Seit einigen Monaten werden die Besucher von Webseiten allerorten mit Cookie-Hinweisen (auch Cookiebar genannt) „zwangsbeglückt“. In vielen Fällen fühlt sich der Nutzer nur gestört und klickt die Hinweise weg, ohne sich für die weiterführenden Hinweise in der Datenschutzerklärung zu interessieren.
Fragt man die Verantwortlichen, warum die eigene Webseite eigentlich auf Cookies hinweist, erhält man oft die Antwort, dass mittlerweile doch die meisten anderen Webseiten auch eine Cookiebar nutzen und dies doch wohl irgendwie erforderlich sei. Ganz offensichtlich ist vielen nicht klar, wann, warum und wie denn nun auf Cookies hingewiesen muss.
Dies wird auch an den diversen unterschiedlichen Gestaltungen deutlich. Teilweise werden Cookies erst gesetzt, wenn der Besucher tatsächlich zugestimmt hat. In zahlreichen Fällen wird mitgeteilt, dass der Nutzer dem Setzen von Cookies durch Weiternutzung zustimme. In wieder anderen Fällen ist ein Zugang auf die Webseite schon gar nicht möglich, wenn der Nutzer dem Setzen von Cookies nicht durch Klicken auf „Einverstanden“ zustimmt.
Aufgrund der großen Unsicherheit und Verwirrung rund um die Zulässigkeit des Einsatzes von Drittanbietertools wie Google Analytics, Facebook Retargeting & Co bzw. die Verwendung der entsprechenden Cookies und Pixel hat die sogenannte Datenschutzkonferenz (DSK), als Konferenz der Datenschutzbehörden des Bundes und der Länder, nun mit Datum vom 05.04.2019 einen wichtige „Orientierungshilfe der Aufsichtsbehörde für Anbieter von Telemedien“ veröffentlicht, deren Grundlagen jeder Betreiber einer Webseite (egal ob Unternehmen oder privat) kennen sollte.
Da die Orientierungshilfe doch ganze 25 Seiten (!!!) lang ist und für Laien nicht gerade einfach zu verstehen sein dürfte, werden die wesentlichen Feststellungen nachfolgend zusammengefasst:
A. Rechtliche Grundlagen
Auf den ersten Seiten setzt sich die Orientierungshilfe umfassend mit dem Verhältnis des deutschen Telemediengesetzes (TMG), der ePrivacy Richtlinie und der Datenschutzgrundverordnung (DSGVO) auseinander.
Die Datenschutzbehörden kommen auch für die entsprechende Verarbeitung auf Webseiten – wenig überraschend – zu einer generellen Anwendung der DSGVO.
Werden auf oder über eine Webseite personenbezogene Daten erhoben oder verarbeitet, so ist dies nach dem Verbotsprinzip der DSGVO nur zulässig, wenn einer der Erlaubnistatbestände die jeweilige Datenverarbeitung legitimiert.
Die Frage, welche Daten als personenbezogen anzusehen sind, wird in Art. 4 Ziff.1 DSGVO definiert. Neben Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden auch Betroffener) beziehen, fallen ausdrücklich auch Onlinekennungen in den Anwendungsbereich. Danach genügt es schon, wenn eine Onlinekennung (z.B. eine Cookie-ID) einen Webseitenbesucher als „unique user“ identifizieren kann, der bestimmte Seiten angeschaut hat, ohne dass auch nur irgendeine tatsächlich Identifikation des Namens möglich ist.
Nach dieser Definition fallen also nicht alle Cookies in der Anwendungsbereich der DSGVO. Soweit technisch notwendige Cookies gesetzt werden, die keinerlei Wiedererkennung des Nutzers ermöglichen, fehlt es bereits an einer datenschutzrechtlichen Relevanz.
Werden hingegen Cookies gesetzt, die es ermöglichen den Nutzer wiederzuerkennen (wie z.B. Retargeting) oder das Nutzungsverhalten (pseudonym) tracken, stellt dies eine Verarbeitung personenbezogener Daten dar, die unter der DSGVO legitimiert werden muss. Tracking definieren die Datenschutzbehörden als (webseitenübergreifende) Nachverfolgung des individuellen Verhalten des Nutzers.
Danach ist festzustellen, dass die sämtliche Tracking- oder Targetingwerkzeuge (wie z.B. Google Analytics oder Facebook Retargeting) auf die Vereinbarkeit mit der Datenschutzgrundverordnung geprüft werden müssen.
Nach der DSGVO ist die Erhebung und Verarbeitung von nutzerbasierten Cookie-IDs oder anderen Onlinekennungen nur zulässig, wenn einer der Erlaubnistatbestände des Art. 6 Abs.1 DSGVO die konkrete Datenverarbeitung legitimiert.
Werden personenbezogene Daten der Webseitenbesucher über Cookies verarbeitet, kommen in der Regel nur die Legitimationstatbestände
- Art. 6 Abs.1 lit. a) DSGVO (Einwilligung der betroffenen Person)
- Art. 6 Abs.1 lit. f) DSGVO (Berechtigte Interessen der verantwortlichen Stelle)
in Betracht.
Geht man davon aus, dass cookiebasiertes Drittanbieterwerkzeuge über berechtigte Interessen legitimiert werden können, dürfen diese gesetzt werden ohne dass der Nutzer vorher zustimmt. Ob cookiebasiertes Tracking oder Targeting über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden kann oder einer Einwilligung (Opt-In) im Sinne des Art. 6 Abs.1 lit.f DSGVO bedarf, hängt von einer Abwägung der Interessen des Webseitenbetreibers mit denen der Besucher und deren berechtigten Nutzererwartung ab.
Lange waren zahlreiche namhafte Juristen davon ausgegangen, dass man eine Vielzahl von Tracking- und Targetingwerkzeugen über berechtigte Interessen legitimieren könne, es also keiner ausdrücklichen Zustimmung im Sinne eines sogenannten Opt-In bedürfe.
Dann jedoch hatte die frühere Stellungnahme der Datenschutzkonferenz vom 26.04.2018 kurz vor dem Wirksamwerden der DSGVO ein Erdbeben ausgelöst. In dieser Mitteilung hatte die DSK nämlich angenommen, dass der jeder Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und/oder Nutzerprofile erstellen, nach ihrer Auffassung stets einer vorherigen informierten Einwilligung (Opt-In) bedürfe.
Diese generelle Annahme, die vor der Datenverarbeitung eines jeden Tracking- oder Targetingtool stets eine aktive Einwilligung erforderlich gemacht hatte, wird in der aktuellen Orientierungshilfe korrigiert und konkretisiert.
Danach können Nutzungsdaten der Webseitenbesucher auch auf der Grundlage berechtigter Interessen verarbeitet werden, wenn
- die Verarbeitung zur Wahrung berechtigter Interessen des Webseitenbetreiber erforderlich ist,
- und die Interessen sowie Grundrechte und Grundfreiheiten der Nutzer diese nicht überwiegen.
Nach der Orientierungshilfe können
- die Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
- die freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z.B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Web Fonts, Kartendiensten, Social-Plugins, etc.
- die Integrität und Sicherheit der Website (IT-Security-Maßnahmen sind bspw. das Speichern von LogDateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
- die Reichweitenmessung und statistische Analysen,
- die Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer und
- die Wiedererkennung und Merkmalszuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten – Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken) und Bot-Nutzung
durchaus berechtigte Interessen des Webseitenbetreibers sein.
Ob eine Legitimation über Art. 6 Abs.1 lit.f DSGVO zulässig ist, hängt dann aber von der „Eingriffsintensität“ des eingesetzten Drittanbieterwerkzeuges ab.
Bei der Abwägung sind nach Auffassung der Datenschutzbehörden Kriterien wie
- Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
- Interventionsmöglichkeiten der betroffenen Personen
- Verkettung von Daten
- Beteiligte Akteure
- Dauer der Beobachtung
- Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
- Datenkategorien
- Umfang der Datenverarbeitung
entscheidend dafür, ob eine Legitimation über Art. 6 Abs.1 lit.f DSGVO begründet werden kann oder nicht.
Nach der Orientierungshilfe müssen Webseitenbetreiber also die spezifische Datenverarbeitung jedes eingebundenen Drittanbieterwerkzeuges (wie z.B. Google Analytics, Social Plugins, eingebettete Inhalte (wie z.B. Google Maps oder Youtube Videos)) bewerten und entscheiden, ob die Datenverarbeitung noch über berechtigte Interessen (Art. 6 Abs.1 lit.f DSGVO) legitimiert werden kann oder ob es einer Einwilligung bedarf (Art. 6 Abs.1 lit.a DSGVO).
B. Auswirkungen für Webseitenbetreiber
Betreiber von Webseiten sollten die verwendeten cookiebasierten Tracking und Targetingwerkzeuge nach den oben stehenden Maßstäben also (neu) bewerten.
Bei Analysewerkzeugen (wie z.B. Matomo (früher Piwik)), die keine individuellen Nutzungsprofile erstellen bzw. weitergeben, lässt sich eine Legitimation über berechtigte Interessen auch nach Auffassung der Datenschutzbehörden aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings aus unserer Sicht mit guten Argumenten begründen. Wer entsprechende Werkzeuge bzw. die dafür erforderlichen Cookies einsetzt, muss zwar in der Datenschutzerklärung auf die entsprechende Datenverarbeitung und die jeweiligen Widerspruchsmöglichkeiten (sog. Opt-Out) hinweisen. Eine Zustimmung vor Setzen der Cookies bedarf es also nach Auffassung der Datenschutzbehörden nicht mehr.
Die Zulässigkeit anderer Werkzeuge (wie Online Behavioural Advertising, Retargeting) hängt sehr von der konkreten Ausgestaltung ab, insbesondere welche Daten (pseudonyme Daten oder nicht) erhoben werden, ob diese mit anderen Daten zusammengeführt werden und wie diese genutzt werden. Je nach „Eingriffsintensität“ und Erwartbarkeit lassen sich manche Tracking- und Targetingmaßnahmen also wohl noch über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO argumentieren, andere bedürfen dann tatsächlich eine Einwilligung, um sie datenschutzkonform einsetzen zu können. Im letzteren Fall sollte vor der Datenverarbeitung (z.B. über ein Cookieoverlay) eine wirksame Einwilligung eingeholt werden.
Diese Ausführungen und die Stellungnahme der Datenschutzkonferenz zeigen, dass hier einiges vertreten werden kann. Die Rechtsprechung wird zeigen, wo genau die Grenze verläuft.
Webseitenbetreiber sollten sich auf der Grundlage einer Risikoabwägung entscheiden, welche Werkzeuge noch auf Grundlage berechtigter Interessen (Art. 6 Abs.1 lit.f DSGVO) legitimiert werden.
Während das Risiko bei einigen Werkzeugen (z.B. pseudonyme Webanalyse) eher überschaubar ist, verbleibt bei einigen anderen eine größere Rechtsunsicherheit. Webseitenbetreiber, die entsprechende Risiken vermeiden wollen, sollte dann über einen entsprechenden Cookiehinweis (bzw. ein Consent-Tool) eine wirksame Einwilligung der Nutzer einholen.
Ein wirksames Opt-In, welches den Vorgaben einer Einwilligung des Art. 6 Abs.1 lit.a DSGVO genügen soll, muss nach Auffassung der Datenschutzbehörden folgende Voraussetzungen erfüllen:
– Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ voreingestellt sein dürfen
– Während das Banner angezeigt wird, werden zunächst alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert. Der Zugriff auf Impressum und Datenschutzerklärung darf durch „Cookie-Banner“ nicht verhindert werden.
– Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.
– Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gem. Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung (vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.
– Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Widerruf implementiert werden. Der Widerruf muss so einfach möglich sein wie die Erteilung der Einwilligung, Art. 7 Abs. 3 S. 4 DSGVO
– Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.
Quelle: Orientierungshilfe der Aufsichtsbehörde für Anbieter von Telemedien“ vom 05.04.2019
Webseitenbetreiber, die eine wirksame Einwilligung für die Nutzung entsprechender Tracking oder TArgeting Cookies einholen wollen, sollten das Opt-In Prozedere über die eingesetzte Cookiebar dann auch an diesen Vorgaben ausrichten
C. Umsetzung in der Praxis
Wer die oben stehenden Grundsätze verstanden hat, kann gespannt beobachten, wie verschiedene Unternehmen die rechtlichen Unwägbarkeiten derzeit aufzulösen versuchen.
Ein aktueller Blick auf Unternehmenswebseiten zeigt, dass die Vorgaben der Datenschutzkonferenz oft nicht eingehalten werden.
Exemplarisch seien hier einige Cookiehinweise kommentiert:
Der Hinweis auf der Webseite von BMW (Stand: 07.04.2019) deutet auf eine Einwilligungslösung (Opt-In) hin. Der Nutzer soll sich durch die (Weiter-)nutzung der Webseite mit der Verwendung der in der Datenschutzerklärung erläuterten Cookie einverstanden erklären.
Nach der Orientierungshilfe kann eine „Weiternutzung“ aber gerade nicht als Einwilligung im Sinne des Art. 7 DSGVO interpretiert werden kann. Nach Auffassung der Datenschutzbehörden verstößt diese sehr häufig gewählte Lösung der „Zustimmung durch Weiternutzung„ gegen die Vorgaben der DSGVO. Nach der Stellungnahme ist durchaus auch davon auszugehen, dass Webseiten nun auf die Einhaltung der datenschutzrechtlichen Vorgaben geprüft werden bzw. bei eindeutigen Verstößen auch erste Bußgelder gegen die Webseitenbetreiber verhängt werden.
Kommt man auf die Webseite von Bosch (Stand: 07.04.2019) so kann der Nutzer sich mit der Verwendung der (voreingestellten) Cookies entweder einverstanden erklären oder diese durch Klick auf „Ändern“ nach seinen eigenen Vorstellung einstellen. Dies dürfte der Vorstellung der Datenschutzbehörden von einer tatsächlichen Entscheidungsmöglichkeit des Nutzers schon deutlich näher kommen.
Wieder anders gestaltet der österreichische Verlag Standard seinen Cookiehinweis. Der Nutzer kann entscheiden, ob er dem Setzen von Cookies durch ein einfaches „OK“ zustimmt oder ein Abo abschließt (Stand: 07.04.2019). Hier wird mit dem Ansatz „Deine Daten oder Dein Geld“ überdeutlich, dass das Setzen von Cookies für entsprechende Tracking- und Targetingwerkzeuge ein unmittelbarer wirtschaftlicher Wert zukommt. Bei entsprechender Gestaltungen sollte sich der Webseitenbetreiber intensiv mit dem „Kopplungsverbot“ des Art. 7 Abs.4 DSGVO auseinandersetzen.
D. Zusammenfassung zu Cookies unter der DSGVO
Zusammenfassend muss man also sagen, dass die zu wählende Lösung stark davon abhängt, welche cookiebasierten (Drittanbieter-)werkzeuge eingesetzt werden.
Unabhängig von den konkreten Werkzeugen sollte stets darauf geachtet werden, dass die Webseitenbesucher gemäß Art. 13 DSGVO über die Datenverarbeitung und bestehende Widerspruchsrechte informiert werden.
