PrivazyPlan® 

  PRODUKT     DEMO     PREISE

 DE - EN

 

 

 

 

 

 

Website-Nutzungsstatistiken OHNE Einwilligung?!

 

 

 
Ab dem 25.05.2018 gilt in ganz Europa ein neues Datenschutzrecht: Die EU Datenschutz-Grundverordnung (DS-GVO). Am 26.04.2018 veröffentlichen die deutschen Aufsichtsbehörden ein Positionspapier, welches den Eindruck erweckt, dass insbesondere der Einsatz von z.B. Google-Analytics einer expliziten Einwilligung der Website-Besucher bedürfe.

Wir erklären ganz ausführlich die rechtlichen Hintergründe und diskutieren verschiedene Szenarien, um herauszufinden, was die Aufsichtsbehörden gemeint haben könnten. Es gibt Gründe anzunehmen, dass simple Website-Statistiken KEINER Einwilligung bedürfen.

Von besonderer Wichtigkeit ist eine Stellungnahme der Artikel-29-Datenschutzgruppe im "WP 194" im Kapitel 4.3 auf Seite 10: Dort fordert man eine Ausnahme für Cookies zur internen Website-Statistik. Voilà.

    1.) Ein Positionspapier ändert alles (in Deutschland)?
    2.) Die Stellungnahmen der Artikel-29-Datenschutzgruppe werden relevant 
    3.) Was verlangt das DSK-Positionspapier vom Website-Betreiber?
        3.1) Was sind Tracking-Mechanismen?
        3.2) Was ist ein Nutzerprofil?
        3.3) Wie wird eine Einwilligung gegeben?
        3.4) Cookies ganz allgemein
    4.) Fazit

1.) Ein Positionspapier ändert alles (in Deutschland)?

Im Mai 2018 hat ein Positionspapier der deutschen Datenschutzkonferenz (DSK) für Furore gesorgt (siehe Kapitel 13.16.9 im PrivazyPlan®).

Die grundlegende Botschaft lautet: Das Telemediengesetz ist im Datenschutz nicht mehr anwendbar. Auch die "EU-Cookie-Richtlinie" 2002/58/EG (verschärft durch die EU-Richtlinie 2009/136/EG) ist nicht unmittelbar anwendbar. Es zählt allein die EU Datenschutz-Grundverordnung. (Zum Hintergrund: Eine EU-Richtlinie an sich ist keine direkt anwendbare Rechtsnorm. Vielmehr sind die nationalen Gesetzgeber verpflichtet die Forderungen einer EU-Richtlinie im nationalen Gesetz zu verankern.)

Daher müssen sich alle Website-Betreiber nun nochmals intensiv Gedanken machen, wie sie mit Cookies, Tracking und Nutzerprofilen umgehen wollen.

Mit einem Mal werden alte "Wunden" wieder aufgerissen. Bis zum 25.05.2018 waren deutsche Website-Betreiber insofern vor Cookie-Einwilligungs-Plichten geschützt, weil die "Opt-Out"-Lösung des § 15 Abs. 3 TMG bestand. Berlin und Brüssel waren sich einig, dass damit der Einwilligungs-Zwang der EU-Cookie-Richtlinie erfüllt war. Der Grund für diese Einigkeit findet sich wohl im "WP 194" im Kapitel 4.3 auf Seite 10 (dies wird weiter unten noch näher erklärt).

Dieses Positionspapier wird natürlich von allen Seiten kritisiert und befeindet:

  • Inhaltlich wird bemängelt, dass für Cookies, Tracking und Nutzerprofile auch das "berechtigte Interesse" des Artikel 6 (1f) DS-GVO genutzt werden könnte. Es gäbe so gesehen keinen zwingenden Grund auf eine Einwilligung gemäß Artikel 6 (1a) DS-GVO abzuzielen. Dann wäre nämlich ein "Opt-Out" möglich gewesen und nichts hätte sich geändert.
     
  • Vom Timing her wird bemängelt, dass ein solch explosives Positionspapier nicht 16 Werktage vor Wirksamwerden publiziert werden sollte. Dem ist zuzustimmen. Seit dem Beschluss der DS-GVO im April 2016 stand die Frage im Raum, ob das Telemediengesetz noch weiter anwendbar ist. Die Fachliteratur hat sich dazu fast monatlich (sehr kontrovers) geäußert. In unserem PrivazyPlan® haben wir dieses Thema von Anfang an mit einer roten "Bombe" markiert. Die deutschen Aufsichtsbehörden hätten sich problemlos zwei Jahre früher zu Wort melden können.

