Die Zulässigkeit von Webanalyse und Tracking ist unter der DSGVO weiterhin umstritten. Besonders die Frage, wann und ob eine Einwilligung für das Website-Tracking erforderlich ist, wird unter Datenschutzexperten kontrovers diskutiert. Die deutschen Aufsichtsbehörden haben sich hierzu bereits positioniert und prüfen in jüngster Zeit vermehrt Websites auf den Einsatz von Cookies. Auch wenn diese Prüfungen keine abschließende Rechtslage bedeuten, dienen sie als wichtiger Indikator, wo die datenschutzrechtliche Reise bei Tracking hingehen könnte. Damit Sie eine eigene Risikoanalyse vornehmen können, haben wir in diesem Beitrag die Rechtsauffassung der Aufsichtsbehörden aufgearbeitet und für Sie zusammengefasst.

 

 

Hintergrund

Mit dem Einsatz von Cookies können verschiedene Zwecke auf Websites verfolgt werden. Die rechtliche Diskussion um den Einsatz von Cookies entzündet sich aber in den meisten Fällen an ihrer Verwendung im Rahmen vom Nutzertracking. Dies konnte vor Geltung der DSGVO als pseudonymes Tracking grundsätzlich ohne eine Einwilligung erfolgen, sofern den Nutzern ein Widerspruchsrecht (Opt-Out) eingeräumt wurde. Mit Geltung der DSGVO hat sich dies jedoch geändert, da die Regelungen des Telemediengesetzes (TMG) für diese Form der Datenverarbeitung keine Anwendung mehr finden. Der Einsatz von Trackingtools muss seither als rechtlich unklar bezeichnet werden.

In jüngster Vergangenheit häufen sich insbesondere auf Seiten der Aufsichtsbehörden die Stimmen, die einen Einsatz von Trackingtools unter der DSGVO nur auf Grundlage einer Einwilligung der Nutzer als zulässig erachten wollen (siehe hierzu auch „DSGVO und ePrivacy-VO auf Websites umsetzen“, Benedikt, Buckel, Mammen). Die Widerspruchslösung auf Grundlage einer Interessenabwägung gerät damit immer weiter in die Defensive. Da eine höchstrichterliche Entscheidung hierzu noch nicht vorliegt, bildet die Auffassung der Aufsichtsbehörden für die nächste Zeit einen gewichtigen Bewertungsmaßstab, den wir Ihnen im folgenden Beitrag darlegen möchten.

 

Der Zweck ist entscheidend

Für die rechtliche Bewertung der Aufsichtsbehörden bilden nicht die eingesetzten technischen Verfahren oder die Art der eingesetzten Cookies den entscheidenden Maßstab. Vielmehr kommt es darauf an, welcher Zweck sich hinter dem Verarbeitungsprozess verbirgt. Die im Folgenden dargestellten Grundsätze sind daher nicht auf den Einsatz von Cookies beschränkt. Sie lassen sich im Wesentlichen auch auf andere Webanalyse-Verfahren wie beispielsweise ein Device-Fingerprinting übertragen. Die Behörden haben die Vielzahl möglicher Zwecke, die in der Praxis mit dem Einsatz von Cookies verfolgt werden, in drei Kategorien eingeteilt, an welchen sich die datenschutzrechtlichen Anforderungen bemessen.

 

1. Funktionalität der Website

Um alle Dienste und Funktionen einer Website zur Verfügung zu stellen und einen technisch einwandfreien Ablauf der Website zu gewährleisten, kann das Setzen funktionaler Cookies notwendig sein. Diese Cookies sorgen dafür, dass die angebotenen Dienste, wie vom Betreiber vorgesehen, genutzt werden können. Neben Session-Cookies, die beim Schließen des Browsers gelöscht werden, kann auch die Einbindung sogenannter Persistent-Cookies notwendig sein. Solche garantieren beispielsweise, dass der gefüllte Warenkorb bei einem Onlineshop erhalten bleibt, obwohl der Nutzer die Seite kurzzeitig verlassen hat. Auf diese Weise kann der Bestellvorgang ohne Neueingabe der Daten fortgeführt werden, sobald der Nutzer auf die Website zurückkehrt.

Datenverarbeitungen und folglich das Setzen solcher Cookies, die für die Funktionalität der Website notwendig sind, sollen zukünftig auf ein berechtigtes Interesse des Verantwortlichen (des Websitebetreibers) gestützt werden können und bedürfen daher keiner gesonderten Einwilligung des Nutzers. Rechtsgrundlage für die Datenverarbeitung wäre in diesem Fall Art. 6 Abs. 1 Buchst. f) DSGVO.

