Tracking-Tools und die DSGVO

Guido Kluck, LL.M. | 5. Dezember 2019

Viele Webseitenbetreiber verwenden Tracking-Tools. Diese sind durchaus nützlich, aber erfordern meist auch die Einwilligung der Webseitennutzer, da personenbezogene Daten übertragen werden. Die Datenschutzbehörden appellieren erneut an die Unternehmen, die Vorgaben der DSGVO einzuhalten und drohen mit mehr Bußgeldverfahren.

Datenschutzbehörden verlangen DSGVO-konforme Nutzung von Tracking-Tools

Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein.“, erklärt Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Mitte November in einer Pressemitteilung.

Wann ist eine Einwilligung bei Tracking-Tools erforderlich?

Tracking-Tools verfolgen das Nutzerverhalten der Webseitenbesucher. Sofern dabei personenbezogene daten verarbeitet werden, ist die Datenverarbeitung nur dann rechtmäßig, wenn eine der Bedingungen von Art. 6 Abs. 1 DSGVO erfüllt ist. Dabei kommen vor allem in Betracht: Einwilligung, Vertrag und Interessenabwägung. Besonders diskutiert wird immer wieder die Einwilligung, daher wollen wir uns hier insbesondere mit dieser beschäftigen.

Achtung: Den Nachweis für einen Erlaubnistatbestand aus Art. 6 DSGVO müssen gem. Art. 5 Abs. 2 DSGVO die Webseitenbetreiber erbringen!

Tracking-Tools bedürfen vor allem immer dann eine Einwilligung, wenn der Anbieter des Tools die Daten für eigene Zwecke verwendet. Das ist zum Beispiel bei Google Analytics der Fall, da sich Google die Verwendung zu eigenen Zwecken vorbehält.

Wie können Webseitenbetreiber die Einwilligung Tracking-Tools wirksam einholen?

Einwilligung ist gem. Art. 4 Nr. 11 DSGVO: „[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; […]“.

Eine Einwilligung erfordert also ein aktives Tun. In Erwägungsgrund 32 der DSGVO heißt es: „Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.

Der EuGH zur Einwilligung in Cookies durch das Opt-Out-Verfahren

Der EuGH entschied erst letzten Monat, dass bei Cookies vorangekreuzte Kästchen – das sogenannte Opt-Out-Verfahren – keine wirksame Einwilligung einholen können. Wir berichteten hier darüber. Das liegt daran, dass dies keine aktive Handlung darstellt – das Kästchen ist schließlich schon angekreuzt. Bei Cookies gelte dies sogar unabhängig von der Verarbeitung personenbezogener Daten, da neben der DSGVO auch die Datenschutzrichtlinie für elektronische Kommunikation gelte und diese in Art. 5 Abs. 3 nur von „Informationen“ spricht.

„Okay-Buttons“ sind nicht okay

Auch Banner, die über Cookies oder Tracking-Tools informieren und nur über einen Button mit dem Wort „Okay“ verfügen, sind nicht ausreichend, da sie den Nutzern nicht die Möglichkeit einräumen, Cookies oder Tracking-Tools zu widersprechen.

Informationspflichten

Eine Einwilligung nützt nichts, wenn die Informationspflichten nicht eingehalten werden. Die Nutzer müssen vor der Abgabe ihrer Einwilligung über die Datenverarbeitungsvorgänge, die eingezogenen Dritten und die Erforderlichkeit der Zustimmung informiert werden. Sonst ist die Einwilligung unwirksam.

Fazit zur Einwilligung

Die Nutzer müssen ausgiebig über das Tracking-Tool informiert werden. Auf Grundlage dieser Informationen muss dann eine Einwilligung der Nutzer eingeholt werden. Ein „Okay-Button“ reicht dafür genauso wenig wie das Opt-Out-Verfahren.

Was ist mit den berechtigten Interessen bei Tracking-Tools?

Gleichrangig neben der Einwilligung stehen die berechtigten Interessen als Erlaubnistatbestand. Diese sind jedoch schwerer zu definieren und erfordern eine Abwägung im Einzelfall. Dabei muss geprüft werden, ob der Verantwortliche oder ein Dritter ein berechtigtes Interesse haben, die Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist und danach eine Abwägung durchgeführt werden

Zwischen diesem Interesse und dem Interesse des Nutzers. Dabei müssen auch dessen Grundrechte berücksichtigt werden.

Reichweitenmessung und statistische Analysen

Ein einschlägiges Beispiel für ein berechtigtes Interesse sind die Reichweitenmessung und statistische Analysen. Solche Tools sind für Nutzer im Gegensatz zu Diensten von Drittanbietern vorhersehbar, da der Verantwortliche solche Messungen braucht, um sein Angebot an dem Bedarf der Nutzer ausrichten kann. Die Nutzerinteressen überwiegen hier nicht, da nur eine geringe Beeinträchtigung vorliegt – es erfolgt keine dauerhafte Verfolgung des Nutzers oder Anlegung eines Nutzerprofils und es werden nur allgemeine Informationen gespeichert.

Die Frage, ob Tracking-Tools überhaupt einem berechtigten Interesse unterfallen können, ist fraglich. Dies muss letztlich von Gerichten entschieden werden.

Zusammenfassung

Die Verarbeitung von personenbezogenen Daten bei Tracking-Tools bedarf einer Einwilligung oder eines berechtigten Interesses. Das Vorliegen einer dieser beiden Varianten genügt. Da beim berechtigten Interesse aber immer eine schweige Einzelfallabwägung durchzuführen ist, ist die Einwilligung die sicherere Variante. Diese muss allerdings auch richtig umgesetzt werden, sonst ist sie nutzlos. Ein „Okay-Button“ oder Opt-Out-Verfahren reichen nicht aus. Vielmehr muss über das Tracking-Tool und die Datenverarbeitung informiert werden und danach über ein Opt-In-Verfahren eine Einwilligung eingeholt werden.

Wir helfen Ihnen!

Sie haben Fragen zur Einbindung von Tracking-Tools? Dann wenden Sie sich gerne unverbindlich an unsere Kanzlei. Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Anwaltliche Erstberatung
149,00 €

Anwaltliche Erstberatung

Lassen Sie sich umfassend und invidiuell beraten zu Ihrer rechtlichen Frage. Fast 85% aller rechtlichen Probleme lassen sich bereits mit der anwaltlichen Erstberatung klären.

LEGAL SMART Rechtsprodukt DSGVO Website Update
249,00 €

DSGVO Website Update

Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.