Google Analytics und Co. nur noch mit Einwilligung der Nutzer?

Fachbeitrag

Die Entscheidung des EuGHs im Oktober trat eine regelrechte Lawine von Beiträgen à la „Cookies nur noch mit Einwilligung zulässig“ los. Dann veröffentlichten 13 deutsche Aufsichtsbehörden Pressemitteilungen zum Einsatz von Google Analytics. Und am 30. Januar kommt das mit Spannung erwartete, endgültige Urteil des Bundesgerichtshofs zu Planet 49. Steht damit das Tracking ohne Einwilligung nun endgültig vor dem Aus?

Abschließende Klärung durch das BGH-Urteil?

Zunächst ist festzuhalten, dass die Vorlagefragen, welche der EuGH in seinem Planet 49 Urteil entschieden hat, sich maßgeblich nur um die Frage drehen, „wie“ eine Einwilligung einzuholen ist. Darüber hinaus hatte sich der EuGH anders als noch der Generalanwalt nicht zu der besonderen Situation in Deutschland geäußert. Hierzulande ist die Cookie Richtlinie laut Bundesregierung und EU-Kommission durch das Telemediengesetz umgesetzt worden. Diese Auffassung wurde von vielen Stimmen angezweifelt, da der Wortlaut der §§ 12,15 TMG und des Artikel 5 Abs. 3 ePrivacy-Richtlinie deutliche Unterschiede aufweisen.

Aus diesen beiden Gründen wird die Entscheidung des BGHs wohl keine neuen Erkenntnisse bringen, ob ein Tracking ohne Einwilligung rechtlich möglich ist. Sie wird aber die umstrittene Frage klären, ob und wie die Vorgaben der ePrivacy-Richtlinie in Deutschland aktuell gelten. Dies hatte auch die Datenschutzkonferenz in ihrem OTH für Telemedienabieter sehr ausführlich geprüft. Demnach stehen drei Szenarien im Raum:

  • Die ePrivacy-Richtlinie sei nicht umgesetzt worden. Aufgrund des Anwendungsvorrangs gelte aktuell nur die DSGVO.
  • Die Vorschriften des TMG können richtlinienkonform ausgelegt werden.
  • Die ePrivacy-Richtlinie sei direkt anwendbar und entfalte unmittelbare Wirkung.

Für die Eingangsfrage ist es aber wenig relevant, welche dieser drei Antworten der BGH in seinem Urteil wählt. Denn auch bei einer alleinigen Anwendung der DSGVO müsste bei der Abwägung der entgegenstehenden Interessen im Rahmen des Art. 6 Abs. 1 f) DSGVO die Wertung der ePrivacy-Richtlinie berücksichtigt werden. (Wie eine solche Abwägung konkret aussehen kann, zeigt der lesenswerte Artikel der Kollegin Nina Diercks).

Die Gretchenfrage: Was ist eigentlich unbedingt erforderlich?

In Zukunft wird es daher darauf ankommen, ob das Tracking ohne Einwilligung, von einem der Ausnahmetatbestände des Art. 5 Abs. 3 der ePrivacy-Richtlinie gedeckt ist. Dieser fordert grundsätzlich eine Einwilligung für das Speichern von und Zugreifen auf Informationen (es geht also nicht nur um Cookies). Es sei denn wenn,

„[…] dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“

Die Gretchenfrage ist daher, was ist unbedingt erforderlich? Das ist ein weitgehend unbeackertes Feld. Bisher sind zu dem Begriff der Erforderlichkeit noch keine Urteile ergangen. Auch in der Literatur finden sich kaum Ausführungen. Zudem beziehen sich die Antworten meist auf das Working Paper 194 der Artikel-29-Datenschutzgruppe. In diesem haben sich die europäischen Aufsichtsbehörden 2012 daran versucht, die Ausnahmetatbestände des Art. 5 Abs. 3 zu analysieren. Im Kriterium B wird die Erforderlichkeit definiert. Eine solche läge vor, wenn gleichzeitig folgende zwei Voraussetzungen vorliegen:

  1. Ein Cookie ist erforderlich, um dem Nutzer eine bestimmte Funktion zur Verfügung zu stellen: Wenn Cookies deaktiviert sind, ist die Funktion nicht verfügbar.
  2. Die Funktion wurde vom Nutzer als Teil eines Dienstes der Informationsgesellschaft ausdrücklich angefordert.

