NEWS

Betreiber von Webseiten müssen sicherstellen können, dass bei der Verarbeitung personenbezogener Daten alle Vorgaben der DSGVO eingehalten werden.

Zum 26. April 2018 hat die DSK (Datenschutzkonferenz) ein Positionspapier veröffentlicht, welches die rechtlichen Anforderungen an das Tracking von Nutzern auf Webseiten und Apps darstellt. Wie Ihnen vielleicht schon aus unseren bisherigen Aktuellen Informationen bekannt ist, stellt die DSK ein Gremium dar, in dem sich die Datenschutzbehörden des Bundes und der Länder auf eine gemeinsame Ausrichtung einigen.

Aufgrund des Papiers der DSK möchten wir Ihnen in dieser Aktuellen Information einige Antworten auf die in dem oben genannten Kontext am häufigsten gestellten Fragen geben:

Besteht die Möglichkeit Werkzeuge zur Reichweitenanalyse ohne eine Einwilligung der jeweiligen Nutzer zu nutzen?

Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Eine Reichweitenanalyse funktioniert auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzureichen. Ersatzweise kann eine Logfile-Analyse durchgeführt oder es können lokal installierte Analysewerkzeuge ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg angewendet werden. Als Positivbeispiel kann hierzu die Open-Source-Software Matomo angeführt werden. Die Vorteile der Verwendung einer solchen Software liegen dabei klar auf der Hand: Verantwortliche Seitenbetreiber ersparen sich den Aufwand einer einzelfallabhängigen Prüfung des externen Dienstes. Zudem kann in diesem Fall auf die Einholung einer Einwilligung verzichtet werden. 

Unabhängig von der Frage, welche Rechtsgrundlage für die Datenverarbeitung des Dienstes herangezogen wird, ist es weiterhin wichtig zu prüfen, ob etwa ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortung erforderlich ist und ob eine Datenübertragung in Länder außerhalb der europäischen Union erfolgt und rechtmäßig ist.

Welche Cookies können ohne eine Einwilligung verwendet werden?

Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und bei denen keine seitenübergreifende Nachverfolgung des Nutzerverhaltens möglich ist, kann als Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. b DSGVO herangezogen werden. Als Beispiel kann hierzu die Nutzung einer Warenkorb-Funktion angeführt werden, soweit bei dieser keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter erfolgt.

In anderen Fällen können sich Verantwortliche auf ein berechtigtes Interesse nach Artikel 6 Abs.1 S.1 lit. f DSGVO berufen. Dies ist der Fall, soweit entgegenstehende Belange der Nutzer nicht überwiegen. Eine Einholung einer Einwilligung wäre sodann nicht erforderlich. 

Für welche Cookies und Tracking-Mechanismen brauche ich die Einwilligung der Nutzer?

Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z. B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen vom Nutzer die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung i.S.d. Art. 6 Abs. 1 S.1 lit. a DSGVO. Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, und Werbenetzwerken und großen Online-Plattform-Betreibern. Aber auch der Betreiber selbst darf nicht nach Belieben personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.

Wie gestalte ich Einwilligungs-Banner?

Die Nutzung von Cookies ist nicht in jedem Fall einwilligungsbedürftig. Auch wenn sich in der Praxis hartnäckig die Meinung hält, ein Cookie-Banner sei stets einzusetzen, so kann dieser pauschalen Meinung von unserer Seite nicht gefolgt werden. Ein „Einwilligungs-Banner“ muss tatsächlich dann eingesetzt werden, wenn eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. In einem solchen Fall ist ein Hinweis auf etwaige Cookies in der Datenschutzerklärung nicht ausreichend. Ein solcher „Dritter“, bei dem ein solcher Banner samt Einwilligungserklärung nun erforderlich wäre, ist beispielsweise Google Analytics. 

Was sind notwendige Elemente des sog. Cookie-Banners?

Der Gegenstand der Einwilligung muss deutlich gemacht werden: Welche personenbezogenen Daten sind von der Verarbeitung betroffen? Was passiert mit ihnen? Wer bekommt Zugriff auf die Daten? Werden die  personenbezogenen Daten mit weiteren Daten verknüpft? 

• Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist erforderlich
• Es darf keine Datenweitergabe stattfinden, bevor nicht eine Einwilligung durch den Betroffenen erteilt wurde
• Die Freiwilligkeit der Einwilligungserklärung muss klargestellt werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss gegeben sein
• Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und unmissverständlich wiederzugeben
• Ein Zugriff auf das Impressum sowie auf die Datenschutzerklärung darf keiner Einschränkung unterliegen, solange nicht eine Einwilligung durch den Betroffenen in die Datenverarbeitung erteilt wurde

Fazit

Wie bereits beschrieben, ist die Nutzung von Cookies ist nicht in jedem Fall einwilligungsbedürftig. Wichtig ist es ist daher im Einzelfall zu prüfen, auf welche Rechtsgrundlage die jeweilige Trackingmaßnahme gestützt werden kann. Bitte sprechen Sie uns daher an, falls wir Sie im Rahmen dieses Themengebiets unterstützen dürfen.

Insbesondere besteht bei einer risikofreudigen Auslegung die Möglichkeit den Einsatz von Google Analytics unter bestimmten Voraussetzungen auf eine Interessenabwägung und nicht auf eine Einwilligung zu stützen. Sollte dies Ihre Absicht sein, so sprechen Sie Ihren Datenschutzbeauftragten an. Dieser kann prüfen, ob Sie Google Analytics ohne eine entsprechende Einwilligung einsetzen können.