„Verfolgungswahn“ – Datenschutzvorgaben zu Tracking und Cookies

Tracking

Der Einsatz von Cookies zur Webanalyse und Tracking dürfte in der Vergangenheit immer wieder für Unsicherheit bei Unternehmen gesorgt haben. Grund dafür dürfte vor allem sein, dass keine richterliche Entscheidung hierzu vorliegt. In diesem Zusammenhang veröffentlichte am 26.04.2018 jedoch die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erstmals ein Positionspapier zu diesem Thema. Darin wurde die Ansicht vertreten, dass für den Einsatz sogenannter Tracking-Technologie eine vorherige freiwillige Einwilligung des Nutzers erforderlich ist. Knapp ein Jahr nach der Publikation veröffentlichte die DSK am 03.04.2019 nun die „Orientierungshilfe für Anbieter von Telemedien“, welche das Positionspapier zur Anwendbar- und Zulässigkeit solcher Tracking-Technologie ergänzen bzw. näher spezifizieren soll.

Welche Erkenntnisse die Orientierungshilfe für Unternehmen bringt sowie was bei dem Einsatz von Tracking beachtet werden sollte, erklärt Ihnen Ihr externer Datenschutzbeauftragter.

Umstrittene Rechtslage – berechtigtes Interesse oder Einwilligung?

Vor Einführung der Datenschutz-Grundverordnung (DS-GVO) konnte das sogenannte „pseudonyme Tracking“ grundsätzlich ohne Einwilligung des Nutzers erfolgen, sofern eine Widerspruchsmöglichkeit (Opt-Out) vorgesehen wurde. Mit Geltung der DS-GVO hat sich diesbezüglich jedoch einiges geändert, da die Regelungen des Telemediengesetzes (TMG) teilweise durch die DS-GVO keine Anwendung mehr finden dürften.

Die DSK hatte sich letztes Jahr, vor Geltung der DS-GVO, der Frage nach der Anwendbar- und Zulässigkeit des Tracking von Nutzern angenommen und hat im Positionspapier die Ansicht vertreten, dass Tracking-Maßnahmen ausschließlich nur bei eingeholten Einwilligungen der Nutzer erfolgen dürfen. Wichtig in diesem Zusammenhang ist jedoch vor allem der Zweck, welcher sich hinter dem Verarbeitungsprozess verbirgt. Mit dem Einsatz von Cookies können diverse Zwecke verfolgt werden, welche nicht immer gleich einer informierten Einwilligung des Webseitenbesuchers erfordern dürften. In einer neuen Orientierungshilfe, welche am 03.04.2019 veröffentlicht wurde, wurden die Ansichten nun konkretisiert. Hierfür hat die DSK den Einsatz von Cookies sowie den dahinterstehenden Zweck in drei Kategorien untergliedert. 

 

  1. Funktionalität
    Um einen technisch einwandfreien Ablauf der Webseite sowie der Funktionen zu ermöglichen, dürfte der Einsatz von notwendigen Cookies unabdingbar sein. Zu dieser Kategorie von Cookies gehören sogenannte „Session-Cookies“ und „Persistent-Cookies“. Neben den Session-Cookies, welche nach der Browsersitzung automatisch wieder gelöscht werden, werden Persistent-Cookies längerfristig auf dem Rechner des Nutzers gespeichert. Zweck der Persistent-Cookies ist unter anderem, dass beispielsweise der gefüllte Warenkorb beim kurzzeitigen Verlassen der Webseite erhalten bleibt.

    Bei dieser Kategorie handelt es sich um die für die Funktionalität notwendigen Cookies einer Webseite, welche auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO des Webseitenbetreibers (Verantwortlichen) gestützt werden können. Hierfür dürfte demnach keine explizite Einwilligung des Webseitenbesuchers erforderlich sein.

