DSGVO-konformes Web-Tracking mit Google Analytics & Co.

|
Frau sitzt am Laptop und schreibt. Im Vordergrund ist eine Infografik zum Thema Sicherheit zu sehen

Die Datenschutzgrundverordnung (DSGVO) ist derzeit auch bei Websitebetreibern in aller Munde. Die zweijährige Übergangsfrist neigt sich dem Ende zu, was den einen oder anderen Webmaster in Panik verfallen lässt. Viele der Bestimmungen, die am 25. Mai 2018 im Rahmen der 99 Artikel der DSGVO endgültig zur Anwendung kommen, betreffen diverse Aspekte des Online Marketings. In diesem Artikel geht es darum, inwieweit die DSGVO das Web-Tracking beeinflusst und ob Analyse-Dienste wie Google Analytics und Matomo weiter rechtskonform eingesetzt werden können.

DSGVO vereinheitlicht Datenschutz innerhalb der EU

Zunächst aber wollen wir grundlegend klären, was es mit der viel diskutierten DSGVO eigentlich auf sich hat. Die Verordnung der Europäischen Union (deshalb auch EU-DSGVO genannt) hat es sich zum Ziel gesetzt, die Verarbeitung personenbezogener Daten in der EU zu vereinheitlichen. Denn bisher hatte jedes Land seine eigene Datenschutzgesetzgebung, die in Deutschland im Wesentlichen durch das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG) beeinflusst wurde. 

Die bestehenden Gesetze auf nationaler Ebene werden durch das DSGVO nicht automatisch außer Kraft gesetzt. Da das Europarecht aber über nationalem Recht steht, gelten zunächst die Bestimmungen der DSGVO, welche ggf. durch nationale Gesetzgebungen ergänzt werden können. Mit Beginn der Anwendungspflicht für die DSGVO, die bereits seit dem 24. Mai 2016 rechtsgültig ist, tritt in Deutschland beispielsweise eine Neufassung des BDSG in Kraft.

DSGVO bietet Chancen und Risiken

Die Bestrebungen für eine EU-weit einheitliche Datenschutzgesetzgebung sind angesichts der Tatsache, dass internationale Geschäftsbeziehungen für die meisten Unternehmen mittlerweile zum Tagesgeschäft gehören, begrüßenswert. Insbesondere, weil die mit der DSGVO einhergehende Anpassung des Datenschutzes an das digitale Zeitalter längst überfällig war. Was jedem einzelnen EU-Bürger mehr Verbraucherschutz beschert, ist für die Unternehmen gleichzeitig eine enorme bürokratische Herausforderung.

Dass die DSGVO bei Unternehmen aller Branchen derzeit für Aufregung und Hektik sorgt, dürfte auch mit den Bußgeldern und Sanktionen zu tun haben, die das Gesetz in sich haben. Während das BDSG bei Verstößen ein Bußgeld von maximal 300.000 Euro vorsieht, sind es bei der DSGVO bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Mit dem Ende der Übergangsfrist für die DSGVO steigt besonders für Personen und Unternehmen, die online tätig sind, die Abmahngefahr.

Smartphonebildschirm mit Googlesuche nach Analytics
Handy-Screen mit Google-Suche zu "Analytics"

Cookies als Grundlage des Web-Trackings

Bitte beachtet zu dem Thema Cookie-Tracking folgenden Blogbeitrag, der aktuelle Informationen dazu für euch bereit hält: https://www.mittwald.de/blog/webentwicklung-design/update-zum-thema-tracking-cookies-nach-datenschutzkonferenz!

Die Unsicherheit ist gerade bei Websitebetreibern groß, weil die Verarbeitung personenbezogener Daten hier zum Alltag gehört. Das Web-Tracking basiert auf sogenannten Cookies. Dabei handelt es sich um kleine Dateien mit Informationen, die von einer Webseite über den Browser auf dem Computer des Besuchers gespeichert werden. Ruft der Besucher die Webseite erneut auf, kann er anhand dieser Cookies identifiziert werden und ihm können beispielsweise seine bevorzugten Seiteneinstellungen oder sein zuvor angelegter Warenkorb angezeigt werden. 

Auch Web-Analyse-Dienste wie Google Analytics, eTracker, Matomo und Reinvigorate nutzen Cookies, um dem Webmaster umfangreiche Informationen zur Nutzung seiner Webseite zur Verfügung zu stellen. In Deutschland ist für die Erhebung personenbezogener Daten in Form von Cookies auch heute schon die Zustimmung des Betroffenen notwendig.

