Endlich klare Vorgaben zur Einwilligung in Tracking (Cookies & Co.) und Ausgestaltung der Cookie-Banner
Betreiber von Webseiten, aber auch Hersteller von Smartphone-Apps (sog. „Anbieter von Telemediendiensten“) müssen bei der Verarbeitung personenbezogener Daten sicherstellen, dass die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) eingehalten werden.
Dies gilt u.a. für „Tracking“, also für Datenverarbeitungen zur – in der Regel Website übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern. Beim Tracking wird in der Regel beim Aufrufen einer Internetseite eine kleine Datei – ein Cookie – auf dem Computer gespeichert. Beim nächsten Besuch der Webseite kann die im Cookie enthaltene Identifikationsnummer ausgelesen und der Besucher bzw. sein Computer so wiedererkannt werden. Es sind auch andere Tracking-Technologien denkbar.
Bisher wurde Tracking vielfach auf § 15 Abs. 3 Telemediengesetz (TMG) gestützt, so dass für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden durften, sofern der Nutzer dem nicht widersprochen hat.
Nun hat die Datenschutzkonferenz (DSK) in der Orientierungshilfe für Anbieter von Telemedien [1], Stand März 2019, klargestellt, dass § 15 Abs. 3 TMG als spezielle Rechtsgrundlage aus deren Sicht nicht anwendbar ist, und es stattdessen bei der generellen Anwendung der DS-GVO bleibt.
Damit ist diese Datenverarbeitung, also z.B. die Einbindung von Elementen Dritter sowie webseitenübergreifendes Tracking nur dann rechtmäßig, wenn einer der Erlaubnistatbestände gem. Art. 6 Abs. 1 DS-GVO vorliegt.
Speziell für die Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), als eine der möglichen Rechtsgrundlagen, hat die DSK in derselben Orientierungshilfe Voraussetzungen benannt, die für eine wirksame Einwilligung in Tracking-Cookies, aber auch bei anderen einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, zu beachten sind und insofern Klarheit für die Anwender geschaffen.
Die Einwilligung kann demnach z.B. durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer Web-App mit Hilfe von Cookie-Bannern oder anderen Consent-Tools eingeholt werden. Hierfür sind folgende Punkte zu berücksichtigen:
- Die Auswahlmöglichkeiten dürfen nicht „aktiviert“ voreingestellt sein (trägt dem Grundsatz „Privacy by Default“ Rechnung).
- Der Zugriff auf Impressum und Datenschutzerklärung darf durch den „Cookie-Banner“ nicht verhindert werden.
- Die einwilligungsbedürftige Datenverarbeitung darf erst nach der aktiven Bestätigung/Einwilligung, z.B. Setzen von Häkchen im Banner oder Klick auf eine Schaltfläche, also als (Opt-In), stattfinden. Stillschweigen, bereits angekreuzte Kästchen (Opt-Out-Verfahren) oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar.
- Es muss neben der Möglichkeit „OK“ zu drücken auch eine Möglichkeit geben, das Setzen von Cookies abzulehnen.
- Die Einwilligung muss für einzelne Verarbeitungsvorgänge gesondert erteilt werden können.
- Der Besuch einer Website sollte auch bei Ablehnung von Cookies möglich sein.
- Es ist eine Möglichkeit zum Widerruf zu implementieren, dieser muss so einfach möglich sein, wie die Erteilung der Einwilligung
Zugleich wird durch die DSK aber auch festgestellt, dass die Nutzung von Cookies nicht per se einwilligungsbedürftig ist. Stattdessen sollen entsprechende Banner nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist!
Zur besseren Unterscheidung, wann dies der Fall ist, ist es erfreulich, dass der LfDI Baden-Württemberg (LfDI) in seinen aktuellen FAQ zu Cookies und Tracking, [2] Stand 29. April 2019, auf Basis und unter Bezugnahme auf die o.g. Orientierungshilfe der DSK praxisnahe Beispiele nennt, in welchen Fällen Tracking einer Einwilligung bedarf und wann es ggf. auf andere Rechtsgrundlagen gestützt werden könnte.
Demnach ist die Einwilligung immer dann erforderlich, wenn Tracking über Website- oder Geräte-Grenzen hinweg erfolgt. Dies ist regelmäßig der Fall, wenn Elemente Dritter wie Social-Media-Plugins oder externe Reichweitenanalyse-Tools eingebunden werden. Gleiches gilt bei Plugins von großen Online-Plattform-Betreibern und Werbenetzwerken.
Wird dagegen für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen, und stattdessen z.B. eine Logfile Analyse gemacht oder lokal installierte und datensparsam konfigurierte Analysewerkzeuge verwendet, ohne eine Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg, ist eine Einwilligung nicht erforderlich.
Im zweiten Fall, also ohne Einsatz von Dritt-Diensten und Zusammenführung von Nutzerdaten, käme statt der Einwilligung die Interessensabwägung gem. Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage in Betracht. Diese könnte je nach Einsatzzweck durchaus zugunsten des Webseitenbetreibers ausfallen. Im Hinblick auf die Interessensabwägung gibt die DSK Hinweise, was im Rahmen dieser Abwägung für den jeweiligen Einzelfall zu berücksichtigen ist. Kern der Interessenabwägung ist die Berücksichtigung der Interessen, Grundrechte und Grundfreiheiten der betroffenen Person im konkreten Einzelfall.
Ferner kann die Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, wie z.B. bei der Verwendung einer Warenkorb-Funktion, nach der Einschätzung des LfDI als (vor-)vertragliche Maßnahme durch die Verantwortlichen auf Art. 6 Abs. 1 lit. b DS-GVO gestützt werden, vorausgesetzt es findet keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter statt.
Fazit: Kann der Einsatz von Tracking auf die anderen Erlaubnistatbestände, die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder die Interessensabwägung (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, bedarf es keiner Einwilligung. Wann dies der Fall ist, muss für den konkreten Einzelfall ermittelt und im Hinblick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) dokumentiert werden.
Kommt nur die Einwilligung als Rechtsgrundlage in Betracht, sind für deren Wirksamkeit die nun durch die DSK konkretisierten Voraussetzungen zu beachten.
Insofern sind Unternehmen mit einer Webpräsenz (Webseitenbetreiber) gut beraten, die Einholung von Einwilligungen auf der eigenen Webseite kritisch, anhand der kumulierten Kriterien der DSK, zu überprüfen und bei Bedarf zeitnahe anzupassen.
[1] https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
[2] https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking/
Autorin:
Natalia Wozniak
Rechtsanwältin
Senior Consultant Datenschutz und Compliance
Creditreform Compliance Services GmbH
