Gründer FAQ: Was erlaubt ist und was nicht - Ein Überblick über über die aktuelle Rechtslage
Tracking, Webanalyse, Cookies: Was müssen Webseitenbetreiber beachten?
Featured image: faithie - adobe.stock.com
Inhaltsverzeichnis
- Rechtliche Vorgaben für Tracking, Reichweitenmessung und Cookies
- Einwilligung rechtssicher einholen
- Rechtliche Konsequenzen bei Verstößen
Gesamtes Inhaltsverzeichnis anzeigen
Cookie-Banner sind inzwischen allgegenwärtig. Auf praktisch jeder Website muss man sich durch riesige Banner klicken. Doch was sind Cookies eigentlich? Cookies sind kleine Textdateien zur Erkennung von Nutzern, die Webseitenbetreiber auf dem Computer des Nutzers speichern. Manche erleichtern Nutzern die Bedienung einer Webseite bzw. die Seite kann ohne sie nicht betrieben werden. Andere Cookies werden aber genutzt, um das Nutzerverhalten über mehrere Webseiten hinweg zu analysieren und personalisierte Werbeanzeigen zu platzieren. Dabei werden teilweise auch personenbezogene Daten der Nutzer erhoben, um individualisierte Nutzerprofile zu erstellen und Menschen gezielt passende Werbung ausspielen zu können.
Lange Zeit war die Rechtslage im Hinblick auf Cookies in Deutschland recht verworren. Deshalb nutzten viele Webseitenbetreiber einfach einen „ok“-Button, auf den die Besucher klicken sollten – aber keine echte Wahlmöglichkeit hatten. Das hat sich mittlerweile geändert. Doch wie sieht die Rechtslage jetzt aus?
eBook
22 geniale Möglichkeiten um 2024 einfach online Geld zu verdienen
Schnapp dir jetzt unser kostenloses eBook und starte mit deinem eigenen Online Business durch!
Rechtliche Vorgaben für Tracking, Reichweitenmessung und Cookies
Auf welcher Rechtsgrundlage können Unternehmen überhaupt Tracking- bzw. Analysemaßnahmen durchführen und Cookies setzen? Die bereits seit längerem angekündigte ePrivacy-Verordnung, die das Thema Cookies EU-weit regeln sollte, ist immer noch nicht in Sicht. Daher sind aktuell zwei Gesetze entscheidend:
1. Das TTDSG für Cookies & Co.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) setzt die ePrivacy-Richtlinie der EU um und hat diesbezüglich am 1.12.2021 das alte Telemediengesetz (TMG) abgelöst. Die Richtlinie und das auf ihr basierende Gesetz dienen allgemein dem Schutz von Endgeräten wie PCs und Smartphones vor dem Zugriff durch Dritte. Artikel 5 Abs. 3 der Richtlinie regelt den Fall, dass Informationen auf den Endgeräten Informationen gespeichert werden bzw. auf Informationen auf deren Endgeräten zugegriffen wird. Hauptanwendungsfall ist das Setzen von Cookies. Nach einem langen Hin und Her zwischen deutschen und europäischen Institutionen und Gerichten (EuGH, Urt. v. 1. Oktober 2019, C-673/17 – PLANET49; BGH, Urt. v. 28. Mai 2020, Az. I ZR 7/16 – Cookie-Einwilligung II) wird Artikel 5 Abs. 3 der ePrivacy-Richtlinie nun in § 25 des TTDSG richtig umgesetzt.
Wann ist das Setzen von Cookies zulässig?
Danach ist das Setzen von Cookies grundsätzlich nur zulässig, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung ist nach dem Gesetz nur dann nicht nötig, wenn der Cookie „unbedingt erforderlich“ wäre, damit der Anbieter einen vom Nutzer „ausdrücklich gewünschten“ Dienst zur Verfügung stellen kann. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies, sondern nur verschiedene Ansichten dazu – auch von den Datenschutzbehörden. Der aktuelle Stand ist folgender:
- Technisch notwendig sind sicherlich Session- bzw. Warenkorb-Cookies, solche zum Login-Status, der Sprachauswahl oder der Sicherheit der Nutzer.
- Bei Komfortfunktionen gehen die Ansichten auseinander, ob dies technisch erforderlich ist.
- Tracking allein zu Marketing- und Werbezwecken (z.B. Konversionsmessung, personalisierte Werbung über mehrere Webseiten hinweg oder die Bildung von Nutzerprofilen) ist hingegen nicht unbedingt erforderlich. Daher bedarf es auch auf dieser Grundlage einer Einwilligung der Nutzer.
- Unsicher ist die Rechtslage bei der reinen Reichweitenmessung – dazu gleich mehr.
Allerdings gilt diese Rechtsgrundlage nur für das Setzen von Cookies bzw. das pseudonymisierte Messen etwa der Öffnungs- und Klickrate eines Newsletters – nicht aber für das Verarbeiten der personenbezogenen Daten, die mittels Tracking gesammelt werden.
2. Die Datenschutzgrundverordnung (DSGVO) für personenbezogene Daten
Alles, was nach dem Speichern bzw. Abrufen von Informationen auf den Endgeräten passiert, ist an der DSGVO zu messen – zumindest, soweit die gesammelten Informationen personenbezogene Daten sind. Nach Artikel 4 Abs. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bereits bei der IP-Adresse handelt es sich um ein personenbezogenes Datum. Dies gilt erst Recht für individualisierte Nutzungsprofile, die durch Tracking des Nutzerverhaltens erstellt werden. Wer also personenbezogene Daten verarbeitet, muss sich dafür auf eine Rechtsgrundlage der DSGVO stützen können. In der Regel wird dies eine Einwilligung der Nutzer nach Art. 6 Abs. 1 S. 1 lit. a DSGVO sein. Das gilt insbesondere, wenn beim Tracking personenbezogene Daten erhoben und zur Bildung von Nutzerprofilen, zur Verfolgung über mehrere Webseiten hinweg oder für personalisierte Werbung genutzt werden.
Einwilligung rechtssicher einholen
Letztlich läuft es also auf folgendes hinaus: Mit der Änderung der Rechtslage mussten also sehr viele Seiten-Betreiber ihre Cookie-Banner ändern. Nutzer müssen nun eigentlich immer die Möglichkeit haben, aktiv in „nicht notwendige“ Cookies und das Sammeln personenbezogener Daten zu Marketingzwecken einzuwilligen.
Voraussetzungen
Wie aber muss diese Einwilligung dann eingeholt werden? Wer eine Einwilligung für Tracking-Maßnahmen einholen möchte, muss darauf achten, dass die Einwilligung die Anforderungen von § 25 TTDSG und Art. 6 Abs. 1 S. 1 lit a., 7 DSGVO erfüllt. Konkret bedeutet das:
Der Einwilligungstext muss beim ersten Aufruf der Seite eingeblendet werden. Erst, wenn der Nutzer aktiv eingewilligt hat, dürfen nicht technisch notwendige Cookies gesetzt und ggf. personenbezogene Daten erhoben werden. Dabei sind nach der DSGVO folgende Voraussetzungen zu beachten (wer diese Voraussetzungen einhält, handelt auch im Einklang mit dem TTDSG):
- Die Einwilligung muss sich auf die konkreten Tracking-Maßnahmen und ihre konkrete Art der Verarbeitungszwecke beziehen. Der User muss also ausreichend über die Reichweite der Einwilligung und darüber informiert werden, welche Cookies gesetzt und welche Daten gesammelt werden.
- Ist ein Drittanbieter beteiligt, gehört dies ebenfalls zu den wichtigen Informationen. Lediglich zu den Details können Unternehmen auf ihre Datenschutzerklärung verlinken. Dementsprechend ist es wichtig, in der Datenschutzerklärung genaue Informationen über Tracking und Profiling mit aufzunehmen.
- Die Einwilligung muss freiwillig erteilt werden. Der Einwilligende muss eine echte und freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Aufgrund des sog. „Kopplungsverbots“ nach Art. 7 Abs. 4 DSGVO darf eine Vertragserfüllung nicht mehr von einer Einwilligung in die Datenverarbeitung zu Marketingzwecken abhängig gemacht werden.
- Der Einwilligungstext muss klar formuliert sein.
- Der Text muss gut zugänglich sein.
- Die Nutzer müssen deutlich auf die Widerrufsmöglichkeit hingewiesen werden.
- Das versendende Unternehmen muss die Einwilligung später nachweisen können. Daher ist hier auf das Double-Opt-In-Verfahren zu achten.
Nach dem EuGH zur ePrivacy-Richtlinie und dem darauf folgenden BGH-Urteil ist außerdem klar, dass der Nutzer selbst aktiv werden und z.B. ein Kontrollkästchen anklicken muss, um den Empfang des Newsletters inklusive aller Tracking-Maßnahmen zu bestätigen. Voreingestellte Kästchen sind hingegen nicht zulässig.
Rechtskonforme Gestaltung von Cookie-Bannern
Unklar ist derzeit noch, wie solche Cookie-Banner aussehen müssen bzw. dürfen. Müssen die Schaltflächen „einwilligen“ und „ablehnen“ gleichberechtigt nebeneinander stehen? Oder ist es zulässig, dass der Nutzer erst auf „weitere Informationen“ klicken muss, um seine Ablehnung kundzutun – so wie es derzeit die meisten Webseitenbetreiber handhaben? Das nennt man im Tech-Jargon auch „Dark Pattern“. Mit dieser Gestaltung sollen die Besucher dazu gebracht werden, die nicht ihren eigentlichen Absichten entspricht. Schließlich klickt man aus reiner Genervtheit eher auf „akzeptieren“, als auf „weitere Infos“, um dann herunterzuscrollen und ganz am Ende auf „ablehnen“ zu klicken.
Eine weitere offene Rechtsfrage ist: Darf die Nutzung einer Webseite an die Einwilligung in das Setzen von Cookies gekoppelt sein – so wie das aktuell einige Online-Zeitungen machen? Zu den Fragen der Ausgestaltung von Cookie Bannern hat der Datenschutzaktivist ebenfalls zahlreiche DSGVO-Beschwerden eingereicht. Hier sind künftig also behördliche und sicherlich auch gerichtliche Entscheidungen zu erwarten. Bis dahin gehen viele Webseitenbetreiber das Risiko von Abmahnungen ein.
Aktuelle Probleme mit Google Analytics
Nun sollte man mit einer solchen Einwilligung ja auf der rechtlich sicheren Seite sein und kann weiterhin über das beliebte Webanalysetool das Nutzerverhalten messen und tracken, oder? Nun ja, da gibt es schon länger rechtliche Probleme. Diese haben sich aber gerade noch einmal intensiviert.
Zunächst sagte jüngst die österreichische Datenschutzbehörde (DSB), dass das Tool so viele Daten übermittle, dass die DSGVO in jedem Fall anwendbar sei. Die DSB bewertete das Tool des US-Anbieters deshalb als nicht legal in Europa, weil so personenbezogene Daten in die USA übermittelt würden. Das Hauptproblem dabei betrifft alle US-Unternehmen, nicht nur Google Analytics. Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C‑311/18) können sich EU-Unternehmen bei der Datenübermittlung aus der EU nicht mehr auf das transatlantische „Privacy Shield“ berufen. Denn die Luxemburger Richter urteilten, dass es US-Überwachungsgesetze amerikanischen Sicherheitsbehörden ermöglichen, auch auf Daten von EU-Bürgern zuzugreifen. Damit entspreche der Datenschutzstandard in den USA nicht dem in der EU.
Seitdem setzen europäische und US-Unternehmen beim transatlantischen Datenaustausch auf die sog. Standardvertragsklauseln der EU-Kommission. Die österreichische und mittlerweile auch die französische Datenschutzbehörde sahen diese aus demselben Grund als nicht ausreichende Grundlage für die Datenübermittlung an wie der EuGH bei Privacy Shield. Da der Kläger Max Schrems weitere 99 Verfahren in verschiedenen EU-Ländern am Laufen hat, darunter u.a. auch in Deutschland, könnte es gut sein, dass auch hierzulande Datenschutzbehörden ähnlich entscheiden werden. Damit steht die Nutzung aller US-Dienste auf langfristig wackeligem Boden.
Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a DSGVO
Eine Alternative wäre eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a DSGVO. Allerdings könnte auch diese an den Zugriffsmöglichkeiten der US-Behörden scheitern. Darauf weist auch die Datenschutzkonferenz in ihren Hinweisen von Dezember 2021 hin. Daher ist es aktuell schwierig, auf einen US-Dienst zu setzen, sofern dieser personenbezogene Daten in die USA übermittelt.
Einziger Hoffnungsschimmer: Die USA und die EU haben eine politische Absichtserklärung für eines neuen „Trans-Atlantic Data Privacy Framework“ verkündet, welches das für ungültig erklärte Privacy Shield ersetzen soll. Ob und wann es tatsächlich in Kraft tritt, ist aber derzeit unklar.
Wer aktuell dennoch Google Analytics nutzen möchte, muss möglicherweise mit Rückfragen der Behörden und im ungünstigsten Fall mit rechtlichen Problemen rechnen. Wer dieses Risiko eingehen möchte, sollte den Dienst aber nur so nutzen, dass lediglich anonymisierte Daten erhoben und keine Cookies gesetzt werden. Gegenüber den Behörden dürfte aber schwer nachzuweisen sein, dass Google keine Daten zu eigenen Zwecken sammelt. Der US-Dienst ist also aus verschiedenen Gründen risikobehaftet.
Rechtliche Konsequenzen bei Verstößen
Wer gegen die Regelungen zu Cookies und Tracking verstößt, dem drohen zunächst wettbewerbsrechtliche Abmahnungen von Wettbewerbern, Verbraucherschutz- und Wirtschaftsverbänden. Zudem könnten Betroffene immaterielle Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. Darüber hinaus sind Bußgelder möglich. Bei Verstößen gegen die DSGVO sind besonders hohe Strafzahlungen möglich, theoretisch reicht der Rahmen bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens. Für Verstöße gegen das TTDSG drohen immerhin 300.000 Euro Bußgeld.
Daher ist es auch hier wichtig, sich rechtlichen Rat zum aktuellen Stand der rechtlichen Lage einzuholen, bevor man auf das falsche, abmahnanfällige „Consent-Management-Tool“ setzt.
Nähere Informationen und Tipps rund um das Thema erhältst du auf wbs-law.de.
DU willst deine KI-Skills aufs nächste Level heben?
WIR machen dich bereit für die Revolution
KÜNSTLICHE INTELLIGENZ!
- Praxisbeispiele – sofort anwendbar für dein Business
- Aktuelle KI-Tools im Check
- Expertentipps für die neusten KI-Technologien
- Case Studies – von E-Mail-Marketing bis Datenanalyse
Ja, ich möchte den Newsletter. Die Einwilligung kann jederzeit im Newsletter widerrufen werden. Datenschutzerklärung.
Über den Autor
Christian Solmecke
Rechtsanwalt Christian Solmecke hat in seiner Kölner Kanzlei WBS.LEGAL den Bereich Internetrecht/E-Commerce stetig ausgebaut. Er betreut dort zahlreiche Online-Händler, Medienschaffende und Web-2.0-Plattformen. Daneben ist RA Solmecke Gründer von anwalt2go sowie mehreren IT-Startups. Seine ersten Projekte hat er selbst programmiert. Neben seiner Kanzleitätigkeit und der Geschäftsführung der cloudbasierten Kanzleisoftware Legalvisio.de ist Christian Solmecke Autor zahlreicher Fachbücher zum Thema Online-Recht und Geschäftsführer des Deutschen Instituts für Kommunikation und Recht im Internet (DIKRI) an der Cologne Business School (http://www.dikri.de). Dort beschäftigt er sich insbesondere mit den Rechtsfragen in Sozialen Netzen. Vor seiner Tätigkeit als Anwalt arbeitete Solmecke mehrere Jahre als Journalist für den Westdeutschen Rundfunk und andere Medien.