DSGVO-konformes Web-Tracking mit Google Analytics & Co.
- DSGVO vereinheitlicht Datenschutz innerhalb der EU
- DSGVO bietet Chancen und Risiken
- Cookies als Grundlage des Web-Trackings
- Opt-In statt Opt-Out
- DSGVO-Wissenspaket für Agenturen und Freelancer
- Ausnahmeregelung bei berechtigtem Interesse
- Erforderlichkeiten & Interessensabwägungen beachten
- ePrivacy-Verordnung noch nicht beschlossen
- Fazit: Web-Tracking mit Cookies bleibt möglich
DSGVO vereinheitlicht Datenschutz innerhalb der EU
Zunächst aber wollen wir grundlegend klären, was es mit der viel diskutierten DSGVO eigentlich auf sich hat. Die Verordnung der Europäischen Union (deshalb auch EU-DSGVO genannt) hat es sich zum Ziel gesetzt, die Verarbeitung personenbezogener Daten in der EU zu vereinheitlichen. Denn bisher hatte jedes Land seine eigene Datenschutzgesetzgebung, die in Deutschland im Wesentlichen durch das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) beeinflusst wurde.
Die bestehenden Gesetze auf nationaler Ebene werden durch das DSGVO nicht automatisch außer Kraft gesetzt. Da das Europarecht aber über nationalem Recht steht, gelten zunächst die Bestimmungen der DSGVO, welche ggf. durch nationale Gesetzgebungen ergänzt werden können. Mit Beginn der Anwendungspflicht für die DSGVO, die bereits seit dem 24. Mai 2016 rechtsgültig ist, tritt in Deutschland beispielsweise eine Neufassung des BDSG in Kraft.
DSGVO bietet Chancen und Risiken
Die Bestrebungen für eine EU-weit einheitliche Datenschutzgesetzgebung sind angesichts der Tatsache, dass internationale Geschäftsbeziehungen für die meisten Unternehmen mittlerweile zum Tagesgeschäft gehören, begrüßenswert. Insbesondere, weil die mit der DSGVO einhergehende Anpassung des Datenschutzes an das digitale Zeitalter längst überfällig war. Was jedem einzelnen EU-Bürger mehr Verbraucherschutz beschert, ist für die Unternehmen gleichzeitig eine enorme bürokratische Herausforderung.
Dass die DSGVO bei Unternehmen aller Branchen derzeit für Aufregung und Hektik sorgt, dürfte auch mit den Bußgeldern und Sanktionen zu tun haben, die das Gesetz in sich haben. Während das BDSG bei Verstößen ein Bußgeld von maximal 300.000 Euro vorsieht, sind es bei der DSGVO bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Mit dem Ende der Übergangsfrist für die DSGVO steigt besonders für Personen und Unternehmen, die online tätig sind, die Abmahngefahr.
Cookies als Grundlage des Web-Trackings
Bitte beachtet zu dem Thema Cookie-Tracking folgenden Blogbeitrag, der aktuelle Informationen dazu für euch bereit hält: https://www.mittwald.de/blog/webentwicklung-design/update-zum-thema-tracking-cookies-nach-datenschutzkonferenz!
Die Unsicherheit ist gerade bei Websitebetreibern groß, weil die Verarbeitung personenbezogener Daten hier zum Alltag gehört. Das Web-Tracking basiert auf sogenannten Cookies. Dabei handelt es sich um kleine Dateien mit Informationen, die von einer Webseite über den Browser auf dem Computer des Besuchers gespeichert werden. Ruft der Besucher die Webseite erneut auf, kann er anhand dieser Cookies identifiziert werden und ihm können beispielsweise seine bevorzugten Seiteneinstellungen oder sein zuvor angelegter Warenkorb angezeigt werden.
