Kategorie: Internet-Recht

EuGH-Urteil: Cookie-Banner dürfen keine Voreinstellungen haben!

  Von ,

Die allseits bekannten und präsenten Cookie-Banner kennt man ja nun spätestens seit DSGVO-Zeiten auf fast 100% der deutschen Webseiten. Manche Menschen empfinden sie gar als störend, da die Geschwindigkeit mit der man als Surfer uneingeschränkten Zugang zu Webseite bekommt erkennbar eingeschränkt wird. Ungeduld an dieser Stelle gehört eben auch zum Internet.

Jetzt hat der EuGH entschieden, dass eine Voreinstellung – ein „Ich stimme zu“ als Default – nicht zulässig ist. Was bedeutet, dass Webmaster wohl noch einmal ihre Seiten anschauen müssen, damit es hier keinen Abmahngrund gibt. Kurz auf den Punkt gebracht: Der Nutzer muss selbst entscheiden können.

Cookie-Banner dürfen keine Voreinstellung (default) haben – so der EuGH.Wie war es dazu gekommen? In dem vom EuGH entschiedenem Fall ging es um die Klage der „Verbraucherzentrale Bundesverband“ gegen das Unternehmen „planet49″, das im Rahmen von Gewinnspielen Daten für Werbezwecke Dritter sammelte. Vor dem Klick auf den Absende-Button des Gewinnspiels fanden die Teilnehmer unter anderem ein vorangehaktes Kontrollkästchen, über das sie sich mit dem Einsatz von Cookies unterschiedlicher Anbieter einverstanden erklärten. Die Richter entschieden dazu ganz klar: Tracking-Cookies dürfen nur noch mit ausdrücklicher, informierter, nachweisbarer und widerrufbarer Einwilligung gesetzt werden.

Anwalts-Kollege Thomas Schwenke sieht da gar noch mehr im Argen: „Das deutsche Telemediengesetz erlaubt es im § 15 Abs. 3 TMG , “für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.” Diese Regelung kann nach dem EuGH-Urteil jedoch nicht mehr so verstanden werden, dass Cookies ohne Einwilligung der Nutzer auf deren Gerät verarbeitet werden können. Damit entschied der EuGH letzten Endes auch rückwirkend, dass die bereits 2009 eingeführte Cookie-Opt-In-Pflicht vom deutschen Gesetzgeber nie richtig umgesetzt wurde. Bislang wird von der EU-Kommission und der Bundesregierung die Rechtsauffassung vertreten, dass mit dem Telemediengesetz (TMG) eine adäquate Umsetzung erfolgt sei und die vorhandenen Cookie-Banner hinreichend sind.

Was heißt das nun für Webseitenbetreiber? Zur Einholung einer wirksamen Einwilligung empfiehlt sich die Einrichtung eines Cookie-Banners, das Nutzer nicht nur über den Einsatz von Tracking-Mechanismen informiert, sondern diesen auch die tatsächliche Wahl lässt, sich „einverstanden“ oder „nicht einverstanden“ zu erklären. Am rechtssichersten ist die Verwendung eines Banners, das in der Ausgangseinstellung beim Aufruf der Webseite jedes Tracking technisch unterbindet.

Foto: Drazen stock.adobe.com

Sind Google-Fonts eigentlich DSGVO-konform?

  Von

Wirklich? Datenschutz und Google-Fonts – wie sind da die Zusammenhänge werden sich viele Nutzer fragen? Nun, die Einbindung der Schriftarten auf der Webseite ist meist in nur wenigen Schritten erledigt, doch genau dort liegt die Crux. Bei der Nutzung wird eine Verbindung zwischen den Google-Servern und der Seite erzeugt. Und obwohl der Großkonzern Daten nur als allgemeine Statistik sammelt, wird eben doch die IP übermittelt. Kurz, es besteht die Möglichkeit, Nutzer zu identifizieren. Und das ist kaum im Sinne der europäischen Datenschutzverordnung und schon gar nicht der deutschen DSGVO.

