Kanzlei Dr. Thomas Schwenke

Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies

Onlinemarketing mag zwar ein Glücksspiel sein, aber Sie dürfen den Einsatz bestimmen (© Illustration: Dr. Schwenke).

Mit der Datenschutzreform wird Onlinemarketing noch mehr als je zuvor zum Glückspiel. Was jedoch nicht heißt, dass Sie verzagen, Ihre Webseite schließen oder auf alle Tracking- und Analysetools verzichten sollten.

Ganz im Gegenteil. Denn zum einen müssen Sie an diesem Glücksspiel nicht teilnehmen. Zum anderen können Sie selbst bestimmen, wie hoch Ihr Einsatz ist. Natürlich, je höher die möglichen Vorteile sind, desto höher ist auch das Risiko.

In dem folgenden Beitrag erkläre ich Ihnen daher, wo die Gefahren beim Onlinemarketing nach der Datenschutzgrundverordnung (DSGVO) liegen und wie Sie sie vermeiden oder möglichst gering halten können. Zusätzlich finden Sie am Ende des Beitrags eine Checkliste.

Datenschutz und ePrivacy 2018: Falls Ihnen die rechtlichen Basics des Onlinemarketings und Begriffe wie Cookies, Remarketing, Tracking oder Opt-Out unbekannt sind, dann bitte ich Sie zuvor meinen Beitrag „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies“ zu lesen. Falls Sie im Onlinemarketing tätig sind, ist das m.E. ohnehin Pflichtwissen. Ferner erfahren Sie in dem Beitrag mehr über die geplante ePrivacy-Verordnung, die eine Opt-In-Pflicht eindeutig im Gesetz festschreiben könnte.

Bunte Vielefalt der Expertenmeinungen

Wo wirtschaftliche Interessen und der Datenschutz miteinander ringen, bleibt die Rechtslage unübersichtlich. Die am häufigsten vertretenen Ansichten reichen von einer generellen Opt-In-Pflicht bis dazu, ein Opt-Out genügen zu lassen:

Die Lösung scheint dabei mit Hilfe der weitverbreiteten Cookie-Banner zum Greifen nahe. Doch nur, wenn man die Idee eines Opt-In-Banners konsequent umsetzt.

Reicht das Cookie-Banner nicht aus?

Beispiel der Opt-In-Lösung von Nike.de. Man kann die Website nicht betreten, ohne den Cookies zuzustimmen. An dieser Stelle kann man sich trefflich darüber streiten, ob die Nutzer nicht deutlicher über die Funktionen und die einzelnen Tracking-Anbieter aufgeklärt werden müssten (trotz der Hinweise unter „Weitere Informationen“). Ich persönlich halte von derartigen Einwilligungen nicht viel. Es wird ohnehin jeder die Einwilligung klicken ohne sie zu lesen. Das Ergebnis werden genervte Nutzer und kein Gewinn für den Datenschutz sein. Der richtige Weg kann m.E. nur eine standardisierte Browserlösung sein.

Die Cookie-Banner, die uns bis dato im Netz begegnen, genügen nicht den Anforderungen an ein wirksames Opt-In. Dazu dürften Cookies erst dann bei Nutzern gespeichert werden, bevor Nutzer über sie aufgeklärt und sich mit ihnen einverstanden erklärt haben.

Die heutigen Cookie-Banner holen dagegen allenfalls eine Einwilligung für die Nutzung der Cookies beim Weitersurfen, d.h nach dem Klick auf „Ok“ oder „Einverstanden“ ein. Aber auch nur, wenn Sie nachweisen können, dass und wann ein Nutzer das Cookie-Banner bestätigt hat. D.h. die Cookie-Banner sind praktisch nur ein deutlicherer Hinweis auf die Datenschutzerklärung und die Opt-Out-Möglichkeiten (zum Ursprung und Geschichte der Cookie-Banner).

Wenn jedoch „echte“ Opt-In-Cookie-Banner (wie bei Nike.de) Schule machen, dann werden wir bald auf möglichst rechtssicheren Webseiten gegen Opt-In-Schranken laufen. Zumindest bis sich die Wirtschaft, Browseranbieter und Datenschützer auf  nutzerfreundliche Opt-In-Systeme geeinigt haben.

Ist ein verpflichtendes Opt-In überhaupt zulässig?

Der Online Marketer Karl Kratz zeigt auf seiner Website, wie ein eindeutig freiwilliges Opt-In aussehen kann.

Ob man von Nutzern verlangen kann den Cookies zuzustimmen, ist noch nicht abschließend geklärt. In der DSGVO findet sich ein so genanntes Kopplungsverbot (Art. 7 Abs. 4 DSGVO). Es besagt so viel, wie dass nicht erforderliche Einwilligungen ein deutliches Indiz dafür sind, dass sie nicht freiwillig abgegeben wurden.

Nach praxisnahen Juristenmeinungen kommt es jedoch darauf an, inwieweit die Nutzer unter einem Zustimmungszwang stehen. Wenn ein Nutzer z.B. nur dann in sein Nutzerkonto gelangen könnte, wenn er den Cookies zustimmen muss, dann würde ich einen solchen Zwang und damit keine wirksame Einwilligung sehen.