Auch Web-Analyse-Dienste wie Google Analytics, eTracker, Matomo und Reinvigorate nutzen Cookies, um dem Webmaster umfangreiche Informationen zur Nutzung seiner Webseite zur Verfügung zu stellen. In Deutschland ist für die Erhebung personenbezogener Daten in Form von Cookies auch heute schon die Zustimmung des Betroffenen notwendig.
Das Telemediengesetz sieht allerdings eine Erleichterung des Grundsatzes vor, wenn die personenbezogenen Daten pseudonymisiert werden und der Betroffene darüber aufgeklärt wird, der Erhebung jederzeit widersprechen zu können. Deshalb ist es schon heute Alltag, dass Google Analytics nur noch selten das Keyword anzeigt, über das ein Besucher auf die Webseite gelangt. IP-Adressen, die ebenfalls zu den persönlichen Daten zählen, werden gekürzt.
Opt-In statt Opt-Out
Wenn die Datenschutzgrundverordnung ausnahmslos zur Anwendung kommt, gehört die in § 15 Abs. 3 TMG stehende Ausnahmeregelung für pseudonymisierte Daten der Vergangenheit an. Die DSGVO unterscheidet nicht zwischen Orthonym und Pseudonym. Stattdessen setzt es grundsätzlich die Einwilligung zur Datenerhebung voraus. Statt des bisherigen Opt-Outs, also Widerspruchs, ist in Zukunft ein Opt-In, also eine Einwilligung, notwendig.
Theoretisch bedeutet das, dass jeder Nutzer vor dem Betreten einer Webseite um die klare Zustimmung zur Setzung von Cookies gebeten werden muss. Da dies in der Praxis aus diversen Gründen kaum umsetzbar ist, sehen viele das Ende der Cookies gekommen. Immerhin müsste man die Besucher einer Webseite nicht nur zur Zustimmung bewegen, sondern diese auch dokumentieren. Die DSGVO bürgt nämlich den Unternehmen die Beweislast in allen Fragen des Datenschutzes auf.
Die meisten Nutzer werden ihre Zustimmung wohl spätestens dann verweigern, wenn sie lesen, dass ihre Daten zur Auswertung an Dritte weitergegeben werden. Ein Umstand, auf den schon heute in der Datenschutzerklärung hingewiesen werden muss. Praktisch nimmt aber kaum ein Internetnutzer davon Notiz und ist sich des Umfangs der Datenerhebung bei einem einfachen Webseitenaufruf nur selten bewusst. Auch das soll die europaweite Datenschutzgrundverordnung ändern.
DSGVO-Wissenspaket für Agenturen und Freelancer
Von einem ausführlichen Whitepaper über Checklisten bis hin zu Musterverträgen und -vorlagen: jetzt in unserem Wissenspaket!
Ausnahmeregelung bei berechtigtem Interesse
Ein Ausweg aus dieser Misere bietet eine kleine, fast unscheinbare Formulierung in der DSGVO – die des "berechtigten Interesses" in Art. 6 Abs. 1 Satz 1 lit. f.. Dort wird die Verarbeitung personenbezogener Daten für zulässig erklärt, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, "sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen".
Ob bewusst oder unbewusst: Der europäische Gesetzgeber hat damit eine Möglichkeit geschaffen, die im Online Marketing kaum praktikable Lösung des Einwilligungsvorbehalts zu umgehen – sofern eben ein berechtigtes Interesse besteht. Bei einem Onlineshop dürfte an diesem berechtigten Interesse kein Zweifel bestehen, immerhin ist das Setzen von Cookies technisch notwendig, damit der Warenkorb überhaupt funktioniert.
Da jedes nicht rechtswidrige ideelle oder wirtschaftliche Interesse ein berechtigtes Interesse darstellt, wird in Zukunft auch das Tracking durch Google Analytics ohne ausdrückliche Zustimmung erlaubt bleiben, sofern es schon heute rechtskonform erfolgt. Voraussetzung für letzteres ist zum Beispiel auch, dass jeder Nutzer von Google Analytics mit dem Dienst einen Vertrag zur Auftragsdatenverarbeitung(ADV) abgeschlossen hat. Allerdings muss bis zum 25. Mai 2018 die neue Version des ADV-Vertrages, der sogenannte Vertrag zur Auftragsverarbeitung (AV) abgeschlossen sein.