Als Beispiele hierfür werden User-Input-Cookies (z.B. Warenkorb), Authentifizierungscookies, nutzerorientierte Sicherheitscookies, Multimedia-Player-Sitzungscookies und Cookies zur Anpassung der Benutzeroberfläche genannt.

Anders verhalte es sich mit First-Party-Analysecookies (auf Third-Party-Analysecookies wird dabei nicht eigegangen, nur auf Third-Party-Cookies zu Werbezwecken). Diese stellen zwar kaum ein Datenschutzrisiko dar. Sie seien aber – anders als Betreiber von Websites – aus Sicht des Nutzers nicht unbedingt für die ausdrücklich gewünschte Funktion erforderlich. Denn genau genommen könne der Nutzer auch dann auf alle Funktionen der Website zugreifen, wenn derartige Cookies deaktiviert sind.

Kritik am WP 194

Eine konsequente Anwendung der beiden Voraussetzungen des Kriterium B bereitet Schwierigkeiten. So fallen dabei Wiedersprüche zu den weiteren Ausführungen und Beispielen auf. Es erschließt sich bspw. nicht, wieso nutzerorientierte Sicherheitscookies unter das Kriterium B fallen. Ebenso wie bei First-Party-Analysecookies könnte der Nutzer immer noch auf alle Funktionen der Website zugreifen, wenn man diese deaktiviert.

Zudem ist fraglich, ob Multimedia-Player-Sitzungscookies immer Teil eines vom Nutzer ausdrücklich angeforderten Dienstes sind. Bei einem Autoplay-Video auf einer Nachrichtenseite würden das die meisten Nutzer wohl verneinen. Dagegen spricht bei den im Papier explizit erlaubten Flash-Cookies auch deren höhere Eingriffsintensität gegenüber HTTP-Cookies. Denn sie sind von der Browser-Verwaltung ausgenommen. Stattdessen werden sie über das Flash-Player-Plugin verarbeitet. Das erschwert es für den Nutzer, die Verwendung derartiger Cookies erfolgreich abzulehnen. Von den Sicherheitslücken ganz zu schweigen.

Diese Wiedersprüche und der Einbezug von weiteren Parametern wie First- und Third-Party und Zweck und Lebensdauer lassen vielmehr vermuten, dass sich die Erforderlichkeit nach Ansicht der Aufsichtsbehörden danach bestimmen soll, ob die konkrete Ausgestaltung des oder Verarbeitung durch das Cookie im Interesse des Nutzers geschehen.

Ähnlich führte die belgische Datenschutzaufsichtsbehörde 2019 in einem Bußgeldbescheid wegen der Nutzung von Google Analytics aus,

„dass die Ausnahme unbedingt erforderlich im Einklang mit den Schutzzielen des europäischen Datenschutzrechts dahingehend auszulegen sei, dass Cookies im Interesse des Webseitenbesuchers und nicht im (ausschließlichen) Interesse des Anbieters der Webseite gesetzt werden (S. 32).“

Was liegt im Interesse des Webseitenbesuchers?

Damit wird die Antwort auf die Frage, was denn unbedingt erforderlich ist, nicht klarer. Vielmehr wird ein unbestimmter Begriff durch einen anderen ausgetauscht. Zu beiden kann man unterschiedliche subjektive Meinungen haben. Bei der Auslegung wirkt erschwerend, dass in den seltensten Fällen Cookies im ausschließlichen Interesse des Nutzers liegen. Denn Benutzerfreundlichkeit ist immer auch ein (wenn nicht sogar das) Verkaufsargument.