 Das Telemediengesetz sieht allerdings eine Erleichterung des Grundsatzes vor, wenn die personenbezogenen Daten pseudonymisiert werden und der Betroffene darüber aufgeklärt wird, der Erhebung jederzeit widersprechen zu können. Deshalb ist es schon heute Alltag, dass Google Analytics nur noch selten das Keyword anzeigt, über das ein Besucher auf die Webseite gelangt. IP-Adressen, die ebenfalls zu den persönlichen Daten zählen, werden gekürzt.

Opt-In statt Opt-Out

Wenn die Datenschutzgrundverordnung ausnahmslos zur Anwendung kommt, gehört die in § 15 Abs. 3 TMG stehende Ausnahmeregelung für pseudonymisierte Daten der Vergangenheit an. Die DSGVO unterscheidet nicht zwischen Orthonym und Pseudonym. Stattdessen setzt es grundsätzlich die Einwilligung zur Datenerhebung voraus. Statt des bisherigen Opt-Outs, also Widerspruchs, ist in Zukunft ein Opt-In, also eine Einwilligung, notwendig. 

Theoretisch bedeutet das, dass jeder Nutzer vor dem Betreten einer Webseite um die klare Zustimmung zur Setzung von Cookies gebeten werden muss. Da dies in der Praxis aus diversen Gründen kaum umsetzbar ist, sehen viele das Ende der Cookies gekommen. Immerhin müsste man die Besucher einer Webseite nicht nur zur Zustimmung bewegen, sondern diese auch dokumentieren. Die DSGVO bürgt nämlich den Unternehmen die Beweislast in allen Fragen des Datenschutzes auf. 

Die meisten Nutzer werden ihre Zustimmung wohl spätestens dann verweigern, wenn sie lesen, dass ihre Daten zur Auswertung an Dritte weitergegeben werden. Ein Umstand, auf den schon heute in der Datenschutzerklärung hingewiesen werden muss. Praktisch nimmt aber kaum ein Internetnutzer davon Notiz und ist sich des Umfangs der Datenerhebung bei einem einfachen Webseitenaufruf nur selten bewusst. Auch das soll die europaweite Datenschutzgrundverordnung ändern.

DSGVO-Wissenspaket für Agenturen und Freelancer

Person sitzt vor Laptop mit E-Book Cover "DSGVO für Agenturen"
Person sitzt vor Laptop mit E-Book Cover "DSGVO für Agenturen"

Von einem ausführlichen Whitepaper über Checklisten bis hin zu Musterverträgen und -vorlagen: jetzt in unserem Wissenspaket!

Ausnahmeregelung bei berechtigtem Interesse

Ein Ausweg aus dieser Misere bietet eine kleine, fast unscheinbare Formulierung in der DSGVO – die des "berechtigten Interesses" in Art. 6 Abs. 1 Satz 1 lit. f.. Dort wird die Verarbeitung personenbezogener Daten für zulässig erklärt, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, "sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen". 

Ob bewusst oder unbewusst: Der europäische Gesetzgeber hat damit eine Möglichkeit geschaffen, die im Online Marketing kaum praktikable Lösung des Einwilligungsvorbehalts zu umgehen – sofern eben ein berechtigtes Interesse besteht. Bei einem Onlineshop dürfte an diesem berechtigten Interesse kein Zweifel bestehen, immerhin ist das Setzen von Cookies technisch notwendig, damit der Warenkorb überhaupt funktioniert.

Da jedes nicht rechtswidrige ideelle oder wirtschaftliche Interesse ein berechtigtes Interesse darstellt, wird in Zukunft auch das Tracking durch Google Analytics ohne ausdrückliche Zustimmung erlaubt bleiben, sofern es schon heute rechtskonform erfolgt. Voraussetzung für letzteres ist zum Beispiel auch, dass jeder Nutzer von Google Analytics mit dem Dienst einen Vertrag zur Auftragsdatenverarbeitung(ADV) abgeschlossen hat. Allerdings muss bis zum 25. Mai 2018 die neue Version des ADV-Vertrages, der sogenannte Vertrag zur Auftragsverarbeitung (AV) abgeschlossen sein. 

Erforderlichkeiten & Interessensabwägungen beachten

Das Kriterium der Erforderlichkeit gewinnt mit der DSGVO jedoch an Bedeutung. Demnach dürfen Daten nur dann erhoben werden, wenn sie zur Erfüllung des Zwecks auch tatsächlich erforderlich sind. Es gilt also der Grundsatz der Datensparsamkeit. Erwägungsgrund 47 der DSGVO stellt bei der Gewichtung der Interessen zum Beispiel die Erwartungshaltung der betroffenen Person in den Vordergrund. Die Berücksichtigung dieser hat im Datenschutzrecht bisher keine Rolle gespielt. Sie soll das Gesetz zukunftssicher machen und zollt damit vor allem dem Internet Tribut. Denn die neuen Medien verändern die Erwartungshaltung der Verbraucher stetig. 

