmen des Webhostings Logs angelegt werden, in denen beispielsweise auch die IP eines Webseitenbesuchers gespeichert wird. Darüber hinaus unterliegen auch hier etwaige Affiliate-Partnerschaften strengeren Datenschutzrichtlinien, wenn Links zu speziellen Webseiten oder Shops gesetzt werden, bei deren Nutzung der Webseitenbesucher identifiziert wird, um die Wirksamkeit der Maßnahme zu analysieren und/oder eine faire Auszahlung zu garantieren, wenn diese Links mit entsprechender Bezahlung pro Klick verknüpft sind.
Auch Firmen, die die Verarbeitung ihrer Kontaktdaten an Dritte übertragen, stellen diese zur Verarbeitung bereit, ohne dass diese Bereitstellung durch Kunden oder Webseitennutzer tatsächlich gewährt wurde. Zu den, in den meisten Fällen eher unsichtbar gespeicherten Daten gehören bereits erwähnt Logfiles und Accesslogs sowie auch die Daten aus Kontaktformularen und Newsletter Anmeldungen, Adress- bzw. Kontaktdatenbanken und Adresslisten sowie auch statistische Daten und Trackingcookies, Daten aus Benutzerkonten von Membern und Admins sowie auch Clouddaten von Backups etc. Wer also eine solche Speicherung und Nutzung vollständig ausschließen kann, muss nichts an seiner bisherigen Cookie Lösung ändern. In der Praxis ist dies allerdings sehr unwahrscheinlich.
Schlussendlich steht vor dem Einsatz einer Cookie-Opt-in Lösung somit immer eine umfangreiche Analyse von Umfang und Art der verwendeten Plug-Ins, interner und externer Prozesse, des Zugriffs Dritter auf die gespeicherten Daten sowie auch eine Erfassung der damit einhergehenden Informationsverpflichtungen im Vordergrund, die Webseitenbetreiber im Vorfeld erst einmal in Angriff nehmen müssen.
Anhand dieser Kriterien sollte der individuelle Bedarf geprüft werden
Das Betreiben unterschiedlicher Webseiten geht mit einer Vielzahl von Prozessen einher, die mit verschiedenen genutzten Tools, Plug-Ins oder auch der internen und externen Verarbeitung zusammenhängen. Zu diesen gehören Logfiles des Servers und des Hosters, allgemeine und technische Cookies, Statistiken, Kontaktformulare und Kommentarfunktionen, Newsletter, Antispam- und Firewall Plug-Ins, Affiliate-Partner und Adsense, Share-Button und Social Media-Widgets, Google Fonts sowie auch WordPress-Themes, eingebettete Videos, die auf der Webseite von Dritten gehostet werden (wie z. B. YouTube oder MyVideo), CDN und Cloud-Dienste etc.
Darüber hinaus müssen auch interne Kontaktdatenbanken sowie deren Verarbeitung von Dritten geprüft werden, Backupspeicher, externe Festplatten und andere Speichermedien. Ebenso zu prüfen ist die gesamte Hardware, mit der auf personenbezogene Daten zugegriffen werden kann. Zu dieser zählen auch PC, Notebook, Handy und Tablett. Auch Software wie Anti Virenscanner, Firewall sowie diverse andere Dienste, die vorhandene Daten scannen, nehmen Einfluss auf die notwendige Gestaltung einer Opt-in Lösung. Gerade deshalb kann die Umsetzung einer datenschutzkonformen Lösung durchaus problematisch sein. Ein vorgefertigtes Plug-In, welches sich auf die Bedürfnisse des Webseitenbetreibers anpassen lässt, ist daher grundsätzlich empfehlenswert.
Cookie Information rechtssicher auf der Webseite platzieren
Mit der richtigen Lösung ist es allerdings nicht getan. Auch die Platzierung der notwendigen Cookie-Informationen unterliegen bestimmten Kriterien, deren Nichteinhaltung zu Abmahnungen führen kann. Das „Aufpoppen“ entsprechender Informationen sorgt bei vielen Webseiten dafür, dass die Inhalte der Seite bis zur Auswahl und Einwilligung des Nutzers nicht erreichbar sind bzw. dadurch auch wichtige Webseiteninhalte verdeckt werden. Dies ist vor allem bei Webseiten der Fall, die auch auf eine veränderte Darstellung auf Handys und Tablets ausgelegt sind, wo sehr viel weniger Raum für eine gleichzeitige Darstellung des Webseiteninhalts und der Cookie Informationen gegeben ist.
Diese Form der Darstellung ist gemäß der Datenschutzverordnung gar nicht zulässig und somit natürlich abmahnungsrelevant. Gerade bei Nichterreichbarkeit von Impressum und/oder Datenschutzerklärung steht diese Form der Darstellung der Regelung entgegen, dass diese beiden Bereiche grundsätzlich immer erreichbar und leicht aufzufinden sein müssen. Daher muss die Information zu verwendeten Cookies so platziert sein, dass die Webseite nutzbar ist, auch wenn der Nutzer seine Einwilligung noch nicht erteilt hat. Zusätzlich muss die Datenschutzerklärung alle Bereiche umfassen, die durch die möglichen Cookie Einstellungen berührt werden.
Zum Schluss steht natürlich die Frage im Raum, sollte eine Analyse des eigenen Bedarfs sowie die Einstellung einer Opt-in Lösung tatsächlich selbst vorgenommen werden oder ist es sinnvoller, an dieser Stelle auf professionelle Dienstleistungen und Lösungen in diesem Bereich zurückzugreifen? Keine der beiden Varianten kann mit einem klaren Ja oder Nein beantwortet werden. Die Entscheidung, ob selbst oder durch Profis sollte sich an den eigenen Fähigkeiten orientieren. Webseitenbetreiber, die sich wirklich gut im Bereich des Datenschutzes auskennen, können, mit Hilfe optimal gestalteter Plug-Ins die Umsetzung selbst in die Hand nehmen. Fehlt es an dieser Stelle allerdings an ausreichender Erfahrung, schleichen sich hier schnell Fehler ein, die langfristig oder bei erfolgter Abmahnung durchaus kostenträchtig werden können. Und in diesem Fall ist es immer sicherer, auf die Unterstützung von Profis zurückzugreifen.