Schlussendlich wird dann die weitere Entwicklung in Form von zukünftige Stellungnahmen und Gerichtsentscheidungen zeigen, welche cookiebasierten Tracking- und Targetingmaßnahmen (noch) über berechtigte Interessen legitimiert werden können, weil der Nutzer sie vernünftigerweise erwarten muss und welche Werkzeuge zwingend einer Einwilligung bedürfen. Schlussendlich wird hier nicht die deutsche Rechtsauffassung, sondern eine einheitliche europäische Auslegung zugrunde zu legen sein.
Bis dahin bleibt es eine Frage der konkreten Argumentation und einer Risikoabwägung, welche Werkzeuge eingesetzt werden.
Die sichere Variante ist fraglos, Cookies von Targeting und –trackingwerkzeugen erst setzen zu lassen, wenn der Nutzer aktiv im Sinne eines Opt-In zugestimmt hat.Folgt man diesem Ansatz ist zu entscheiden, welche Opt-In Lösung gewählt werden soll. Nachvollziehbarerweise besteht ein großes Interesse der Online- und Marketingabteilungen an einer möglichst umfassenden Datenbasis. Ist die Cookiebar so gestaltet, dass nur wenige Nutzer zustimmen, wird diese Datenbasis erheblich reduziert.
Nach der aktuellen Orientierungshilfe bzw. diversen Stellungnahmen in der juristischen Literatur ist es möglich den Einsatz von Drittanbieterwerkzeuge, deren Datenverarbeitung nicht über die vernünftigen Erwartungen eines Nutzers hinausgehen, über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO zu legitimieren. Aufgrund der dargestellten Stellungnahme der Datenschutzkonferenz sollte hier – auch aufgrund der unterschiedlichen Ausgestaltungen der verfügbaren Drittanbieterwerkzeuge – stets eine Risikoabwägung vorgenommen werden. Zudem sollte die gewählte Lösung und die zugrunde liegende Argumentation den Anforderungen der DSGVO entsprechend dokumentiert werden.
Aufgrund der erheblichen Bedeutung der Verwendung von Cookies sollte die weitere Entwicklung, einschließlich der aktuell noch im Gesetzgebungsprozess befindlichen aber wohl erst ab 2020 zu erwartenden e-Privacy Verordnung, weiter beobachtet werden.
Hallo,
was genau mit „websiteübergreifend“ gemeint ist, ist aber nicht definiert, oder?
In „Tracking definieren die Datenschutzbehörden als (webseitenübergreifende) Nachverfolgung des individuellen Verhalten des Nutzer“, was ist da eine Webseite?
Technisch gesehen wäre das eine html-Seite oder eine Seite einer Single-Page-Anwendung, aber was will man auf einer einzelnen Seite schon groß tracken? Die nächste Stufe wäre die Verfolgung über die Seiten eines Portals, um Navigation durch das Portal optimieren zu können. Oder ist hier ausschließlich die Verfolgung der User über verschiedene Anbieterseiten und Portale hinweg gemeint?
Das erscheint mir immer noch ziemlich vage.
Viele Grüße
Thomas Schmidt
Eine derartige Entscheidung war mehr als überfällig. Auch wenn es abzusehen war, haben die meisten Webseitenbetreiber auf ein Opt-Out-Verfahren vertraut oder sogar fälschliche Lösungen installiert, die trotz Verneinung einen Cookie gesetzt haben. Das berechtigte Interesse des Trackings ist zwar nachvollziehbar, doch durch den Einsatz alternativer Tracking-Methoden ohne Cookies, wie das Zählen der Page Views, gäbe es eine entsprechende Alternative. Das Opt-In-Verfahren ist unter den Gesichtspunkten zielführend. Interessanter wäre eine gerichtliche Entscheidung für die Definition von Datenanonymiserung, da die aktuelle Praxis wohl nicht ausreichend ist:
https://netzpolitik.org/2019/weitere-studie-belegt-luege-anonymer-daten/