Update zum Onlinemarketing, Cookies, Opt-Ins, Facebook-Pixel und Stand der ePrivacy-Verordnung

Update 01. Oktober 2019 – Der EuGH hat sich für eine Einwilligungspflicht für Cookies entschieden. Bitte lesen Sie den folgenden Beitrag: „Neues EuGH-Urteil: Cookie-Einwilligung-Banner und Detailinformationen sind nun endgültig Pflicht!„

Rund sechs Monate nach der Geltung der DSGVO, fasse ich in diesem Beitrag die aktuelle Rechtslage zum Tracking, Targeting und Cookies zusammen. Dabei ist es mir vor allem wichtig Ihnen einen Überblick für die Praxis zu geben.

Sie erfahren, warum Sie ein Cookie-Banner mit einem Opt-In unabhängig von der DSGVO brauchen könnten, wann mit der ePrivacy-Verordnung (VO) zu rechnen ist und wie es um die Gefahr von Abmahnungen und Bußgeldern steht.

Ebenso erhalten Sie ein Update zum Facebook-Pixel sowie Custom Audiences und eine Liste mit Tipps für die Praxis.

[sc name=“tshinweisboxBEGIN“]Technische Grundlagen: Falls Ihnen die rechtlichen Grundlagen des Onlinemarketings und Begriffe wie Cookies, Remarketing, Tracking oder Opt-Out unbekannt sind, dann empfehle ich Ihnen meine Beiträge „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies“ zu lesen. Dabei handelt es sich nach meiner Ansicht um Pflichtwissen für Online-Marketer.[sc name=“tshinweisboxEND“]

Aufsichtsbehörden vs. Werbewirtschaft

Wenn es um den Einsatz von Analyse- und Tracking-Tools wie Google Analytics oder Konversions-Messung für AdWords sowie Remarketing und Zielgruppenbildung (sog. „Custom Audiences“) mit Facebook-Pixeln geht, stehen sich weiterhin zwei Fronten gegenüber.

Die Datenschutzbehörden sehen weiterhin eine strenge Opt-In-Pflicht, bevor Cookies zu Werbezwecken eingesetzt werden (also Pflicht eine Einwilligung der Nutzer einzuholen). Unternehmen berufen sich dagegen auf deren „berechtigte Interessen“ am Direktmarketing (Art. 6 Abs. 1 lit f. und Erwägungsgrund 47 DSGVO).

Laut den Datenschützern sind jedoch auch die Voraussetzungen von „berechtigten Interessen“ als Cookie-Grundlage nicht erfüllt. Diese setzen voraus, dass Nutzer mit dem Tracking überhaupt vernünftigerweise rechnen und ihm einfach widersprechen können, was derzeit nicht der Fall sei.

Aber auch die sich derzeit rasant verbreitenden Cookie-Opt-In-Banner, dürften den Anforderungen der Behörden nicht genügen.

[sc name=“tshinweisboxBEGIN“]Rechtliche Hintergründe: Wenn Sie mehr über berechtigte Interessen und die Forderungen der Datenschutzbehörden erfahren möchten, empfehle ich Ihnen meinen Beitrag „Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies„.[sc name=“tshinweisboxEND“]

Cookie-Opt-In mindert zumindest das Risiko

Wenn Sie der Ansicht der Datenschutzbehörden folgen möchten, dann sollten Sie Ihre Nutzer um eine Einwilligung in die Trackingmaßnahmen und Cookie-Setzung bitten.

Allerdings entsprechen die derzeit verbreiteten Opt-In-Verfahren nur selten den Anforderungen der Datenschutzbehörden. Denn die Einwilligung wird nur für das Tracking beim Weitersurfen eingeholt, während beim Erstbesuch der Webseite Nutzer weiterhin für Werbezwecke analysiert werden.

Doch auch wenn nicht eindeutig zulässig, werden die Nutzer mit dieser „halben Opt-In-Lösung“ zumindest im Hinblick auf das Weitersurfen um eine Einwilligung gebeten. Auch wenn den Datenschutzbehörden nicht ganz entsprechend, könnte diese Art des Opt-Ins aufgrund gesetzlicher Änderungen in Kalifornien vertraglich notwendig werden.

[sc name=“tshinweisboxBEGIN“]Einwilligungszwang und Kopplungsverbot: Viele Webseiten oder Plattformen verlangen eine Einwilligung, bevor deren Dienste genutzt werden können. Ob dieses Zwangs-Opt-In zulässig ist oder zu einer unfreiwilligen Einwilligung führt, ist derzeit ebenfalls noch ungewiss und wird künftig in Gerichtsverfahren geklärt werden müssen (sog. „Kopplungsverbot“ gem. Art. 7 Abs. 4 DSGVO).[sc name=“tshinweisboxEND“]

Gesetzliche Pflicht im California Consumer Privacy Act 2018

Eine Zunahme der Opt-Ins kann vor allem auf US-Webseiten und Portalen beobachtet werden. Dies ist zumindest in vielen Teilen auf das neue kalifornische Datenschutzgesetz zurück-zu-führen (California Consumer Privacy Act 2018). Ab dem Jahr 2020 müssen Unternehmen, die mehr als 25 Millionen Dollar Umsatz mit dem „Verkauf“ von personenbezogenen Daten von mehr als 50.000 Personen in Kalifornien erwirtschaften, ein deutliches Opt-Out anbieten und darauf hinweisen.

