Zum Inhalt springen

Einsatz von Cookies und Tracking-Tools

Der Europäische Gerichtshof (EuGH) hat sich am 01.10.2019 mit der Frage des Einwilligungserfordernisses für Cookies auseinandergesetzt und ist hierbei zur Auffassung gekommen, dass die Nutzung von technisch nicht notwendigen Cookies auf Webseiten der ausdrücklichen und informierten Einwilligung des Webseitenbesuchers bedarf.

Der Europäische Gerichtshof (EuGH) hat sich am 01.10.2019 mit der Frage des Einwilligungserfordernisses für Cookies auseinandergesetzt und ist hierbei zur Auffassung gekommen, dass die Nutzung von technisch nicht notwendigen Cookies auf Webseiten der ausdrücklichen und informierten Einwilligung des Webseitenbesuchers bedarf. Nach aktuell herrschender Meinung gehören hierzu beispielsweise Cookies aus Tracking- und Analysetools, Cookies aus Remarketing- und Retargeting-Diensten, Cookies aus Social-Media-Plugins (z.B. Facebook und Instagram), Cookies aus Video-Embedding-Anwendungen wie z.B. Vimeo und Youtube sowie Cookies aus Online-Kartendiensten wie z.B. Google Maps.
 
Aus unserem Kundenkreis wurde uns diesbezüglich aktuell zugetragen, dass die Aufsichtsbehörden begonnen haben, aktiv die Rechtmäßigkeit des Einsatzes von Cookies und Tracking-Tools, wie bspw. Google Analytics zu prüfen. Sofern Tracking-Tools auf der Webseite zum Einsatz kommen, fordert die Aufsichtsbehörde hierbei die Unternehmen schriftlich dazu auf, darzulegen, wie die Rechtmäßigkeit des Einsatzes von Tracking-Tools unter datenschutzrechtlichen Gesichtspunkten sichergestellt wird. Insbesondere soll hierbei durch die Unternehmen erörtert werden, auf welchendatenschutzrechtlichen Erlaubnistatbestand die Verarbeitung personenbezogener Daten im Rahmen des Einsatzes von Tracking-Tools gestützt wird und wie gewährleistet wird, dass die Voraussetzungen des Erlaubnistatbestandes vorliegen. Abschließend fordert die Aufsichtsbehörde dazu auf, die vorliegende Dokumentation zur rechtlichen Beurteilung des Tracking-Tool-Einsatzes zu übermitteln.
 
Vor diesem Hintergrund möchten wir Sie an dieser Stelle noch einmal dringend darauf hinweisen, dass bei erfolgendem Einsatz von technisch nicht notwendigen Cookies, Tracking-Tools oder vergleichbaren technischen Werkzeugen auf Ihrer Webseite eine datenschutzkonforme Umsetzung sichergestellt sein sollte.
 
Hierbei sollten Sie nach aktuell herrschender Meinung bzw. Rechtsauslegung mindestens folgende Sachverhalte berücksichtigen:
 
Einsatz eines Consent Tools
 
Die Sicherstellung der wirksamen Einholung von notwendigen Einwilligungen der Webseitenbesucher erfolgt in der Regel durch den Einsatz von sog. Consent Tools auf der Webseite. Beim Einsatz der Consent Tools sollten im Wesentlichen folgende Sachverhalte berücksichtigt werden:
 

  • Die Einwilligungen müssen durch den Webseitenbesucher aktiv gesetzt werden (Privacy by Default). Sie dürfen nicht voreingestellt sein.
  • Vor Einholung der Einwilligungen müssen alle technisch nicht notwendigen Cookies und technischen Werkzeuge geblockt sein, die nicht erforderlich für den technischen Betrieb der Webseite sind.
  • Die Einholung der Einwilligungen erfolgt aktuell häufig gruppiert unter Nennung der jeweiligen Cookies/technischen Werkzeuge (bspw. technischer Betrieb, Präferenzen, statistische Auswertung, Werbung). Wir weisen an dieser Stelle ergänzend daraufhin, dass vereinzelte Quellen von der Notwendigkeit der Einholung individueller Einwilligungen je angewendetem Cookie/technischen Werkzeug ausgehen. Sofern möglich, sollte daher die Einholung individueller Einwilligungen je angewendetem Cookie/technischen Werkzeug erfolgen.
  • Der Gegenstand der einzuholenden Einwilligung muss bspw. über das Consent Tool bzw. die Datenschutzerklärung angemessen und transparent deutlich gemacht werden. Für den Webseitenbenutzer muss u.a. folgendes klar erkennbar sein:


§   Welche personenbezogenen Daten sind betroffen?

§   Wie werden die personenbezogenen Daten verarbeitet? (Beschreibung der Funktionsweise der Cookies/technischen Werkzeuge)

§   Wie lange werden die erhobenen Daten gespeichert?

§   Wer erhält Zugriff auf die Daten?

§   Werden die personenbezogenen Daten mit weiteren Daten verknüpft?

§   Welchen Zwecken dient die Erhebung und Verarbeitung?
 
In einem aktuellen Beschluss (vom Mai 2020) der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) – „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ – werden am Beispiel von Google Analytics konkrete Inhalte genannt, die aus Sicht der DSK für den Webseitenbesucher klar und deutlich beschrieben werden müssen, um die Wirksamkeit der eingeholten Einwilligungen sicherzustellen. Konkret zu benennen sind demnach beispielsweise die wesentliche Verantwortlichkeit der erfolgenden Datenverarbeitung durch Google, die durch Google erfolgende Profilbildung sowie die möglicherweise durch Google erfolgende Verknüpfung der Google Analytics-Daten mit weiteren Daten, die Google zu dem jeweiligen Benutzer vorliegen. Gemäß den Vorgaben aus Art. 49 Abs. 1 lit. a DSGVO, der gegenwärtig als datenschutzrechtliche Grundlage für die Datenübermittlung an Google heranzuziehen ist, muss der Webseitenbenutzer zudem konkret über die bestehenden möglichen Risiken der Datenübermittlung in ein Drittland unterrichtet werden.
 
Zusammenfassend bleibt festzuhalten, dass eine umfassende Informierung der Webseitenbenutzer über die jeweiligen Datenverarbeitungsvorgänge zwingend notwendig ist, um auf Basis wirksamer Einwilligungen technisch nicht notwendige Cookies, Tracking- und Analysetools sowie vergleichbare technische Werkzeuge datenschutzkonform auf Ihrer Webseite einsetzen zu können. Neben den im Consent Tool unmittelbar anzugebenden Informationen muss insofern eine direkte Verlinkung auf eine an die aktuellen Anforderungen angepasste Datenschutzerklärung sichergestellt sein.
 

  • Die Einholung der Einwilligungen muss generell unter Berücksichtigung der Vorgaben aus Art. 7 DSGVO (Bedingungen für die Einwilligung) erfolgen.


 

§   Die Freiwilligkeit der Einwilligungserklärung muss deutlich gemacht werden und auf das Recht eines jederzeitigen Widerrufs hingewiesen werden.

§   Wie der Widerruf oder eine Anpassung des Einwilligungsumfanges erfolgen kann, muss klar und deutlich ersichtlich sein. Die Erklärung des Widerrufs oder eine Anpassung des Einwilligungsumfanges muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.

§   Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gem. Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung (vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner des Consent Tools nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden (vgl. hierzu die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK))

 

  • Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden (und muss vielmehr leicht möglich sein).
  • Die angemessene Darstellung und Wirksamkeit des Consent Tools sollte sowohl bei Zugriff auf die Webseiten per Laptop/Arbeitsplatzrechner, als auch bei Zugriff per mobilem Endgerät sichergestellt sein.


 
Datenschutzerklärung
 
Neben der transparenten Informierung über das Consent Tool sollte über die Datenschutzerklärung der Webseiteumfassend über die im Einsatz befindlichen Cookies, Tracking- und Analysetools sowie vergleichbare technische Werkzeuge informiert werden (siehe hierzu auch Ausführungen weiter oben).
 

  • Bitte beachten Sie hierbei, dass als Rechtsgrundlage für die Nutzung technisch nicht notwendiger Cookies, Tracking-Tools und vergleichbarer technischer Werkzeuge, für die über das Consent Tool eine Einwilligung der Webseitenbesucher eingeholt wird, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) zu nennen ist.  
  • Des Weiteren sind hierbei auch die Auswirkungen des kürzlich ergangenen EuGH-Urteils zum EU-US Privacy Shield zu beachten, welcher als ungültig erklärt worden ist. Sofern in Ihrer Datenschutzerklärung (bspw. im Baustein für Google Analytics) noch auf den EU-US Privacy Shield verwiesen wird, sollte die Datenschutzerklärung diesbezüglich zeitnah überarbeitet werden.
  • Neben diesen speziellen Anforderungen in Bezug auf den Einsatz von einwilligungspflichtigen Cookies und vergleichbaren technischen Werkzeugen sollte die Datenschutzerklärung auf der Webseite zudem regelmäßig auf Aktualität und Konformität mit den Anforderungen aus Art. 13 DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) geprüft werden.

 
Weitere Anforderungen
 

  • Sofern der Einsatz von technisch nicht notwendigen Cookies, Tracking-Tools oder vergleichbaren technischenWerkzeugen über einen Dienstleister erfolgt und dieser einen Zugriff auf personenbezogene Daten hat, ist sicherzustellen, dass ein ordnungsmäßiger AV-Vertrag abgeschlossen worden ist oder ggf. eine Vereinbarung einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO vorliegt.
  • Zudem sollte eine Prüfung der technischen und organisatorischen Maßnahmen (TOMs) bei Ihnen und beim Dienstleister durchgeführt und dokumentiert werden.
  • Beim Einsatz von Tracking Tools oder vergleichbaren technischen Werkzeugen auf der Webseite sollte durchgängig auf eine datenschutzfreundliche (Vor-)Einstellung (bspw. hinsichtlich der Speicherdauer der erhobenen Daten) geachtet werden.
  •  Da die Aufsichtsbehörden, wie einleitend beschrieben, im Rahmen der Anfrage eine Dokumentation zur rechtlichen Beurteilung des Tracking-Tool-Einsatzes einfordern, ist es zudem empfehlenswert, diese entsprechend zu erstellen bzw. vorzuhalten. Basis hierfür kann bspw. das Verfahrensverzeichnis (VVT) oder die bestehende Datenschutzerklärung sein.
  • Ebenso sollten Sie – losgelöst vom Einsatz etwaiger Tracking-Tools – bei Beauftragung von US-Dienstleistern sowie allen in Drittländern ansässigen Dienstleistern dringend die datenschutzrechtlichen Rechtsgrundlagen für erfolgende Datenübertragungen prüfen. Aus hier bestehenden datenschutzrechtlichen Versäumnissen können weitere Prüfungen der Aufsichtsbehörden und im Zweifelsfall verhängte Bußgelder resultieren.


 
Abschließend weisen wir vor dem Hintergrund des aktuellen EuGH-Urteils zum EU-US Privacy Shield daraufhin, dass gegenwärtig eine erhebliche Rechtsunsicherheit in Bezug auf die Nutzung von Diensten und Dienstleistern mit Sitz in den USA oder anderen Drittländern besteht, sofern hierbei eine Übermittlung personenbezogener Daten erfolgt bzw. nicht ausgeschlossen werden kann. Dieses schließt auch Anbieter von Tracking-Tools oder vergleichbaren technischen Werkzeugen wie bspw. Google ein. Vereinzelte Quellen vertreten bspw. die Auffassung, dass selbst bei Vorliegen einer informierten Einwilligung der Webseitenbesucher die Datenschutzkonformität der Nutzung dieser Dienste zweifelhaft sein könnte, da die hier zu Grunde zu legende Erlaubnisnorm aus der DSGVO (Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO) eine Vorschrift mit Ausnahmecharakter („Art. 49 DSGVO - Ausnahmen für bestimmte Fälle“) darstelle und in Frage gestellt wird, ob eine wiederkehrende Übermittlung, die bspw. beim Einsatz von Tracking-Tools möglich erscheint, über diese Erlaubnisnorm der DSGVO abgedeckt ist.