Update Datenschutz Nr. 69
Stellungnahme der Berliner Datenschutzaufsichtsbehörde zur Einholung einer Einwilligung beim Einsatz von Google Analytics und ähnlichen Diensten
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBDI) wies in einer Pressemitteilung vom 14. November 2019 darauf hin, dass der Einsatz von Dritt-Diensten, bei denen Daten über das Nutzerverhalten von Webseitenbesuchern erfasst und an die jeweiligen Drittanbieter zur Verwendung für eigene Zwecke weitergegeben werden, nur mit einer Einwilligung der betroffenen Nutzer zulässig sei. Dazu gehört nach Ansicht der BBDI explizit auch der Einsatz von Google Analytics und ähnlichen Produkten.
Hintergrund und Gegenstand der Pressemitteilung
Die Datenschutzkonferenz („DSK“), das gemeinsame Gremium der Datenschutzaufsichtsbehörden in Deutschland, hat bereits in ihrer im April 2019 veröffentlichten „Orientierungshilfe für Anbieter von Telemedien“ die datenschutzrechtlichen Anforderungen dargelegt, die für den Einsatz von Tracking- und Analyse-Tools gelten. Gemeint sind hiermit Tools, die Daten über das Nutzerverhalten erfassen und an die jeweiligen Drittanbieter weitergeben, damit diese die Daten dann zu eigenen Zwecken verwenden können. Zu den maßgeblichen Anforderungen gehört nach Ansicht der DSK insbesondere, dass Webseiten-Betreiber, die entsprechende Tracking- und Analyse-Tools von Drittanbietern einsetzen, eine Einwilligung der Nutzer einholen müssen.
Daran anknüpfend betont die BBDI explizit, dass eine Vielzahl von Webseiten-Betreibern weiterhin entsprechende Tracking- und Analyse-Tools einsetzen, ohne hierfür eine den Vorgaben der DSGVO entsprechende Einwilligung einzuholen. Dies gelte insbesondere für den Einsatz von Google Analytics. Die BBDI weist darauf hin, dass die Nutzung dieses Dienstes in seiner jetzigen Ausgestaltung ausdrücklich einer Einwilligung bedürfe, da Google die erfassten Daten zu eigenen Zwecken verarbeitet. Gleiches gelte für ähnliche Dienste.
Bewertung und Ausblick
Angesicht der bereits vor einigen Monaten veröffentlichten Orientierungshilfe der DSK ist die nun veröffentlichte Stellungnahme der BBDI keine Überraschung und es ist davon auszugehen, dass auch andere Aufsichtsbehörden verstärkt den datenschutzkonformen Einsatz von Tracking- und Analyse-Tools prüfen werden. Ausweislich der Pressemitteilung der BBDI ist bei einem nicht datenschutzkonformen Einsatz von entsprechenden Diensten die Verhängung von Bußgeldern nicht auszuschließen.
In diesem Zusammenhang ist noch einmal darauf hinzuweisen, dass die BBDI nicht für jegliche Tracking- und Analyse-Tools eine Einwilligung fordert, sondern nur für solche Dienste, die eine Weitergabe der erfassten Daten an Drittanbieter vorsehen, damit diese die Daten dann zu eigenen Zwecken verarbeiten können (z. B. zur Schaltung von nutzer-individueller Werbung auf anderen Webseiten). Dies entspricht auch dem Standpunkt der DSK. Diese weist in der vorgenannten Orientierungshilfe darauf hin, dass die Nutzung von Online-Tools durchaus auch auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Voraussetzung ist eine detaillierte Interessenabwägung zugunsten des Webseiten-Betreibers, bei der insbesondere der Umfang der Datenverarbeitung und deren Vorhersehbarkeit für die Nutzer eine wichtige Rolle spielt.
Daneben sind allerdings je nach Art der eingesetzten Online-Tools und der Reichweite der Webseite auch die Vorgaben der Richtlinie 2002/58/EG (sog. e-Privacy-RL) zu berücksichtigen. In Deutschland ist auch nach der „Planet49“-Entscheidung des EuGH (Urteil vom 1. Oktober 2019, Rs. C-673/17) umstritten, inwieweit die im TMG umgesetzten Regelungen der e-Privacy-RL überhaupt anwendbar sind und ggfs. gesamtheitlich durch die DSGVO verdrängt werden. In anderen Mitgliedstaaten der EU, die die Vorgaben der e-Privacy-RL genau umgesetzt haben, bestehen jedenfalls strenge Maßstäbe für den Einsatz von Online-Tools, die sog. Cookies einsetzen. Danach bedürfen sämtliche Cookies grundsätzlich einer Einwilligung, es sei denn, diese sind für die Bereitstellung der Webseite zwingend notwendig (vgl. Art. 5 Abs. 3 der e-Privacy-RL). Dies ist etwa bei Cookies der Fall, die zur Bereistellung einer Warenkorb Funktion in einem Online-Shop implementiert werden. Cookies, die im Rahmen von Tracking- und Analyse Tools eingesetzt werden, sind hingegen nach verbreiteter Ansicht nicht zwingend notwendig für den Betrieb der Webseite und daher nach Maßgabe der e-Privacy-RL einwilligungsbedürftig.
Wir empfehlen daher, dass Webseiten-Betreiber genau prüfen, welche Tools von ihnen eingesetzt werden, und falls noch nicht erfolgt, eine Einwilligung hierfür einzuholen, wenn eine solche erforderlich ist. Hierbei ist darauf zu achten, dass der Einsatz der jeweilige Dienste erst dann tatsächlich erfolgen darf, wenn die Einwilligung wirksam erteilt wurde. Vor diesem Zeitpunkt darf die Verarbeitung nicht erfolgen und auch ein einwilligungsbedürftiger Cookie darf etwa erst nach Erteilung der Einwilligung gesetzt werden.
Zur Ausgestaltung der Einwilligung sind die Ausführungen des EuGH in der vorgenannten „Planet49“-Entscheidung zu beachten. Danach bedarf eine wirksame Einwilligung einer eindeutigen bestätigenden Handlung, etwa durch aktives Anklicken eines Kästchen in einer Einwilligungsmaske auf der Webseite. Bereits vorangekreuzte Kästchen oder die Untätigkeit des Nutzers begründen hingegen keine wirksame Einwilligung im Sinne der DSGVO. Entsprechend sind auch sog. Cookie-Banner, die eine Einwilligung beim bloßen Surfen auf einer Webseite fingieren, somit nicht zulässig.
Weiterhin muss die Einwilligung in informierter Weise erfolgen. Dies bedeutet, dass Webseite-Betreiber über die Art und den Umfang der Datenverarbeitung im Zusammenhang mit den jeweils eingesetzten Tracking- und Analyse-Tools in der Datenschutzerklärung informieren müssen. Werden hierbei von den jeweiligen Diensten Cookies verwendet, müssen die Nutzer zudem über die Funktionweise und die Funktionsdauer dieser Cookies informiert werden.