Kryptische Mails von Google oder deiner «consent management»-Lösung zu EU-Nutzereinwilligung (EU user consent policy) – Was steckt dahinter? Eine Übersicht

Zu Beginn der Disclaimer: Wir bieten in diesem Blog-Beitrag keine Rechtsberatung an. Wir stellen fest, dass unsere Interpretationen rund um die rechtliche Aspekte des europäischen und Schweizer Datenschutzes fehlerhaft sein können. Was wir hier schreiben, ist deshalb ohne Gewähr. Bei Fragen empfehlen wir einen ausgewiesenen Juristen hinzuzuziehen.

Wenn wir «kryptisch» im Titel oben schreiben, dann meinen wir, wie es wie im Duden steht: «unklar in seiner Ausdrucksweise oder Darstellung und daher schwer zu deuten, dem Verständnis Schwierigkeiten bereitend».

Du hast eine Mail oder mehrere von Google erhalten mit Begriffen wie «EU user content policy» (Deutsch «EU Nutzereinwilligung Richtlinien») oder von deiner WordPress-basierten «consent management»-Lösung, die deinen Nutzern ein Cookie-Banner anzeigt?

Und bedauerlicherweise ist die Mail mit so viel Jargon gespickt, dass es unklar ist, was du jetzt genau tun musst?

Falls ja, hoffen wir, dass dir dieser Blogbeitrag helfen kann. Bei Fragen schreib uns jederzeit unten in den Kommentaren.

Zuerst:

Auch für uns, die rechtliche Anforderungen des Datenschutzes technisch auf Websites umsetzen müssen, ist es nicht immer leicht, den Überblick zu behalten.

Um es überspitzt zu sagen: Wenn wir alle diese rechtlichen Punkte kennen würden, wären wir Anwälte und nicht Spezialisten für Webhosting, Webdienstleistungen und Online-Marketing.

Doch mit rechtlichen Vorschriften ist das Thema nicht zu Ende: Neu kommen noch die Richtlinien eines Tech-Giganten hinzu, denn darum geht es in den Mails. Das Ziel dieses Beitrags ist somit, hier Klarheit zu bringen.

Keine Lust den ganzen Beitrag zu lesen? Hier die Kurzfassung: Wer muss wegen Googles Mail zu EU-Nutzereinwilligung handeln? Antwort: Nutzer von Google-Werbeprodukten mit personalisierter Werbung

Der Inhalt der Google-Seite mit dem Titel «Richtlinie zur Einwilligung der Nutzer in der EU» gilt ab 31. Juli 2024 auch für die Schweiz. Du findest den Text unter dem folgenden Link:

https://www.google.com/intl/de/about/company/user-consent-policy

Dort steht:

Sie sind verpflichtet, eine rechtswirksame Einwilligung dieser Endnutzer für folgende Aktivitäten einzuholen:

• den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und
• die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.

Zum ersten Punkt zitieren wir Rechtsanwalt Martin Steiger von Steiger Legal:

Die EU User Consent Policy bedeutet nicht, dass alle Website-Betreiber und App-Anbieter, die Google-Dienste verwenden, ab dem 31. Juli 2024 ihre schweizerischen Nutzer mit Consent-Management belästigen müssen. In vielen Fällen kann weiterhin auf ein nerviges Cookie-Banner verzichtet werden.

Eine Einwilligung für den Einsatz von Cookies allgemein ist in der Schweiz nicht nötig. Informationen auf der Datenschutzseite der Website über die Cookies und wie man sie entfernen kann, sollte in den meisten Fällen genügen.

Wenn du mit deiner Website bewusst Nutzer in EU-Ländern ansprichst, besonders in sie verkaufen möchtest, braucht es für diese Nutzer eine klare Einwilligung für alle Cookies, die nicht rein technischer Natur sind, also für den Betrieb der Website essentiell sind.

Vor einem Jahr haben wir über das Thema Cookies und Cookie-Banner geschrieben: https://arteeo.ch/schweizer-datengesetz-per-1-september-2023-kommt-jetzt-das-cookie-banner-fur-alle-schweizer-sites/.

Gehen wir weiter mit der Aufzählung oben. Den zweiten Punkt gilt es zu beachten:

… die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.

Das bedeutet, wenn du Werbekunde von Google bist, also Werbung online auf Google-Plattformen oder Werbung von Google auf deiner Website schaltest, und personenbezogene Daten erhebst, die es dir ermöglicht, die Werbeanzeigen zu personalisieren (also gezielte Werbung betreibst), brauchst du eine eindeutige Nutzerzustimmung zur Datenerfassung und Verarbeitung.

Das war bereits für Werbetreibende in der EU gültig, aber ab 31. Juli 2024 gilt es auch für solche in der Schweiz.

Das heisst, falls dich das betrifft, dann folge einfach dieser Anleitung von Google, denn es kommen einige Arbeiten auf dich zu:

https://support.google.com/admanager/answer/13554116?hl=de&sjid=4920730518475867727-EU#zippy=%2Cgoogle-certified-cmps

In den Worten von Google:

Ab dem 16.01.2024 müssen Publisher und Entwickler, die Google AdSense, Ad Manager oder AdMob nutzen, eine von Google zertifizierte und den Anforderungen des Transparency and Consent Framework (TCF) des IAB entsprechende Plattform zur Einwilligungsverwaltung (CMP) verwenden, wenn sie Anzeigen für Nutzer im Europäischen Wirtschaftsraum, im Vereinigten Königreich oder in der Schweiz ausliefern.

Du hast nichts aber auch gar nichts mit Googles diversen Werbeprodukten zu tun? Dann kannst du getrost die Mails von Google löschen.

Noch kurz zu Google Analytics, das zumeist im Zusammenhang mit Google Werbeprodukten, besonders Google Ads verwendet wird.

In den aktuellen Nutzungsbedingungen, die du hier findest:

https://marketingplatform.google.com/about/analytics/terms/de

gibt es keine Hinweise zu EU-Nutzereinwilligung. Wir vermuten, dass normale Websiteanalyse mit Hilfe von Google Analytics weiterhin möglich ist. Übrigens: in der letzten Version von Google Analytics – GA 4 – ist das Anonymisieren der IP-Nummer von Nutzern automatisch aktiviert. Das war in früheren Versionen nicht so.

Anonymisieren bedeutet, dass die IP-Adresse nur noch teilweise übertragen wird. Das heisst, eine eindeutige Identifizierung des Nutzers ist nicht mehr möglich.

Mit einer vollständigen IP-Nummer könnte ein Nutzer identifiziert werden. Gemäss Urteil des deutschen Bundesgerichtshofs ist das eine personenbezogene Info. Das heisst, du müsstest klar eine Einwilligung beim Nutzer einholen, wenn du z.B. eine Analyse-Software nutzt, die komplette IPs verlangt.

Wir haben bei einer Website, die wir betreuen, in die «Consent Settings», also die Einwilligungseinstellungen innerhalb Google Analytics 4 reingeschaut:

Google Analytics ist ein übliches Tool, um den Erfolg von Google-Werbung zu messen.

Da es keine Werbung gibt im Zusammenhang mit der Website bzw. dem «Web Stream» oben, wie es Google nennt, werden keine «Ads measurement consent signals» angezeigt.

Weiter unten kann man noch die Voreinstellungen zur Einwilligung für das Datensammeln einstellen:

Voreingestellt werden Daten als nicht eingewilligt eingestuft. Da wir keinen «Google tag» für Werbung nutzen, ist das kein Thema.

Wenn du weiter unsicher bist, ob du doch was machen musst:

Für eine prima Zusammenfassung zu Googles Richtlinien zu EU-Nutzereinwilligung, die neu auch die Schweiz betreffen, empfehlen wir den Blog von Steiger Legal:

«Antworten auf die wichtigsten Fragen zur Google EU User Consent Policy für die Schweiz».

Martin Steiger und seinem Team gebührt Dank von der Web-Community, dass sie akribisch alle Punkte aufgeschrieben haben.

Möchtest du es lieber in einem unterhaltsamen Podcast hören? Wir empfehlen «DAT245 Google EU User Consent Policy auch für die Schweiz» von Datenschutzpartner:

https://podcast.datenschutzpartner.ch/245-google-eu-user-consent-policy-schweiz

Ab Zeitpunkt 7:15 im Podcast gehen Rechtsanwalt Martin Steiger (Steiger Legal) und Andreas Von Gunten, Co-Gründer von Datenschutzpartner der einfachen Frage nach: «Gibt es Handlungsbedarf für Website-Betreiber:innen?».

Google und das EU-Gesetz über digitale Märkte (GDM) oder bekannter als DMA – Digital Markets Act

Wenn du Lust und Zeit hast, kannst du gerne über die Hintergründe der Mails von Google weiterlesen.

Beginnen wir mit dem Tech-Giganten:

Google begann als Suchfirma, die das Suchen auf dem Web mit ihrem Suchalgorithmus eindeutig revolutionierte. Aktuell, Jahrzehnte später, ist Google zu eine reine Werbefirma mutiert, die ihre Riesengewinne mehrheitlich aus supergezielter, personalisierter Werbung erzielt. Dafür braucht Google Berge von Daten. Unsere Nutzerdaten. Es ist kein Wunder, dass gerade eine Firma wie Google die Entwicklung von KI vorantreibt. Ohne ausgeklügeltes «Data Mining» ist die Menge an Daten unmöglich zu bewältigen.

Zwischenfrage: Warum enthalten Googles Mails den Begriff «EU»?

Für Google ist die EU in riesiger, profitabler Markt von Millionen Konsumentinnen und Konsumenten und deren Online-Verhaltensdaten. Zum Vergleich: Die EU wies per 1.1.2024 eine Bevölkerung von 449 Millionen Menschen auf, die USA etwa 100 Millionen weniger, ca. 345 Millionen (geschätzter Stand 2024) Einwohnerinnen und Einwohner.

Regulatorisch, also als eine Firma, die unter anderem Datenschutzregeln der EU einhalten muss, um nicht Zugang zu diesem Riesenmarkt zu verlieren, muss Google seit dem 6. März dieses Jahres das sogenannte GDM «Gesetz über digitale Märkte» oder auf Englisch DMA, «Digital Markets Act», der EU-Kommission einhalten.

Man kann über EU-Bürokratie sagen, was man möchte, aber man gibt sich wirklich Mühe für die Bürger und Firmen der EU faire Behandlung und Schutz im Online-Zeitalter zu erreichen.

Auf der Website der EU-Kommission gibt es unter der Rubrik «Ein Europa für das digitale Zeitalter» folgende Seite:

https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_de

Das Gesetz über digitale Märkte: für faire und offene digitale Märkte

Auf den digitalen Märkten fungieren einige große Online-Plattformen als „Gatekeeper“. Das Gesetz über digitale Märkte stellt sicher, dass es auf diesen Plattformen fair zugeht. Gemeinsam mit dem Gesetz über digitale Dienste ist es eines der Kernelemente der EU-Digitalstrategie.

Das Gesetz definiert gleich zu Beginn, was ein «Gatekeeper» ist:

Das Gesetz über digitale Märkte legt eine Reihe eng definierter objektiver Kriterien für die Einstufung einer großen Online-Plattform als „Gatekeeper“ fest. Somit bleibt das Gesetz auf das Problem ausgerichtet, das es in Bezug auf große, systemische Online-Plattformen angehen will.

Die Gatekeeper-Kriterien sind erfüllt, wenn ein Unternehmen

• eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt innehat und in mehreren EU-Ländern aktiv ist,
• über eine starke Vermittlungsposition verfügt, d. h. eine große Nutzerbasis mit einer großen Anzahl von Unternehmen verbindet,
• eine gefestigte und dauerhafte Position auf dem Markt hat (oder bald haben wird). Als über längere Zeit stabil gelten Unternehmen, wenn sie die beiden vorgenannten Kriterien in jedem der letzten drei Geschäftsjahre erfüllt haben.

Google gehört zu den sechs Gatekeeper-Firmen: Alphabet (Google & Android), Amazon, Apple, ByteDance (TikTok), Meta (die Gruppe um Facebook, Instagram) und Microsoft

Es ist offensichtlich aus der Beschreibung oben, dass Google ein «Gatekeeper» ist. Wir zitieren von der EU-Kommission:

Das dürfen Gatekeeper-Plattformen künftig nicht mehr:

• Dienstleistungen und Produkte, die der Gatekeeper selbst anbietet, gegenüber ähnlichen Dienstleistungen oder Produkten, die von Dritten auf der Plattform des Gatekeepers angeboten werden, in puncto Reihung bevorzugt behandeln,
• Verbraucher/innen daran hindern, sich an Unternehmen außerhalb ihrer Plattformen zu wenden,
• Nutzer/innen daran hindern, vorab installierte Software oder Apps zu deinstallieren, wenn sie dies wünschen,
• Endnutzer/innen außerhalb des zentralen Plattformdienstes des Gatekeepers zum Zwecke gezielter Werbung ohne ausdrückliche Zustimmung nachverfolgen.

Wir sehen beim letzten Punkt, warum Google unbedingt ihre Richtlinie zur Einwilligung der Nutzer in der EU anpassen musste.

Google beschreibt das alles unter «Informationen zum GDM und zu Ihren verknüpften Diensten». Du findest dort auch eine Übersicht der Google-Dienste, die unter das GDM fallen.

Warum jedoch Google diese Einwilligung zusätzlich neu auf die Schweiz anwendet, ist unklar. Steiger Legal schreibt im Blog (siehe weiter oben) Folgendes:

Wieso Google die Geltung der Richtlinie auf die Schweiz ausdehnt, ist nicht bekannt. Es gibt keine ersichtlichen rechtlichen Gründe.

Wir vermuten, dass Google eher aus administrativen Gründen gehandelt hat. Damit das gleiche Team, das Werbetreibende in den EU-Länder auf Einhalten der Bestimmungen des GDM bzw. ihrer eigenen Richtlinie zu EU-Nutzereinwilligung überwacht, auch gleich noch Websites und Apps in der Schweiz auf die gleiche Weise betreuen kann.

Alles gut? Nicht wirklich – Das leidige Thema Cookie-Banner für Einwilligung bleibt

Bist du ein Fan von Cookie-Banners? Wir sind es nicht. Und den meisten Webnutzern geht es wohl so. Sie sind das Gegenteil von «usability» oder Nutzerfreundlichkeit, ein wichtiger Punkt, der das Design von Websites leiten sollte. Wir haben bereits das Thema im letzten Jahr mehrmals behandelt. Wir werden ein paar Beiträge dazu unten verlinken.

Bereits 2021 hat die grosse Tageszeitung Österreichs «Der Standard» das Banner als «Pseudolösung» tituliert in einer Analyse unter dem Titel «Nervig und sinnlos: Alle hassen Cookie-Banner – und zwar zu Recht». Im Untertitel steht: «Was die Privatsphäre schützen sollte, hat sich längst als komplett untauglich herausgestellt. Eine Anpassung wäre dringend notwendig.»

Der Autor nutzt ein altes Bonmot: «Das Gegenteil von gut ist gut gemeint», um aufzuzeigen, dass die Idee von den europäischen Behörden zwar gut gemeint ist, aber schlussendlich Zustimmung über Cookie-Banner für die Nutzer ein Horror ist.

Er spricht weiter im Beitrag von einer «Antilösung»:

Insofern ist die Cookie-Richtlinie geradezu ein Paradebeispiel dafür, wie Privacy-Regeln nicht aussehen sollten. Sie ist eine Antilösung. Schiebt sie doch die Verantwortung auf die Nutzer ab, anstatt sie zu schützen, wie es eigentlich die Aufgabe wäre. Eine Kritik, die natürlich nicht ganz neu ist – schon parallel zum Inkrafttreten der DSGVO hatten Datenschützer vor negativen Effekten gewarnt. Über die Jahre haben sich aber sämtliche sanft gehegten Hoffnungen zerschlagen, dass der Zwang zu solchen Warndialogen dazu führen könnte, dass Webseiten weniger «Third Party Cookies» und andere Tracker setzen. Stattdessen wurde den Nutzern erfolgreich antrainiert, einfach allem zuzustimmen. Man könnte also durchaus behaupten, dass die Cookie-Banner sogar negative Auswirkungen haben.

Lösungsansätze kann der Autor leider nicht wirklich präsentieren. Ja, «Anti-Tracker»-Browserplugins oder Plugins zum stillen Einwilligen der technisch erforderlichen Cookies (die das Cookie-Banner gleich unterdrücken, also gar nicht mehr anzeigen) sind Lösungen, jedoch funktionieren sie nicht immer einwandfrei. Auch führen sie wohl nur dazu, dass Firmen – die Werbepartnerfirmen der Tech-Riesen – andere Wege wählen.

Falls du ein solches Browser-Plugin mal testen möchte, wir haben mal darüber geschrieben: «Verbraucherzentrale Bayern: Cookie-Banner beseitigen mit der Browser-Erweiterung «Nervenschoner».

Ein allgemeines Verbot wird nicht möglich sein. Die Verbände der Werbenden würden es nie zulassen. Google versucht einen eigenen Weg über ihren Browser zu gehen und hat angekündigt, dass die leidigen «third party cookies» verschwinden werden. Doch auch das scheint gemäss eines Berichts des Tech-Blogs «Mashable» nun in Frage gestellt: https://mashable.com/article/google-backtracks-on-killing-cookies.

Mehr zu «Drittparteiencookies» findest du hier: https://www.seo-kueche.de/lexikon/third-party-cookies/.