Und als wäre das nicht schon genug. Nein, viele deutsche Aufsichtsbehörden verzichten darauf dieses DSK-Positionspapier überhaupt zu erwähnen! Die Datenschutzkonferenz-Beschlüsse werden sehr wohl erwähnt, nicht aber dieses so wichtige Positionspapier. Es ist quasi "Zufall", ob ein Websitebetreiber von diesem Papier erfährt.

Dieses DSK-Positionspapier argumentiert explizit mit den "Workingpapers" der Artikel-29-Datenschutzgruppe (siehe nächstes Kapitel).

Ist dieses Positionspapier rechtlich bindend? Nein.
Werden sich die deutschen Aufsichtsbehörden im Falle einer Beschwerde daran orientieren? Ja!
Sind Abmahnungen zu befürchten, weil Anwälte mit dem Positionspapier argumentieren? Ja!
Mit anderen Worten: Dieses DSK-Positionspapier ist ernst zu nehmen.

Inwieweit ist alles neu? Das wird ab Kapitel 4 ("Was wird verlangt?") diskutiert und im Kapitel 5 ("Fazit") zusammengefasst.

2.) Die Stellungnahmen der Artikel-29-Datenschutzgruppe werden relevant

Das DSK-Positionspapier verweist explizit auf die Stellungnahmen der Artikel-29-Datenschutzgruppe (siehe Kapitel 13.13.3 im PrivazyPlan®).

Ab dem 25.05.2018 gilt die DS-GVO für Cookies, Tracking und Nutzerprofile. Daher müssen Website-Betreiber auch die englischsprachigen Beschlüsse und Stellungnahmen der Artikel-29-Datenschutzgruppe zu berücksichtigen. Dies sind insbesondere:

  • WP 171: Meinung zu Online-Verhaltens-Werbung (24 Seiten)
  • WP 188: Stellungnahme zu einer Einschätzung internationaler Werbe-Verbände (12 Seiten)
  • WP 194: Welche Cookies sind von der Einwilligungspflicht befreit? (12 Seiten)

Von größter Wichtigkeit ist das "WP 194" im Kapitel 4.3 auf Seite 10. Dort liefert die Artikel-29-Datenschutzgruppe eine bemerkenswerte Stellungnahme:

    However, the Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.

    In this regard, should article 5.3 of the Directive 2002/58/EC be re-visited in the future, the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes.

Diese Einschätzung dürfte wohl dazu geführt haben, dass der umstrittene § 15 Abs. 3 TMG von Brüssel nicht bemängelt wurde, obwohl er mit seiner "Out-out"-Lösung zu pseudonymisierten Nutzungsstatistiken ganz offensichtlich gegen den Wortlaut der novellierten EU-Cookie-Richtlinie verstieß.

Sind die Stellungnahmen der Artikel-29-Datenschutzgruppe rechtlich bindend? Nein. Allerdings geht diese Gruppe am 25.05.2018 in den "Europäischen Datenschutzausschuss" über und hat dann viel Macht (siehe Artikel 68). Insofern haben diese Beschlüsse und Stellungnahmen ein hohes Gewicht.

3.) Was verlangt das DSK-Positionspapier vom Website-Betreiber?

Das ist gar nicht so leicht zu sagen. Wir konzentrieren uns hier zunächst auf die strittige Aussage in Nr. 9 des Positionspapiers, die wir hier übersichtlich zusammenfassen

    Einwilligung (in Form einer Erklärung oder einer bestätigenden Handlung)
    beim Einsatz von     Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen
    und bei der Erstellung von     Nutzerprofilen
    [...] z.B. wenn Cookies platziert werden (oder darin Informationen gesammelt werden).

Es gibt hier also drei Themen, die besonders wichtig sind:

  1. Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen nachvollziehbar machen
    Was ist Tracking? Was ist ein Mechanismus? Was ist ein Verhalten? Wann ist es nachvollziehbar? Warum wird im Plural von "betroffenen Personen" gesprochen? Bezieht sich die Aussage nur auf personenbezogenes Tracking (also nicht auf anonymisiertes Tracking)?
     
  2. Erstellung von Nutzerprofilen
    Was ist ein Nutzerprofil? Ist es das gleiche wie ein Nutzungsprofil (also das Klickverhalten einer Person auf einer Website)?
     