Beispiel: Bisher ist es unüblich, dass Besucher auf einer Webseite mit dem Namen begrüßt werden. Es besteht diesbezüglich also keine Erwartungshaltung. In Zukunft könnte sich das jedoch ändern. Sollte die namentliche Begrüßung Realität werden, ist die Speicherung des Namens in den Cookies bereits nach jetziger Gesetzgebung erlaubt. 

Wenn wie bei der Webanalyse – wie heute häufig schon Praxis – personenbezogene Daten nur in pseudonymisierter Form verarbeitet werden, hat der Websitebetreiber bei der Interessensabwägung die notwendige Sorgfalt walten lassen. Rein nach der DSGVO wäre mangels notwendiger Einwilligung nicht mal ein Cookie-Banner notwendig, wenngleich seine Existenz für den aufklärerischen Willen des Websitebetreibers sprechen würde. In jedem Fall muss dieser nämlich umfassend und individuell über die Datenerhebung und vor allem das Auskunfts- und Widerspruchsrecht aufklären. 

Die hier geschilderte, weitgehend akzeptierte Interpretation der DSGVO in Bezug auf das Web-Tracking mit Cookies und damit die Nutzung von Web-Analyse-Diensten erklärt, warum Anbieter wie Matomo bereits jetzt offensiv damit werben, dass ihre Dienstleistung schon heute mit der europäischen Datenschutzgrundverordnung konform ist.

Frau sitzt am Laptop und schreibt. Im Vordergrund ist eine Infografik zum Thema Sicherheit zu sehen
Frau sitzt am Laptop und schreibt. Im Vordergrund ist eine Infografik zum Thema Sicherheit zu sehen

ePrivacy-Verordnung noch nicht beschlossen

Eine Unsicherheit jedoch bleibt: Die ePrivacy-Verordnung der Europäischen Union widmet sich dezidiert der elektronischen Kommunikation. Wie bereits die Cookie-Richtlinie 2009 hat sie das Zeug dazu, nochmal für ordentlich Wirbel im digitalen Sektor zu sorgen. Die Inhalte der Cookie-Richtlinie sollen in einer neuen ePrivacy-Verordnung an die DSGVO angepasst werden. 

Da sich die Verordnung allerdings noch im Entwurf befindet, obwohl sie eigentlich zeitgleich mit Anwendung der DSGVO am 25. Mai in Kraft treten soll, können noch keine Aussagen darüber getroffen werden, ob sie den Einsatz von Cookies oder den Datenschutz im Allgemeinen weiter erschwert. Experten rechnen aktuell damit, dass die ePrivacy-Verordnung, auch aufgrund von mächtig Gegenwind aus der Digitalbranche, frühestens Ende 2019 verbindlich gültig werden könnte.

Fazit: Web-Tracking mit Cookies bleibt möglich

Was das Web-Tracking und insbesondere den Einsatz populärer Dienste wie Google Analytics und Matomo anbelangt, müssen sich Websitebetreiber dank der Ausnahmeregelung für berechtigtes Interesse kaum Sorgen machen. Trotzdem sollten sie die aktuelle Entwicklung in Sachen DSGVO und ePrivacy genau im Auge behalten, da die neuen Verordnungen nicht nur harte Strafen, sondern auch ein erhöhtes Abmahnrisiko mit sich bringen.

Um für den Stichtag im Mai 2018 gerüstet zu sein, sollte man sich bereits jetzt um notwendige Dinge wie eine rechtskonforme Datenschutzerklärung kümmern. Inwieweit sich durch die DSGVO im Online Marketing tatsächlich gravierende Änderungen ergeben, wird wohl erst die Zukunft zeigen, wenn erste Gerichte mit ihren Urteilen den Interpretationsspielraum einengen. Bis dahin jedoch besteht beim Einsatz von Analyse-Diensten kein Grund zur Panik.

Hinweis: Da der Autor dieses Artikels kein Jurist ist, stellt dieser Artikel weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wenden Sie sich im Zweifel an einen Rechtsanwalt.

Ähnliche Artikel:

Mann sitzt an Arbeitsplatz und tippt am Laptop
Webentwicklung

Datenschutzgrundverordnung für Websitebetreiber

Ab dem 25. Mai 2018 tritt die neue DSGVO in Kraft. Damit macht sich Unsicherheit bei vielen Websitebetreibern breit. Was muss nun beachtet werden?

Kommentare

Alexander Funk am

Könnt Ihr was dazu sagen, wie man Google Maps aktuell rechtssicher in Wordpress einbindet? Gut wäre – da nicht alle kostenpflichtige Cookie Consent Tools wie bspw. Borlabs Cookie (was super ist) nutzen wollen – eine kurze Anleitung wie, wie man Google Maps mit Cookiebot manuell einbindet? Oder wie man ein Plugin wie bspw. "DSGVO Google Maps" (gibt es hier eigentlich ein neues Plugin, welches das gleiche leistet) so einbindet, dass nach einmaligen Klicken auf die Map der Browser sich den Klick merkt und man nicht immer wieder auf die Map klicken muss. Das ist bspw. dann nervig, wann man die Map im Footer auf jeder Seite eingebunden hat.

Antworten
Kristina El-Issa am
Hallo Alexander,

uns ist eine derzeitige Einbindung ohne ein Plugin nicht bekannt. Wir werden uns diesbzgl. aber gerne näher informieren und ggf. einen Beitrag dazu schreiben.

Viele Grüße
Kristina
Antworten
Tobias am
Sehr hilfreicher Artikel!

Völlig zurecht weisen Sie auch auf die Verkürzung der IP-Adressen hin. Ob diese Anonymisierung gegeben ist oder nicht, kann man gut mit diesem Tool hier prüfen: https://checkgoogleanalytics.psi.uni-bamberg.de/
Antworten
Jan am

Leider geht das Fazit völlig an geltendem Recht vorbei. Leider wird verkannt, dass berechtigtes Interesse eben nicht für externe Dienstleister wie Google Analytics geltend gemacht werden kann. Google schreibt im übrigen in seinen eigenen Partner Bedingungen, dass der Nutzer (=Webseitenbetreiber), die Zustimmung des Nutzers einzuholen hat.

Antworten
Holger Theymann am
Sehe ich genauso. "Alles OK wegen berechtigtem Interesse" würde bedeuten: Jeder macht was er will, denn es reicht ja, es zu wollen -> berechtigtes Interesse.

Wenn das das Ziel dieser DSGVO gewesen wäre, hätte man das auch kürzer und eindeutig sagen können. ;)
Antworten
Walter Maar am
Nach dem Urteil des Eugh vom 01.10.19 dürfte klar sein, in welche Richtung es bei uns geht.

Ist hier eine Aktualisierung des Beitrages geplant?
Antworten
Kristina Kiebe am
Guten Morgen Walter,

vielen Dank für deine Anmerkung. Wir werden dein Anliegen auf jeden Fall mit auf unsere To-do's setzen und voraussichtlich auch einen Aktualisierung des Beitrags vornehmen.

Viele Grüße
Kristina
Antworten
RA Roman Pusep (FA IT-Recht) am
Nach meiner Erfahrung mit zig Datenschutzhinweisen, die ich und meine Kollegen in den letzten ca. neun Monaten erstellt haben, sind beide Instrumente Google Analytics und Matomo/Piwik bei den allermeisten Websitebetreibern nach der DS-GVO unzulässig und zwingend abzuschalten.

Warum? Ganz einfach, weil diese Instrumente eingesetzt aber nicht genutzt werden!

Im Beitrag beschreibt Jan Meyer ganz zutreffend, dass die Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO zulässig sein kann. Dies setzt ein berechtigtes Interesse des verantwortlichen Websitebetreibers voraus. Hier wird (in allen Aufsätzen und sonstigen Beiträgen) gebetsmühlenartig wiederholt, dass der Websitebetreiber doch Waren und Dienstleistungen anbietet und daher wissen muss, wie seine Website benutzt oder nicht benutzt wird, um hierauf reagierern zu können, etwa durch anpassung der Darstellung oder der Architektur der Website.

Aber: Wenn ich unsere Mandanten frage, wann Google Analytics oder Piwik/Matomo eingebunden wurde und wer die Instrumente wie verwendet, bekomme ich fast immer die gleiche Antwort: "Der Websiteprogrammierer fand es toll und man kann interessante Dinge über seine Website erfahren; aktuell werten wir die Daten jedoch nicht aus." An dieser Stelle ist das berechtigte Interesse schlicht WEG und die Instrumente zwingend abzuschalten.

