Letzte Woche haben zahlreiche Landedatenschutzbehörden und der Bundesdatenschutzbeauftragte mit inhaltlich abgestimmten Presseerklärungen angekündigt, gegen die Verwendung von Google Analytics vorzugehen, wenn der jeweilige Webseitenbetreiber hierfür vor dem Einsatz keine wirksame Einwilligung (Opt-In) einholt.
Mit den jeweils verlinkten Pressemeldungen vom 14.11.2019 teilen die Landesdatenschutzbehörden aus
Berlin, Brandenburg, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Bayern und der Bundesdatenschutzbeauftragte
mit, dass Analyse-Tools (insbesondere Google Analytics), die Daten über das Nutzungsverhalten an Dritte weitergeben, nur noch mit Einwilligung genutzt werden dürfen, wenn diese Dritten die Daten auch zu eigenen Zwecken verwenden.
A. Datenschutzrechtlicher Hintergrund
Hintergrund ist die Argumentation, die die Datenschutzkonferenz bereits im Frühjahr 2019 mit der „Orientierungshilfe für Anbieter von Telemedien“ mitgeteilt hatte. Die Maßnahmen zielen dabei insbesondere gegen das Analysewerkzeug Google Analytics, dass auf einer Vielzahl von Webseiten eingesetzt wird.
Wie bereits berichtet, lasse sich die Datenverarbeitung von Google Analytics – nach Auffassung der Datenschutzkonferenz – nicht mehr über berechtigte Interessen (Art. 6 Abs.1 lit.f DSGVO) legitimieren, sondern benötige stets eine Einwilligung (Art. 6 Abs.1 lit.a DSGVO). Diese Anforderung resultiere insbesondere daraus, dass Google die jeweiligen Nutzungsdaten auch mit anderen Daten zusammenführe bzw. für eigene Zwecke (weiter-)verwende. Damit sei Google eben kein reiner Auftragsdatenverarbeiter im Sinne des Art. 28 DSGVO mehr. Stattdessen sei von einer gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO auszugehen. Ein hierfür erforderliches Joint Controllership Agreement wird von Google (bisher) aber nicht standardmäßig angeboten.
Bei dieser bereits länger vertretenen Position berufen sich die Aufsichtsbehörden nun auch auf das aktuelle Urteil des Europäischen Gerichtshofes vom 1.10.2019 (Az. C-673/17 – „Planet49“). In diesem Urteil ist das Gericht – unabhängig von der DSGVO – auf Grundlage des Art. 5 Abs.3 der ePrivacy-Richtlinie davon ausgegangen, dass das Setzen von Cookies grundsätzlich einer vorherigen Einwilligung des Webseitenbesuchers bedarf. Eine Einwilligung ist nur dann verzichtbar, wenn das jeweilige Cookie für die Funktion der Webseite notwendig ist. Bei Tracking- oder Targeting greift diese Ausnahme mangels Notwendigkeit der Cookies jedoch wohl nicht.
Nicht zuletzt wegen zahlreicher Beschwerden wollen die Datenschutzbehörden offensichtlich kurzfristig gegen betroffene Webseitenbetreiber vorgehen.
B. Bedenken gegen die Position der Datenschutzbehörden
An den Positionen der Datenschutzbehörden erscheinen vor allem die fehlende Differenzierung und die „Absolutheit“ der eigenen Argumentation bedenklich.
Zunächst einmal wird schon nicht zwischen den verschiedenen Einstellungsmöglichkeiten von Google Analytics bzw. anderen Analysewerkzeugen unterschieden. Nicht zuletzt wegen datenschutzrechtlicher Vorgaben gibt es diverse Optionen (pseudonyme Datenerhebung, Speicherdauer etc.), Google Analytics zu konfigurieren. Zudem ist rechtlich sehr umstritten, ob die Verarbeitung entsprechend pseudonymer Nutzungsdaten zu reinen Analysezwecken – statt einer Einwilligung – eben nicht auch über berechtigte Interessen legitimiert werden kann.
Und auch die Berufung auf das EuGH-Urteil ist nicht so eindeutig, wie die Pressmeldung scheint. In dem die ePrivacy Richtlinie umsetzende Telemediengesetz findet sich nämlich bis heute § 15 Abs.3 TMG, der die Erhebung pseudonymer Nutzungsprofile ohne Einwilligung ausdrücklich legitimiert. Angesichts dieser Legitimation ist zumindest fraglich, ob die Datenschutzbehörden beim Setzen von Cookies auf ebendieser Basis, tatsächlich unmittelbar Bußgelder verhängen können.
C. Handlungsempfehlung und Checkliste
Nachdem die „Schonzeit“ für Webseitenbetreiber mit dieser konzertierten Aktion nun aber tatsächlich vorbei zu sein scheint, ist vor allem betroffenen Unternehmen zu raten, den Einsatz von Google Analytics bzw. der weiteren eingesetzten Tracking- und Targetingtools zeitnah rechtlich neu zu bewerten.
Dabei sollte folgendes geprüft werden:
1. Ob die konkrete Datenverarbeitung über berechtigte Interessen (Art. 6 Abs.1 lit.f DSGVO) legitimiert werden kann oder aufgrund der „Eingriffsintensität“ der Datenverarbeitung tatsächlich eine Einwilligung (Art. 6 Abs.1 lit.a DSGVO) eingeholt werden muss.
Beispiel: Während der Einsatz von Matomo mit entsprechender Konfiguration wohl über berechtigte Interessen gestaltet werden kann, bedarf es z.B. beim Einsatz des sogenannten Facebook Pixel aufgrund des Retargeting wohl eines vorherigen Opt-In (weiterführend Opt-In oder Opt-Out ? Datenschutzbehörden veröffentlichen wichtigen Leitfaden zum Einsatz von Cookies und Drittanbieterwerkzeugen auf Webseiten)
2. ob das jeweilige Tool Cookies oder Pixel auf dem Endgerät des Webseitenbesuchers speichert. Soweit der jeweilige Cookie nicht notwendig ist, erscheint es als der sicherste Weg vor dem Setzen des jeweiligen Cookie eine Einwilligung einzuholen.
Beispiel:
Beim Einsatz von Matomo kann eingestellt werden, ob Cookies gesetzt werden sollen oder nicht. Zudem gibt es zwischenzeitlich verschiedene Webanalysewerkzeuge (wie z.B. Statify, Fathom), die keine Cookies speichern.
3. ob eine Einwilligung (z.B. über ein Opt-In im Rahmen eines Cookiebanners) eingeholt werden soll und wie dieses ausgestaltet wird. Soweit die Datenverarbeitung des jeweiligen Tools über berechtigte Interessen legitimiert werden kann und das Werkzeug keine Cookies setzt, bedarf es auch keiner Einwilligung. In allen anderen Fällen sollten Webseitenbetreiber vor Einsatz von Tracking- und Targetingwerkzeugen eine Einwilligung einholen.
Dabei sollte die Einwilligung (z.B. über ein Cookiebanner) Art. 4 Nr.11 DSGVO so konfiguriert werden, dass der Nutzer sich
• freiwillig
• für den bestimmten Fall
• in informierter Weise und
• in Form einer unmißverständlichen Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung
mit der Datenverarbeitung einverstanden erklärt.
Ein Stillschweigen der betroffenen Person, vorangekreuzte Kästchen bzw. ein einfaches Weitersurfen dürften danach keine wirksame Einwilligung darstellen.
Die Vielzahl der auf dem Markt erhältlichen Consent Management Tools sollten danach ausgewählt werden, ob sie diese Vorgaben erfüllen und ob etwaige spätere Anpassungen einfach vorgenommen werden können (siehe dazu auch die Stellungnahme der Landesdatenschutzbehörde Baden-Württemberg).
D. Zusammenfassung
Die Pressemeldungen lassen baldige (Bußgeld)maßnahmen vor allem gegen Unternehmen befürchten, die auf der eigenen Webseite Google Analytics oder vergleichbare Werkzeuge einsetzen.
Unternehmen sollten daher zeitnah prüfen, welche Tools eingesetzt werden bzw. prüfen, ob die jeweilige Datenverarbeitung einer Einwilligung bedarf. Gegebenenfalls kann auch der Einsatz der angesprochenen Alternativen erwogen werden.
Ansonsten bleibt es eine Frage der Risikoabwägung, ob eine Einwilligung eingeholt werden soll und wie das Opt-In in dem Cookiebanner ausgestaltet wird.
Aufgrund der erheblichen Bedeutung, die gerade die Daten von Google Analytics für die Ausgestaltung der eigenen Webseite und der Auswertung des Onlinemarketing für viele Unternehmen haben, entscheiden sich zahlreiche Webseitenbetreiber für Mittelwege.
Angesichts der notwendigen Differenzierung der Werkzeuge, der Bedeutung der Tools für das eigene Geschäftsmodell und der vielen offenen Rechtsfragen sollte Unternehmen die mit verschiedenen Lösungen einhergehenden Risiken individuell abwägen.
Fraglos gibt es Gestaltungen, die eindeutig rechtmäßig oder rechtswidrig sind. Bezüglich einer Vielzahl von Targeting- und Trackingtools bzw. den konkreten Anforderungen an das Opt-In wird schlussendlich erst die Rechtsprechung der Gericht Sicherheit bringen.
Selbst wenn also die Datenschutzbehörden die Unterlassung anordnen oder wegen des Einsatzes von Google Analytics Bußgelder aussprechen, bleibt den betroffenen Unternehmen der Rechtsweg offen. Die Einlegung eines Widerspruches sollte von betroffenen Unternehmen gegebenenfalls auf jeden Fall geprüft werden. Im Nachgang werden die hier aufgeworfenen Rechtsfragen aber auch die Verhältnismäßigkeit eines etwaigen Bußgeldes gerichtlich geklärt werden.
Bis dahin bzw. bis zur Geltung der wohl Klarheit schaffenden ePrivacy-Verordnung können zahlreiche Unternehmen auf Targeting und Tracking ebenso wenig wie auf den Einsatz von Cookies verzichten.
Eine individuelle Auseinandersetzung mit den eingesetzten Werkzeugen und die Ausgestaltung der eigenen Lösung erscheinen insoweit dringend erforderlich….