Meines Erachtens sind die „halben Opt-In-Lösungen“ daher ein Versuch die Pflicht des kalifornischen Gesetzes und der DSGVO gleichzeitig zu erfüllen.

Vertragliche Pflichten

Auch wenn Sie in Kalifornien keine Umsätze erwirtschaften, können die vorgenannten Opt-In-Pflichten Sie doch treffen. Denn viele US-Dienstleister und Werbeplatzvermarkter (vor allem beim „Real Time Bidding„) verlangen in Ihren Verträgen oder AGB, dass ein Opt-In eingeholt wird.

Das ist nicht neu und wird schon seit Jahren von Google praktiziert. Die Zunahme der Opt-In-Pflichten (gemeint ist damit die o.g. „halbe Opt-In-Lösung“) in den Verträgen der Anbieter ist jedoch neu. Hier müssen Sie prüfen, ob Sie das Risiko des Verstoßes gegen derartige Vertragsvorgaben eingehen möchten.

Übrigens empfiehlt auch Facebook eine derartige Opt-In-Lösung für das Facebook-Pixel.

Facebook-Pixel mit First-Party-Cookies

Seit dem 24. Oktober 2018 wird das Facebook-Pixel auf sog. First-Party-Cookies umgestellt. Damit werden Cookies unter der Domain der jeweiligen Website gespeichert und nicht z.B. unter der Domain von Facebook (sehr vereinfacht ausgedrückt). Nutzer können diese Cookies somit mit der Browserfunktion „Drittanbieter-Cookies blockieren“ nicht so einfach vermeiden wie bisher.

Damit dürfte sich das Risiko erhöhen, dass ein Gericht ein Opt-In als erforderlich betrachten würde (denn je schwieriger die Opt-Out-Lösung, d.h. eine Widerspruchsmöglichkeit, desto mehr spricht gegen die berechtigten Interessen am Onlinemarketing). Anderseits nutzen Google und Microsoft schon länger First-Party-Cookies. Die Änderung dürfte daher die generelle Entscheidung pro oder contra Opt-In-Lösung nicht wesentlich beeinflussen.

[sc name=“tshinweisboxBEGIN“]Custom Audiences aus Kundenlisten nur mit Opt-In: Der Verwaltungsgerichtshof München erklärte, dass ein Unternehmen den Upload von E-Mailadressen der Kunden für Zwecke der Bildung von „Custom Audiences“ nicht alleine auf sein „berechtigtes Interesse“ am Direktmarketing stützen kann (VGH Bayern, 26.09.2018 – 5 CS 18.1157). Die Richter meinten, die Kunden würden damit nicht vernünftigerweise rechnen, weshalb deren Einwilligung nicht erforderlich ist. Den Einsatz des Facebook-Pixels hat das Gericht jedoch nicht untersagt.[sc name=“tshinweisboxEND“]

Welche Nachteile drohen?

Auf der Folgenseite sind bisher weder Bußgelder noch Untersagungsverfügungen bekannt. Daher ist es insoweit nachvollziehbar, dass viele Unternehmen sich erstmal in eine Wartestellung begeben.

Abmahnungen sind derzeit zumindest ebenfalls nicht verbreitet, da auch für die Abmahnwilligen die Rechtslage unsicher ist. Denn neben manchen Vertreterinnen der Aufsichtsbehörden, sprechen sich auch manche Gerichte zumindest gegen die Zulässigkeit von Abmahnungen seitens der Mitbewerber aus (LG Bochum, 07.08.2018 – I-12 O 85/18). Einen Grund zu Entwarnung gibt es jedoch nicht, denn andere Gerichte halten auch Datenschutzverstöße wiederum weiterhin für abmahnbar (LG Würzburg, 13.09.2018 – 11 O 1741/18).

[sc name=“tshinweisboxBEGIN“]Abmahnungen und Schadensersatz: Sie sollten nicht außer Acht lassen, dass Abmahnungen ohnehin von Personen (also auch von Mitbewerbern als Personen und nicht als Unternehmen) ausgesprochen und mit Schadensersatzforderungen verbunden werden können. Hier gibt es ebenfalls viele Spekulationen über deren Höhe (gesprochen wird zum Teil über mehreren hohe vierstellige Beträge, die jedoch angesichts der zumindest in Deutschland traditionell niedrigen „Schmerzensgelder“ für immaterielle Schäden, als überhöht erscheinen).

 ePrivacy-Verordnung und ein Blick in die Zukunft

Im Hinblick auf die Opt-In-Pflicht wird häufig auf deren Einführung mit der ePrivacy-VO verwiesen. Das ist zwar zutreffend, aber ob die ePrivacy-VO in dieser Form kommt und wann, bleibt ebenfalls unklar. Mit deren Inkrafttreten vor dem Jahr 2020 rechnet zumindest kaum noch jemand.

Vielmehr ist damit zu rechnen, dass Aufsichtsbehörden ihre Ansicht mit Untersagungs- bzw. Opt-In-Aufforderungen Nachdruck verleihen werden (mit Bußgeldern rechne ich aufgrund der unklaren Rechtslage vorerst nicht).

Entsprechend der bisherigen Praxis und meinen Erfahrungen mit Behördenvertretern, dürften sich diese Maßnahmen jedoch zuerst gegen größere oder staatsnahe Unternehmen richten.

[sc name=“tshinweisboxBEGIN“]Social Media und Behörden: Ob sie auf die Nutzung von sozialen Netzwerken oder von Tracking Tools verzichten sollten, ist bei Behörden ebenso wenig klar wie bei Unternehmen. Nach meiner Erfahrung werden hier die Ansichten der Datenschutzbehörden häufig als geltendes Recht und nicht als Behördenmeinung verbreitet. So findet z.B. die positive Wirkung der Bürgerinformationen bei der Abwägung gegen die Nachteile der „Verleitung“ zum Besuch der sie trackenden Plattformen m.E. zu wenig Beachtung. Z.B. kann hier der Twitter-Account des Landesbeauftragten für den Datenschutz in Baden-Württemberg als ein positives Beispiel hervorgehoben werden (rechtliche Grundlage).[sc name=“tshinweisboxEND“]

Tipps für die Praxis:

Auch wenn das Datenschutzrecht weiterhin eine Rechnung mit vielen Unbekannten bleibt, sollten Sie Ihr Risiko immer individuell abwägen und an folgende Schritte zur Risikominderung denken:

• Wenn Sie Onlinemarketing-Dienste einsetzen, nehmen Sie diese in Ihre Datenschutzerklärung auf und erläutern deren Funktionsweise.
• Fragen Sie die Tool- und Dienste-Anbieter nach Data Processing, bzw. Protection Agreements (DPAs) und schließen Sie diese ab.
• Fragen Sie die Anbieter nach einer Opt-Out-Möglichkeit, die Sie Ihren Nutzern anbieten können.
• Falls die Anbieter außerhalb der EU sitzen, dann fragen Sie sie bitte nach einer besonderen Garantie (wie z.B. der Privacy-Shield-Zertifizierung für US-Anbieter)
• Falls Sie das (praktische) Risiko senken möchten, dann bieten Sie zumindest ein Cookie-Banner mit einem Opt-Out an.
• Am sichersten ist es natürlich, wenn Sie ein „echtes“ Opt-In einholen (also ohne vorher aktive Cookies), wobei Sie dies natürlich mit Ihren wirtschaftlichen Nachteilen durch das Opt-In abwägen müssen.
• Bitte prüfen Sie zudem die Verträge mit den Anbietern der Onlinemarketing-Dienste und Tools, ob diese Sie nicht gegebenenfalls zur Einholung eines Opt-Ins verpflichten.

Im Optimalfall empfehle ich Ihnen den Einsatz der Tools sowie deren Verträge von spezialisierten RechtsanwältInnen oder Datenschutzbeauftragten zu prüfen.

Fazit

Die Frage, ob Onlinemarketing eine Einwilligung voraussetzt, bleibt weiterhin unbeantwortet. Eine Klärung kann nur durch den Europäischen Gerichtshof erfolgen, was durchaus eine längere Zeit in Anspruch nehmen könnte.

Da auch die e-Privacy-VO weiterhin in der Ferne bleibt, werden viele Unternehmen wohl weiterhin auf Grundlage einer wirtschaftlich orientierten Risikoabwägung auf ein Opt-In verzichten und sich dabei ggf. auch über vertragliche Pflichten hinwegsetzen.

Das Onlinemarketing bleibt in jedem Fall recht spannend. Das gilt vor allem, wenn die inoffiziellen Verlautbarungen stimmen und die Datenschutzbehörden bereits im November 2018 eine erneute Stellungnahme zum Tracking, Targeting und Cookies veröffentlichen werden.

Ich halte Sie gerne auf dem Laufenden, sei es per Newsletter, via Facebook oder bei Twitter.

Hinweis in eigener Sache

Ihre Datenschutzerklärung ist die Visitenkarte Ihrer Datenschutzbemühungen. Unser Datenschutz-Generator unterstützt Sie bei deren Erstellung.