Ein Warenkorb ermöglicht es dem Nutzer mehrere Artikel zu kaufen. Der Anbieter nutzt ihn im Rahmen der Warenkorb-Optimierung zur Absatzsteigerung. Netflix ermöglicht bequemes Binge Watching mit fehlendem Abspann und Autoplay der nächsten Episode. Die durchschnittliche Nutzungsdauer im Vergleich zum Fernsehen ist neben der Abonnentenzahl die wichtigste Metrik für die Aktionäre des Konzerns. Die Grenze an der das Interesse des Webseitenbetreibers dem des Besuchers an einem Cookie überwiegt, ist somit meist nicht trennscharf zu bestimmen. Es ist wie so oft eine Einzelfallentscheidung. Dabei kommt es immer auch auf die konkrete Ausgestaltung an.

So ist es vertretbar, dass Cookies die für eine statistische Auswertung oder für Tests zur Messung der relativen Leistung verschiedener Versionen derselben Website („A/B-Tests“) eingesetzt werden, um die Gestaltung des Dienstes entsprechend der Nutzerinteraktionen zu optimieren, wertungsmäßig noch im überwiegenden Interesse der Nutzer liegen. Insbesondere dann, wenn der Anbieter zusätzlich technische Maßnahmen trifft, um den Eingriff in das Endgerät des Nutzers so gering wie möglich zu halten.

Denn bei den dadurch getroffenen Maßnahmen würden viele beim Supermarkt um die Ecke davon ausgehen, dass sie noch im überwiegenden Interesse des Käufers geschehen. Denn mit dem Betreten des Ladens, zeigt der potentielle Kunde schon einmal eine Kaufabsicht bei diesem Verkäufer an. Sicherlich, ansprechendes Obst und Gemüse, der Duft von frisch Gebackenem am Eingang, die Tiefkühlprodukte am Ende des Ladens, teure Produkte oben im Regal, billige Produkte unten und die für den Supermarkt umsatzstärksten Produkte in der Mitte, diese strategische Anordnung dient der Absatzförderung. Anderseits weist der Supermarkt dadurch eine Struktur auf, in welcher sich der Käufer zurechtfindet und sein Tageseinkauf wie beabsichtigt sinnvoll erledigen kann. Wären die Waren hingegen willkürlich oder nach einem System angeordnet, welches sich nur dem Verkäufer erschließt, wäre dies oft nicht der Fall. Zudem ist „im echten Leben“ hier schon zivilrechtlich ein vorvertragliches Schuldverhältnis entstanden, welches nach § 241 Abs. 2 BGB beide Parteien in einem gewissen Rahmen verpflichtet, auf die gegenseitigen Rechte, Rechtsgüter und Interessen Rücksicht zu nehmen. Vor dieser Wertung erschließt es sich nicht, wieso im Internet beim Ansurfen einer Website, eine für den Nutzer vorteilhafter Cookie nicht mehr in dessen Interesse liegen sollte nur, weil dieser auch von (größerem) Interesse für den Anbieter ist.

Auch die belgische Aufsichtsbehörde erwähnte in ihrem Bescheid nachdrücklich, dass das Bußgeld die hier dargesteltte Wertung nicht generell ausschließe. Eine statistische Auswertung könne für die Erbringung einer vom Betroffenen gewünschten Dienstleistung unbedingt erforderlich sein, um z.B. Navigationsprobleme zu erkennen. Nur war dies hier nicht der Fall. Der Betreiber nutzte Google Analytics auch Google Adsense. Letzteres erfordert immer eine Einwilligung. Daher befasste sich die Behörde damit nicht weiter.