Erforderlichkeiten & Interessensabwägungen beachten
Das Kriterium der Erforderlichkeit gewinnt mit der DSGVO jedoch an Bedeutung. Demnach dürfen Daten nur dann erhoben werden, wenn sie zur Erfüllung des Zwecks auch tatsächlich erforderlich sind. Es gilt also der Grundsatz der Datensparsamkeit. Erwägungsgrund 47 der DSGVO stellt bei der Gewichtung der Interessen zum Beispiel die Erwartungshaltung der betroffenen Person in den Vordergrund. Die Berücksichtigung dieser hat im Datenschutzrecht bisher keine Rolle gespielt. Sie soll das Gesetz zukunftssicher machen und zollt damit vor allem dem Internet Tribut. Denn die neuen Medien verändern die Erwartungshaltung der Verbraucher stetig.
Beispiel: Bisher ist es unüblich, dass Besucher auf einer Webseite mit dem Namen begrüßt werden. Es besteht diesbezüglich also keine Erwartungshaltung. In Zukunft könnte sich das jedoch ändern. Sollte die namentliche Begrüßung Realität werden, ist die Speicherung des Namens in den Cookies bereits nach jetziger Gesetzgebung erlaubt.
Wenn wie bei der Webanalyse – wie heute häufig schon Praxis – personenbezogene Daten nur in pseudonymisierter Form verarbeitet werden, hat der Websitebetreiber bei der Interessensabwägung die notwendige Sorgfalt walten lassen. Rein nach der DSGVO wäre mangels notwendiger Einwilligung nicht mal ein Cookie-Banner notwendig, wenngleich seine Existenz für den aufklärerischen Willen des Websitebetreibers sprechen würde. In jedem Fall muss dieser nämlich umfassend und individuell über die Datenerhebung und vor allem das Auskunfts- und Widerspruchsrecht aufklären.
Die hier geschilderte, weitgehend akzeptierte Interpretation der DSGVO in Bezug auf das Web-Tracking mit Cookies und damit die Nutzung von Web-Analyse-Diensten erklärt, warum Anbieter wie Matomo bereits jetzt offensiv damit werben, dass ihre Dienstleistung schon heute mit der europäischen Datenschutzgrundverordnung konform ist.
ePrivacy-Verordnung noch nicht beschlossen
Eine Unsicherheit jedoch bleibt: Die ePrivacy-Verordnung der Europäischen Union widmet sich dezidiert der elektronischen Kommunikation. Wie bereits die Cookie-Richtlinie 2009 hat sie das Zeug dazu, nochmal für ordentlich Wirbel im digitalen Sektor zu sorgen. Die Inhalte der Cookie-Richtlinie sollen in einer neuen ePrivacy-Verordnung an die DSGVO angepasst werden.
Da sich die Verordnung allerdings noch im Entwurf befindet, obwohl sie eigentlich zeitgleich mit Anwendung der DSGVO am 25. Mai in Kraft treten soll, können noch keine Aussagen darüber getroffen werden, ob sie den Einsatz von Cookies oder den Datenschutz im Allgemeinen weiter erschwert. Experten rechnen aktuell damit, dass die ePrivacy-Verordnung, auch aufgrund von mächtig Gegenwind aus der Digitalbranche, frühestens Ende 2019 verbindlich gültig werden könnte.
Fazit: Web-Tracking mit Cookies bleibt möglich
Was das Web-Tracking und insbesondere den Einsatz populärer Dienste wie Google Analytics und Matomo anbelangt, müssen sich Websitebetreiber dank der Ausnahmeregelung für berechtigtes Interesse kaum Sorgen machen. Trotzdem sollten sie die aktuelle Entwicklung in Sachen DSGVO und ePrivacy genau im Auge behalten, da die neuen Verordnungen nicht nur harte Strafen, sondern auch ein erhöhtes Abmahnrisiko mit sich bringen.
