Viele Webseitenbetreiber setzen noch auf einen veralteten Cookie-Hinweis bzw. Consent Management Platform (CMP), oder berufen sich auf ihr berechtigtes Interesse an der Verarbeitung. Dabei riskieren sie erhebliche Bußgelder durch die Aufsichtsbehörden.
Kannengießer & Sauer Rechtsanwälte aus Düsseldorf sind hoch spezialisiert im Datenschutzrecht und helfen großen und kleinen Unternehmen, den Durchblick in diesem sich stets wandelnden Rechtsgebiet zu behalten. Ihr Ansprechpartner im Datenschutzrecht ist Rechtsanwalt Kannengießer.
Tracking und Analyse-Cookies bedürfen der Einwilligung
Ob die Analyse von Nutzungsdaten und die damit einhergehende Speicherung eines entsprechenden Cookies immer einer expliziten Einwilligung bedarf, ist derzeit umstritten. Gerade große Medienoutlets, aber auch Betreiber kleinerer Webseiten, stützen sich auf ihr berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S. 1 lit. f DSGVO, die Nutzung ihrer Webseite ausführlich analysieren zu dürfen und betreiben diese gänzlich ohne Cookie-Hinweis. Hintergrund ist oft der deutliche Mehrerlös durch personalisierte Werbung.
Die jeweiligen Erlaubnistatbestände des Art. 6 DSGVO stehen nebeneinander, was bedeutet, dass es keiner expliziten Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO bedarf, wenn die Verarbeitung ein berechtigtes Interesse des Verantwortlichen darstellt.
Berechtigtes Interesse des Betreibers
Oft wird vertreten, dass Tracking auch ohne Einwilligung des Nutzers vom berechtigten Interesse getragen sei, solange der Betreiber keine direkten personenbezogenen Daten des Nutzers verarbeitet. Dies ist bspw. dann der Fall, wenn bei Google Analytics die IP-Anonymisierung aktiviert ist.
Die Datenschutzkonferenz und gewichtige Stimmen in der Literatur (hier die LDI NRW) vertreten die Auffassung, dass auch bei anonymisierter Verarbeitung der IP-Adresse, ein datenschutzrechtlicher Vorgang vorliegt, wenn eine Person durch Sammeln von Verhaltensdaten profiliert wird, um sie durch Werbung gezielt anzusprechen. Die Erstellung eines solchen Verhaltensprofils weist in Summe eine Personenbeziehbarkeit auf, die entsprechend personenbezogener Daten behandelt wird.
Auch sollten Betreiber beachten, dass wenn sie die Verarbeitung auf ihr berechtigtes Interesse stützen, dieses Interesse die Grundfreiheiten und Grundrechte der betroffenen Person überwiegen muss. Laut der Datenschutzkonferenz ist dies nicht der Fall, wenn die gesammelten Verhaltensdaten an einen Dritten weitergegeben werden, der diese zur Gewinnerzielung verarbeitet. Nichts anderes ist bei Google und sozialen Netzwerken der Fall. Auch wird mancherorts vertreten, dass bereits die Speicherung von identifizierenden Cookies (sog. Identifiers) – ohne Einwilligung des Nutzers – einen Verstoß gegen das Recht auf Vertraulichkeit der Kommunikation darstellt.
Analytics nur mit Cookie-Hinweis und Einwilligung
Demnach ist beispielsweise der Cookie von Google Analytics ohne Einwilligung des Nutzers nicht mehr vom berechtigten Interesse des Betreibers gedeckt. Auch mit aktivierter IP-Anonymisierung erstellt Analytics ein Verhaltensprofil des jeweiligen Nutzers und nutzt dieses kommerziell. Bei Cookies von sozialen Netzwerken dürfte man zu keiner anderen Bewertung gelangen.
Lösung für Webseitenbetreiber
Wenn man als Webseitenbetreiber also kein Bußgeld riskieren, aber auch keinen Cookie-Hinweis ausspielen möchte, so sollte man ein lokales Analysetool nutzen und auf Google Analytics und Cookies von sozialen Netzwerken in Gänze verzichten. Analysetools, die die Nutzerdaten lokal, also auf den Servern des Betreibers speichern, verwenden die gewonnen Daten logischerweise nicht zu eigenen, kommerziellen Zwecken. Aber auch hier ist darauf zu achten, dass keine personenbezogenen Daten (IP-Adressen) direkt verarbeitet werden.
Auch sollten Webseitenbetreiber unbedingt darauf achten, dass der verwendete Cookie-Hinweis den Anforderungen des EuGH an eine wirksame Einwilligung gerecht wird. Insbesondere dürfen keine Angaben vorausgewählt sein und ein Cookie darf auch erst nach Erteilung der Einwilligung gespeichert werden.
Fragen Sie uns
Gerne helfen wir Ihnen dabei, die rechtlichen Voraussetzungen des Cookie Consents, aber auch andere datenschutzrechtliche Voraussetzungen zu erfüllen. Dabei haben wir bereits jetzt die Anforderungen der ePrivacy-Verordnung im Blick und machen Ihr Unternehmen sicher für die Zukunft.
Fragen Sie unverbindlich an.