Ausführungen der CNIL zu Tracking ohne Einwilligung

Diese Wertung vertritt auch die französische Datenschutzaufsichtsbehörde (CNIL). In ihren sehr brauchbaren Guidelines zu Art. 82 der „Loi Informatique et Libertés“ (der nationalen Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie) stellt sie im Artikel 5 fest, dass eine Webanalyse im engen Rahmen durchaus ohne Einwilligung der Nutzer als unbedingt erforderlich gelten kann. Dafür müssen die folgenden Bedingungen eingehalten werden:

  • Sie müssen vom Betreiber der Website oder seinem Subunternehmer durchgeführt werden;
  • Der Einzelne muss vor der Umsetzung informiert werden;
  • Die Person muss die Möglichkeit haben, über einen Einspruchsmechanismus zu widersprechen, der leicht auf allen Endgeräten, Betriebssystemen, Anwendungen und Webbrowsern verwendet werden kann. An dem Endgerät, von dem aus die Person widersprochen hat, darf kein Lese- oder Schreibvorgang stattfinden;
  • Der Zweck der Analyse muss sich darauf beschränken, die Bewertung veröffentlichter Inhalte und der Benutzerfreundlichkeit der Webseite zu ermöglichen, das Publikum der Website in Kohorten zu segmentieren, um die Wirksamkeit redaktionellen Entscheidungen zu bewerten oder eine Website dynamisch zu verbessern;
  • Die erhobenen personenbezogenen Daten dürfen nicht mit anderen Verarbeitungen (z.B. Kundendateien oder Statistiken über Besuche auf anderen Websites) abgeglichen oder an Dritte weitergegeben werden;
  • Der Einsatz muss auf eine einzige Website oder eine einzige mobile Anwendungen beschränken und darf nicht die Verfolgung über verschiedene Apps oder Websites ermöglichen;
  • Der Einsatz von Trackern muss strikt auf die Erstellung anonymer Statistiken beschränkt werden;
  • Die Verwendung der IP-Adresse zur Geolokalisierung des Internetnutzers darf keine genaueren Angaben als die Stadt enthalten. Die gesammelte IP-Adresse muss ebenfalls gelöscht oder anonymisiert werden, sobald die Geolokalisierung durchgeführt wurde;
  • Die für diese Verarbeitung verwendeten Tracker dürfen eine Speicherdauer von höchstens dreizehn Monaten haben, und diese darf bei neuen Besuchen nicht automatisch verlängert werden. Die mit Hilfe der Cookies gesammelten Informationen sind höchstens 25 Monate lang aufzubewahren.

Es geht also auch anders

Gerade die Guidelines der CNIL zeigen, dass man sich durchaus differenziert mit der Frage auseinandersetzten kann, ob der Einsatz von Tracking immer gleichbedeutend mit der Einholung einer Einwilligung ist. Die pauschale Behauptung der deutschen Aufsichtsbehörden Google Analytics (und andere Tracking-Angebote) könnte nicht ohne eine Einwilligung eingesetzt, scheint vor den hier ausgebreiteten Hintergründen abwegig. Bisher haben sich kaum Akteure – mal abgesehen von den Aufsichtsbehörden – mit dem Artikel 5 der ePrivacy-Richtlinie näher auseinandergesetzt. Der Argumentationsspielraum ist hier dementsprechend groß.

Unter Verweis auf die Ansichten der anderen europäischen Aufsichtsbehörden scheint es uns aktuell noch gut vertretbar, dass eine Webseitenanalyse (bei entsprechender Ausgestaltung) als unbedingt erforderlich i.S.d. Art. 5 Abs. 3 Satz 2 ePrivacy-Richtlinie gelten kann. Aufgrund der zur Zeit bei den Behörden anhängigen Beschwerden über den Einsatz von Google Analytics dürfte der Beginn der gerichtlichen Klärung hierzulande nach dem eingangs erwähnten BGH-Urteil nicht lange auf sich warten lassen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

7 Kommentare zu diesem Beitrag

  1. Das pauschale Aussagen immer mit Skepsis begegnet werden sollten, ist grds. ja immer ein guter Hinweis.

    Aber wie genau soll sichergestellt sein, bzw. wie soll darauf Einfluss genommen werden, dass:
    Die erhobenen personenbezogenen Daten nicht mit anderen Verarbeitungen ( abgeglichen oder an Dritte weitergegeben werden. Und wie wollen Sie nachweisen, dass die für diese Verarbeitung verwendeten Tracker eine Speicherdauer von höchstens dreizehn Monaten haben, wenn Sie Google Analytics nutzen ?