Übrigens: Falls du eine quelloffene Lösung für WordPress suchst, um ein Cookie-Banner zu erstellen, das auch eine lückenlose Aufzeichnung aller gesetzten Cookies vornimmt, empfehlen wir gerne das hier besprochene Plugin:

Mögliche Konsequenzen in Zukunft: Andere Gatekeepers folgen dem Beispiel von Google

Wir sind überzeugt, dass alle der oben gelisteten sechs «Gatekeepers» ähnliche Richtlinien für EU-Nutzerzustimmung mit der Zeit in der Schweiz durchsetzen werden. Viele der genannten Firmen betreiben bereits Werbenetzwerke oder denken darüber nach. Microsoft Ads hat angeblich bereits im Juli über kommende Schritte informiert.

Konsequenzen, dass Firmen wie Google «Überwacher» spielen, können jedoch auch ganz andere Züge annehmen.

Ein Beispiel zeigt die IT-Kanzlei München in einem Blogeintrag mit dem Titel «Post von Google: Was tun, wenn die Datenschutzeinstellungen im Shop bemängelt werden?».

Wir wollen hier nicht zu viel verraten, denn der Blogeintrag lohnt sich wirklich zu lesen, besonders wenn du einen Shop betreibst. Der Beitrag beginnt ohne Umschweife mit einem Schockerabschnitt:

Der Weltkonzern Google verfolgt seit geraumer Zeit das Ziel einer Image-Korrektur und schreibt sich nun das Thema „Datenschutz“ auf seine Fahnen. Aus diesem „Selbstauftrag“ hinaus kontrolliert Google regelmäßig die Datenschutzeinstellungen von Händlern, die Google-Dienste in ihren Shops verwenden. Werden Unregelmäßigkeiten festgestellt, mahnt Google per Mail zur Einhaltung geltender Datenschutzvorgaben an und droht unter Fristsetzung mit Sanktionsmaßnahmen bis zur Kontosperrung.

Wie kommt Google dazu? Ganz einfach: Es genügt die Nutzung eines x-beliebigen Google-Dienstes und schon hast du die Nutzungsbestimmungen von Google akzeptiert.

Es kann sich beispielsweise um einen Dienst wie «Google reCAPTCHA» handeln, der Spamkommentaren, Spam bei Kontaktformularen vorbeugt. Es kann das Anbinden der Website mit dem populären «SiteKit»- Plugin von Google für WordPress sein, dass es ermöglicht, bequem «Google Analytics» und «Google Search Console» zu verbinden, das letztere ein wichtiges Tool für Webmasters, um das Indizieren von Webinhalten durch Google zu überprüfen und Fehler zu beheben.

Der geschilderte Fall oben fand eindeutig in Deutschland statt, aber wenn Google neu die Schweiz mit der EU in den gleichen Topf wirft, wenigstens intern, könnten möglicherweise in Zukunft auch Schweizer Websites, z.B. WooCommerce-Shops, auf Googles Radar geraten.

Um es klar auszudrücken:

Selbstverständlich sollte ein Shop-Betreiber eine komplette Datenschutzerklärung erstellen (oder erstellen lassen), unter anderem mit Infos, welche Cookies für welchen Zweck gesetzt werden.

Was uns etwas irritiert, ist, dass möglicherweise in Zukunft die «Datenschutzpolizei» in der Form eines USA-Tech-Giganten auftaucht (wenn es nicht in Deutschland die Abmahnanwälte sind). Wir glauben nicht, dass das die Absicht der EU-Behörden war, aber es scheint eine logische Konsequenz aus dem neuen Gesetz über die digitalen Märkte zu sein.

Alternativ könnte man sich Ersatzdienste der Google-Dienste suchen. Die gibt es teilweise, aber mit abgespeckten Möglichkeiten oder gar nicht vorhanden wie «Google Search Console».

Gemäss «Similarweb» betrug in Deutschland Googles Suchmarktanteil bei Desktop-Anwendungen 2023 80 %. Bei mobilen Anfragen lag er noch einiges höher, und zwar bei 95%. Wenn wir z.B. Keywords von echten Suchabfragen unserer Website sehen wollen, ohne eine teure SEO-Lösung zu kaufen, dann geht es halt nur über das Tool von Google. Google weiss das sicher.

Dass ein «Gatekeeper» wie Google auch noch Monopolist bei den Suchmaschinen ist, scheint den EU-Behörden nicht aufgefallen zu sein, trotz einer ganzen Fülle von Verfahren gegen Google, die man hier nachlesen kann: https://en.wikipedia.org/wiki/Antitrust_cases_against_Google_by_the_European_Union.

Wir sind gespannt, was die Zukunft bringt und was von diesen sechs Tech-Riesen in Zukunft in unsere Mail-Inbox reinkommen wird.

Wenn du Fragen, Kommentare, Anregungen zu diesem Beitrag hast, schreib uns gerne unten im Kommentarfeld.