Um für den Stichtag im Mai 2018 gerüstet zu sein, sollte man sich bereits jetzt um notwendige Dinge wie eine rechtskonforme Datenschutzerklärung kümmern. Inwieweit sich durch die DSGVO im Online Marketing tatsächlich gravierende Änderungen ergeben, wird wohl erst die Zukunft zeigen, wenn erste Gerichte mit ihren Urteilen den Interpretationsspielraum einengen. Bis dahin jedoch besteht beim Einsatz von Analyse-Diensten kein Grund zur Panik.
Hinweis: Da der Autor dieses Artikels kein Jurist ist, stellt dieser Artikel weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wenden Sie sich im Zweifel an einen Rechtsanwalt.
Kommentare
Könnt Ihr was dazu sagen, wie man Google Maps aktuell rechtssicher in Wordpress einbindet? Gut wäre – da nicht alle kostenpflichtige Cookie Consent Tools wie bspw. Borlabs Cookie (was super ist) nutzen wollen – eine kurze Anleitung wie, wie man Google Maps mit Cookiebot manuell einbindet? Oder wie man ein Plugin wie bspw. "DSGVO Google Maps" (gibt es hier eigentlich ein neues Plugin, welches das gleiche leistet) so einbindet, dass nach einmaligen Klicken auf die Map der Browser sich den Klick merkt und man nicht immer wieder auf die Map klicken muss. Das ist bspw. dann nervig, wann man die Map im Footer auf jeder Seite eingebunden hat.
uns ist eine derzeitige Einbindung ohne ein Plugin nicht bekannt. Wir werden uns diesbzgl. aber gerne näher informieren und ggf. einen Beitrag dazu schreiben.
Viele Grüße
Kristina
Völlig zurecht weisen Sie auch auf die Verkürzung der IP-Adressen hin. Ob diese Anonymisierung gegeben ist oder nicht, kann man gut mit diesem Tool hier prüfen: https://checkgoogleanalytics.psi.uni-bamberg.de/
Leider geht das Fazit völlig an geltendem Recht vorbei. Leider wird verkannt, dass berechtigtes Interesse eben nicht für externe Dienstleister wie Google Analytics geltend gemacht werden kann. Google schreibt im übrigen in seinen eigenen Partner Bedingungen, dass der Nutzer (=Webseitenbetreiber), die Zustimmung des Nutzers einzuholen hat.
Wenn das das Ziel dieser DSGVO gewesen wäre, hätte man das auch kürzer und eindeutig sagen können. ;)
Ist hier eine Aktualisierung des Beitrages geplant?
vielen Dank für deine Anmerkung. Wir werden dein Anliegen auf jeden Fall mit auf unsere To-do's setzen und voraussichtlich auch einen Aktualisierung des Beitrags vornehmen.
Viele Grüße
Kristina
Warum? Ganz einfach, weil diese Instrumente eingesetzt aber nicht genutzt werden!
Im Beitrag beschreibt Jan Meyer ganz zutreffend, dass die Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO zulässig sein kann. Dies setzt ein berechtigtes Interesse des verantwortlichen Websitebetreibers voraus. Hier wird (in allen Aufsätzen und sonstigen Beiträgen) gebetsmühlenartig wiederholt, dass der Websitebetreiber doch Waren und Dienstleistungen anbietet und daher wissen muss, wie seine Website benutzt oder nicht benutzt wird, um hierauf reagierern zu können, etwa durch anpassung der Darstellung oder der Architektur der Website.
Aber: Wenn ich unsere Mandanten frage, wann Google Analytics oder Piwik/Matomo eingebunden wurde und wer die Instrumente wie verwendet, bekomme ich fast immer die gleiche Antwort: "Der Websiteprogrammierer fand es toll und man kann interessante Dinge über seine Website erfahren; aktuell werten wir die Daten jedoch nicht aus." An dieser Stelle ist das berechtigte Interesse schlicht WEG und die Instrumente zwingend abzuschalten.
Daher meine Empfehlung: Man darf Google Analytics oder Piwik/Matomo nur einsetzen, wenn man die Erkenntnisse auch auswertet und wenigstens es in Erwägung zieht, die Website gegebenenfalls anzupassen. Als reine "Neugier-Befriedigungs-Quelle" oder als ein "Programmierer-Spielzeug" sind beide unzulässig.
Gruß, RA Roman Pusep
(die Email wird auch als Pflicht gefordert - aber nicht mit dem komentar veröffentlicht).
Da wäre ich vorsichtig, die Ausnahmeregelung für berechtigtes Interesse so weit auslegen zu wollen, daß eine Datenerhebung damit grundsätzlich gerechtfertigt erschiene. Ähnlich wie beim Versand von Newslettern ist wohl damit zu rechnen, daß sämtliche Daten in Frage zu stellen wären, die nicht zwingend für die technische Bereitstellung notwendig sind. Der Übertragung zu Drittdiensten (etwa Google) würde ich vorsichtshalber auch erstmal vollständig einstellen.
Das sehe ich auch so: Mittwald befürwortet hier ein völlig überdehnte Interpretation des "berechtigten Interesses". Da haben wir von Datenschutzexperten und Datenschutzbeauftragten ganz andere Einschätzungen vorliegen. Sehr riskant, sich hier so für die Werbeindustrie ins Zeug zu legen!
Da haben wir versucht, euch immer auf dem Laufenden zu halten, was das Thema Cookie-Tracking betrifft.
Viele Grüße
Kristina
Die DSGVO ist und bleibt ein großes Fragezeichen. Das wird sich wohl erst ab dem 25. Mai ändern, wenn die Klagewelle los geht und die Gerichte sich mit dem Thema auseinandersetzen.
Interessant vielleicht auch och die Ergänzung von Anfang Mai, in der beschlossen wurde, beim Sammeln von Daten für den Newsletter NOCH etwas restriktiver vor zu gehen. (es wurde gestrichen, dass nur Daten gesammelt werden dürfen, die"grundsätzlich" für den Betrieb des Newsletters notwendig sind. Das Grundsätzlich wurde entfernt. Ohne diesen "Weichmacher" dürfen also nur noch Daten erhoben werden, die für die technische Funktionalität des Newsletters unumgänglich benötigt werden.) So wie ich es verstanden habe bedeutet es, dass jetzt nur noch die E-Mail gesammelt werden darf, da sie unumgänglich ist. Selbst der Name als optionales Feld ist in Diskussion und könnte - je nach Rechtsmeinung - als Abmahngrund gelten.
Das würde - so wie ich es verstehe - das Ende der Newsletter mit dynamischem Inhalt bedeuten.
Wirklich schade, dass es offensichtlich so schwer ist, Gesetze zu erlassen, die sich noch nah an der Realität bewegen.
Beste Grüße und guten Start ins neue Zeitalter des Datenschutzes ;)
Holger
in der Tat überrascht die Datenschutzkonferenz mit ihrer Positionsbestimmung wenige Wochen vor Inkrafttreten der DSGVO damit alle Beteiligten.
Derzeit herrscht eine große Unklarheit und Ungewissheit, wie mit dem Thema ab dem 25. Mai umgegangen werden soll. Wir werden das Thema heute noch einmal in einem kurzen Blogbeitrag aufgreifen, welchen wir immer dann aktualisieren, wenn es etwas Neues und Handfestes gibt.
Viele Grüße
Kristina
Danke für diese einwandfrei gute Zusammenfassung! Genaues zum Hergang der Umstellung und wieviele Firmen mit Ihrem Webauftritt vor den Kopf gestoßen werden, bleibt abzuwarten!