Am 29. Juli 2019 entschied der Europäische Gerichtshof (EuGH) in einem lange erwarteten Grundsatzurteil über einige wesentliche Fragen des Datenschutzes. Das Urteil dürfte Folgen haben: Folgen für Website-Betreiber, für Social-Media-Unternehmen und vor allem für Leid geprüfte Verbraucher*innen, um deren Schutz es ja vorgeblich geht. Zweifel daran sind angebracht: Schon jetzt entwickelt sich in Zeitlupe der rechtliche Rahmen rund um Cookie-Notices und Datenschutzerklärungen weit von dem weg, was ein User noch zu verstehen bereit ist. Diesem immer Mehr an Cookie-Meldungen wird jetzt noch die Messbarkeit und damit die Optimierbarkeit von User-Experiences geopfert. Die Leidtragenden sind am Ende die User*innen selber.

Nein, es ist nicht wirklich so, dass mich Cookie Pop-Up Meldungen wirklich interessieren. Mich interessiert aber die Digitalisierung von Industrien. Und da ist die aktuelle Rechtsprechung Fluch und Segen zugleich. Denn natürlich braucht die Digitalisierung eine Form von Regulierung. Natürlich brauchen Verbraucher Schutz, wenn es um Daten geht. Allerdings brauchen sie eine Form von Schutz, die sich nicht in juristischer l’arte pour l’arte niederschlägt – ein juristischer Selbstzweck, der ohnehin Dinge nur noch verschlimmbessert. Oder lesen sie sich noch bei Betreten einer Website ihre verbrieften Rechte in Sachen Datenschutz durch und reflektieren aktiv, welche Cookies sie wie und warum zulassen? Eben.

Wahrscheinlich gehören sie zur Gruppe 1 („Gar keine Cookies“) oder zur Gruppe 2 („Alle Cookies immer“). Und jetzt wird das alles nochmal deutlich komplizierter – vor allem für Website-Betreiber.

Das Urteil

Am 29. Juli urteilte der EuGH im Fall Verbraucherzentrale NRW gegen Fashion ID (Urt. v. 29. Juli 2019, C-40/17). Grund dafür war eine Unterlassungsklage der Verbraucherzentrale NRW gegen den Mode-Online-Händler Fashion ID aus dem Jahre 2016. Im Kern ging es um die Frage, wieviel Berichtspflicht zum Datenaustausch ein Unternehmen hat, wenn es ein Third-Party-Plugin wie den Facebook Like Button einsetzt. Fashion ID hatte, wie viele andere Website-Betreiber auch, einen Facebook Like Button auf ihrer Seite eingebaut, der User-Daten an Facebook weiterreichte. Die Verbraucherzentrale war an diesem Punkt der Überzeugung, dass Fashion ID seine Website-Besucher nicht ausreichend über die daraus erwachsenden Datenschutz-Implikationen informiert.

„Begeisterung, das neue EuGH Urteil ist da “ / Photo by newts on Unsplash

Das Urteil des EuGH klingt für Laien nicht sehr viel anders als das, was schon geltende Rechtslage ist. Der Teufel steckt aber im Detail. Und viele Regelungen sind immer noch wahnsinnig vage. Laut dem Urteil sind…

  • …Webseitenbetreiber nun mitverantwortlich für die Erhebung und Übermittlung von Daten bei Plugins von Drittanbietern. Hierzu muss mit (scheinbar/möglicherweise?) jedem Third-Party-Partner ein Vertrag geschlossen werden
  • Bei Verstößen sind sie in Mithaftung zu nehmen. Das bedeutet, dass sie ebenso haftbar sind wie Facebook, wenn sie Datenschutzbestimmungen ignorieren
  • Cookie-Opt-In (nicht Opt-Out) Meldungen werden (wohl) zur Pflicht. Website-Betreiber müssen damit umfangreiche neue Informationspflichten gegenüber Verbrauchern an den Start bekommen – vor allem, wenn sie externen Plugins arbeiten
  • Zudem wurde bestätigt, dass Verbraucherverbände berechtigt sind abzumahnen, wenn sie Verstöße gegen den Datenschutz wittern.

Vieles bleibt auch nun weiterhin unklar und muss in der Zukunft geregelt werden. Rechtssicherheit galore also. Unklar ist beispielsweise, ob sich das Urteil des EuGH nur auf den Facebook Like Button bezieht oder ob es Reichweite auch auf andere Third-Party-Plugins hat, was durchaus eine sehr wesentliche Frage für viele Website-Betreiber ist. Aber das werden wir wohl in den nächsten Verfahren konkretisiert bekommen. Eine hervorragende Zusammenfassung des Urteils findet sich auf der Website von Wilde Beuger Solmecke.

Die direkten Folgen

Was wir Kleinkram klingt, hat umfassende Folgen – speziell für Unternehmen, die E-Commerce betreiben und zum Beispiel mit Facebook Pixel werben. Am Ende aber für jeden, der eine Web-Präsenz hat und damit mit Third-Party-Tools arbeitet. Hier existiert nämlich gerade nach dem EuGH-Urteil große Rechtsunsicherheit. Auch wenn sich das Urteil um den konkreten Fall des Einsatzes einess Like-Buttons drehte, tauschen natürlich auch andere Tools wie Google Analytics oder Youtube Daten mit dem Mutterschiff aus.

Auch ich habe schon meine Datenschutzbestimmungen angepasst und arbeite mit einer neuen Borlabs Cookie Notice, die deutlich mehr informationelle Flexibilität für den Website-User bereitstellt als bisher. Leser meiner Seite können künftig auch immer ihre eigenen Privacy Bestimmungen hier anpassen. Wie sicher ich damit fahre, weiß ich aber nicht. Wäre ich ein E-Commerce Händler, würde ich mich schön für die Rechtsunsicherheit bedanken.

Eine sehr gute Übersicht über zu treffende Maßnahmen hat Rechtsanwalt Dr. Thomas Schwercke hier abgefasst. Dabei muss man übrigens wissen, dass der Einsatz von Cookie Notices langsam zur Doktorarbeit wird. Wer hier nach Empfehlungen für ein gutes Tool sucht, dem/der empfehle ich das Manual meines tollen Hosters Raidboxes zum Cookie Tool Borlabs Cookie, das genau jetzt zur Cookie Notice der Stunde werden dürfte. Hätte auch nie gedacht, dass ich so einen Satz mal sagen werde.

Die indirekten Folgen

Immer dann, wenn es ein neues Urteil oder ein neues Gesetz gibt, neigen wir dazu, die Frage zu stellen, wie wir jetzt genau diese oder jene zu erwartende Rechtsprechung bedienen. Im Falle der Datenschutz-Richtlinien, die immer wieder durch einzelne Urteile grundsatzbestätigt, erweitert oder zurückgewiesen wurden, befinden wir uns in einem Raum mit komplett intransparenter/sich künftig erweiternder Rechtsprechung. Das Ergebnis: eine Myriade unterschiedlicher Privacy/Cookie-Compliance Regelungen in der EU, komplette Konfusion bei allen Website-Betreibern, die nicht selbst das Zweite Staatsexamen in der Tasche haben. Damit Verlagerung in die juristisch-technischen Silos der Organisationen.

Zunehmend ignorante Verbraucher, die durch die Masse an juristischen Meldungen beim Besuch einer Website noch ignoranter werden, stoßen nun auf noch rigidere Informationspflichten bei Website-Betreibern. Und das gepaart mit Regeln, die derzeit kaum ein Website-Betreiber einhalten kann, die aber praktisch kaum Alltags-Relevanz für den Verbraucher haben. So bleibt bei dem lange anhängigen EuGH-Urteil immer noch weitgehend unklar, ob man illegal handelt, wenn man als Website-Betreiber einen LinkedIn Insight Tag installiert hat. Es wird wohl auch noch Jahre dauern bis es hier Transparenz gibt. Also lässt man es wohl eher, oder? Äh.

Rechtsprechung at the Speed of Kontinentaldrift.

Für den User bedeuten die zusätzlichen Berichtspflichten: Alle die, die jetzt schon mit der Anzahl an Cookie-Popups überfordert sind und sich deshalb kaum noch mit ihren Rechten beschäftigen, werden es künftig noch weniger tun. Und weil Website-Betreiber sich wieder einmal in einer rechtlichen Grauzone befinden, fahren viele von ihnen nur sicher, wenn sie Tools wie Google Analytics abstellen oder durch schlechtere Alternativen ersetzen. Damit wird – ebenso wie durch noch mehr und den Verbraucher noch mehr überfordernde Warnmeldungen – die Analysefähigkeit geschwächt. Wo Analyse-Tools von Halbwissenden als Spionagesoftware deklariert werden, leidet das, was Websites von Magazinen und Katalogen unterscheidet: Die Möglichkeit dem User zuzuhören und durch Optimierungen bessere Erlebnisse zu schaffen. Je komplexer der digitale Datenschutz in der Umsetzung, desto mehr leidet am Ende der Verbraucher selber.

Ausblick: Rechtsprechung sticht Datenschutz sticht User Experience

Ohne Zweifel sollte seinerzeit durch die Klage der Verbraucherzentrale NRW etwas Positives erreicht werden. Die Langsamkeit und die fast schon transzendentale Weltabgewandtheit der Realität unserer Rechtsprechung hat unsere Welt leider wieder deutlich komplexer gemacht. Und wenn der digitale Verbraucherschutz etwas braucht, dann ist es sicher nicht noch mehr Komplexität, Banner-Geklicke und Rechtsunsicherheit. Durch die neuerliche Intransparenz, die auch dieser unfertige Fall wieder aufgeworfen hat, wird wiederum offensichtlich wie unterkomplex der Datenaustausch mit Third-Parties bisher diskutiert wurde. Facebook als gefühlter Gegner jedes hauptamtlichen Datenschützers wird in der Konsequenz des EuGH Urteils mit wichtigen und relevanten Analytics und anderen Third-Party-Lösungen gleichgesetzt. Spionagesoftware bleibt schließlich Spionagesoftware, auch wenn mit ihr das User Experience optimiert wird. Oder auch nicht? Wir werden sehen.

Das Resultat für Website-Betreiber ist ein Einschießen auf den kleinsten gemeinsamen Nenner. Dort, wo nicht klar ist, ob Plugins benutzt werden können, werden umständliche und zum Teil verbraucherfeindliche Lösungen hingebastelt. Der Kampf der Realität gegen die Rechtsprechung in Sachen digitalem Verbraucherschutz wird in die Silos verlagert. Juristen, WordPress-Plugin-Developer und Datenschutz-Beauftragte haben Arbeit für die nächsten Jahre gesichert. Hochkomplexe WordPress-Cookie-Meldungs Plugins werden zu disruptiven Geschäftsoption und stehen nächstes Jahr auf der SXSW und halten Vorträge. So gibt es auch in jedem nicht so positiven Prozess ein paar Sieger. Ein paar Verlierer gibt es leider auch: Der Common-Sense im digitalen Verbraucherschutz und die Akzeptanz des Verbrauchers gegenüber seinen eigenen Rechten.

Artikel Foto von Rob Hampson auf Unsplash

Author

Gerald macht davaidavai.com. Schon seit Ewigkeiten, wenn er auch alle paar Jahre diese Seite einmal komplett relauncht und dann von vorne anfängt. Normalerweise ist Gerald Stratege für digitale Marken.

Write A Comment

Ich stimme zu.