Viele Webseitenbetreiber verwenden Tracking-Tools. Diese sind durchaus nützlich, aber erfordern meist auch die Einwilligung der Webseitennutzer, da personenbezogene Daten übertragen werden. Die Datenschutzbehörden appellieren erneut an die Unternehmen, die Vorgaben der DSGVO einzuhalten und drohen mit mehr Bußgeldverfahren.

Datenschutzbehörden verlangen DSGVO-konforme Nutzung von Tracking-Tools

„Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein.“, erklärt Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Mitte November in einer Pressemitteilung.

Wann ist eine Einwilligung bei Tracking-Tools erforderlich?

Tracking-Tools verfolgen das Nutzerverhalten der Webseitenbesucher. Sofern dabei personenbezogene daten verarbeitet werden, ist die Datenverarbeitung nur dann rechtmäßig, wenn eine der Bedingungen von Art. 6 Abs. 1 DSGVO erfüllt ist. Dabei kommen vor allem in Betracht: Einwilligung, Vertrag und Interessenabwägung. Besonders diskutiert wird immer wieder die Einwilligung, daher wollen wir uns hier insbesondere mit dieser beschäftigen.

Achtung: Den Nachweis für einen Erlaubnistatbestand aus Art. 6 DSGVO müssen gem. Art. 5 Abs. 2 DSGVO die Webseitenbetreiber erbringen!

Tracking-Tools bedürfen vor allem immer dann eine Einwilligung, wenn der Anbieter des Tools die Daten für eigene Zwecke verwendet. Das ist zum Beispiel bei Google Analytics der Fall, da sich Google die Verwendung zu eigenen Zwecken vorbehält.

Wie können Webseitenbetreiber die Einwilligung Tracking-Tools wirksam einholen?

Einwilligung ist gem. Art. 4 Nr. 11 DSGVO: „[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; […]“.

Eine Einwilligung erfordert also ein aktives Tun. In Erwägungsgrund 32 der DSGVO heißt es: „Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“

Der EuGH zur Einwilligung in Cookies durch das Opt-Out-Verfahren

Der EuGH entschied erst letzten Monat, dass bei Cookies vorangekreuzte Kästchen – das sogenannte Opt-Out-Verfahren – keine wirksame Einwilligung einholen können. Wir berichteten hier darüber. Das liegt daran, dass dies keine aktive Handlung darstellt – das Kästchen ist schließlich schon angekreuzt. Bei Cookies gelte dies sogar unabhängig von der Verarbeitung personenbezogener Daten, da neben der DSGVO auch die Datenschutzrichtlinie für elektronische Kommunikation gelte und diese in Art. 5 Abs. 3 nur von „Informationen“ spricht.

„Okay-Buttons“ sind nicht okay

Auch Banner, die über Cookies oder Tracking-Tools informieren und nur über einen Button mit dem Wort „Okay“ verfügen, sind nicht ausreichend, da sie den Nutzern nicht die Möglichkeit einräumen, Cookies oder Tracking-Tools zu widersprechen.

Informationspflichten

Eine Einwilligung nützt nichts, wenn die Informationspflichten nicht eingehalten werden. Die Nutzer müssen vor der Abgabe ihrer Einwilligung über die Datenverarbeitungsvorgänge, die eingezogenen Dritten und die Erforderlichkeit der Zustimmung informiert werden. Sonst ist die Einwilligung unwirksam.

Fazit zur Einwilligung

Die Nutzer müssen ausgiebig über das Tracking-Tool informiert werden. Auf Grundlage dieser Informationen muss dann eine Einwilligung der Nutzer eingeholt werden. Ein „Okay-Button“ reicht dafür genauso wenig wie das Opt-Out-Verfahren.

Was ist mit den berechtigten Interessen bei Tracking-Tools?

Gleichrangig neben der Einwilligung stehen die berechtigten Interessen als Erlaubnistatbestand. Diese sind jedoch schwerer zu definieren und erfordern eine Abwägung im Einzelfall. Dabei muss geprüft werden, ob der Verantwortliche oder ein Dritter ein berechtigtes Interesse haben, die Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist und danach eine Abwägung durchgeführt werden

Zwischen diesem Interesse und dem Interesse des Nutzers. Dabei müssen auch dessen Grundrechte berücksichtigt werden.

Reichweitenmessung und statistische Analysen

Ein einschlägiges Beispiel für ein berechtigtes Interesse sind die Reichweitenmessung und statistische Analysen. Solche Tools sind für Nutzer im Gegensatz zu Diensten von Drittanbietern vorhersehbar, da der Verantwortliche solche Messungen braucht, um sein Angebot an dem Bedarf der Nutzer ausrichten kann. Die Nutzerinteressen überwiegen hier nicht, da nur eine geringe Beeinträchtigung vorliegt – es erfolgt keine dauerhafte Verfolgung des Nutzers oder Anlegung eines Nutzerprofils und es werden nur allgemeine Informationen gespeichert.

Die Frage, ob Tracking-Tools überhaupt einem berechtigten Interesse unterfallen können, ist fraglich. Dies muss letztlich von Gerichten entschieden werden.

Zusammenfassung

Die Verarbeitung von personenbezogenen Daten bei Tracking-Tools bedarf einer Einwilligung oder eines berechtigten Interesses. Das Vorliegen einer dieser beiden Varianten genügt. Da beim berechtigten Interesse aber immer eine schweige Einzelfallabwägung durchzuführen ist, ist die Einwilligung die sicherere Variante. Diese muss allerdings auch richtig umgesetzt werden, sonst ist sie nutzlos. Ein „Okay-Button“ oder Opt-Out-Verfahren reichen nicht aus. Vielmehr muss über das Tracking-Tool und die Datenverarbeitung informiert werden und danach über ein Opt-In-Verfahren eine Einwilligung eingeholt werden.

Wir helfen Ihnen!

Sie haben Fragen zur Einbindung von Tracking-Tools? Dann wenden Sie sich gerne unverbindlich an unsere Kanzlei. Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.