  3. Informierte Einwilligung im Sinne der DS-GVO in Form einer Erklärung oder sonstigen eindeutigen Handlung
    Was bedeutet der Bezug auf die DS-GVO? Was ist eine Erklärung? Was ist eine eindeutige Handlung? Inwieweit spielt die Nachweisbarkeit eine Rolle?
     
  4. Beispielsweise in Cookies
    Müssen die Cookies personenbezogene Inhalte haben oder reicht auch eine abstrakte Zahl? Welche anderen Mechanismen von Tracking und Nutzerprofilen sind noch gemeint: Webserver-Logfiles, "Flash-Cookies", pseudonymisierte Auswertungen in Google-Analytics oder econda etc.?

Auf diese Punkte wollen wir im Folgenden eingehen:

3.1) Was ist ein Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen nachvollziehbar machen

Tja, über welche Tracking-Mechanismen reden wir?

  • Extrem-Szenario 1: Webserver-Logfiles
    Nehmen wir hier direkt mal das prominenteste Beispiel, welches auf vermutlich 99% der Websites zutrifft: Die Webserver-Logfiles. Standardmäßig sind alle Webserver so konfiguriert, dass sie jeden Seitenaufruf mit Datum und IP-Adresse speichern (meist zeitlich unbegrenzt). Diese Logfiles sollen das Verhalten von Hackern nachvollziehbar machen.

    => Ergebnis: Nein, dieses Szenario kann die Datenschutzkonferenz nicht im Sinn gehabt haben. Man kann den Hacker einer Website nicht um eine Einwilligung zu Webserver-Logfiles bitten.
     
  • Extrem-Szenario 2: Tracking im Rahmen von Socialnetwork (z.B. facebook-Account)
    Beispielsweise die Socialmedia-Plugins von facebook, google, XING etc. sind erwiesenermaßen datenschutzkritisch, weil sie den Besuch einer Webseite sofort an das Socialnetwork melden. Hier findet dann nämlich ein personenbezogenes Tracking statt. Siehe die facebook-Chronik. Sogar Nicht-Mitglieder sind von diesem Tracking betroffen.

    => Ergebnis: Ja, dieses Szenario ist hochgradig plausibel. Ein Website-Betreiber darf das Socialnetwork-Tracking nicht ungefragt unterstützen. Das Klickverhalten darf nicht "heimlich" an facebook und Co. gemeldet und dort dauerhaft gespeichert werden. Aus diesem Grund bietet der heise-Verlag schon sein vielen Jahren sein Shariff-Modul an.

Gibt es Szenarios zwischen diesen beiden Extremen? Ja, Tausende. Aber wer kann da schon die Grenze ziehen?

Hat das DSK-Positionspapier jene harmlosen Website-Statistiken im Blick gehabt, die beispielsweise von Google-Analytics, Matomo (ehemals PIWIK) oder econda angeboten werden? Sofern die IP-Adressen pseudonymisiert (gekürzt) wurden, so werden keine konkreten Personen dem Tracking unterworfen. Daher waren diese Dienste bisher auch immer legal nutzbar. Warum sollte sich das durch das DSK-Positionspapier oder die DS-GVO ändern? Mit Fug und Recht kann man annehmen, dass hier die Rechtsgrundlage im "berechtigte Interesse" gemäß Artikel 6 (1f) zu finden ist.

Zugegeben: Der Tracking-"Mechanismus" arbeitet oftmals zunächst mit der vollen IP-Adresse (um die Klickhistorie erkennen zu können). Das Tracking-"Ergebnis" (welches der Website-Betreiber sieht) ist aber anonym. Worauf zielt das DSK-Positionspapier ab: Auf den Mechanismus oder das Ergebnis? Tja, das ist hier die Gretchenfrage.

Fakt ist: Im Internet ist es ABSOLUT UNVERMEIDLICH, dass die IP-Adresse einer Person verarbeitet wird. JEDER Webserver muss die IP-Adresse für einige Millisekunden im Arbeitsspeicher halten, um die gewünschten Inhalte an den Webbrowser des Nutzers ausliefern zu können. Aber das ist ja noch kein personenbezogenes Tracking. Daher ist es durchaus gut begründbar, wenn man anonymisierte Nutzungsstatistiken NICHT zu den hier diskutierten Trackingmaßnahmen zählt.

