Die Berliner Landesbeauftragte für den Datenschutz vertritt – wie auch andere deutsche Aufsichtsbehörden - eine ganz klare Linie: Google Analytics (und damit auch andere Tracking-Tools) nur mit Einwilligung der Websitebesucher
Die Zeit nach Planet49
Der EuGH hat am 1. Oktober 2019 in der RS Planet49 zur Einwilligung bei der Verwendung von Cookies durch einen Websitebetreiber Stellung genommen.
Thema war, ob ein vorangeclicktes Kästchen eine Einwilligung in die Verarbeitung der Daten darstellen kann. Wie nicht anders zu erwarten hat der EuGH diese Frage mit NEIN beantwortet, denn beim „Weitersurfen“ handelt es sich nicht um eine bestätigende Willensbekundung oder eine Willenserklärung.
Der EuGH hat aber auch zur Informationspflicht bei der Verwendung von Cookies Stellung genomen und dazu ausgeführt, dass über die Funktionsdauer und die Zugriffsmöglichkeit Dritter zu informieren ist (so insbes. auch die Pressemitteilung des EuGH vom 1. Okt. 2019).
Die Überschrift der Pressemitteilung ist daher mE irreführend, denn dort heißt es: „Das Setzen von Cookies erfordert die aktive Einwilligung des Nutzers.“
Der EuGH hat zur Frage der Rechtsgrundlage in dieser Entscheidung mangels Relevanz keinerlei Aussage getroffen.
Mögliche Rechtsgrundlagen:
Bei Cookies und deren Verwendung geht es darum, den Nutzer der Website wiederzuerkennen und auf der Website zu „verfolgen“ bzw. diesem Inhalte personalisiert (zB Warenkorb im Webshop) darzustellen.
Es gibt mehrere Möglichkeiten für die Rechtsgrundlage iSd Art 6 Abs 1 DSGVO, wobei mE folgende Varianten in Frage kommen:
- Einwilligung (freiwillig, informiert, für den konkreten Zweck)
- Erforderlichkeit zur Vertragsanbahnung bzw. –erfüllung
- Erforderlichkeit zur Erreichung eines berechtigten Interesses des Websitenbetreibers oder eines Dritten.
Einwilligung
Die Einwilligung muss freiwillig erfolgen, und sie muss für den konkreten Zweck in informierter Weise vom Nutzer erteilt werden. Es muss sich um eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung handeln, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. (Art 4 Z 11 DSGVO).
Wenn ein Kästchen vorangeclickt ist, liegt eine Voreinstellung vor, und der Nutzer bringt durch das Weitersurfen seinen Willen nicht eindeutig zum Ausdruck.
Bei Cookies, die für Marketingzwecke verwendet werden, dh Tracking-Cookies und zwar gleich ob es first-party-cookies oder third-party-cookies sind, ist die Einwilligung des Websitenutzers nötig.
Vertragserfüllung und/oder Vertragsanbahnung durch den Nutzer
Wenn ein Websitenutzer in einen Webshop einsteigt, und dort Waren bestellt, dann bahnt er einen Vertrag an. Wenn der Websitebetreiber es daher ermöglicht, dass durch die Verwendung von Cookies der Warenkorb auch wieder angezeigt wird, wenn es zu einem Abbruch der Bestellung kommt, dann ist dies mE auf Basis des Art 6 Abs 1 lit b DSGVO zulässig.
Die weitere Verwendung dieser Daten für andere Zwecke ist mE jedoch unzulässig. Problematisch wird es schon, wenn jemand die Waren im Warenkorb belässt, und die Bestellung nicht mit einem Kauf abschließt. Darf man diese Person per E-Mail auf den offenen Warenkorb aufmerksam machen? Dies ist wohl nur unter den engen Voraussetzungen des § 107 Abs 3 TKG möglich, insbes. wenn bereits bei der Erhebung der E-Mail-Adresse des Nutzers darauf hingewiesen wird, dass diese auch für Marketingzwecke für eigene ähnliche Produkte oder Dienstleistungen verwendet wird, und der Nutzer die Möglichkeit hat, dies abzulehnen.
Das „berechtigte Interesse“
Bisher gingen viele Websitenbetreiber davon aus, dass die Verarbeitung von Daten, die durch die Verwendung von Cookies erhoben werden, auf Basis des berechtigten Interesses des Websitenbetreibers zulässig ist. Nur ein „berechtigtes Interesse“ ist nicht ausreichend für die Verarbeitung von Daten. Das „berechtigte Interesse“ ist konkret zu formulieren, um den Zweck der Verarbeitung auch zu definieren (Zweckfestlegung; Art 5 Abs 1 lit b DSGVO), sonst wird es zum „berüchtigten Interesse“.
Welche Interessen könnte ein Websitebetreiber haben, Cookies auf den Endgeräten der Nutzer der Website abzulegen und Daten zu erheben?
ErwG 47 nennt die Verhinderung von Betrug und Direktmarketing als berechtigte Interessen eines Verantwortlichen.
IT-Sicherheit und Sicherheit der Website, insbes. bei Möglichkeiten der Registrierung oder Kommunikation über die Website (zB gegen DDOS-Attacken oder sonstige Behinderung der Website), liegen im vitalen Interesse des Websitebetreibers, sodass Cookies, die für die Verarbeitung für derartige Zwecke erhoben werden, auf dieser Rechtsgrundlage gesetzt und verwendet werden dürfen.
Website-Tracking und Reichweitenmessung zur Verbesserung des Angebotes auf der Website ist ein wirtschaftliches Interessen des Website-Betreibers, die er ins Treffen führen kann.
Auch wenn ein Cookie zwingend erforderlich ist, um die Funktionen der Website, dh den Dienst, den der Nutzer verwenden möchte, überhaupt anbieten zu können, ist es zulässig, die Verarbeitung der Daten auf das berechtigte Interesse zu stützen. Eine Einwilligung ist für derartige (essentielle, zwingend notwendige) Cookies nicht erforderlich. Es gibt Meinungen, dass Warenkorb-Cookies oder der Transport eine Session_ID zu diesen Cookies gehören sollen.
Erforderlichkeit der erhobenen Daten für die Zweckerreichung
Die Verarbeitung der Daten muss erforderlich sein, um das formulierte berechtigte Interesse zu erreichen. Werden zuviel Daten erhoben (zB nicht notwendige Profilbildung, zu lange Speicherdauer), dann wird die Verarbeitung unzulässig, da Daten erhoben werden, die für die Zweckerreichung nicht erforderlich sind.
Interessen der Nutzer – Intensität der Beeinträchtigung?
Die berechtigten Interessen des Website-Betreibers sind mit der Beeinträchtigung der Interessen und Grundfreiheiten der Nutzer in Relation zu setzen. Wenn diese überwiegen, dann hat die Verarbeitung in der konkreten Form zu unterbleiben.
Eine Reichweitenmessung auf der Website kann unter bestimmten Gesichtspunkten zulässig sein; die Weitergabe von Daten an dritte Empfänger durch Cookies, die beim Besuch der Website, abgelegt werden, wird mit großer Wahrscheinlichkeit nicht auf diese Rechtsgrundlage gestützt werden können.
Es ist auch die Erwartungshaltung der betroffenen Person zu berücksichtigen. Beim Besuch einer Website geht man davon aus, dass ein „Zähler“ installiert ist, und bestimmte Daten (IP-Adresse, Herkunft, Verweildauer, Verlauf) vom Website-Betreiber erhoben werden, damit er sein Angebot attraktiv oder bedarfsgerecht gestalten kann, und messen kann, welche Bereiche seiner Homepage besonders (un-)attraktiv sind, und welche Teile er verbessern kann. Mit der Weitergabe von Daten an Dritte rechnet der Nutzer üblicherweise nicht. Auch eine dauernde Wiedererkennung des Website-Besuchers oder eine umfangreiche Profilbildung ist zur Erreichung dieses Zweckes nicht erforderlich, sodass dies (sofern keine Einwilligung vorliegt) zu unterbleiben hat.
Auch technische Maßnahmen (zB jederzeitige Widerspruchsmöglichkeit gegen die Datenerhebung), die der Website-Betreiber auf der Homepage anbietet, können die Interessensbeeinträchtigung der Nutzer reduzieren.
Werden Daten für Direktwerbung erhoben, dann ist das Widerspruchsrecht absolut (Art 21 Abs 2 DSGVO), und dies ist auch zu berücksichtigen, und der Website-Betreiber hat daher technische Möglichkeiten zur direkten Umsetzung des Widerspruches vorzusehen, wenn er die Daten für diesen Zweck erhebt und verarbeitet.
Anwendung auf Google Analytics?
Google Analytics wurde von Google „fortentwickelt“, und dient nicht mehr nur zur Messung der Effizienz der Website des Betreibers derselben, sondern Google behält sich auch das Recht vor, die Daten selbst für eigene Zwecke zu nutzen.
Diese Nutzung der erhobenen Daten durch Google, dh einen Dritten unabhängig vom Websitenbetreiber, wird zum eigentlichen Problem beim Einsatz von Google Analytics.
Es besteht keine Möglichkeit, die Erhebung der Analyse-Daten und Weitergabe derselben an Google zur Nutzung durch Google auf das berechtigte Interesse zu stützen.
Bisher ist man von einem Auftragsverarbeitungsvertrag, der mit Google geschlossen wird, ausgegangen. Da jedoch Google die erhobenen Daten auch für eigene Zwecke nutzt, ist mit Google eine Vereinbarung über die gemeinsame Verarbeitung der Daten abzuschließen.
Bei der Verwendung von Google Analytics ist daher eine Einwilligung der Nutzer erforderlich; liegt diese nicht in nachweisbarer Form vor, dann ist die Verarbeitung nicht nur durch Google, sondern auch durch den Website-Betreiber rechtswidrig.
Deutsche Behörden
Einige Deutsche Aufsichtsbehörden haben bereits Pressemitteilungen zum Thema veröffentlicht und auch angekündigt, gegen Websiten-Betreiber vorzugehen, die ihre Informationspflicht (Zweck, Dauer, Empfänger etc...) vernachlässigen und falsche Rechtsgrundlagen (berechtigtes Interesse statt Einwilligung für den konkreten Fall) für die Verarbeitung von Daten bei der Verwendung von Cookies anwenden, vorzugehen, und Anordnungen zu erlassen oder auch Geldstrafen zu verhängen.
Information aus Berlin vom 14.11.2019
Information aus Baden-Württemberg vom 29.04.2019
Information aus Bayern vom 15.11.2019
Auch der Bundesbeauftragte für den Datenschutz Ulrich Kleber hat sich zu Wort gemeldet und in einer Pressemitteilung vom 14.11.2019 ausgeführt:
„Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.“
Andere Länder andere Sitten
In Österreich hat bereits ein Rechtsanwalt mehrere Website-Betreiber wegen der Verwendung von Cookies ohne Einwilligung „abgehmahnt“, und verlangt EUR 1.000,-- pro Cookie an Schadenersatz für seine Mandantin. Ob bereits eine Klage eingebracht wurde, ist mir nicht bekannt.
Die Spanische Aufsichtsbehörde (AEPD) hat gegen Vueling eine Geldstrafe von EUR 30.000,-- wegen der Verwendung eines Cookie-Banners, der dem Nutzer keine Auswahl ermöglicht, verhängt.
22.11.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben