Update zum Thema "Tracking-Cookies" nach Datenschutzkonferenz
News vom 25.05.18: Statement vom Landesbeauftragten für Datenschutz in NRW
Vor einigen Tagen haben wir beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen eine Anfrage zum Positionspapier der Datenschutzkonferenz gestellt. Darin haben wir nach seiner Einschätzung zum Thema Tracking-Cookies gefragt. Gestern haben wir die entsprechende Stellungnahme erhalten, die wir hier gerne sinngemäß zitieren, um etwas mehr Klarheit in die aktuelle Diskussion zu bringen.
1) Session-Cookies, die zum technischen Betrieb einer Webseite oder eines Onlineshops notwendig sind (z. B. beim Speichern von Bestellungen im Warenkorb), können auch zukünftig bedenkenlos weiterverwendet werden. Wie auch in unserem Wissenspaket beschrieben, sind dies Daten, die Sie zwingend zur Vertragserfüllung benötigen, da ohne diese Cookies eine Identifizierung des angemeldeten Benutzers und der Erfassung seiner Bestellung nicht möglich ist.
2) Die Verwendung von Piwik/Matomo (selbiges trifft auch auf Webalizer oder AWStats zu) ist hingegen nicht zwingend notwendig, um eine Website oder einen Onlineshop zu betreiben. Die zu Auswertungszwecken erfassten IP-Adressen sind allerdings nützlich, um das eigene Angebot zu verbessern. Bei gleichzeitiger Anwendung von Maßnahmen zur Anonymisierung oder Pseudonymisierung ist die Nutzung der genannten Tools jedoch in Ordnung. Positiv bewertet wird, dass die Daten lokal auf dem Server des Websitebetreibers bleiben und nicht an Dritte weitergeleitet werden. Das berechtigte Interesse an der Verarbeitung der Daten greift hier also zu Gunsten des Websitebetreibers. Eine Opt-Out-Möglichkeit inkl. der Aufklärung des Besuchers sollte jedoch auf jeden Fall erfolgen.
3) Bei der Nutzung von Google Analytics oder anderen externen Analysetools funktioniert diese Argumentation leider nicht. In diesem Fall werden die Daten sehr wohl an Dritte übermittelt, die zudem in der Lage sind, die auf der Website erfassten Daten mit eigenen Benutzerprofilen abzugleichen und so komplexe Online-Bewegungsprofile zu erstellen. Sprich, Google macht deutlich mehr mit den erfassten Daten, als nur das Besucherverhalten der eigenen Website auszuwerten. Der Landesdatenschutzbeauftragte sieht bei der Nutzung von Google Analytics und Co. daher das Grundrecht der betroffenen Person als höherwertig an. Eine Nutzung ist daher nur nach ausführlicher Aufklärung und nach einem vorherigen Opt-In-Verfahren zulässig.
Diese Information dürfte für alle Betreiber von Websites und Onlineshops sowie für Agenturen und freiberufliche Webentwickler interessant sein. Auf der von uns bereitgestellten und bereits genannten Website werden wir daher auch weiterhin Opt-In-Lösungen für verschiedene CMS und Shopsysteme vorstellen.
Ein Hinweis noch in eigener Sache an alle Agenturen und Freelancer unter euch, die noch keine AV-Verträge mit ihren Endkunden geschlossen haben: mit unserem AV-Wizard ist dies in kurzer Zeit und mit nur wenigen Klicks erledigt. Zukünftig müssen diese Vereinbarungen mit allen Kunden, Dienstleistern und Partnern geschlossen werden, mit denen personenbezogene Daten verarbeitet werden.
News vom 16.05.18: Weitere Cookie-Lösungen sowie Stimmen zur DSGVO-Einführung
Auch zwei Wochen nach Veröffentlichung eines Positionspapiers der Datenschutzkonferenz von Bund und Ländern gibt es noch keine konkreten Anhaltspunkte, wie sich die Datenschutzbehörden in den kommenden Wochen speziell zum Thema Tracking-Cookies verhalten werden. Wir spüren jedoch, dass sich immer mehr Agenturen und Websitebetreiber auf eine baldige Opt-In-Pflicht vorbereiten.