Möglicherweise wird die Datenschutzkonferenz in den nächsten Monaten klarstellen.

3.2) Was ist eine Erstellung von Nutzerprofilen?

Tja, was ist ein Nutzerprofil?

  • Extremszenario 1: Website-Nutzungsstatisken mit aggregierten Statistiken
    In vielen Webserver-Paketen steht die Software "Webalizer" zur Verfügung, die das Klickverhalten der Besucher statistisch aufbereitet: Besucheranzahl, meistgeklickte Webseiten, Datenmenge etc. Diese Auswertung liefert ein gewisses Nutzungsprofil: Aus welchen Ländern greift man gerne zu? Welche Seiten sind besonders attraktiv? Zielt das DSK-Positionspapier hierauf ab?

    => Ergebnis: Nein, diese statistischen - und nicht personenbezogenen - Nutzungsprofile kann die Datenschutzkonferenz nicht gemeint haben. (Allerdings sollte der Website-Betreiber die Software so konfigurieren, dass keine IP-Adressen ausgewertet werden.)
     
  • Extremszenario 2: Nutzerprofile im Socialnetwork und Onlinewerbung
    Viele Dienste im Internet basieren darauf, dass sie Persönlichkeitsprofile erstellen, um entweder passende Werbung zu platzieren oder mit sonstigen "interessanten" Dingen locken. Hier gilt das Motto: "Ich weiß zwar nicht genau, wer Du bist, aber DAS hier wird Dich interessieren!!!".

    Die betroffenen Personen werden gläsern. Aus dem eigenen Verhalten innerhalb oder außerhalb des Internets (und dem Verhalten der "Freunde") werden Tausende und Hunderttausende Eigenschaften zu einem sehr aussagekräftigen Nutzerprofil zusammengetragen.

    Beispielsweise der Google-Konzern hat deutlich Gegenwind erfahren, als er die verschiedenen Nutzerprofile der einzelnen Dienste zu einem gemeinsamen SUPER-Profil zusammenfassen wollte.

    Diese Nutzerprofile beinhalten: Eigenschaften (Altersklasse, Geschlecht, Sprache, grobe Schätzung des Wohnorts, ...) , Interessen (Reiseziele, Technik-Affinität, ...), Charakter (Risikobereit, Gesundheitsorientiert, ..), Verhalten (Zahlungsverhalten, Klickverhalten, Bewegungsverhalten, Konsumverhalten, ...), Sonstiges (Verbindung zu anderen Menschen, ...).

    Diese Nutzerprofile gelten als "das Gold der Online-Werbeindustrie". Nur wegen dieser Nutzerprofile macht facebook einen Milliardengewinn. Er verspricht den Werbetreibenden zielgruppengenaue Werbekampagnen. Siehe die facebook-Profileinstellungen. bzw. die facebook-Nutzungsbedingungen im Punkt 9.

    => Ergebnis: Ja, diese Socialnetwork-Nutzerprofile sind hochgradig datenschutzrelevant. Es macht absolut Sinn hier mit Einwilligungen zu arbeiten. Jeder Mensch soll selbst entscheiden, ob er immer gläserner wird. Für den Website-Betreiber bedeutet dies: Wenn Informationen zum Website-Besucher solchen Socialnetwork-Nutzerprofilen hinzugefügt werden sollen, dann muss die Person vorher einwilligen.

Gibt es Szenarios zwischen diesen beiden Extremen? Ja, Tausende. Aber wer kann da schon die Grenze ziehen?

Vergessen wir nicht den Artikel 4 (4) DS-GVO: Profiling ist die Analyse bzw. die Vorhersage von wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel einer natürlichen Person. Auch der Artikel 22 thematisiert die "automatisierten Entscheidungen im Einzelfall einschließlich Profiling". Diese Aspekte treffen auf die Socialnetwork-Nutzerprofile zu.

Hat das DSK-Positionspapier jene harmlosen Website-Statistiken im Blick gehabt, die beispielsweise von Google-Analytics, Matomo (ehemals PIWIK) oder econda angeboten werden? Sofern die IP-Adressen pseudonymisiert (gekürzt) wurden, so werden hier genau genommen Nutzungsprofile erstellt. Also keine Nutzerprofile. Das erscheint auf den ersten Blick vielleicht als eine sprachliche Spitzfindigkeit, doch gilt hier eine völlig andere Datenbasis und ein völlig anderer Zweck. Von diesen Website-Statistiken ist im Ergebnis keine einzelne Person betroffen. Mit Fug und Recht kann man annehmen, dass hier die Rechtsgrundlage im "berechtigte Interesse" gemäß Artikel 6 (1f) zu finden ist.

