Neue Vorgaben der Datenschutz-Aufsichtsbehörden zu Tracking und Cookies
Die Konferenz der Datenschutz-Aufsichtsbehörden in Deutschland (DSK) hatte im letzten Jahr für Verunsicherung bei Website-Betreibern gesorgt, als sie sich in einem Positionspapier – relativ undifferenziert – auf den Standpunkt stellte, Tracking-Mechanismen (z.B. Cookies, Tracking-Pixel etc.) seien nur nach vorheriger Einwilligung des Website-Nutzers zulässig.
Da dieser Standpunkt (jedenfalls ohne jegliche Differenzierung) aus Sicht der meisten Experten zu streng war, wurde diese Vorgabe in der Praxis bisher kaum umgesetzt (und auch nicht geahndet). Die meisten Unternehmen, die auf ihrer Website Tracking-Dienste einsetzen, verwenden aktuell sogenannte „Cookie-Banner“ (Einblendung beim Aufruf der Website, z.B. „Unsere Website verwendet Cookies. Durch die Nutzung unserer Website erklären Sie sich mit der Speicherung von Cookies einverstanden.“).
Nun hat die DSK ihre Vorgaben zur Verwendung von Tracking-Mechanismen in einer neuen Orientierungshilfe konkretisiert und differenziert. Die Orientierungshilfe können Sie hier abrufen.
Da die Auffassung der DSK nun ausgewogener erscheint und stärker auf verschiedene Nutzungsarten eingeht, sind die Vorgaben nun wesentlich besser nachzuvollziehen als noch im alten Positionspapier. Vor diesem Hintergrund muss davon ausgegangen werden, dass die Aufsichtsbehörden künftig vermehrt Unternehmen auf Einhaltung der Vorgaben prüfen und die rechtswidrige Verwendung von Tracking-Mechanismen beanstanden oder ggf. durch Bußgelder sanktionieren werden.
Unternehmen, die die Vorgaben der Aufsichtsbehörden umsetzen möchten, sollten wohl künftig ein sogenanntes „Consent-Tool“ einzusetzen. Es gibt bereits diverse Anbieter auf dem Markt, die die Vorgaben der DSK mehr oder weniger konsequent umsetzen. Zu den näheren Anforderungen gibt die Orientierungshilfe der DSK einige Anhaltspunkte, die wir nachstehend zusammenfassen.
Das Wichtigste aus der Orientierungshilfe kurz zusammengefasst:
- Nicht alle Cookies benötigen eine Einwilligung. Für manche genügt eine Opt-Out-Möglichkeit in der Datenschutzerklärung.
- Trackingdienste, die Daten an Dritte übermitteln (z.B. Google Analytics, Werbenetzwerke usw.), dürfen nur nach Einwilligung des Users genutzt werden.
- Die bisher verbreiteten Cookie-Banner genügen nicht mehr.
Grund: Einwilligung setzt aktive Handlung voraus, bloßes „Weitersurfen“ genügt nicht; Cookies dürfen erst nach Einwilligung gespeichert werden; Informationen sind nicht konkret genug.
- Künftig werden umfangreichere „Consent-Tools“ erforderlich sein, mit denen für jeden einzelnen Dienst eine Einwilligung eingeholt werden kann.
- Die Einwilligung muss jeweils als echter Opt-In erfolgen. Vorausgewählte Checkboxen genügen hierfür nicht.
Die Vorgaben der DSK an die Nutzung von Cookies, Tracking-Mechanismen und in diesem Zuge an die Weitergabe personenbezogener Daten an Dritte (z.B. IP-Adressen) werden nachstehend zusammengefasst.
1. Rechtsgrundlage für Cookie-Nutzung
Cookies, die für die Erbringung von Leistungen auf der Website zwingend erforderlich sind (z.B. Warenkorb-Cookies), sind auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zulässig (Erforderlichkeit zur Durchführung eines Vertrages oder vorvertraglicher Maßnahmen). Eine Einwilligung ist deshalb nicht erforderlich.
Cookies bzw. Dienste, die Nutzerverhalten lokal auf dem Server auswerten (z.B. Logfile-Auswertung, lokal installierte Analysewerkzeuge wie „Matomo“), also ohne Datenweitergabe an Dritte, sind auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zulässig (berechtigte Interessen des Unternehmens). Eine Einwilligung ist deshalb auch für solche Cookies nicht erforderlich.
Cookies bzw. Dienste, bei denen Nutzerverhalten über Website- oder Gerätegrenzen hinweg ausgewertet wird, oder bei denen eine Übermittlung von Daten an Dritte stattfindet, dürfen nur auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO genutzt werden, also mit vorheriger Einwilligung des Nutzers. Dies betrifft beispielsweise Analysedienste wie Google Analytics, Social-Media-Plugins und Werbe- oder Affiliate-Netzwerke.
2. Praktische Einordnung
Nach unserer Auffassung, lässt sich etwa folgende Einordnung für die Praxis durchführen:
Berechtigtes Interesse (keine Einwilligung – Hinweis genügt):
- Logfile-Analyse
- Lokal installierte Analyse-Dienste wie
– Matomo
Einwilligung erforderlich:
- Analysedienste wie
– Google Analytics
– MouseFlow
– CrazyEgg
- Werbetracker wie
– Google Double-Click
– Google Adwords Conversion Tracking
– Google Dynamic Remarketing
– Bing Ads
– Facebook Pixel (Custom Audiences)
– Criteo
– AdScale
– Affilinet
– Zanox
– Ad4mat
– Adbrain
- Social-Media-Plugins wie
– Facebook-Like-Button
– Facebook-Share-Button
– Twitter-Plugin
– LinkedIn-Plugin
3. Anforderungen bei „berechtigten Interessen“ (Opt-Out)
Beim Einsatz von Cookies und Tracking-Mechanismen, die auf Grundlage berechtigter Interessen ohne Einwilligung eingesetzt werden dürfen, ist der User – wie bisher – in der Datenschutzerklärung über die Nutzung zu informieren (Art. 12, 13 DSGVO).
Ferner müssen die Dienste möglichst datensparsam konfiguriert werden (sog. „datenschutzfreundliche Voreinstellung“, Art. 25 Abs. 2 DSGVO).
Zudem muss dem User in der Datenschutzerklärung die Möglichkeit gegeben werden, der Nutzung bzw. Datenübermittlung an Dritte zu widersprechen („Opt-Out“). Die technische Umsetzung hängt von den Möglichkeiten des jeweiligen Dienstes ab (z.B. Opt-Out-Cookie, Do-Not-Track-Funktion, Browser-Einstellung etc.). Auch hierüber ist der User in der Datenschutzerklärung zu informieren und die entsprechenden Möglichkeiten sind beispielsweise zu verlinken.
4. Anforderungen bei Einwilligung (Opt-In)
Die bisher verbreiteten Einwilligungs-Banner genügen nun nicht mehr den rechtlichen Vorgaben.
Zum einen werden Daten dort (in der Regel) bereits unabhängig von etwaigem Klick auf einen „Einverstanden-Button“ oder vor dem „Weitersurfen“ gespeichert und an Dritte übermittelt. Dies dürfte jedoch erst nach der Einwilligungs-Erklärung erfolgen. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben bzw. entsprechende Elemente geladen werden.
Auch stellt das bloße Nutzen einer Website oder einer App keine rechtmäßige Einwilligung dar, da diese nach den Vorgaben der DSGVO durch eine aktive Handlung (Klick auf Button, Markierung von Checkbox o.ä.) erteilt werden muss.
Schließlich ist die in den Bannern enthaltene Information zu allgemein („Cookies“). Vielmehr sollten die konkreten Dienste aufgezählt werden, an die Daten weitergegeben werden. Zudem muss darüber informiert werden, zu welchem Weck die Datenweitergabe erfolgt. Verfolgt der Dritte eigene Zwecke (z.B. ein Werbenetzwerk), müssen auch diese beschrieben werden.
Nutzer müssen aktiv und freiwillig einwilligen (Opt-In), die Zustimmung darf nicht vorausgewählt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte Kästchen reichen nicht aus.
Die Freiwilligkeit der Einwilligungs-Erklärung muss zudem deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein.
Praktisch wird die rechtskonforme Einwilligung künftig nur mit sogenannten „Consent Tools“ erfolgen können. Diese nutzen größere Banner oder Popups, in denen die verschiedenen Dienste (z.B. sortiert nach Kategorien) aufgezählt werden und für jedes einzelne Tool eine aktive Einwilligung erteilt werden kann.