Daher meine Empfehlung: Man darf Google Analytics oder Piwik/Matomo nur einsetzen, wenn man die Erkenntnisse auch auswertet und wenigstens es in Erwägung zieht, die Website gegebenenfalls anzupassen. Als reine "Neugier-Befriedigungs-Quelle" oder als ein "Programmierer-Spielzeug" sind beide unzulässig.

Gruß, RA Roman Pusep
Antworten
Kevin am
Wie steht es eigentlich um die Klarnamenpflicht? Manche Webseiten fordern die Angabe des (echten) Namens und veröffentlichen diesen auch zusammen mit einem Kommentar.
(die Email wird auch als Pflicht gefordert - aber nicht mit dem komentar veröffentlicht).
Antworten
Patrick W. am

Da wäre ich vorsichtig, die Ausnahmeregelung für berechtigtes Interesse so weit auslegen zu wollen, daß eine Datenerhebung damit grundsätzlich gerechtfertigt erschiene. Ähnlich wie beim Versand von Newslettern ist wohl damit zu rechnen, daß sämtliche Daten in Frage zu stellen wären, die nicht zwingend für die technische Bereitstellung notwendig sind. Der Übertragung zu Drittdiensten (etwa Google) würde ich vorsichtshalber auch erstmal vollständig einstellen.

Antworten
Stefan Padberg am

Das sehe ich auch so: Mittwald befürwortet hier ein völlig überdehnte Interpretation des "berechtigten Interesses". Da haben wir von Datenschutzexperten und Datenschutzbeauftragten ganz andere Einschätzungen vorliegen. Sehr riskant, sich hier so für die Werbeindustrie ins Zeug zu legen!

Antworten
Kristina Kiebe am
Bitte beachtet zu diesem Thema unseren Blog-Beitrag, den wir aufgrund der schwierigen und sich immer wieder verändernden Sachlage geschrieben haben: https://www.mittwald.de/blog/webentwicklung-design/update-zum-thema-tracking-cookies-nach-datenschutzkonferenz

Da haben wir versucht, euch immer auf dem Laufenden zu halten, was das Thema Cookie-Tracking betrifft. 

Viele Grüße 
Kristina
Antworten
Holger Theymann am
Hallo und danke für diesen Artikel. Und auch Danke an Matthias für die wichtige Ergänzung.

Die DSGVO ist und bleibt ein großes Fragezeichen. Das wird sich wohl erst ab dem 25. Mai ändern, wenn die Klagewelle los geht und die Gerichte sich mit dem Thema auseinandersetzen.

Interessant vielleicht auch och die Ergänzung von Anfang Mai, in der beschlossen wurde, beim Sammeln von Daten für den Newsletter NOCH etwas restriktiver vor zu gehen. (es wurde gestrichen, dass nur Daten gesammelt werden dürfen, die"grundsätzlich" für den Betrieb des Newsletters notwendig sind. Das Grundsätzlich wurde entfernt. Ohne diesen "Weichmacher" dürfen also nur noch Daten erhoben werden, die für die technische Funktionalität des Newsletters unumgänglich benötigt werden.) So wie ich es verstanden habe bedeutet es, dass jetzt nur noch die E-Mail gesammelt werden darf, da sie unumgänglich ist. Selbst der Name als optionales Feld ist in Diskussion und könnte - je nach Rechtsmeinung - als Abmahngrund gelten.
Das würde - so wie ich es verstehe - das Ende der Newsletter mit dynamischem Inhalt bedeuten.
Wirklich schade, dass es offensichtlich so schwer ist, Gesetze zu erlassen, die sich noch nah an der Realität bewegen.
Beste Grüße und guten Start ins neue Zeitalter des Datenschutzes ;)

Holger
Antworten
Matthias am
Antworten
Kristina Kiebe am
Hallo Matthias,

in der Tat überrascht die Datenschutzkonferenz mit ihrer Positionsbestimmung wenige Wochen vor Inkrafttreten der DSGVO damit alle Beteiligten.
Derzeit herrscht eine große Unklarheit und Ungewissheit, wie mit dem Thema ab dem 25. Mai umgegangen werden soll. Wir werden das Thema heute noch einmal in einem kurzen Blogbeitrag aufgreifen, welchen wir immer dann aktualisieren, wenn es etwas Neues und Handfestes gibt.

Viele Grüße
Kristina
Antworten
HD24 Webdesign Agentur Dresden am

Danke für diese einwandfrei gute Zusammenfassung! Genaues zum Hergang der Umstellung und wieviele Firmen mit Ihrem Webauftritt vor den Kopf gestoßen werden, bleibt abzuwarten!

Antworten

Kommentar hinzufügen