3.3) Informierte Einwilligung im Sinne der DS-GVO in Form einer Erklärung oder sonstigen eindeutigen Handlung

Das DSK-Positionspapier bezieht sich hier eindeutig auf den Wortlaut der DS-GVO.

Hierbei gibt es zwei wichtige Aspekte:

  1. Die "eindeutig bestätigende Handlung" als Einwilligung
    Gemäß Artikel 4 (11) DS-GVO reicht eine Handlung aus. Der Erwägungsgrund 32 nennt konkrete Optionen:
    - Anklicken eines Kästchens beim Besuch einer Internetseite,
    - die Auswahl technischer Einstellungen für Dienste (Cookie?),
    - eine andere Verhaltensweise die Einverständnis signalisiert (wohl z.B. Hyperlink-Klick)
    Die Einwilligungs-Aufforderung sollte in klarer und knapper Form geschehen.
     
  2. Die Nachweisbarkeit der Einwilligung
    Die DS-GVO fordert im Artikel 7 (1), dass eine Einwilligung nachweisbar sein muss. Das ist im Kontext einer Website nicht trivial, denn man kennt den jeweiligen Website-Besucher ja in aller Regel nicht persönlich. Keinesfalls muss man die Einwilligungen der Besucher personenbezogen dokumentieren (das legt der Artikel 11 nahe). Wie könnte man es sonst machen?

    - Im Falle des anklickbaren Kästchens: Die Website wird so programmiert, dass ohne das Setzen eines Häkchens die fragliche Verarbeitung nicht stattfinden kann. Dies wäre dann eine Art "Verriegelung". Im Idealfall - sofern möglich - würde man irgendwo einen Text hinterlegen wie "Sie haben diesem Dienst zugestimmt, indem Sie ein Häkchen gesetzt haben". Mehr Nachweis geht nicht.

    - Das Szenario einer technischen Einstellung könnte auf Cookies abzielen. Die Existenz eines "Opt-In"-Cookies ist ein gewisser Nachweis. Der Nutzer selbst kann dies im Browser kontrollieren. Und der Website-Betreiber kann die Cookie-Existenz in der Website ebenfalls anzeigen. Das ist durchaus eine passable Form des Nachweises. Leider sind Cookies aber jederzeit löschbar; insofern kann kein sicherer Nachweis für die Vergangenheit erbracht werden.

    - Andere Verhaltensweisen, die Einverständnis signalisieren, sind ein weites Feld. Das Anklicken von Buttons oder Hyperlinks gehört ganz bestimmt dazu. Die "Like"-Buttons sind ein gutes Beispiel dafür. Allerdings ist die Nachweisbarkeit extrem schwierig.

    Die obigen Beispiele machen deutlich, dass die Nachweisbarkeit von "eindeutig bestätigenden Handlungen" schwierig ist. Der Website-Betreiber sollte jede zumutbare Anstrengung unternehmen.

Ganz nebenbei: Sollten "sensible" Daten betroffen sein, so muss die Einwilligung dies gemäß Artikel 9 (2a) ausdrücklich einbeziehen. Falls sich die Website direkt an Kinder wendet, so muss die Einwilligung gemäß Artikel 8 (1) durch die Träger der elterlichen Verantwortung bestätigt werden. Wenn all dies gegeben ist, dann ist eine Verarbeitung gemäß Artikel 6 (1a) rechtmäßig.

3.4) Und wie ist das mit den Cookies ganz allgemein zu sehen?

Es gibt verschiedene Szenarien:

  1. Die Cookies sind für den Betrieb der Website notwendig
    Dies trifft zu für Sprach-Grundeinstellungen und seitenübergreifende Formulare. Das Workingpaper "WP 194" der Artikel-29-Datenschutzgruppe beschreibt dies klar und deutlich. Typischerweise sind die Session-Cookies. Im Falle eines Warenkorb-Cookies ist eine mehrstündige Löschfrist zulässig.
     
  2. Die Cookies dienen der Vertragserfüllung
    Bei registrierten Website-Besuchern sind erforderliche (!) Cookies zulässig. Das bestätigt auch das DSK-Positionspapier in der Nummer 6 und 7 hinsichtlich Artikel 6 (1b).
     
  3. Die Cookies betreffen Socialnetworks und große Werbenetzwerke
    Hier besagt das obige Workingpaper "WP 194" dass eine Einwilligung erforderlich ist. Siehe dort in den Kapitel 4.1 und 4.2.
     
  4. Die Cookies dienen der internen Nutzungsstatistik
    Und jetzt kommt die Frage der Fragen: Was ist mit den Cookies zur internen Nutzungsstatistik? Hier lohnt es sich unbedingt das "WP 194" im Kapitel 4.3 zu lesen (siehe oben)! Die Artikel-29-Gruppe sieht hier keine besonderen Gefahren für die Persönlichkeitsrechte und sieht keine Notwendigkeit für eine Einwilligung. Der EU-Gesetzgeber wird sogar aufgefordert diese Art von Nutzungsstatistiken explizit als Ausnahme zur formulieren!

Die Rechtmäßigkeit eines jeden einzelnen Cookies muss also geprüft werden. Siehe Kapitel 13.16.9 im PrivazyPlan®.

4.) Fazit

Was folgt für einen normalen Website-Betreiber aus dem DSK-Positionspapier und den hier vorliegenden Überlegungen?

Die Konsequenzen kann letztlich nur die jeweilige Datenschutz-Aufsichtsbehörde beurteilen. Das gemeinsame DSK-Positionspapier erklärt weder die Begrifflichkeiten, noch begründet es seine Ergebnisse. Insofern ist jeder Website-Betreiber auf sich selbst gestellt. Leider.

4.1) Hier sind Einwilligungen zu Tracking und Nutzerprofilen erforderlich... und sinnvoll !

Die Überlegungen der vorangegangenen Kapitel bringen zwei überzeugende Erkenntnisse:

  1. Ohne Einwilligung darf kein Website-Tracking im Kontext mit Socialnetworks (facebook etc.) unterstützt werden. Jegliche Weitergabe von Klickverhalten durch Socialmedia-Plugins etc. darf nicht ohne Erlaubnis geschehen. Das ist keine neue Erkenntnis, sondern war auch schon VOR dem DSK-Positionspapier die herrschende Meinung. (Das gilt wohl auch für alle anderen großen Werbenetzwerke.)
     
  2. Ohne Einwilligung dürfen Nutzerprofile im Kontext mit Socialnetworks (facebook etc.) nicht mit neuen Merkmalen erweitert werden. Dadurch würde der Nutzer immer gläserner und daher muss er dies explizit erlauben. Hier kommen die Cookies ins Spiel. (Das gilt wohl auch für alle anderen großen Werbenetzwerke.)

Diese beiden Erkenntnisse sind unbestreitbar sinnvoll. Die Aufsichtsbehörden weisen zurecht auf diese Aspekte hin. Auf dieser Ebene verstanden ist das DSK-Positionspapier auch nicht "zu spät" publiziert, denn es betont nur nochmal geltendes Recht. Genauso wie die DS-GVO auch, so will dieses DSK-Positionspapier vor allem die "Macht" der Socialnetwork-Kartelle begrenzen.

Was das Stichwort "Cookies" angeht: Das DSK-Positionspapier unterwirft ja nicht alle Cookies der Einwilligungs-Pflicht, sondern jene, die mit dem Tracking bzw. den Nutzerprofilen zusammenhängen. Das macht im Zusammenhang mit den obigen Erkenntnissen durchaus Sinn. Auch das "WP 194" schätzt die Lage so ein.

In besonderem Maße betreffen diese Regelungen die Socialnetworks selbst. Aber auch die Hersteller von SmartTVs müssen das berücksichtigen (siehe LG Frankfurt Urteil vom 10.06.2016, Az. 2-03 O 364/15).

4.2) Hier kann man über die Notwendigkeit und den Sinn von Einwilligungen streiten...

Jenseits der Belange der Socialnetworks wird es schwierig. In den obigen Kapiteln wurden ja zwei extrem "triviale" Szenarien aufgeführt. Wo werden die Datenschutz-Aufsichtsbehörden die Grenze ziehen? Wir wissen es nicht. Das muss jeder Website-Betreiber für sich selbst entscheiden.

Betrifft die umstrittene Einwilligungs-Forderung des DSK-Positionspapiers nun wirklich auch jene harmlosen Website-Statistiken, wie beispielsweise Google-Analytics, Matomo (ehemals PIWIK) oder econda? Aus den Überlegungen der obigen Kapitel ist das nicht anzunehmen. Vielmehr stellt wohl das "berechtigte Interesse" gemäß Artikel 6 (1f) die Rechtsgrundlage dar. ABER: Die Website-Besucher könnten ein überwiegendes Gegeninteresse haben; daher sollte unbedingt ein Opt-Out angeboten werden (wie es auch schon vor dem 25.05.2018 Pflicht war).

4.3) ... und was schreibt man nun in der Datenschutz-Unterrichtung?

Der folgende Text könnte für Klarheit sorgen:

    Sehr geehrte Website-Besucher,

    möglicherweise haben Sie von dem Positionspapier der deutschen Datenschutzkonferenz gehört, wo unter der Nummer 9 auch kurz das Thema "Einwilligung" im Zusammenhang mit "Tracking-Mechanismen und Nutzerprofilen" erwähnt ist.

    Wir haben uns intensiv mit diesem Thema auseinandergesetzt und kommen zu dem folgenden Ergebnis: Eine Einwilligung ist in der Tat wichtig, wenn es um Tracking und Nutzerprofile im Rahmen von Socialnetworks (facebook, google+, Xing etc.) oder in großen Werbenetzwerken geht.

    [Option 1:] Unsere Website nimmt keinen Kontakt zu solchen Socialnetworks auf, um dort Ihr Surfverhalten tracken zu lassen oder dort irgendwelche Nutzerprofile zu ergänzen. Dementsprechend holen wir auch keine solchen Einwilligungen von Ihnen ein.

    [Option 2:] Unsere Website nimmt durchaus Kontakt zu solchen Socialnetworks auf. Durch Ihren Mausklick auf "Like"-Buttons ergänzen Sie Ihr jeweiliges Nutzerprofil. Durch die von ihnen vorgenommene Aktivierung der Socialmedia-Plugins wird Ihre Chronik im jeweiligen Socialnetwork ergänzt. [...] All dies geschieht allein durch Ihre eindeutig bestätigende Handlung und wird als Einwilligung gewertet.

    Nach unserem Verständnis (und nicht nur unserem) bedeutet das oben genannte Positionspapier nicht, dass wir für unseren internen Website-Nutzungs-Statistiken eine Einwilligung einholen müssen. Wir teilen die Auffassung der Artikel-29-Datenschutzgruppe im Workingpaper-194 (im Kapitel 4.3 auf Seite 10), dass kein Risiko für Ihre Rechte und Freiheiten besteht. Auch die Aufsichtsbehörden haben sich in dem obigen DSK-Positionspapier ganz explizit diesem europäischen Rechtsverständnis angeschlossen.

    Seien Sie versichert, dass diese Statistiken im Ergebnis in keiner Form personenbezogen sind. Diese Statistiken sind für unser Unternehmen von großer Wichtigkeit und wir sehen darin ein berechtigtes Interesse; falls Sie dem widersprechen möchten, so bieten wir Ihnen selbstverständlich gerne eine "Opt-Out"-Möglichkeit an. [...]

5.) Literatur und Informationsquellen

Hier finden Sie weiterführende Quellen, die das Verständnis noch weiter verbessern:

  • Fachzeitschrift "DuD" 08/2016 Seite 523-527 ("Einbettung von Drittinhalten im Web")
    Zeig auf, welche Drittinhalte und -Dienste eine Website einbindet. Gerade im Gesundheitsbereich kann das sehr kritisch sein. Gut verständlich geschrieben.
     
  • Einschätzung der Gesellschaft für Datenschutz und Datensicherheit e.V. ("GDD")
    Es wird argumentiert, dass das Tracking von Nutzerverhalten auf Websites ähnlich wie "Direktwerbung" zu werten sei, und daher ein berechtigtes Interesse darstelle. Hingegen sein die Beeinträchtigung "umfassender Werbenetzwerke" höher und daher wohl Einwilligungspflichtig. Diese Einschätzung deckt sich 100%-ig mit der hier im Artikel begründeten Meinung.

 

Nutzen Sie den PrivazyPlan®, um auch bei solch komplizierten Fragestellungen immer auf dem aktuellen Stand zu sein.  

SecureDataService, Dipl. Ing. (FH) Nicholas Vollmer
Datenschutz / Impressum