Datenschutz auf Webseiten: Google Analytics & Co nur noch mit Einwilligung
Das Setzen von Cookies und der Einsatz von Tools von Drittanbietern, die für die Grundfunktionen der Webseite nicht zwingend notwendig sind oder Daten des Nutzers miteinander zu einem Persönlichkeitsprofil verknüpfen, unterliegen einem Einwilligungserfordernis. Für die Gestaltung von Webseiten hat diese Feststellung des Europäischen Gerichtshofs (EuGH) in seiner sogenannten Planet49-Entscheidung vom 1. Oktober 2019 (Rechtssache C-673/17) erhebliche Sprengkraft.
Diese Rechtsansicht hat nun der vorlegende Bundesgerichtshof (BGH) in seiner sogenannten „Cookie-Einwilligung II“-Entscheidung vom 28. Mai 2020 – I ZR 7/16 – übernommen. Geklagt hatte im Jahr 2014 der Bundesverband der Verbraucherzentrale gegen die Planet49 GmbH, da diese im Rahmen der Teilnahme an Online-Gewinnspielen Werbe-Cookies verwendete, deren Einsatz vom Nutzer aktiv widersprochen werden musste. Bei dem Streit ging es im Wesentlichen um die Zulässigkeit des Einsatzes von Cookies, ohne die aktive Einwilligung des Nutzers eingeholt zu haben. Dem Nutzer wurde lediglich eine Widerspruchslösung, ein sogenanntes Opt-Out, ermöglicht.
Cookies sind Textdateien, die der Anbieter einer Webseite auf dem Computer des Nutzers der Webseite speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Daher können Cookies auch dazu eingesetzt werden, um Vorlieben des Nutzers webseitenübergreifend zu verfolgen und dem Nutzer personalisierte Werbung anzuzeigen. Diese Nachverfolgung der Handlungen des Nutzers wird allgemein als „Tracking“ bezeichnet. Zu solchen Cookies zählen etwa solche von Analysediensten wie Google Analytics oder zur Schaltung von personalisierter Werbung über Google Remarketing.
Obwohl die Entscheidungen des EuGH und des BGH lediglich den Einsatz von Cookies betreffen, ist die Rechtslage nach unserem Verständnis auch auf alle anderen Tools auszuweiten, mit deren Hilfe Dienste von Drittanbietern in die Webseite eingebunden werden und die über die Grundfunktionen der Webseite hinausgehen. Nach dieser Lesart dürften Tools notwendig sein, die etwa Schriftarten anzeigen und Warenkörbe, Bezahlfunktionen, Logins, aber auch die Analyse der Nutzung der Webseite ermöglichen. Als nicht notwendig dürften dagegen Tools einzustufen sein, die für webseitenübergreifende Werbung, Marketing und universale Analysedienste genutzt werden. Diese Unterscheidung spielt vor allem für die Frage der Wahl der Rechtsgrundlage eine entscheidende Rolle.
Der Einsatz von notwendigen Tools kann im Rahmen des berechtigten Interesses des Webseitenbetreibers an der Optimierung der Webseite erfolgen (sogenanntes Opt-Out), während die nicht notwendigen Tools einem Einwilligungserfordernis unterliegen und daher vom Nutzer selbst aktiviert werden müssen (sogenanntes Opt-In). Eine klare Unterscheidung von Opt-In- oder Opt-Out-Diensten kann insbesondere bei Analysediensten aber schwierig sein.
Das Tool Google Analytics ermöglicht nicht nur die Analyse der Nutzung der Webseiten. Es geht weit über die bloße Nutzungsstatistik der Webseite hinaus, indem Daten des Nutzers an andere Tools oder Dienste von Google weitergegeben werden und damit verschiedene Daten des Nutzers auf nicht mehr nachvollziehbare Weise verknüpft und sogar weltweit auch für andere Dienste von Google zur Verfügung gestellt werden. Die Anwendung dieses Tools bedarf daher einer ausdrücklichen Einwilligung der Nutzer. Dementsprechend dürften Analysedienste, die Daten des Nutzers unter Ausschluss der Datenweitergabe an Dritte auf lokaler Ebene verarbeiten – wie z.B. Matomo – im Rahmen der berechtigten Interessen des Webseitenbetreibers genutzt werden.
Sofern der Webseitenbetreiber sich aber für einwilligungspflichtige Tools entscheidet, stellt die datenschutzkonforme Gestaltung/Einbindung der Einwilligung die größere Herausforderung dar. Die Einwilligung hat nämlich auf informierte Weise zu erfolgen. So muss für den Nutzer mitunter transparent sein, auf welche Weise, wo und in welchen Zusammenhängen seine Daten durch das Tool verarbeitet und womöglich für andere Dienste genutzt werden. Diese strenge Transparenz stellt nach unserer Einschätzung derzeit für die datenschutzkonforme Einbindung von Google Analytics ein nahezu unüberwindbares Hindernis dar. Denn Google Analytics ist – Stand heute – eben alles andere als transparent.
Daher ist – Stand heute – nach unserer Einschätzung kein Consent Management Tool bzw. Cookie-Banner in der Lage, eine rechtssichere Einwilligung in die Nutzung von Google Analytics herzustellen.
Für unsere Beratungspraxis heißt das aber nicht, dass wir prinzipiell von der Nutzung von Consent Management Tools im Zusammenhang mit einwilligungspflichtigen Tools abraten. Denn in Hinblick auf Abmahnungen oder die Höhe von Bußgeldern der Aufsichtsbehörden ist eine nicht rechtssichere Einwilligung per Consent Management Tool immer noch besser als gar keine Einwilligung. Der Webseitenbetreiber muss sich nur darüber im Klaren sein, dass die Einbindung eines Tools, dessen Datenverarbeitung nicht transparent erfolgt, ein nicht unerhebliches Risiko darstellt.
Datenschutz auf Webseiten Fazit
Tools, die technisch für den Betrieb der Internetseite nicht notwendig sind – wie z.B. Google Analytics oder Google Remarketing – sind erst nach Einholung einer Einwilligung zu aktivieren. Praktisch gelingt dies über einen entsprechend dem Grundsatz der datenschutzfreundlichen Voreinstellungen gestalteten sogenannten Cookie-Banner bzw. ein Consent Management Tool auf der Startseite. Die Datenverarbeitung der Tools muss aber auch transparent für den Nutzer sein, was aus unserer Sicht für Google Analytics nicht zutrifft. Datenschutzkonform kann daher Google Analytics derzeit nicht eingesetzt werden, Matomo nach unserem Dafürhalten hingegen schon. Gerne unterstützen wir Sie im Rahmen einer datenschutzrechtskonformen Formulierung und Gestaltung von Cookie-Banner bzw. Consent Managment Tools.
