Facebook setzt zukünftig auch auf First-Party-Cookies und gibt dem Webseitenbetreiber eine Einstellungsmöglichkeit: „Du kannst auch selbst entscheiden, welche Art von Cookies dein Facebook-Pixel nutzen soll.“
Viele Webseitenbetreiber fragen sich nunmehr: Was ist zu tun? Wird die Nutzung der Marketing-Tools von Facebook damit rechtssicher?
Technischer Hintergrund
Grundsätzlich kann zwischen Third-Party und First-Party-Cookies unterschieden werden. Diese unterscheiden sich dadurch, dass der Third-Party-Cookie von einer „Webseite“ gesetzt wird, auf der der Nutzer eigentlich gerade nicht surft (hier Facebook) und der First-Party-Cookie von der Webseite, auf die sich der Nutzer gerade aufhält (z.B. der Onlineshop).
Bisher war es so, dass Facebook die Cookies als Third-Party-Cookie gesetzt hat, nachdem der Webseitenbetreiber das Facebook-Pixel auf seiner Seite eingebunden hat. Folgend wird es so sein, dass auch der einzelne Webseitenbetreiber für Facebook die Cookies setzen wird.
Alte Auffassung der Artikel 29-Gruppe
Grundsätzlich scheint der technische Unterschied nicht nennenswert zu sein. Man könnte auf den ersten Blick sogar das Verhalten von Facebook datenschutzrechtlich positiv bewerten, da die Artikel 29-Datenschutzgruppe in der Vergangenheit ein Tracking über First-Party-Cookies als wenig problematisch bewertet hat („Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“, dort Ziffer 4.3):
“Ein auf First-Party-Cookies gestütztes Analysesystem des Erstanbieters beinhaltet fraglos andere Risiken als ein auf Third-Party-Cookies gestütztes externes Analysesystem. Ferner gibt es Tools, die First-Party-Cookies verwenden, während die Analysen von einem Dritten durchgeführt werden. Dieser Dritte gilt je nachdem, ob er die Daten für eigene Zwecke oder – wenn dies unzulässig ist – aufgrund technischer oder vertraglicher Regelungen nutzt, als gemeinsam für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter […] Allerdings stellen First-Party-Analysecookies nach Ansicht der Datenschutzgruppe kaum ein Datenschutzrisiko dar, wenn sie ausschließlich für die aggregierten Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über diese Cookies informieren und ausreichende Datenschutzgarantien bieten. Diese Garantien sollten unter anderem eine benutzerfreundliche Möglichkeit zur Abwahl jedweder Datenerfassung sowie umfassende Anonymisierungsmechanismen für sonstige gesammelte Informationen wie etwa IP-Adressen, anhand derer Personen identifiziert werden können, beinhalten. In diesem Zusammenhang könnte der europäische Gesetzgeber im Falle einer künftigen Überarbeitung von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG in geeigneter Weise ein drittes Kriterium für die Ausnahme von der Einwilligungspflicht für Cookies aufnehmen, die ausschließlich der Erstellung anonymisierter und aggregierter Statistiken des Erstanbieters dienen. Analysen des Erstanbieters sind klar von externen Analysen zu unterscheiden, weil letztere gängige Third-Party-Cookies verwenden, um Navigationsdaten von Nutzern über verschiedene Websites hinweg zu sammeln, und somit ein wesentlich größeres Datenschutzrisiko darstellen.“
Wird es datenschutzrechtlich besser?
Es ist nicht davon auszugehen, dass die alte Privilegierung der First-Party-Cookies unter den jetzigen Rahmenbedingungen für den Webseitenbetreiber datenschutzrechtliche Sicherheit bringt. Der neue Mechanismus dient nicht dazu (wie von der obigen Stellungnahme der Artikel 29 Gruppe vorausgesetzt), die Daten zu anonymisieren bevor diese an Facebook weitergegeben werden. Zudem wird wahrscheinlich auch nicht durch den First-Party-Cookie verhindert, dass Facebook den Nutzer über mehrere Webseiten hinweg verfolgen kann. Vielmehr scheint es so zu sein, dass Facebook die technische Änderung einführt, da Standardbrowser inzwischen ein Tracking über Third-Party-Cookies erschweren. Es ist für den Nutzer nämlich möglich, einfach mittels Browsereinstellung das Setzen von Third-Party-Cookies zu verbieten. Sofern sich der Cookie nunmehr als First-Party-Cookie „tarnt“, müsste man als Endnutzer tiefer in die Einstellungen des Browsers vordringen. Pauschal alle First-Party-Cookies zu unterdrücken kann nämlich dazu führen, dass wesentliche Teile der Webseite (z.B. der Warenkorb eines Onlineshops) nicht mehr genutzt werden können. Die Bestellung im Shop wäre damit nicht möglich.
Besser wird die datenschutzrechtliche Lage damit nicht.
Wird es datenschutzrechtlich schlechter?
Ja. Das Risiko der Nutzung von Facebook-Marketing-Tools wird noch kritischer.
Viele Webseiten stützt die Datenverarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Wenn die technische Änderung dazu dient eine Browsereinstellung des Nutzers zu umgehen, dürfte ein Gericht es in einer Interessenabwägung schwerer haben, eine ausgewogene Lage festzustellen. Zudem wird dem Nutzer das Widerspruchsrecht (Art. 21 DSGVO), wahlweise das Widerrufsrecht (bei einer Einwilligung) erschwert, sofern nicht (ähnlich wie bei Google Analytics, wo im Falle des Widerspruchs ein Opt-Out-Cookie gesetzt wird) eine Möglichkeit geschaffen wird, dem Tracking zu widersprechen. Dem Nutzer bleibt nur, im Nutzerkonto bei Facebook entsprechende Einstellungen vorzunehmen. In der eigenen Hand hat der Nutzer die Datenverarbeitung gar nicht mehr. Es darf bezweifelt werden, dass dies ausreichend ist, da Facebook auch bei entsprechender Deaktivierung die Daten über die Nutzer zu sammeln scheint. Zudem sind die Einstellungsmöglichkeiten sehr intransparent gestaltet und stehen auch nur Mitgliedern zur Verfügung.
Was müssen Webseitenbetreiber tun?
Die Kooperation mit Facebook stellt ein erhebliches datenschutzrechtliches Risiko dar. Wir berichteten bereits. Rechtssicher ist man nur mit einer ausdrücklichen Einwilligung des Nutzers und einem opt-out-Mechanismus, dass den Datenverkehr schon „auf der Webseite des Onlineshops“ stoppt (Browserplugin, opt-out-Cookie – technische Umsetzung bei Facebook derzeit unklar). Viele Webseiten entscheiden sich hier aber für den riskanten Art. 6 Abs. 1 lit. f DSGVO und tracken jeden Besucher der Webseite. Die Marketingwirkung von Facebook ist damit am höchsten, das rechtliche Risiko damit aber auch.
Facebook wird – nach eigenen Angaben – ab 24.10.2018 auch First-Party-Cookies einsetzen. Dem Webseitenbetreiber steht es frei bis dahin dieser Umstellung zu widersprechen. Nicht ganz klar ist hierbei, ob dann Facebook nur noch zur Analyse oder auch für Werbezwecke genutzt werden kann.
Auch unter den neuen Umständen hat man nur die Wahl zwischen Pest und Cholera. Sofern sich Unternehmen ohnedies entschieden haben mit Facebook auf der Grundlage des Art. 6 Abs. 1 lit. f DSGVO zusammenzuarbeiten und damit bestehende Risiken in Kauf nehmen, dürfte sich an dieser betriebswirtschaftlichen Abwägung auch mit einem First-Party-Cookies im Gepäck nichts ändern. Das System wird eben „nur“ noch rechtswidriger.
Eine Anpassung der Webseiten-Datenschutzerklärung dürfte in den meisten Fällen nicht erforderlich sein, sofern für einen Widerspruch nicht auf die Einstellungsmöglichkeiten im Browser, sondern im Facebook-Konto des Nutzers hingewiesen wird. Die technische Umstellung von Facebook hat hier keine Auswirkungen.
Im Ergebnis hat ein Unternehmen folgende Eskalationsstufen, mit denen schrittweise das Risiko steigt:
- Facebook nicht nutzen,
- Facebook mit Einwilligung der Webseitenbesucher nutzen,
- Facebook ohne First-Party-Cookie nur zur Analyse nutzen,
- Facebook mit First-Party-Cookie und zu Werbezwecke nutzen.