Datenschutz auf Webseiten

Datenschutz auf Webseiten: Google Analytics & Co nur noch mit Einwilligung

Cookies Datenschutz Cookiebanner WebseitenBildquelle: Adobe Stock/Khaneeros/sdecoret/eigene Darstellung

Das Setzen von Cookies und der Einsatz von Tools von Drittanbietern, die für die Grundfunktionen der Webseite nicht zwingend notwendig sind oder Daten des Nutzers miteinander zu einem Persönlichkeitsprofil verknüpfen, unterliegen einem Einwilligungserfordernis. Für die Gestaltung von Webseiten hat diese Feststellung des Europäischen Gerichtshofs (EuGH) in seiner sogenannten Planet49-Entscheidung vom 1. Oktober 2019 (Rechtssache C-673/17) erhebliche Sprengkraft.

Diese Rechtsansicht hat nun der vorlegende Bundesgerichtshof (BGH) in seiner sogenannten Cookie-Einwilligung II“-Entscheidung vom 28. Mai 2020 – I ZR 7/16 – übernommen. Geklagt hatte im Jahr 2014 der Bundesverband der Verbraucherzentrale gegen die Planet49 GmbH, da diese im Rahmen der Teilnahme an Online-Gewinnspielen Werbe-Cookies verwendete, deren Einsatz vom Nutzer aktiv widersprochen werden musste. Bei dem Streit ging es im Wesentlichen um die Zulässigkeit des Einsatzes von Cookies, ohne die aktive Einwilligung des Nutzers eingeholt zu haben. Dem Nutzer wurde lediglich eine Widerspruchslösung, ein sogenanntes Opt-Out, ermöglicht.

Cookies sind Textdateien, die der Anbieter einer Webseite auf dem Computer des Nutzers der Webseite speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Daher können Cookies auch dazu eingesetzt werden, um Vorlieben des Nutzers webseitenübergreifend zu verfolgen und dem Nutzer personalisierte Werbung anzuzeigen. Diese Nachverfolgung der Handlungen des Nutzers wird allgemein als „Tracking“ bezeichnet. Zu solchen Cookies zählen etwa solche von Analysediensten wie Google Analytics oder zur Schaltung von personalisierter Werbung über Google Remarketing.

Obwohl die Entscheidungen des EuGH und des BGH lediglich den Einsatz von Cookies betreffen, ist die Rechtslage nach unserem Verständnis auch auf alle anderen Tools auszuweiten, mit deren Hilfe Dienste von Drittanbietern in die Webseite eingebunden werden und die über die Grundfunktionen der Webseite hinausgehen. Nach dieser Lesart dürften Tools notwendig sein, die etwa Schriftarten anzeigen und Warenkörbe, Bezahlfunktionen, Logins, aber auch die Analyse der Nutzung der Webseite ermöglichen. Als nicht notwendig dürften dagegen Tools einzustufen sein, die für webseitenübergreifende Werbung, Marketing und universale Analysedienste genutzt werden. Diese Unterscheidung spielt vor allem für die Frage der Wahl der Rechtsgrundlage eine entscheidende Rolle.

Der Einsatz von notwendigen Tools kann im Rahmen des berechtigten Interesses des Webseitenbetreibers an der Optimierung der Webseite erfolgen (sogenanntes Opt-Out), während die nicht notwendigen Tools einem Einwilligungserfordernis unterliegen und daher vom Nutzer selbst aktiviert werden müssen (sogenanntes Opt-In). Eine klare Unterscheidung von Opt-In- oder Opt-Out-Diensten kann insbesondere bei Analysediensten aber schwierig sein.

Das Tool Google Analytics ermöglicht nicht nur die Analyse der Nutzung der Webseiten. Es geht weit über die bloße Nutzungsstatistik der Webseite hinaus, indem Daten des Nutzers an andere Tools oder Dienste von Google weitergegeben werden und damit verschiedene Daten des Nutzers auf nicht mehr nachvollziehbare Weise verknüpft und sogar weltweit auch für andere Dienste von Google zur Verfügung gestellt werden. Die Anwendung dieses Tools bedarf daher einer ausdrücklichen Einwilligung der Nutzer. Dementsprechend dürften Analysedienste, die Daten des Nutzers unter Ausschluss der Datenweitergabe an Dritte auf lokaler Ebene verarbeiten – wie z.B. Matomo – im Rahmen der berechtigten Interessen des Webseitenbetreibers genutzt werden.

Sofern der Webseitenbetreiber sich aber für einwilligungspflichtige Tools entscheidet, stellt die datenschutzkonforme Gestaltung/Einbindung der Einwilligung die größere Herausforderung dar. Die Einwilligung hat nämlich auf informierte Weise zu erfolgen. So muss für den Nutzer mitunter transparent sein, auf welche Weise, wo und in welchen Zusammenhängen seine Daten durch das Tool verarbeitet und womöglich für andere Dienste genutzt werden. Diese strenge Transparenz stellt nach unserer Einschätzung derzeit für die datenschutzkonforme Einbindung von Google Analytics ein nahezu unüberwindbares Hindernis dar. Denn Google Analytics ist – Stand heute – eben alles andere als transparent.

Daher ist – Stand heute – nach unserer Einschätzung kein Consent Management Tool bzw. Cookie-Banner in der Lage, eine rechtssichere Einwilligung in die Nutzung von Google Analytics herzustellen.

Für unsere Beratungspraxis heißt das aber nicht, dass wir prinzipiell von der Nutzung von Consent Management Tools im Zusammenhang mit einwilligungspflichtigen Tools abraten. Denn in Hinblick auf Abmahnungen oder die Höhe von Bußgeldern der Aufsichtsbehörden ist eine nicht rechtssichere Einwilligung per Consent Management Tool immer noch besser als gar keine Einwilligung. Der Webseitenbetreiber muss sich nur darüber im Klaren sein, dass die Einbindung eines Tools, dessen Datenverarbeitung nicht transparent erfolgt, ein nicht unerhebliches Risiko darstellt.

Datenschutz auf Webseiten Fazit

Tools, die technisch für den Betrieb der Internetseite nicht notwendig sind – wie z.B. Google Analytics oder Google Remarketing –  sind erst nach Einholung einer Einwilligung zu aktivieren. Praktisch gelingt dies über einen entsprechend dem Grundsatz der datenschutzfreundlichen Voreinstellungen gestalteten sogenannten Cookie-Banner bzw. ein Consent Management Tool auf der Startseite. Die Datenverarbeitung der Tools muss aber auch transparent für den Nutzer sein, was aus unserer Sicht für Google Analytics nicht zutrifft. Datenschutzkonform kann daher Google Analytics derzeit nicht eingesetzt werden, Matomo nach unserem Dafürhalten hingegen schon. Gerne unterstützen wir Sie im Rahmen einer datenschutzrechtskonformen Formulierung und Gestaltung von Cookie-Banner bzw. Consent Managment Tools.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald, geboren 1983

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.