 

  1. Analytics
    Bei der zweiten Kategorie, der „Analytics-Cookies“, handelt es sich um Textdateien, welche zur statistischen Reichweitenmessung verwendet werden. Hierfür werden sogenannte Performance-Cookies gespeichert, welche unter anderem Daten, wie das verwendete Endgerät, die Spracheinstellungen, Herkunft, Region, Standort, die Verweildauer oder auch Nutzeraktionen verarbeiten. Hintergrund ist in diesem Fall vor allem die Analyse der Webseite, worunter auch Klickzahlen von Artikeln oder Videos fallen. Auch für diese Kategorie dürfte nach Ansicht der DSK die Verarbeitung auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern folgende Bedingungen vollständig erfüllt werden:
  • Ein Zusammenführen der Nutzungsdaten mit weiteren Daten über den einzelnen Webseitenbesucher darf nicht stattfinden.
  • Sofern ein Analysetool (wie beispielsweise Google Analytics) eines Drittanbieters eingesetzt wird, dürfen die Nutzungsdaten nicht durch den Drittanbieter für eigene Zwecke verwendet werden.
  • Die Nutzungsdaten dürfen ausschließlich zum Zweck der Analyse der Webseite verwendet werden.
  • Es darf keine Profilbildung der einzelnen Besucher erfolgen, wie beispielsweise eine Zuordnung von Merkmalen oder Interessen.
  • Es muss eine entsprechende Widerspruchsmöglichkeit (Opt-Out) den Webseitenbesuchern zur Verfügung gestellt werden.

    Sofern eine Bedingung nicht erfüllt ist, kann die Verarbeitung der personenbezogenen Daten nicht mehr auf ein berechtigtes Interesse gestützt werden und es wäre eine informierte Einwilligung des Webseitenbesuchers nach Art. 6 Abs. 1 lit. a DS-GVO erforderlich. Diese sollte aktiv und freiwillig durch den Nutzer erfolgen (Opt-In), weshalb die Auswahl nicht vorher aktiviert sein dürfte und der Nutzer selbstständig in die Verarbeitung zustimmen müsste.

 

  1. Tracking
    Zur dritten Kategorie zählen letztendlich alle Cookies, welche den Zweck des Tracking (zu Deutsch „Verfolgung“) beabsichtigen. Im Vergleich zur Vorherigen Kategorie geht es beim Tracking nicht um die Analyse der Webseite, sondern um die Auswertung der Webseitenbesucher. Hierbei werden Verfahren angewendet, welche über einen längeren Zeitraum einen Nutzer analysieren, um diesem weiterhin spezifische Merkmale und Interessen zuordnen zu können. Diesen Vorgang bezeichnet man umgangssprachlich auch als sogenanntes „Profiling“, womit spezifische Profile der einzelnen Webseitenbesucher erstellt werden können. Die Verfahren werden vor allem dazu eingesetzt, um gezielt auf den Benutzer personalisierte Werbemaßnahmen anwenden zu können. Hierbei findet häufig der Einsatz sogenannter Third-Party-Cookies (Drittanbieter-Cookies) von Drittanbietern statt, welche die Daten zudem in eigener Verantwortung erheben und verarbeiten. In diesem Zusammenhang dürfte es insbesondere fraglich sein, ob es sich dadurch nicht um eine gemeinsame Verantwortlichkeit handeln dürfte, da die Cookies auf der Webseite des Seitenbetreibers – und nicht des Drittanbieters – gesetzt werden.

    Für die letzte Kategorie des Tracking sieht die DSK kein berechtigtes Interesse des Webseitenbetreibers als Rechtsgrundlage vor, da die Interessen und das Schutzbedürfnis des Webseitenbesuchers in diesem Fall überwiegen dürften. Demnach dürfte die Verarbeitung lediglich auf Grundlage der aktiven Einwilligung (Opt-In) des Besuchers, nach Art. 6 Abs. 1 lit. a DS-GVO, erfolgen.

Es sollte berücksichtigt werden, dass die Veröffentlichungen bzw. Verlautbarungen der Aufsichtsbehörden keine verbindliche Rechtsauslegung darstellen. Es bleibt daher abzuwarten, ob die Position der DSK durch die Rechtsprechung bestätigt wird. Da in diesem Fall jedoch noch keine Rechtsprechungen erfolgt sind, dürfte es zu empfehlen sein, sich momentan an den Empfehlungen der Aufsichtsbehörden zu orientieren.

