Datenschutzbehörden sorgen für Unklarheit beim Einsatz von Tracking-Cookies

| Ein Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26.4.18 sorgte zuletzt für Verunsicherung in der Online-Marketing-Branche. Nach Auffassung der Behörden soll Nutzertracking auf Websites, beispielsweise mit Google Analytics, nach den Vorschriften der Datenschutz-Grundverordnung (DS-GVO) ab dem 25.5.18 nur noch mit vorheriger Einwilligung des Nutzers zulässig sein. In der von der DSK vertretenen Pauschalität dürfte sich diese Auffassung jedoch kaum durchsetzen. |

Position der DSK

Die DSK erklärt in Ziffer 9. des Papiers wörtlich:

Beurteilung der Position

Die Behörden begründen leider nicht wirklich, wie sie zu diesem Standpunkt kommen. Es ist jedoch ausdrücklich darauf hinzuweisen, dass das Positionspapier der DSK lediglich eine von mehreren vertretbaren Meinungen abbildet und für etwaige künftige Gerichtsentscheidungen keinerlei Bindungswirkung hat. Die Datenschutzbehörden vertreten naturgemäß i. d. R. eher strenge Auffassungen, die von den Gerichten jedoch nicht unbedingt bestätigt werden.

Interessenabwägung im Einzelfall

Jedenfalls in der von der DSK vertretenen Pauschalität dürfte sich ihre Auffassung kaum durchsetzen. Richtig ist zwar, dass § 15 Abs. 3 des deutschen Telemediengesetzes (TMG), der die Bildung pseudonymer Nutzungsprofile und damit den Einsatz von Tracking-Cookies derzeit ohne vorherige Einwilligung erlaubt, künftig nicht mehr anwendbar sein dürfte. Auch die DS-GVO gestattet jedoch in Art. 6 Abs. 1 lit. f Datenverarbeitungen, wenn ein berechtigtes Interesse des verarbeitenden Unternehmens vorliegt und die Interessen der Betroffenen (hier Website-Besucher) nicht überwiegen. Eine vorherige Einwilligung ist dann gerade nicht erforderlich. Maßgeblich ist im Einzelfall eine Interessenabwägung.

Letztlich sprechen gute Argumente dafür, dass die pseudonyme Auswertung von Nutzerinteressen und damit verbundenes Marketing ein solches „berechtigtes Interesse“ des Website-Betreibers darstellt, sodass der Einsatz von Tracking-Tools wie beispielsweise Google Analytics ‒ jedenfalls unter bestimmten Voraussetzungen ‒ auch künftig ohne Einwilligung möglich sein dürfte.

Berechtigtes Unternehmensinteresse

In Erwägungsgrund 47 (S. 7) der DS-GVO wird sogar ausdrücklich klargestellt, dass Datenverarbeitung zum Zweck von Direktwerbung als berechtigtes Unternehmensinteresse angesehen werden kann. Dies dürfte folgerichtig erst recht für pseudonymes Tracking gelten, was praktisch als Vorstufe des Direktmarketings anzusehen ist. Die bloße Auswertung von Nutzerinteressen stellt einen weniger intensiven Eingriff in die Rechte und Interessen der Website-Besucher dar als die hieraus hervorgehenden Direktmarketingmaßnahmen selbst.

Vernünftige Erwartungen der betroffenen Personen

Zudem stellt Erwägungsgrund 47 (S. 1) im Rahmen der Interessenabwägung auch auf die „vernünftigen Erwartungen“ der betroffenen Personen ab. Internetnutzern ist in aller Regel bewusst, dass die Website-Nutzung von Betreibern ausgewertet wird und die so gewonnenen Informationen für interessengerechte Werbung genutzt werden. Dies gilt jedenfalls dann, wenn über das Tracking in einer Datenschutzerklärung und ggf. einem Cookie-Banner transparent und verständlich informiert wird.

Widerspruchsrecht gegen „Profilingu“ im Zusammenhang mit Direktwerbung

Ein weiteres Argument gegen ein pauschales Einwilligungserfordernis ist, dass Art. 21 Abs. 2 DS-GVO Nutzern ein Widerspruchsrecht gegen „Profiling“ im Zusammenhang mit Direktwerbung einräumt. Ein solches Widerspruchsrecht wäre aber überflüssig, wenn w„Profiling“, also die Bildung pseudonymer Nutzerprofile und Tracking zu Werbezwecken, von vornherein von einer Einwilligung abhinge.

Auf den Punkt gebracht: ein Restrisiko bleibt

Es ist somit festzuhalten, dass die Auffassung der Datenschutzbehörden auf keinen Fall in Stein gemeißelt ist und gute ‒ womöglich die besseren ‒ Argumente dafür sprechen, dass Nutzer-Tracking unter bestimmten Voraussetzungen auch künftig ohne Einwilligung zulässig sein wird. Auch die grassierende Panik vor Abmahnungen dürfte ‒ jedenfalls zu dieser Thematik ‒ wohl übertrieben sein. Klassische „Abmahnanwälte“ stürzen sich i. d. R. auf eindeutigere Verstöße, weil auch sie die Gegenargumente kennen und das Risiko eines Unterliegens vor Gericht scheuen. Es ist aber in jedem Fall die weitere Entwicklung zu beobachten und ggf. bei ersten gerichtlichen Entscheidungen entsprechend zu reagieren.