Sogar Bundeskanzlerin Angela Merkel hat sich aufgrund des medialen Echos inzwischen zum Thema DSGVO geäußert. Entgegen einer ersten Ankündigung werden durch die Bundesregierung keine kurzfristigen Änderungen oder Erleichterungen beschlossen. Man wolle aber „wirklich genau hinsehen“, wie alle Beteiligten mit der neuen Datenschutzgrundverordnung zurechtkommen und dann ggf. reagieren. Wie eine solche Reaktion aussehen könnte, wurde jedoch noch nicht genauer benannt.
Auch Bitkom-Präsident Achim Berg hat in einem aktuellen Interview Kritik an der DSGVO-Einführung zum Ausdruck gebracht.
In unserer Übersicht aktuell verfügbarer Cookie-Lösungen inkl. Opt-In-Funktion haben wir inzwischen zu allen CMS (WordPress, TYPO3, Joomla!, Contao, Neos) geeignete Erweiterungen oder Plugins gefunden und vorgestellt. Einzig für die Shop-Systeme Shopware und Magento haben wir bislang keine sinnvollen Lösungen ermitteln können. Falls ihr mehr wisst, freuen wir uns unter dsgvomittwald.de über sachdienliche Hinweise.
News vom 03.05.2018: Wichtige Informationen für Websitebetreiber
Bisher galt unter Datenschützern die weit verbreitete Annahme, dass man im Rahmen einer Interessensabwägung gem. Art. 6 Abs. 1 lit. f DSGVO Tracking-Cookies für werbliche Zwecke nutzen kann, ohne eine formale Einwilligung von den Besuchern einer Website einholen zu müssen. In der vergangenen Woche (26.04.18) wurde allerdings ein Positionspapier über die weitere Anwendbarkeit des Telemediengesetzes durch die „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)“ veröffentlicht, das bei vielen Agenturen und Websitebetreibern für Unklarheit sorgt – schließlich bietet die getroffene Empfehlung einen idealen Nährboden für die deutsche Abmahnwirtschaft.
In diesem Papier wird nämlich erstmals von einer zwingenden Einwilligung für die Nutzung von Tracking-Cookies und Bildung von Nutzerprofilen in Telemedien – damit sind Internetseiten, aber auch Apps gemeint – gesprochen. Nur die Nutzung von technisch notwendigen Session-Cookies soll ohne die aktive Einwilligung erfolgen können.
Das Positionspapier sowie die darin ausgesprochene Empfehlung stellen zwar keine höchstrichterliche Rechtsprechung dar, es liegt jedoch die Vermutung nahe, dass sich die Datenschutzbehörden von Bund und Ländern bei möglichen Abmahnungen an dieser Empfehlung orientieren werden. Auch Gerichte könnten der Argumentationen der Datenschutzkonferenz folgen. Alle Websitebetreiber, die sich bereits auf die DSGVO vorbereitet haben und sich in diesem Zuge auf eine Opt-out-Lösung festgelegt haben, müssen nun eventuell noch einmal umdenken.
Aktuell fällt es uns schwer, eine klare Empfehlung für die eine oder andere Option auszusprechen. Zu viele Rahmenbedingungen sind durch das neue Positionspapier verändert worden. Wer auf Nummer sicher gehen möchte, macht nach unserem Verständnis mit einer Opt-in-Lösung für das Web-Tracking per Google Analytics oder Matomo nichts falsch. Ob der Aufwand für eine solche Implementierung jedoch rechtlich notwendig und damit gerechtfertigt ist, lässt sich derzeit nicht klar beantworten.
Wir behalten die aktuelle Entwicklung zum Thema daher fest im Blick und tauschen uns regelmäßig mit unseren Fachanwälten und Datenschutzexperten aus. Sobald neue Informationen vorliegen, halten wir euch an dieser Stelle auf dem Laufenden.
Hinweis: Dieser Beitrag spiegelt lediglich unsere Meinung zum aktuellen Geschehen wider. Er stellt also weder eine Rechtsberatung dar, noch ersetzt er eben diese. Bitte wendet euch im Zweifel an einen Datenschutzbeauftragten oder an einen Rechtsanwalt.
Kommentare
Mit Matomo hat man aber, sofern datenschutzkonform konfiguriert, keine Probleme und braucht auch keine Banner.
Siehe: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf
Maps haben wir generell nur noch OSM mit einem opt-in und nicht mehr Google Maps, d.h. man bleibt in der EU hat Open Source aber dennoch haben wir ein opt-in, da auch Open Streetmap Daten speichert und analysiert, Fonts sind eh fest auf dem Server, genaus so wie jQuery etc.
Muss man in der Datenschutzerklärung auch erwähnen das Webalizer oder AWStats benutzt werden? AWStats muss aktiviert/installiert werden, aber Webalizer ist ja immer automatisch aktiv bei Mittwald Kontos oder? Und was wäre in diesem Fall eine Opt-Out-Möglichkeit?
die Antwort zu deiner Frage findest du in unserem ausführlichen FAQ-Beitrag unter Punkt 6. Vielleicht werden dort auch noch weitere Fragen beantwortet. ;-)
https://www.mittwald.de/faq/service-informationen/faq/datenschutz-alles-wichtige-zur-dsgvo
Viele Grüße
Kristina
Zunächst einmal vielen Dank für Euer Engagement, hier genauere und weiterführende Informationen für Eure Kunden zu bekommen. Das ist eine der klarsten Aussagen, die ich bisher zu dem Thema gelesen habe.
Eine Frage stellt sich mir hierbei jedoch wieder einmal, wie leider so häufig bei dem Thema. Mir kommt es leider immer so vor, als würden die Datenschutzbeauftragten der Länder das ganze Thema immer auf die verschiedenen Tracking Dienste reduzieren. Wie verhält sich das ganze denn nun aber bei der Nutzung von Diensten wie GoogleMaps, Youtube oder gar der externen Einbindung von GoogleFonts oder Bootstrap Files? Auch hier werden ja externe Verbindungen aufgebaut und zum Teil sogar Cookies gesetzt.
Wie ist hier z.B. die Einschätzung bei GoogleMaps? Überwiegt hier ein Interesse des Webseitenbetreibers für die Darstellung einer interaktiven Karte? Oder müsste man hier sogar wie z.B. bei den Facebook Social Plugins eine zwei Klick Lösung umsetzen?
Schöne Grüße
Florian
einige deiner Fragen haben wir in verschiedenen Beiträgen hier auf unserem Blog schon beantwortet. Beispielsweise gibt es einen Beitrag zum Thema Google Fonts und unter diesem stehen Kommentare, worin das Thema Google Maps aufkommt. Vielleicht magst du dir diesen Beitrag einfach mal durchlesen. ;-)
https://www.mittwald.de/blog/mittwald/howtos/dem-datenschutz-zuliebe-wie-ihr-google-fonts-lokal-in-eure-webseiten-einbindet
Viele Grüße
Kristina
ich habe Eure Beiträge natürlich fleissig verfolgt. Mir ging es jetzt auch mehr darum, ob es hier von offizieller Stelle auch dazu ein Statement gibt. So ganz eindeutig ist die Sache ja eben leider nicht.
Viele Grüße
Florian
vielen Dank für den Hinweis auf deinen interessanten Beitrag. Deine Lösung sieht in der Tat sehr gut aus, sodass wir deine Anleitung auch mit aufgenommen haben. :)
Viele Grüße
Kristina
https://blog.zazu.berlin/internet-programmierung/dsgvo-datenschutzgrundverordnung-or-gdpr-general-data-protection-regulation-typo3-and-opt-in-in-cookies.html
da gerade beim Thema Cookie-Tracking in den letzten Tagen und Wochen Unsicherheit aufgetreten ist und dieses Thema nochmals zur Debatte kam, haben wir hierfür genau diesen Blogbeitrag in Form eines Newstickers gestaltet, wo alles Aktuelle drin steht.