Es gibt zwei „Modi“, in der denen Google-Fonts genutzt werden. Beim „Online“-Modus baut der Browser beim Laden der Webseite eine Verbindung zu Google auf. Dabei übermittelt der Browser des Nutzers verschiedene Informationen zur einheitlichen Darstellung der Webseite. Diese sind unter anderem verschiedene Browser- und Gerätedaten und auch die IP-Adresse des Nutzers selbst. Die Font-Dateien werden für ein Jahr auf dem Endgerät gespeichert, um die Ladezeiten der Webseiten, auf denen Google-Fonts verwendet wird, zu verbessern, so das Unternehmen.

Google-Fonts sind bei der Erstellung einer Webseite nicht unbedingt DSGVO-konform

Der andere Modus betriff den „Offline“-Bereich. Dabei lädt man die benötigten Fonts von den Google-Servern und speichert sie lokal auf dem Webserver. Die Verwaltung der Fonts ist dann – mittels CSS – wie bei jeder anderen Font-Familie möglich. Man verliert jedoch den Vorteil, dass die Aktualisierung der Schriftarten automatisch erfolgt, so dass es nun Aufgabe des Webseitenbetreibers ist und auch die Ladezeiten sich verlängern dürften.

Das Problem beim Online-Modus ist, dass der Browser des Nutzers die Fonts erst beim ersten Aufrufen der Webseite lädt. So kann man nicht eingreifen, bevor die Übermittlung der IP-Adresse stattfindet. Es ist somit praktisch unmöglich eine Einwilligung einzuholen, die den Ansprüchen der DSGVO genügt. Auch die Umsetzung des Widerspruchsrechts ist in der Praxis praktisch kaum lösbar.

Die alternative Rechtsgrundlage könnte eventuell so definiert werden: Die Verarbeitung stützt sich auf ein überwiegendes berechtigtes Interesse des Webseitenbetreibers. Dieses Interesse besteht in den Vorteilen, die die Nutzung der Fonts eben mit sich bringt: Verbesserte Ladezeiten und ein geringerer administrativer Aufwand sowie eine geräteübergreifende einheitliche Darstellung.

Ob das schon reicht um die Übermittlung der IP-Adresse und weiterer Gerätedaten an Google zu rechtfertigen, muss aber dahingestellt bleiben. Der Offline-Modus mag daher bis zu einer rechtlichen Klärung die sicherere Lösung sein.

Foto: devrawat21 stock.adobe.com

Gemeinsame Verantwortung für Daten-Übermittlung von Webseitenbetreibern und Facebook

  Von ,

Der so genannte „Like-Button” hat es in sich. Der leichtfertige Einsatz auf der eigenen Webseite, besonders fatal bei Business-Seiten, sollte im Zweifel vermieden werden. Nur wenn man sich klar macht, um was es geht und entsprechende Hinweise in der Datenschutzerklärung vorhanden sind, ist Einsatz von „Gefällt mir“-Klicks für Facebook sinnig. Der Grund: Ein Betreiber einer Webseite, so der Europäische Gerichtshof in einem Urteil vom Juli 2019, der den „Gefällt mir“-Button von Facebook benutzt, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Seite – gemeinsam mit Facebook – verantwortlich sein.

Die im konkreten Fall beklagte Fashion ID GmbH & Co. KG, ein deutscher Online-Händler für Modeartikel, nutzte den „Like“ / „Gefällt mir“-Button von Facebook. Diese Einbindung hat zur Folge, dass beim Aufrufen der Webseite der Beklagten die personenbezogenen Daten eines Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des Social-Media-Netzwerks Facebook ist oder gar den “Gefällt mir”-Button angeklickt hat.

Der Seitenbetreiber ist für die Übermittlung der Daten beim Like-Button verantwortlich - nicht was danach passiertDas beklagte Unternehmen kann für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vorgenommen hat, nicht als verantwortlich angesehen werden. Es erscheint nämlich schon auf den ersten Blick ausgeschlossen, dass das Unternehmen über die Zwecke und Methoden dieser Vorgänge entscheidet. Demgegenüber kann sie aber für die Vorgänge des Erhebens der Daten und deren Weiterleitung an Facebook als gemeinsam mit Facebook verantwortlich angesehen werden.

Der Betreiber einer Website hat für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook als (Mit-)Verantwortlicher seinen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben, wie etwa seine Identität und die Zwecke der Verarbeitung. Für den Fall, dass die betroffene Person ihre Einwilligung gegeben hat, ist festzustellen, dass der Betreiber diese Einwilligung vorher nur für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d.h. das eigentliche Erheben und die Übermittlung der Daten.

Für den konkreten Vorgang bedeutet es damit aber auch, dass das beklagte Unternehmen für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als verantwortlich angesehen werden kann.

EuGH, Urteil vom 29.7.2019; AZ – C-40/17 –

Foto: Seika – stock.adobe.com

„Mouse-Over“ und ein Hinweis mit Sternchen reichen eine Irreführung auszuschließen

  Von ,

Gerade im Bereich der Telekommunikation sind inhaltliche Ausschlüsse und „Bis zu …“-Angaben im Kleingedruckten ja nicht unüblich. Oft geht es darum, wie gut und nachvollziehbar die Kunden die meist damit verbundenen Einschränkungen erkennen können. Eine Online-Werbung mit „Mouse-Over“ und einem integrierten Sternchen-Text hat nach Ansicht der OLG Frankfurt genug Aussagekraft.

Im konkreten Fall konnten sich Verbraucher auf der Internetseite der einen Partei über die Verfügbarkeit ihrer Leistungen beim Mobilfunk informieren. Mithilfe einer Deutschlandkarte, die sich je nach Auswahl der Reiter „2G“, „3G“ oder „4G (LTE)“ entsprechend der jeweiligen Netzabdeckung rot einfärbte, konnte der Verbraucher erkennen, ob das gewünschte Netz bei ihm vor Ort verfügbar ist. Das Ganze werde so also zu einer Art Blickfang.

In Fällen, in denen Angaben für sich genommen blickfangmäßig herausgestellt sind und eine fehlerhafte Vorstellung vermitteln könnten, kann der mögliche Irrtum regelmäßig nur durch einen klaren und unmissverständlichen Hinweis ausgeschlossen werden.

Ein Sternchen-Text und ein Mouse-Over reichen zur Information auf einer WebseiteDaher erschien bei der Auswahl „4G (LTE)“ per Mouse-Over-Effekt ein Kasten mit der Angabe „Maximal-Geschwindigkeit: 500 Mbit/s*“. Der Sternchenhinweis wurde dann auch im gleichen Kasten aufgelöst: „* Deine Bandbreite hängt z.B. von Deinem Standort und Deinem Gerät ab. Oder ob mehrere Leute gleichzeitig Deine Funkzelle nutzen. Die Maximalwerte erreichst Du nur unter optimalen Bedingungen. Und aktuell nur an einzelnen Standorten in Deutschland.“ Die Antragstellerin sah hierin jedoch eine Irreführung über die flächendeckende Verfügbarkeit einer Datenübertragungsrate von bis zu 500 Mbit/s und verlangte eine Unterlassung. Während das LG Frankfurt / Main dem Antrag auf Erlass einer einstweiligen Verfügung stattgegeben hatte, wies das OLG Frankfurt / Main diesen Antrag ab.

Damit der Hinweis einer solchen Blickfangwerbung eine Irreführung ausschließen kann, muss er leicht auffindbar, gut lesbar und inhaltlich klar sein. Das OLG begründete sein Urteil damit, dass der Hinweis am Bildschirm hinreichend gut lesbar sei. Er sei in einer nur unwesentlich kleineren Schriftgröße wie die Angabe “Maximal-Geschwindigkeit” gehalten.

Er sei also problemlos auffindbar, da er sich im gleichen Drop-down-Kasten befände und zudem inhaltlich gut verständlich. Im letzten Satz werde unmissverständlich darauf hingewiesen, dass die Maximalwerte nur an einzelnen Standorten in Deutschland erreichbar seien. Entscheidend sei auch, dass der Hinweis in unmittelbarer Nähe zum Blickfang erfolgte und damit eine Irreführung ausgeschlossen sei.

OLG Frankfurt / Main, Urteil vom 8.11.2018; AZ – 6 U 77/18 –

Foto: Seika – stock.adobe.com

Zusätzliche Gebühren für Sofortüberweisung und PayPal sind nicht zulässig

  Von ,

Die FlixMobility GmbH, die unter anderem Fernbusreisen anbietet, stellte auf ihrer Internetseite die Zahlungsarten EC-Karte, Kreditkarte, Sofortüberweisung und PayPal zur Verfügung. Für letztere beiden erhob sie ein zusätzliches Entgelt. Doch bereit seit dem 13. Januar 2018 sind zusätzliche Gebühren für eine Zahlung per SEPA-Lastschrift, SEPA-Überweisung oder Zahlungskarte unwirksam. Mit Urteil vom Dezember 2018 hat das LG München entschieden, dass diese Regelung auch in Bezug auf die Zahlungsarten Sofortüberweisung und PayPal gilt.

Die Beklagte verteidigte die Gebühr für “Sofortüberweisung” damit, dass diese nicht für die Überweisung selbst erhoben würde, sondern für eine eigenständige Dienstleistung der Sofort GmbH anfalle. Diese überprüfe die Kontodeckung des Kunden, löse die Überweisung aus und unterrichte den Zahlungsempfänger sofort darüber.

PayPal und Sofortüberweisung dürfen keine Extra-Gebühren kosten.Das Landgericht sah dies jedoch anders und erkannte, dass es zwar richtig sein mag, dass ein Dritter eingeschaltet werde – letztendlich erfolge die Überweisung allerdings durch eine SEPA-Überweisung, die das zwischengeschaltete Unternehmen auslöse. Das Einschalten der Sofort GmbH diene nach Auffassung der Kammer aber nicht den Interessen der Kunden, sondern in erster Linie den Interessen der Beklagten, die durch dessen Einschaltung sich selbst die Überprüfung der Bonität des Kunden erspart.

Im Übrigen entspreche es der allgemeinen Lebenserfahrung, dass der Großteil der Kunden, die eine Busreise buchen, über eine ausreichende Bonität verfügen den Ticketpreis bezahlen zu können. Daher diene die Bonitätsprüfung in der Regel klar dem Interesse der Beklagten.

Das Urteil sei im Grundsatz auch auf die Zahlung per PayPal anwendbar. Das ergebe sich aus der konkreten Funktionsweise der Zahlungsabwicklung, denn die Zahlung per PayPal erfolge entweder über das PayPal-Guthaben, per Kreditkarte oder per Lastschrift.

Bei der Kreditkartenzahlung sei es ja nicht erforderlich, dass das Geld zuerst auf das PayPal-Konto eingezahlt wird, sondern könne bereits direkt vom Kreditkartenkonto eingezogen und dem Empfänger gutgeschrieben werden. Dies sei in einer Vielzahl der Fälle der Fall.

Der Zahlung per PayPal liege entweder eine SEPA-Überweisung, eine SEPA-Lastschrift oder eine Kreditkartenzahlung zugrunde. In Bezug auf die Zahlung mit SEPA-Überweisung und die SEPA-Lastschrift gelten damit die gleichen Ausführungen wie zur Sofortüberweisung.

Landgericht München I, Urteil vom 13.12.2018; AZ – 17 HK O 7439/18 –

Foto: WrightStudio – stock.adobe.com