Wenn Sie auf Nummer sicher gehen wollen, dann machen Sie die Einwilligung der Nutzer nicht zu einer Pflicht, sondern zu einer eindeutig freiwilligen Entscheidung.

Gefährliche Cookie-Banner: Wenn Sie Cookie-Banner einsetzen möchten, achten Sie bitte darauf, dass sie nicht die Links zum Impressum und der Datenschutzerklärung verdecken.

Warum verlangt Google ein Opt-In?

Links sehen Sie die neue Einwilligungsrichtlinie, die ab dem 5. Mai 2018 gültig sein wird, rechts die bis dahin geltende. In beiden Fällen wird eine Einwilligung der Nutzer gefordert.

Google hat zuletzt für Verunsicherung mit der Ankündigung gesorgt, von den Verwendern seiner Tools eine Einwilligungspflicht einzufordern (zumindest eindeutig im Fall der Nutzung der Google-Dienste zu Werbezwecken). D.h. wenn Sie Analytics oder Adwords zu Werbezwecken einsetzen, müssen Sie  entsprechend Googles Nutzungsbedingungen ein Opt-In einführen.

Doch diese „Pflicht“ ist nicht neu. Sie stand so ähnlich auch schon vorher in der Einwilligungs-Richtlinie von Google. Ferner ist es m.E. eine aus der Sicht Googles nachvollziehbare Formulierung. So kann Google bei Streitigkeiten rund um den Datenschutz und in etwaigen Haftungsfällen immer darauf verweisen, Daten nur unter Annahme einer wirksamen Einwilligung zu verarbeiten.

Verlangt auch Facebook ein Opt-In?

Facebook bietet die nötigen Tools, um ein Facebook-Opt-In einzurichten.

Facebook überraschte zumindest mit deutlichen Hinweisen an Entwickler und einem Leitfaden für die Cookie-Zustimmung für Webseiten und Apps, in denen erklärt wird, wie sich ein Opt-In und ein Opt-Out implementieren lassen. Jedoch wird den Verwendern, anders als bei Google, keine Pflicht auferlegt. Stattdessen heißt es im Leitfaden:

Außerhalb der EU kannst du möglicherweise aufgrund anderer Gesetze und Vorschriften dazu verpflichtet sein, einen Hinweis bereitzustellen und die Zustimmung einzuholen, um Daten von deiner Webseite oder App zu sammeln und zu nutzen.

Facebook-Pixel einsetzen: Überraschenderweise erklärte die bayerische Datenschutzbehörde Ende 2017, dass das Facebook-Pixel eingesetzt werden darf. Ob diese Ansicht auch nach der Datenschutzreform – abweichend von anderen Aufsichtsbehörden – beibehalten wird, bleibt abzuwarten.

Was kann mir passieren – die Risikoabwägung?

Selbstverständlich, im worst case drohen „Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ oder Abmahnungen mit Schadensersatzforderungen.

Doch umgekehrt müssen auch die risikomildernden Faktoren berücksichtigt werden:

Wenn Sie diese Risiken und bisherige Entwicklung zusammennehmen, dann kann ein Einsatz oder Onlinetracking-Tools durchaus, zumindest wirtschaftlich, sinnvoll sein.

Hörtipp: Unsere Podcastfolgen zur Datenschutzgrundverordnung mit Grundlagen (DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54) und Umsetzungstipps für die Praxis (DSGVO: Datenschutzerklärung FAQ – Rechtsbelehrung Folge 55).

Checkliste: Abgestufter Einsatz von Onlinemarketing-Tools

Je umfangreicher die Onlinemarketingmaßnahmen die Nutzer erfassen, analysieren und beeinflussen, desto höher ist das Risiko bei deren Einsatz.

Wenn Sie auf Grundlage der gegenwärtigen Rechtslage entscheiden, ob und welche Tools Sie einsetzen, nehmen Sie bitte die folgende Prüfung vor:

Praxistipp und Fazit

Der Einsatz von Tracking- und Onlinemarketing-Tools bleibt ein ungewisses Spiel, vor allem wenn man nicht den Ansichten der Datenschutzbehörden folgt. Dann nimm die Gefahr graduell zu, je genauer die Nutzerprofile und je umfassender die Beobachtung der Nutzer ist.

Wobei Sie bei diesem Risikospiel nicht mitmachen müssen.

Wenn Sie ohnehin kein Geld oder sonstige Vorteile mit den Tracking-Tools erwirtschaften, dann sollten Sie auf First-Party-Tracking oder gar auf ein Opt-In auszuweichen. Ansonsten sollten Sie die Gewinne mit den Risiken abwägen. Dabei werden Sie sich übrigens m.E. keinen bewussten Rechtsbruch vorwerfen lassen müssen, da die Nutzung der Tools auf vertretbaren Ansichten fußt.

Leseempfehlungen zur Vertiefung:

 Werbung in eigener Sache: