Bisherige Opt-Out-Lösung nicht mehr datenschutzkonform?
Nach den bisherigen datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) ist der Einsatz von Analyse-Tools wie Google Analytics ohne vorherige Einwilligung des Nutzers möglich. Demnach genügt die sogenannte Opt-Out-Lösung. Der Webseitenbesucher muss also die Möglichkeit haben, dem Einsatz von Analysetools wie Google Analytics zu widersprechen. Die DSK vertritt aber bereits seit April 2018 die Auffassung, dass die Regelungen des TMG zum Tracking von Nutzerdaten nicht mehr gelten soll, was die Datenschützer in dem aktuellen Positionspapier nochmals unterstreichen - und wofür auch unseres Erachtens viel spricht.
Tracking von Nutzerdaten: Einwilligung oder berechtigtes Interesse erforderlich
Damit gilt aber die grundsätzliche Regelung des Datenschutzsechts: Entweder müssen die Nutzer in die Tackingmaßnahme eingewilligt haben oder aber der Webseitenbeteiber muss ein berechtigtes Interesse an der Tracking-Maßnahme nachweisen können. An beide Möglichkeiten stellt die DSK hohe Anforderungen.
Okay-Button im Cookie-Banner ist nicht ausreichend
Dabei stellen die Datenschützer klar, dass der bei den den meisten Cookie-Bannern verwendete Okay-Button nicht ausreicht, um eine wirksame Einwilligung des Nutzers zu holen. Vielmehr müssten die Nutzer die Möglichkeit haben, über ein Opt-In dem Setzen von Cookies aktiv zuzustimmen. Der Nutzer müsse eine freie und echte Wahl haben. Das bedeutet, dass er die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden. Der Besuch der Website muss also auch dann möglich sein, wenn der Nutzer keine Einwilligung erteilt, worauf kürzlich auch die niederländischen Datenschützer hingewiesen hatten. Im Ergebnis bedeutet dass, das die Trackingmaßnahme erst dann aktiv geschaltet werden darf, nachdem der Nutzer die Einwilligung erteilt hat. Dadurch können aber insbesondere die Absprungraten nicht mehr erfasst werden - eine sehr wertvolle Information.
Berechtigtes Interesse - hohe Anforderungen
Zwar - so die DSK in ihrem Positionspapier - liegen Reichweitenmessung und statistische Analysen im Sinne einer nutzerfreundlichen Ausgestaltung und Optimierung seiner Webseite durchaus im berechtigten Interesse des Webseitenbetreibers. Allerdings müssten diese auch erforderlich sein. Erforderlich ist eine Maßnahme nur dann, wenn keine milderes Mittel zur Verfügung steht.
Einsatz von Google Analytics ohne Einwilligung des Nutzers noch möglich?
Zwar werden in dem Positionspapier keine Namen von Analysetools genannt, aber der Einsatz von Google Analytics dürfte nach Auffassung der Datenschützer nicht mehr möglich sein, wenn keine Einwilligung des Nutzers eingeholt wurde. Denn, so die Datenschützer, sofern die über das Analystool über das Nutzungsverhalten eingeholte Daten an Dritte (also an Google) weitergegeben würden sei dies nicht mehr erforderlich in dem oben genannten Sinne. Für die Reichweitenmessung gebe es nämlich alternative Tools, die die weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln. Hiermit ist wohl Matomo Analytics (ehemals PIWIK) gemeint.
Weitere Hürde: Berechtigtes Interesse
Schließlich sei in einem dritten Schritt zu prüfen, ob die Trackingmaßnahme einer Interessenabwägung zwischen der grundrechtlich geschützten Position des Webseitenbesuchers auf der einen Seite und dem Interesse des Webseitenbetreibers an der Erhebung der Daten andererseits standhalte. Diese Abwägung müsse auf den konkreten Einzelfall bezogen werden. Die Datenschützer weisen insofern darauf hin, dass ein Nutzer eines Online-Shops für Gebrauchswaren ein anderes Schutzbedürfnis habe als ein Suchtkranker, der eine Online-Beratungsstelle besucht. Die Aufsichtsbehörden warnen deshalb davor, pauschale Feststellungen zu machen.
Google Analytics abschalten?
Zwar handelt es sich bei dem Positionspapier nur um eine Rechtsauffassung der Datenschutzbehörden und um keine verbindliche Regelung. Man sollte die Position der Datenschützer aber durchaus ernst nehmen. Es ist durchaus möglich, dass die eine oder andere Datenschutzbehörde sich dieses Themas annimmt. Allerdings haben die Datenschützer selbst auf die Vorläufigkeit ihrer Rechtsauffassung hingewiesen. Es steht zum einen eine einheitliche Positionierung der Europäschen Datenschutzbehörden aus. Zum anderen wird abzuwarten bleiben, welche Regelungen die ePrivacy-Verordnung zu diesem Punkt bringen wird. Diese hätte eigentlich noch in der aktuellen Legislatur des Europäschen Parlaments kommen sollen. Dass dies nicht passiert ist, zeigt wie hart hinter den Kulissen um die Interessen der Internetkonzerne, der Verlage und der Werbewirtschaft auf der einen Seite und den Interessen der Nutzer an einem wirksamen Datenschutz andererseits gerungen wird.