Cookie Banner vs. Consent Management

Die überwiegende Mehrheit der Unternehmen dürfte derzeit einfache „Cookie-Banner“ auf den Webseiten integriert haben, welche den Seitenbesucher über den Einsatz der gesetzten Cookies nicht ausreichend informieren dürften. Betrachtet man die Aussagen der DSK dürfte beispielsweise der reine Hinweis

„Cookies helfen uns bei der Bereitstellung unserer Dienste und durch die Nutzung unserer Webseite, erklären Sie sich damit einverstanden, dass wir Cookies setzen.“

nicht ausreichend und zu allgemein formuliert sein. Der Verantwortliche dürfte demnach seinen Informationspflichten nach Art. 13 und 14 DS-GVO nicht nachkommen und ggf. ein Bußgeld befürchten müssen.

Zudem vertritt die DSK die Meinung, dass insbesondere für das Setzen von Tracking-Cookies aktive freiwillige Einwilligungen der Nutzer eingeholt werden müssen. Dies bedeutet unter anderem, dass eine Vorauswahl der gesetzten Cookies nicht gegeben sein darf, damit der Nutzer selbstständig und aktiv die Auswahl der gewünschten Cookies treffen kann.

Das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) reagierte bereits und prüfte vierzig bayrische Unternehmen auf den rechtswidrigen Einsatz solcher Tracking-Technologie auf den Webseiten. Keines der Unternehmen wurde jedoch den Anforderungen der Behörden gerecht, woraufhin das BayLDA die Einleitung von Bußgeldverfahren ankündigte.

TrackingKünftig sollten demnach anstelle eines simplen Cookie-Banners, sogenannte „Consent-Tools“ für die Information und Einholung der Einwilligung des Webseitenbesuchers eingesetzt werden. Hierbei können die eingesetzten Dienste transparent in einer Tabelle aufgeführt werden und sollten unter anderem über den verfolgten Zweck der Verarbeitung informieren. Werden Daten beispielsweise zusätzlich an einen Drittanbieter weitergegeben, sollte dies hier ebenfalls aufgeführt werden.  Der Nutzer sollte dabei die Möglichkeit haben, die Cookies einzeln auszuwählen. Insbesondere zuvor markierte Checkboxen stellen in diesem Fall keine aktive Einwilligung durch den Nutzer sicher.

Transparenz durch Browser

Viele der eingesetzten Browser setzen mittlerweile hohe Priorität auf die Privatsphäre ihrer Nutzer. Hierfür bieten sie ihren Nutzern die Möglichkeit zu prüfen, ob ein Einsatz von Cookies zur Aktivitätenverfolgung stattfindet und um welche gesetzten Cookies es sich handelt. Weiterhin kann durch geeignete Einstellungen im Browser eine Aktivitätenverfolgung vorsorglich verhindert werden.

Welche Einstellungen dies sind bzw. wie Sie selbst Cookies anzeigen entfernen und löschen können, erfahren Sie in unserem Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“.

Fazit

Zusammenfassend sollten sich Verantwortliche, insbesondere aufgrund der fehlenden Rechtsprechungen, an den Veröffentlichungen der DSK orientieren und im Falle von eingesetzten Tracking-Maßnahmen geeignete informierte Einwilligungen einholen.

In der Praxis dürften die Vorgaben der DSK nur mit den beschriebenen Consent-Tools erreicht werden können. Diese setzen größere Banner oder Popups ein, welche es ermöglichen, die verschiedenen Cookies einzeln aufzuzählen, sodass separat für jeden Dienst eine aktive Einwilligung des Webseitenbesuchers eingeholt werden kann.

Sofern Sie weitere Fragen zu dieser Thematik haben sollten oder Hilfe bei der Umsetzung von Datenschutzmaßnahmen innerhalb Ihres Unternehmens benötigen, stehen wir Ihnen gerne mit Rat und Tat zur Seite.

Brands Consulting bietet Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen