Aufsichtsbehörden veröffentlichen Orientierungshilfe zum Webtracking

Freitag, 26. April 2019

Kurz vor Wirksamwerden der DSGVO haben die deutschen Aufsichtsbehörden im vergangenen Jahr für sehr viel Verunsicherung in der Wirtschaft gesorgt. Mit einem Positionspapier vom April 2018 wurde ohne nähere Begründung für jede Form des Trackings im Internet einer Einwilligung gefordert.

Die bisherigen "Spielregeln"

Bis zur Veröffentlichung dieses Papiers waren die "Spielregeln" für das Webtracking relativ klar. Webseitenbetreiber, die herausfinden wollten, wie häufig ihre Webseite besucht wird, konnten sich auf § 15 Abs. 3 Telemediengesetz (TMG) berufen.

Nach dieser Regelung war für die rechtmäßige Nutzung der "normalen" Tools zur Besuchermessung wie Matomo und Google Analytics lediglich die vorherige Information der Webseitenbesucher, eine Widerspruchsmöglichkeit und die Anonymisierung der IP-Adresse erforderlich. Eine Einwilligung wurde nur für alle darüberhinausgehenden Trackingmaßnahmen benötigt, etwa Remarketing, Targeting, Einbindung von Facebook Pixeln etc.

Positionspapier sorgte für Wirbel

Das oben erwähnte Positionspapier der deutschen Aufsichtsbehörden wirbelte diese klare Abgrenzung durcheinander und sorgte für Kritik (Beispiel: bitkom). Den Autoren zufolge sollte mit der DSGVO § 15 TMG nicht mehr angewendet werden können und für alle Trackingmaßnahmen sei eine Einwilligung erforderlich.

Weil aus dem Papier nicht deutlich wurde, welche Formen des Trackings von dem Einwilligungserfordernis erfasst werden sollen, musste davon ausgegangen werden, dass auch Matomo und Google Analytics nur noch mit Einwilligung der Nutzer eingesetzt werden können.

Orientierungshilfe schafft mehr Klarheit

Nun haben die Aufsichtsbehörden mit einer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ nachgelegt. Darin wird nun deutlicher, in welchen Fällen für das Verarbeiten personenbezogener Daten im Internet

  • ein Opt-In-Verfahren, also eine vorherige informierte Einwilligung,
  • und in welchen Fällen die bisher gelebte Praxis des sogenannten Opt-Out-Verfahrens, also eine Widerspruchslösung,

erforderlich ist.

Strenge Vorgaben für "Cookie-Banner" & "Consent-Tools"

In Fällen, in denen eine vorherige informierte Einwilligung erforderlich ist (dazu gleich ausführlich), stellen die Aufsichtsbehörden strenge Vorgaben an "Cookie-Banner" und "Consent-Tools" (Seite 9):

  • Beim erstmaligen Öffnen einer Webseite hat das Banner beispielsweise als eigenes HTML-Element zu erscheinen. In der Regel soll das Element aus einer Übersicht aller einwilligungsbedürftigen Analyse-Tools bestehen, die über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht "aktiviert" voreingestellt sein dürfen.
  • Während das Banner angezeigt wird, sind alle Skripte einer Webseite oder einer Web-App, die potenziell Nutzerdaten erfassen, zu blockieren.
  • Das Banner darf den Zugriff auf Impressum und Datenschutzerklärung nicht verhindern, also nicht verdecken.
  • Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf das einwilligungsbedürftige Tracking starten (das muss durch technische Maßnahmen sichergestellt sein).
  • Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Webseite berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o.ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.
  • Da jede Datenschutz-Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden.

Für welche Tools ist eine Einwilligung erforderlich?

Bei der Frage, für welche Tools eine Einwilligung der Nutzer benötigt wird, ist die Orientierungshilfe leider alles andere als eindeutig. Die Aufsichtsbehörden stellen vielmehr eine Vielzahl von Einzelkriterien auf, wann sich ein Webseitenbetreiber auf berechtigte Interessen (Opt-Out-Lösung) stützen kann.

Dabei werden in erster Linie die vernünftigen Erwartungen der betroffenen Personen und die Vorhersehbarkeit in den Blick genommen (Seite 16). Die Aufsichtsbehörden sind der Ansicht, dass Nutzer normalerweise nicht erwarten werden, dass eine Weitergabe der Informationen über die Nutzung der besuchten Seite an Dritte erfolgt. Demnach muss für Tracking-Tools, bei denen eine Informationsweitergabe an Dritte vorgenommen wird, in Zukunft eine (ausdrückliche) Einwilligung eingeholt werden. Damit dürfte u.a. der Einsatz von Remarketing-Cookies und Facebook-Trackingpixeln einwilligungspflichtig werden.

Auch die Nutzung von Tools, die die Interaktion mit der Webseite exakt nachvollziehbar machen (also z.B. Tastatur- und Maus- bzw. Wischbewegungen aufzeichnen), entsprechen nach Ansicht der Aufsichtsbehörden nicht den vernünftigen Erwartungen der Nutzer. Ohne Einwilligung ist eine solche Interaktionsaufzeichnung also unzulässig.

Weiterhin ist die Möglichkeit der Verkettung der Daten für die Aufsichtsbehörden ein wichtiges Kriterium (Seite 18). So dürfte Google Analytics mit User-ID-Funktion und "Measurement Protocol" zur Verknüpfung von On- und Offlinedaten („Universal Analytics“) nicht ohne Einwilligung genutzt werden dürfen.

Weniger streng sind die Aufsichtsbehörden bei Tools, die eine zurückhaltende Besuchermessung durchführen (z.B. Reichweitenmessung). Sofern keine andauernde Wiedererkennung, keine stetig umfangreiche Profilbildung und keine Weitergabe an Dritte erfolgt, darf sich der Webseitenbetreiber auf sein berechtigtes Interesse berufen. Eine Einwilligung ist dann nicht erforderlich. Aus unserer Sicht sind damit insbesondere die gängigen Tools wie Matomo und Google Analytics in der Standardimplementierung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO einsetzbar.

Fazit

Die Orientierung hat ein wenig Licht ins Dunkel gebracht und insbesondere geklärt, wie sich die Aufsichtsbehörden ein wirksames Cookie-Banner vorstellen. Bei welchen Tools sich Webseitenbetreiber auf berechtigte Interessen stützen können (also keine Einwilligung der Nutzer benötigen), ist nun auch ein wenig klarer. Praktisch ist die Berufung auf das berechtigte Interesse im Einzelfall aber nur mit einem hohen juristischen Begründungsaufwand möglich. (fl)

Quellen:

golem.de vom 10.04.2019: Wie Webseiten Nutzer tracken dürfen - und wie nicht

datenschutz notizen vom 11.04.2019: Spielregeln für das Webtracking – Das Ende einer Odyssee in drei Akten?

Datenschutzbeauftragter Info vom 12.04.2019: Aufsichtsbehörden: Konkrete Vorgaben zu Webtracking