 

2. Analytics

Die Kategorie „Analytics“ umfasst Verfahren, die zur statistischen Reichweitenmessung der Website dienen. Hierzu zählen beispielsweise Angaben wie Verweildauer, verwendetes Endgerät, Spracheinstellungen, Herkunft, Region, Standort oder auch Nutzeraktionen. Zweck dieser Auswertung ist in erster Linie die Analyse der Website. Um diese Informationen zu erhalten, werden auf dem Endgerät des Nutzers sogenannte Performance Cookies gespeichert. Mithilfe dieser Cookies werden zunächst statistische Analysen der Website erstellt, wozu beispielsweise die Herkunft der Nutzer, die verwendeten Endgeräte oder auch die Klickzahlen von Artikeln oder Videos gehören. Auch hinsichtlich der Verarbeitung dieser Nutzungsdaten erkennen die Aufsichtsbehörden prinzipiell ein berechtigtes Interesse des Websitebetreiber an der bedarfsgerechten Gestaltung der Website an. Allerdings müssen die Verarbeitungen bestimmte Bedingungen erfüllen:

  • Die Nutzungsdaten dürfen nicht mit weiteren Daten über den einzelnen Nutzer zusammengeführt werden;
  • Die Daten dürfen nur zum Zweck der statistischen Analyse verarbeitet werden;
  • Sofern ein Analysetool eines Drittanbieters verwendet wird, dürfen die erhobenen Nutzungsdaten durch diesen Anbieter nicht für eigene Zwecke verwendet werden;
  • Den einzelnen Nutzern werden nicht im Rahmen einer Profilbildung Merkmale oder Interessen zugeordnet;
  • Den Nutzern steht eine Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens zur Verfügung.

Wird eines dieser Kriterien nicht erfüllt, so kann die Datenverarbeitung nicht mehr auf ein berechtigtes Interesse des Verantwortlichen (des Websitebetreibers) gestützt werden. In diesem Fall wäre alternativ ein ausdrückliches Einverständnis erforderlich.

 

3. Tracking

Unter die dritte Kategorie fassen die Behörden das eigentliche Tracking. Hierbei geht es gerade nicht um die Analyse der eigenen Website, sondern vielmehr um die Auswertung der Besucher. Unter Tracking fallen alle Verfahren, die eine Identifikation des Nutzers sowie eine Analyse des Verhaltens über einen längeren Zeitraum ermöglichen, um in einem weiteren Schritt dem Nutzer persönliche Merkmale oder Interessen zuzuordnen (Profiling). Um den Nutzer wiederzuerkennen, werden zumeist sog. Marketing-Cookies eingesetzt. Anhand der gebildeten Nutzerprofile können dann Werbemaßnahmen gezielt und möglichst personalisiert ausgespielt werden. Website-Betreiber greifen hier unter der Verwendung von Third-Party-Cookies oft auf die Unterstützung externer Werbeunternehmen zurück, welche in eigener Verantwortung die jeweilige Ausspielung der Werbeinhalte vornehmen. Da die hierfür erforderlichen Cookies und Tracking-Technologien aber auf der Website des Seiteninhabers zum Einsatz kommen, setzt sich zunehmend die Auffassung durch, dass der Websitebetreiber als weiterer Verantwortlicher im Sinne zu betrachten ist (Joint Controllership).

Im Fall von Trackings überwiegt nach Ansicht der Aufsichtsbehörden das Schutzbedürfnis und die Interessen des Nutzers. Aufgrund dessen kann diese Verarbeitung nicht mehr auf ein berechtigtes Interesse des Websitebetreibers gestützt werden. Setzt sich die Auffassung durch, dürften Tracking-Dienste somit nur auf Grundlage einer Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a) DSGVO eingesetzt werden.

 

Ausblick

Die Aufsichtsbehörden beginnen aktuell, ihre Auffassung praktisch durchzusetzen. So hat das Bayrische Landesamt für Datenschutzaufsicht jüngst als Reaktion auf zahlreiche Beschwerden über den rechtswidrigen Einsatz von Tracking-Tools die Websites von vierzig bayrischen Unternehmen geprüft. Mit dem Ergebnis, dass keines dieser Unternehmen den Anforderungen der Behörde gerecht wurde. Als Konsequenz kündigte die Behörde die Einleitung von Bußgeldverfahren an.

Wer Trackingtechnologien auf seiner Website einsetzt, sollte sich daher mit der Rechtsauffassung der Aufsichtsbehörden genau auseinandersetzen. Auf dieser Grundlage kann das rechtliche Risiko für die eigene Website abgeschätzt und eine unternehmerische Entscheidung über die Umsetzung der Einwilligungslösung getroffen werden.

Für die technische Umsetzung der Einwilligungslösung bieten sich sog. Consent-Banner an. Mittlerweile stellen viele Dienstleister entsprechende Instrumente bereit. Bei der Auswahl müssen die Tools aber genau auf Ihre DSGVO-Konformität geprüft werden. Oftmals werden die angebotenen Lösungen den Anforderungen der DSGVO an die Wirksamkeit einer Einwilligung nicht gerecht. Was Sie hier beachten müssen und wie Sie wirksam eine Online-Einwilligung einholen, erläutern wir Ihnen in einem Folgeartikel.

 

Autoren: Julia Kaiser, RA Marinus Stehmeier