    Beides halte ich für nicht umsetzbar.

    • Dafür hat der Gesetzgeber Sorge getragen, indem er zwischen (gemeinsam) Verantwortliche und Auftragsverarbeiter unterscheidet und die Auftragsverarbeitung in den Art. 28, 29, 82, 84 DSGVO umfassend regelt. Insbesondere die Anforderungen des Art. 28 Abs. 3 DSGVO sollen sicherstellen, dass der Auftragsverarbeiter nach dem Inhalt des Auftragsverhältnisses rechtlich / gesetzlich unter Strafandrohung an Rechte und Pflichten gebunden ist.

      Zur zweiten Fragen, ein Cookie ist eine Textdatei, die auf dem Endgerät des Nutzers gespeichert wird. In dieser ist auch die Speicherdauer des Cookies hinterlegt. (Mehr Infos finden Sie in unserem Beitrag Cookies – Funktion und Aufbau einfach erklärt) Die Google Analytics Cookies werden z.B. durch einen JavaScript-Code ausgespielt, den man auf der Website eingebunden hat. Dieser kann entsprechend angepasst werden, damit die gesetzen Cookies eine kürzere Lebensdauer haben. Nähere Infos dazu gibt es Developers Bereich zu Analytics unter der eingesetzen JavaScript-Bibliothek bei den „Themen für Fortgeschrittene“ im Unterpunkt „Cookies and User Identification“.

  2. Stellen Sie sich vor sie beschreiten einen Dessous-Laden und ab Eingangstüre folgt Ihnen jemand auf Schritt und Tritt. Er schaut Ihnen konsequent über die Schulter, nimmt alles in die Hand was Sie zurücklegen und notiert sich bei der Bezahlung ob Sie mit Visa oder Mastercard gezahlt haben, drückt auf die Stoppuhr und stellt sich wieder zum Eingang. Wenn Sie den Verfolger ansprechen sagt er Ihnen, das sei gesetzeskonform aber auf Wunsch würde er sich zurückziehen. Beim Ihrem nächsten Besuch steht DERSELBE Kerl wieder dort – fühlen Sie sich wohl?
    Unternehmen sollten wieder verstehen, dass es hier um Menschen und Ihre Privatspähre geht. Fragen Sie Ihre Kunden STICHPROBENARTIG, ob Sie Daten über Sie erheben dürfen und verbinden Sie das mit einem 5-Euro-Voucher. Ihre Datenqualität wird steigen (auch und vor allem, weil weniger ungerichtete Quantität), Ihre Kunden freuen sich, fühlen sich sicher und vertrauen ihnen.

    • Das Bild, welches Sie zeichnen, ist meines Erachtens nicht stimmig. Das von Ihnen beschworene Unwohlsein hängt abgesehen vom Einkaufsort maßgeblich davon ab, dass Sie ein und dieselbe Person in dem Laden verfolgt und diese Sie als Individuum wiedererkennen kann. Der Vergleich passt zu einem Tracking, bei dem die erhobenen Daten einer Unique User-ID zugeordnet werden. Ein solches fällt aber nicht unter die im Beitrag beschriebene Ausnahme. Hier geht es um eine Auswertung bei der technisch sichergestellt wird, dass der Anbieter am Ende nur eine anonyme Statistik erhält. Das Bild wäre als eher eine Druckplatte im Boden vor jedem Artikel, die registriert wie viele Personen für wie lange vor diesem stehen bleiben und ob dieser aus dem Regal genommen wurde. Am Ende des Tages erhält die Person eine Übersicht zu den gesammelten Daten.

      Auch verstehe ich die Wertung nicht, inwiefern es sinnvoller ist, seinen Nutzer mit geringen ökonomischen Vorteilen ihre Einwilligung für einen wahrscheinlich intensiveren Eingriff in ihre Privatsphäre abzukaufen (à la Payback), anstatt bei einem weniger intensiven Eingriff einmal einen aktiven Widerspruch zu fordern, der dann konsequent beachtet wird.

  3. Sie kritisieren die Aufsichtsbehörden – nach juristischem Maßstab („abwegig“) – ziemlich heftig. Leider haben Sie offensichtlich – ebenso wie Stephan Hansen-Oest – den Sachverhalt selbst nicht ausreichend erfasst. Denn Google Analytics geht weit über das hinaus, was auch die CNIL für zulässig hält. Google behält sich vertraglich vor, die Daten zu eigenen Zwecken zu verwenden. Und die Standard-Einstellungen nutzen gleich noch Zusatz-Datenweitergaben an Google. Beides führt zur Einwilligungsbedürftigkeit und zur gemeinsamen Verantwortlichkeit.

    • Wie so häufig kommt es darauf an. Google Analytics kann weit über das, was die CNIL für zulässig hält, hinausgehen. In einer Minimalimplementierung ist dies aber nicht der Fall. Hier schließt man mit Google ein Vertrag zur Auftragsverarbeitung. Diese erheben und verarbeiten „Google Analytics Daten im Namen und gemäß Weisung unserer Kunden. […] Unsere Kunden sind dabei Datenverantwortliche, die jederzeit sämtliche Rechte in Bezug auf die Erhebung, den Zugriff, die Aufbewahrung und das Löschen ihrer Daten haben.“

      Nach eigenen Anhaben werden die Google Analytics-Daten genutzt,

      „um unseren Kunden die Analysedienste von Google Analytics zur Verfügung zu stellen. Mithilfe von Kennzeichnungen wie Cookies und App-Instanz-IDs werden die Interaktionen der Nutzer mit den Websites bzw. Apps eines Kunden gemessen. IP-Adressen werden verwendet, um die Sicherheit des Diensts zu gewährleisten und dem Kunden Aufschluss darüber zu geben, woher seine Nutzer stammen.“

      Uns liegen keine Kenntnisse vor, dass es dabei zu einer zweckwidrigen Nutzung durch Google oder einer Verknüpfung der Daten mit anderen Quellen kommt. Zudem wäre Google, wenn sie tatsächlich Daten für eigene Zwecke weiterverarbeiten würden, dafür nach Art. 29 DSGVO, Art. 28 Abs. 10 DSGVO alleine verantwortlich.

      Wenn Sie mit Standard-Einstellungen, das Annehmen der vorangekreuzten Auswahl beim Erstellen einer Tracking ID meinen, haben Sie natürlich recht. In diesem Fall wird die erweiterte Berichterstattung aktiviert. Im Zuge der Registrierung muss dann aber auch den Controller-Controller Data Protection Terms zugestimmt werden. Man schließt also einen Vertrag zur Gemeinsamen Verantwortlichkeit mit Google ab. Zudem weist Google den Nutzer ausdrücklich darauf hin, dass eine wirksame Einwilligung einzuholen ist.

  4. Liebes Team von Dr Datenschutz. Liebes Team von Intersoft Consulting. Als Online Marketing Experte möchte ich erstmal drauf hinweisen, dass es wirklich beeindruckend ist, was ihr im Online-Marketing erreicht habt. Eure Visibilität ist genauso erstaunlich genauso wie euer Usability. Wirklich mega Respekt. Ganz tolle Arbeit… so nun zu meinem Anliegen wegen Datenschutz und Google Analytics. Grundsätzlich würde ich es super finden wenn ich in meinem Browser eine grundsätzliche Einstellung finden könnte wie ich zukünftig mit diesem Datenschutz umgehen möchte. Denn so könnte ich es mir ersparen bei jedem Besuch der Homepage es immer wieder die dementsprechenden Seiten ein zu klicken. Glaubt ihr dass die Browser zukünftig so ein System entwickeln werdet? Eine andere innovative Idee ist dass man immer mit seinem Finger screen oder mit seinem Gesicht auf dem Besuch der jeweiligen Webseiten sofort signalisiert welche Einstellung man grundsätzlich befürwortet beim Webseitenbesuch. Was haltet ihr davon? Freue mich sehr auf eure Rückmeldung. Aller beste Grüße. Winni aus Hannover.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.