Ich weiß, dass ich nichts weiß: Cookies, Google-Analytics, Tracking und mehr

Gestern habe ich an einem Webinar von erecht24.de teil genommen. Das Thema des Webinars war die Frage, ob man nach dem Urteil des EuGH Google-Analytics in der EU überhaupt noch einsetzen kann, ohne gegen die Gesetze zu verstoßen. Das Thema wurde sehr gut aufbereitet und schon nach kurzer Zeit war klar, dass auch Anwaltskanzleien, die auf Internetrecht spezialisiert sind, nicht genau wissen, was das aktuelle Urteil des EuGH für praktische Konsequenzen haben wird. “Ich weiß, dass ich nichts weiß” könnte man auch dazu sagen. Anwälte also auf Sokrates’ Spuren. Trotzdem lohnt es sich die Erkenntnisse des Webinars zusammen zu fassen.

Da die allgemeine Verunsicherung bei diesen Themen übrigens recht verbreitet ist, wurden im Laufe des Seminars auch andere Fragen als Google-Analytics und das Cookies-Urteil besprochen. Es ging sehr schnell um “alles rund um Abmahnungen”. Ich gehe im Laufe des Artikels auch auf diese Themen ein.

Deutsche und Schweizer Leser können sich übrigens beruhigt zurück lehnen: Da es Abmahnungen nur in Deutschland gibt, ist die Problematik in der Praxis in diesen Ländern etwas entspannter.

Die Vorgeschichte: Das Urteil des EuGH

Vor einiger Zeit hat der EuGH ein Urteil zum Thema Cookies gefällt, das durch die Medien ging: Der EuGH hat entschieden, dass die Zustimmung der Nutzer zur Verwendung von Cookies immer ausdrücklich erfolgen muss. Also Opt-In. Das was derzeit häufig praktiziert wird – nämlich Opt-Out – (Cookies werden gesetzt, aber man kann sie deaktivieren) ist demnach nicht zulässig. Wenn man als Seitenbesucher aber dem Tracken der eigenen Daten zustimmen muss, damit man in weiterer Folge zielgerichtete Werbung zu sehen kriegt, wird aber kaum ein Seitenbesucher dem zustimmen. Google-Analytics erschien somit in der EU ein nicht mehr nutzbares Tool zu sein. Matomo dagegen (so sollte man meinen) kann auch ohne dem Setzen von Cookies genutzt werden, daher könnte ja Matomo… Stopp. Ich fange besser von vorne an. ;) Vorher teile ich aber mit, dass ich kein Rechtsanwalt bin und dieser Artikel daher meine persönliche Meinung darstellt, bzw. eine Zusammenfassung dessen ist, was ich vom Seminar mitgenommen habe.

Die Ausgangssituation

OK, hier die spärlichen Fakten:

• Es ist häufig davon die Rede, dass man für Cookies eine Zustimmung der Seitenbesucher benötigt. Dies ist nicht richtig. Man benötigt aber z. B. eine Zustimmung zur Verwendung von Tracking-Cookies”. Cookies, die für den Betrieb einer Webseite notwendig sind, sind von dieser Regelung nicht betroffen: So genannte First Party Cookies, die für eine Webseite erforderlich sind, sind also OK. Third-Party-Cookies (die also nicht notwendig sind) benötigen eben das Opt in, also die aktive Zustimmung. First-Party-Cookies sind laut erecht24.de z.B.:
  • Warenkorb-Cookies
  • Cookies für LogIns
  • Cookies die eine Länder- oder Sprachauswahl betreffen
  • Cookies, die Consent Tools für die Cookie Einwilligung setzen
    Quelle: erecht24.de
• Die üblichen Cookies-Hinweise, die einen Text haben wie “…Diese Seite verwendet Cookies, wenn Sie diese Seite besuchen gehen wir von Ihrem Einverständnis aus…” sind nicht OK. Entweder sind sie schlichtwegs falsch (wenn man nämlich Third-Party-Cookies nutzt) oder sie sind irrelevant. (Wenn man nur “notwendige” First-Party-Cookies nutzt.)

Damit ist also der Bereich der eindeutigen Tatsachen bereits mehr oder weniger abgegrast. Alles Weitere ist offen. Selbst auf die Frage, ob es z. B. zulässig wäre, ein Cookie zu setzen, durch das Seitenbesucher Einblendungen (z. B. Anmeldung zum Newsletter oder Vergleichbares) nicht bei jedem Besuch sehen, konnte der Rechtsanwalt nicht eindeutig beantworten. So ein Cookie wäre ja eigentlich positiv für die Besucher, denn sie werden nicht bei jedem Seitenbesuch auf den nervenden Newsletter hingewiesen. Allerdings ist – so habe ich es verstanden – so ein Cookie nicht notwendig für den Betrieb einer Seite. Man könnte somit theoretisch abgemahnt werden, wenn die eigene Seite so ein Cookie setzt. Dass sich die Zahl der Abmahnungen trotzdem in Grenzen hält, liegt angeblich daran, dass auch die professionellen Abmahner nicht genau wissen, was jetzt OK ist und was nicht und somit – sobald sie jemanden abmahnen – selbst zur Zielscheine einer Abmahnung werden können. Genau so wurde es jedenfalls vom anwesenden Anwalt dargestellt. Man müsse die Entwicklung der nächsten Jahre abwarten und beobachten, welche konkreten Urteile die Gerichte fällen.

Und was geht jetzt auf der Basis des aktuellen Urteil nicht?

(Aber ein paar Sachen sind ja trotzdem recht klar. Zum Glück!)

• Keinesfalls ist es wohl möglich Google-Analytics oder vergleichbare Trackingtools ohne Einwilligung der Seitenbesucher zu betreiben. Opt-In ist für Google Analytics Pflicht und um das Opt-In richtig umzusetzen, muss man ein so genanntes Consent-Tool wie z. B. das Plugin von Borlabs genutzt werden.
• Matomo, das die Daten am eigenen Server speichert und ohne Cookies zu setzen betrieben wird, geht nach der Meinung von erecht24.de übrigens auch nicht. Warum das so ist, konnte ich nicht nachvollziehen. Dass natürlich der “eigene Server” in Wirklichkeit meist der Server eines Hosters ist und die Daten somit weitergegeben werden, ist die eine Sache. Da aber Matomo die Möglichkeit anbietet, die IP-Adressen zu anonymisieren, und man ja mit dem Hoster einen AV-Vertrag abschließen könnte, sollte dies doch unproblematisch sein. Ist es aber nicht, sagte erecht24.de.
• Theoretisch könnte man natürlich die Leute dazu bringen entweder der Cookienutzung zuzustimmen oder die Seite zu blockieren, wenn sie das nicht wollen. Auch das geht angeblich nicht, habe ich verstanden. Einerseits soll es ein niederländisches Urteil geben, das dieser Praxis widerspricht, andererseits wäre das aus SEO-Gründen sehr schlecht. Das Argument 1 (niederländisches Urteil) kann ich nicht nachvollziehen. Z. B. verstehe ich nicht, warum ich Besucher auf meine Seite lassen muss, wenn sie meine Regeln nicht akzeptieren wollen. Aber OK. In den Niederlanden ist das vielleicht so. Wieso aber ein niederländisches Urteil Auswirkungen auf deutsche Seiten haben kann, entzieht sich meiner Kenntnis. Aber wie erwähnt: Ich bin ja kein Anwalt. ;)

  Das andere Argument das vorgetragen wurde (schlecht für SEO) ist schon eher nachvollziehbar: Wer Besucher aussperrt, die Cookies nicht akzeptieren, hat vermutlich viele Besucher, die nach ein paar Sekunden die Seite wieder verlassen. Das könnte zu Rankingverlusten führen. Wer also SEO betreibt, sollte diese Idee wirklich vergessen.

Und was soll man jetzt wirklich tun?

Die Frage ist natürlich berechtigt: Wie macht man eine Webseite abmahnsicher? Offen gestanden: Die 100% abmahnsichere Webseite scheint es nicht zu geben. Man kann aber “größtenteils” sicher sein, wenn man die Tipps, die ich im nächsten Absatz aufliste, umsetzt. Zuvor aber noch ein Hinweis: Ich berücksichtige viele Informationen zum Cookies-Urteil und zur DSGVO bei der Programmierung meiner Webseiten. Und für schwierige Fragen, steht mir eben der Agenturaccount von erecht24.de zur Verfügung. Hier erhalte ich für meine Kunden schnell und unkompliziert eine rechtsichere Auskunft, ohne dass hohe Anwaltsgebühren anfallen. Auch wenn es so scheint, dass man bei erecht24.de derzeit nicht viel weiß: Die Anwälte dort sind sehr viel besser informiert als durchschnittliche Forennutzer im Internet. Im schlechtesten Fall erhält man eben nur eine Risikobeurteilung und muss dann auf dieser Basis selbst entscheiden.

Hier also die “Best-Practice-Tipps” aus dem Webinar: (Wie erwähnt: Das Thema war ursprünglich Google-Analytics. aber es hat sich sehr schnell zu anderen Bereichen hin entwickelt. Ich gebe das jetzt 1;:1 so weiter.)

• Wer eine Webseite betreibt und die Besucher rechtssicher tracken möchte, wird um den Einsatz eines Content-Tools nicht herum kommen. Sorry, das ist so. Punkt. Bei Google-analytics ist es auf jeden Fall so, bezüglich Matomo werde ich mich noch genauer informieren, aber soweit ich es verstanden habe, ist eben auch Matomo betroffen.

  Das Content-Tool kann ich gerne in die Webseite zu integrieren. Bei der Nutzung von Facebook-Pixel, Retargeting etc. kann eine korrekte Umsetzung ganz schön tricky werden. Aber besser man investiert jetzt etwas mehr Geld als dass man später abgemahnt wird.

• Was außerdem vermieden werden sollte, ist, dass Videos automatisch (z. B. beim Seitenaufruf) starten, bzw. Nutzdaten versenden, falls sie nicht selbst gehostet werden und z. B. auf Youtube liegen
• Für das Liken und Sharen in Social-Media (Facebook etc.) gibt es nicht sehr viele Plugins, die korrekt arbeiten. Ich nutze z. B. nur Shariff, um der DSGVO zu entsprechen.
• Google-Produkte wie z. B. Google-Fonts sollte man – so weit es geht – gar nicht nutzen. Hier gibt es meistens passende Alternativen. Z. B. kann man die Fonts eben lokal bereitstellen. Und für Google Maps benötigt man auch die Einwilligung der Besucher. Aber auch das ist ja machbar.

OK, wir sind durch. Kein angenehmes Thema, aber es ist notwendig auch darüber zu sprechen. Und zum Abschluss nochmals der Hinweis: Ja, das klingt alles fürchterlich kompliziert. Aber weil auch die Abmahner Schachstellen haben, (und z. B. selbst abgemahnt werden können) ist die große Abmahnwelle nach der DSGVO bis jetzt noch ausgeblieben. Gefährlicher sind da schon eher die Datenschutzbeauftragten, die gerne Bußgelder aussprechen. Aber die wiederum interessieren sich eher für große Unternehmen (Amazon, etc.) Meine Kunden werden wohl selten von Datenschutzbeauftragten geprüft. Insoferne ist die Situation also für kleine Betriebe oder Freiberufler etwas entspannter als viele befürchten.

Wer also die oben genannten Punkte berücksichtigt, sollte mit hoher Wahrscheinlichkeit keine Probleme haben. Das waren die Erkenntnisse, die ich aus dem Webinar gewonnen habe. Und: Ich weiß, dass ich nichts weiß… Apropos Sokrates: Ich dachte immer, es wäre Diogenes gewesen, der nichts wusste. Dass es Sokrates war, weiß ich jetzt – dank Wikipedia – wenigstens.