Auf Nummer sicher gehen

Unternehmen müssen mit der von der DSK verursachten Unsicherheit nun vorerst leben und abwägen, wie sie das Thema Tracking künftig handhaben wollen. Wer jegliches Risiko scheut und auf Nummer sicher gehen möchte, sollte die Vorgabe der DSK beachten und Nutzerverhalten nur nach Einwilligung des Website-Nutzers tracken. Hierfür wäre beispielsweise ein Cookie-Banner mit Opt-in-Möglichkeit zu integrieren. Aber Achtung: Der Tracking-Cookie dürfte wirklich erst dann auf dem Endgerät abgelegt werden, wenn der Nutzer den Opt-in angeklickt hat.

Maßnahmen beim Einsatz von pseudonymem Tracking

Wer bereit ist, ein gewisses ‒ wohl vertretbares ‒ Risiko einzugehen, wird pseudonymes Tracking auch künftig ohne Einwilligung einsetzen. Dabei sollten jedoch Maßnahmen umgesetzt werden, die im Rahmen einer Interessenabwägung zugunsten des Unternehmens berücksichtigt werden können. Beim Einsatz von Google Analytics bzw. Universal Analytics sollte der Website-Betreiber jedenfalls die nachfolgenden Punkte beachten.

• 1. Auftragsverarbeitungsvereinbarung mit Google abschließen

• Zwischen dem Website-Betreiber und Google muss eine Auftragsverarbeitungsvereinbarung geschlossen werden. Hierzu sollte der Formularvertrag von Google verwendet werden. Dieser Vertrag muss ausgefüllt und an Google geschickt werden. Anschließend erhält der Website-Betreiber den gegengezeichneten Vertrag von Google zurück.

• 2. Zustimmung für den Zusatz zur Datenverarbeitung erteilen und Informationen ergänzen

• Um die Auftragsvereinbarung mit Google auf den Stand der DS-GVO zu bringen, muss den zusätzlichen Bedingungen zugestimmt werden. Diese sind im Google-Analytics-Konto unter „Einstellungen“ ‒ „Kontoeinstellungen“ ‒ „Zusatz zur Datenverarbeitung“ zu finden. Unter „Details zum Zusatz zur Datenverarbeitung verwalten“ müssen zudem Informationen zum Unternehmen und Kontaktangaben zu verantwortlichen Ansprechpartnern bzw. ggf. zum Datenschutzbeauftragten hinterlegt werden.

• 3. Aktivierung der IP-Anonymisierung (IP-Masken-Methode)

• IP-Adressen müssen in Google Analytics ‒ wie auch bisher schon ‒ anonymisiert werden. Google stellt auf seinen Informationsseiten eine ausführliche Anleitung zur Verfügung.

• Beachten Sie | Wurde Google Analytics bisher ohne IP-Anonymisierung eingesetzt, sollten die so gewonnenen Daten gelöscht werden, da ihre Verarbeitung unzulässig wäre.

• 4. Opt-out-Möglichkeiten bieten

• Dem Nutzer muss ein Widerspruchsrecht gegen die Datenerhebung und -verarbeitung eingeräumt werden. Dies sollte sowohl durch Verlinken des Deaktivierungs-Browser-Add-ons als auch durch Setzen eines Opt-out-Cookies gewährleistet werden. Eine ausführliche Anleitung findet sich beispielsweise auf den Informationsseiten von Google für Entwickler.

• 5. Ausführliche Information des Nutzers in Datenschutzerklärung und Cookie-Banner

• Zudem sollte der Nutzer in der Datenschutzerklärung der Website verständlich und transparent über den Einsatz von Google Analytics, die Rechtsgrundlage und die damit verfolgten Interessen des Unternehmens informiert werden. Darüber hinaus sollte der Nutzer über die Opt-out- Möglichkeiten aufgeklärt werden, wobei Links zum Deaktivierungs-Browser-Add-on und Opt-out-Cookie gesetzt werden sollten. Ergänzend empfiehlt sich die Einbindung eines Cookie-Banners beim erstmaligen Aufruf der Website. Dort sollte auf den Einsatz von Tracking-Cookies hingewiesen und für weitere Informationen auf die Datenschutzerklärung verwiesen werden.

• 6. Keine Aktivierung der User-ID

• Die Funktion „User-ID“ unter Universal Analytics sollte nicht aktiviert werden. Über diese Funktion ist das Tracking von Usern auch auf verschiedenen Endgeräten möglich („Cross-Device Tracking“). Die Nutzung dieser Funktion dürfte ein erhöhtes Risiko darstellen, da sie möglicherweise nicht mehr vom „berechtigten Interesse“ des Website-Betreibers gemäß Art. 6 Abs. 1 lit. f DS-GVO gedeckt ist.