Viele Grüße
Kristina
Wie schaut es denn aus, wenn das Tracking rein über Javascript erfolgt? Zum Beispiel besteht unter Matomo bzw. Piwik besteht die Möglichkeit alle Cookies zu deaktivieren und das Tracking nur per Javascript durchzuführen. Dadurch wird die Analyse zwar ungenauer, aber für eine Basisanalyse ( Inhalte, Reihenfolge, Verweildauer etc.) immer noch mehr als ausreichend. Der einzige Cookie, der dann auf Bedarf gesetzt würde, wäre der Opt-out Cookie.
unserer Auffassung nach, dürfte das keine neuen Probleme aufwerfen, da eben kein Tracking-Cookie mehr da ist. Es ist sinnvoll anzunehmen, dass Opt-Out-Cookies wie Session-Cookies behandelt werden (erlaubt ohne explizite Zustimmung). Bei rein JS-basierten Lösungen bleibt dann nur die Frage nach personenbezogenen Daten, die man mittels Anonymisierung auch gut vermeiden kann. Es empfiehlt sich trotzdem, einen Hinweis in der Datenschutzerklärung aufzunehmen.
Viele Grüße und ein schönes Wochenende!
Florian
Hm..., wenn tatsächlich der Analytics-Code als Standard deaktiviert sein soll werden wohl viele das so lassen. Das bedeutet, dass die Analytics-Auswertungen bis hin zum eCommerce-Tracking zukünftig ungenau bis nicht mehr hilfreich sein werden.
hallo Thierry,
es gibt aktuell halt sehr unterschiedliche Aussagen und Meinungen zum Thema.
Die einen sagen, dass ein Opt-In trotz Empfehlung der Datenschutzkonferenz nicht so kurzfristig verpflichtend sein kann. Die anderen weisen darauf hin, dass in der Konferenz die obersten Datenschutzbeauftragten der Republik sitzen und deren Aussagekraft daher recht groß ist. Außerde ist es recht wahrscheinlich, dass das Thema mit der ePrivacy-Verordnung in 2019 vermutlich eh kommen wird. Wobei ein Jahr mehr Vorlaufzeit ist als drei Wochen...
Auf jeden Fall nimmt in den letzten Tagen die Anzahl der Lösungen stark zu, um Cookies nur nach Einwilligung des Besuchers zu speichern. Gute Lösungen sind bereits dabei. Weitere Infos hierzu findet ihr unter dem Link oben im Blogbeitrag. Wer sich also dazu entscheidet, der Empfehlung der Datenschutzkonferenz bereits jetzt zu folgen, kann auf entsprechende Lösungen zurückgreifen.
Auch uns fällt es aktuell sehr schwer, einen klaren Fahrplan abzuleiten. Wir werden heute aber den Landesdatenschutzbeauftragten von NRW kontaktieren und bei ihm eine offizielle Anfrage stellen. Wir sind gespannt auf die Antwort, über die wir dann hier berichten.
Viele Grüße
Florian
Dann kann man es auch einfach lassen, die meistens werden es, wenn gefragt, wohl ablehnen ge-tracked zu werden, oder?
Ich denke das die meisten ablehnen werden.
Puh...da haben die aber ne Bombe platzen lassen...wir haben alles auf Opt-Out umgestellt und nun entscheiden die sich plötzlich für Opt-In....wie könnte man solch eine Opt-In Funktion für Google Analytics umsetzen? Gibt es irgendwelche Scripte, Anleitungen etc, speziell für Wordpress?
wir haben eine Seite erstellt, auf der du alle aktuell verfügbaren Cookie-Lösungen für CMS und Shop-Systeme, die bereits eine Opt-In-Funktion unterstützten, findest. Da ist auch eine für WordPress enthalten. ;-)
Viele Grüße
Florian
leider erfüllt Typo3-Erweiterung "Cookies" nicht das von Euch angepriesene und von der Datenschutzkonferenz geforderte Verhalten.
Wie der erste Kommentar schon sagt, werden Cookies zuerst nicht deaktiviert, sondern auch Tracking-Cookies schon gesetzt, während der Cookie-Hinweis noch angezeigt wird.
Ein Versuch, es über Typo3-Conditions mit gobalVat tx_cookie_hidden zu lösen (siehe Doku der Cookies-Extension), war leider nicht möglich.
Ein Lösung via Javascript läuft nun.
Schade, dass diese Variante (Opt-In) in der Doku fehlt.
Viele Grüße, Sam
Kommentar hinzufügen