etracker
Analytics Editionen / Preise Live-Demo
etracker
Optimiser Editionen / Preise Live-Demo
Preise Academy Know-how Für Agenturen Support

Endlich Klarheit zum DSGVO-konformen Tracking

Die Datenschutzgrundverordnung (DSGVO) gilt schon seit fast einem Jahr, jedoch war bislang unklar, wie diese konkret im Internet anzuwenden ist. Seit wenigen Tagen ist die Unsicherheit und das rechtliche Vakuum vorbei, denn endlich haben die Datenschutzbehörden des Bundes und der Länder klar Stellung bezogen:

Die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden macht unmissverständlich deutlich, dass eine Datenverarbeitung mit Google Analytics erst nach einer selbstbestimmten und informierten Einwilligung der Betroffenen stattfinden darf, während bei etracker eine Widerspruchslösung ausreicht.

Warum erst jetzt und nicht direkt zum 25. Mai 2018?

Im vergangenen Jahr wurde noch auf eine Verabschiedung der ePrivacy-Verordnung (ePV) gehofft, die ergänzend zur Datenschutzgrundverordnung die elektronische Kommunikation regeln soll. Allerdings konnten in den letzten Monaten auf europäischer Ebene kaum Fortschritte bei den Verhandlungen erzielt werden. Insofern mussten wir zwar lange Zeit auf Klarheit warten, können uns jetzt aber erst einmal voll und ganz auf die DSGVO und die dazugehörige Stellungnahme der Datenschutzkonferenz stützen. In dem Papier heißt es: „Es bleibt daher bei der generellen Anwendung der Regelungen der DSGVO“.

Wie sehen die Regelungen für Tracking von Online-Diensten jetzt genau aus?

Wir haben für Sie die wesentlichen Stellen herausgestellt. Das vollständige Dokument der Aufsichtsbehörden finden Sie hier.

Google Analytics im Gegensatz zu etracker nur mit Einwilligung einsetzbar

Auch wenn nicht namentlich aufgeführt, ist klar, dass Google Analytics gemeint ist, wenn von Analysediensten gesprochen wird, „die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen“. Schließlich erklärt Google selbst in seiner Datenschutzerklärung Stand: 25.05.2018 (Wirksamkeit):

„Wenn Sie Websites besuchen, auf denen Google Analytics eingesetzt wird, werden Google und der Google Analytics-Kunde gegebenenfalls Daten über Ihre Aktivitäten auf dieser Website mit Aktivitäten auf anderen Websites verknüpfen, auf denen ebenfalls unsere Werbedienste genutzt werden.“

Aus der Orientierungshilfe der Datenschutzkonferenz zu den Kriterien der Erforderlichkeit und Erwartung:

„Erforderlichkeit meint, dass die Verarbeitung geeignet ist, das Interesse […] des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung steht.“

„Beispiel: Der Verantwortliche betreibt eine Website und möchte wissen, wie sein Online-Angebot angenommen wird und ob gegebenenfalls Verbesserungen erforderlich sind. Dazu möchte er wissen, wie viele Nutzer die Website in einem bestimmten Zeitraum besuchen, welche Geräte die Nutzer verwenden und welche Spracheinstellungen sie haben. Der Verantwortliche benötigt diese Informationen, um sein Webangebot zu optimieren und die Darstellung an die Endgeräte anzupassen.
Die Messung der Reichweite und die sich daraus ergebenden Informationen sind geeignet, um das Webangebot anzupassen (berechtigtes Interesse). Setzt der Website-Betreiber hierfür ein Analyse-Tool ein, welches Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt (z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen), ist dies nicht mehr erforderlich. Das Ziel – Reichweitenmessung – kann auch mit milderen, gleich geeigneten Mitteln erreicht werden, die deutlich weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln […]“.

„Im Hinblick auf die Einbindung von Diensten Dritter erwartet ein Nutzer üblicherweise nicht, dass an diese Dritten, zu denen der Nutzer regelmäßig keine Beziehungen unterhält, Informationen darüber weitergegeben werden, welche Websites er besucht oder welche Apps er nutzt. Jedenfalls dann, wenn die Dritten die Nutzerdaten zu eigenen Zwecken weiterverarbeiten, sind die Folgen und potentiellen Risiken für die Interessen, Grundfreiheiten und Grundrechte der betroffenen Personen weder einschätz- noch bewertbar.“

Vorsicht vor Cookie-Bannern

Auch wenn so genannte „Cookie-Banner“ auf vielen Websites vorgefunden werden, sind sie nicht geeignet, um gültige Einwilligungen einzuholen. Die Anforderungen für wirksame Einwilligungen sind alles andere als einfach zu erfüllen:

„Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.“

„[…K]onkludente Verhaltensweisen wie „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ [stellen] keine Einwilligungen [dar].“

„Eine Verarbeitung personenbezogener Daten ohne ausreichende Kenntnis der betroffenen Personen über die jeweiligen Datenverarbeitungsvorgänge, über die jeweils einbezogenen Dritten sowie ohne Möglichkeit der gesonderten Zustimmung führt zur Unwirksamkeit der Einwilligung und erfolgt daher ohne Rechtsgrund.“

„Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.“

„Auch genügt es für eine Einwilligung i. S. d. DSGVO nicht, wenn, wie bei vielen einfachen Cookie-Bannern im Web, ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt. In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen.“

Gut, dass etracker unabhängig als DSGVO-konform im Rahmen der Interessenabwägung geprüft und zertifiziert wurde

Die Einhaltung der Regelungen von DSGVO wurde für etracker Analytics, etracker Optimiser und signalize unabhängig geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet. Insbesondere wurde bestätigt, dass eine Einwilligungspflicht nicht vorliegt. Somit sind auch diese DSK-Anforderungen erfüllt:

„Verantwortliche müssen im Rahmen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachweisen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Dies bedeutet, dass Verantwortliche vorab prüfen und dokumentieren müssen, auf welchen Erlaubnistatbestand sie die Verarbeitung stützen.“

„Verantwortliche sollten sich bewusst machen, dass die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt und auf den konkreten Einzelfall bezogen sein muss. Unzureichende oder pauschale Feststellungen, dass eine Datenverarbeitung gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig sei, erfüllen nicht die gesetzlichen Anforderungen.“

Sollten Sie Fragen hierzu haben, freuen wir uns auf den Austausch mit Ihnen.