Was gilt nun beim Datenschutz und Einsatz von Cookies?

Datenschutz und Einsatz von Cookies

In den vergangenen Monaten haben sich viele Gerichte und Datenschutzbehörden in Europa mit dem Einsatz von Cookies und dem Datenschutz befasst. Im Anschluss dazu hat es zahlreiche Urteile hinsichtlich der DSGVO ergeben.

Wichtig zu verstehen ist, dass die vielen Urteile meist nur ein einziges Unternehmen sowie einen bestimmten Sachverhalt betreffen. Dieser Sachverhalt kann bereits 2 Jahre alt sein. Das bedeutet, dass die Urteile nicht immer generell zu deuten sind und sich auf „alte“ Technologien und Methoden beziehen.

Für wen ist die DSGVO relevant?

Die Datenschutz-Grundverordnung (DSGVO) gilt für alle, wenn Daten von in der EU ansässigen Personen bearbeitet werden. Auch gilt sie, wenn die Datenbearbeitung im Zusammenhang mit Angebot von Waren oder Dienstleistungen an Personen in der EU steht. Des Weiteren muss sie beachtet werden, wenn Verhalten von Personen beobachtet werden, soweit ihr Verhalten in der EU erfolgt.

Die DSGVO betrifft nicht nur die Website oder das Marketing, sondern alle Abteilungen eines Unternehmens wie Buchhaltung, Einkauf, Human Resource, IT, Logistik, Produktion und Verkauf.

Um was geht es beim Datenschutz und dem Einsatz von Cookies?

Meist geht es um Transparenz und wie die Cookies eingesetzt werden. Dabei ist vor allem der Einsatz von Google Analytics und Facebook Pixel erwähnenswert. Dabei fehlen in den Cookie-Bannern sowie in der Datenschutzerklärung oft Informationen dazu, welche Daten die jeweilige Technologie für welche Zwecke verarbeiten.

Weiter wird beim Einsatz von Newslettern nicht informiert, dass der Versender Rückmeldung bekommt, ob ein Newsletter gelesen bzw. geöffnet wurde. Auch wird auf Fan-Pages und Unternehmensseiten auf Social Media vergessen, die Besuchende über den Datenschutz und der vorhandenen Tracking-Technologien zu informieren.

Die Übermittlung von Daten in die USA

Ein weiteres Problem ist die Übermittlung von durch Cookies gewonnenen Daten an Anbieter oder Beteiligte ausserhalb von Europa. Insbesondere betrifft das Alphabet mit seinen Google-Produkten sowie Meta mit Facebook. Beispielsweise haben die Datenschutz-Behörden in Österreich und Frankreich Google Analytics geprüft und – in der Version von 2020 – für unzulässig gehalten. Daraufhin hat Google entsprechende Massnahmen implementiert. Das bedeutet, dass solche Urteile für das 2022 nicht mehr relevant sein müssen.

Darf Google Analytics verwendet werden?

Die österreichische Datenschutzbehörde hat den Einsatz von Google Analytics im Dezember 2021 für unzulässig erklärt (Urteil DSB). Die französische Behörde fällte ein ähnliches Urteil im Januar 2022. Diese Rechtsansicht vertreten auch einige Datenschützer in Deutschland. Dabei ging es im ersten Fall aber um einen spezifischen Sachverhalt eines einzelnen Unternehmens. Des Weiteren bezieht sich das Urteil auf eine Installation vom 2020 sowie auf die Google Analytics Version vom 2020. Daher betrifft diese Entscheidung bei einem korrekten Einsatz von Google Analytics deutsche Websitebetreiber derzeit noch nicht. Mehr darüber findest du im Artikel von e-recht24.de.

Ergänzend dazu schreibt datenschutz-notizen.de in einem ausführlichen Artikel zum DSGVO-Urteil:
Eine DSGVO-konforme Übermittlung [beispielsweise in die USA] ist nach Art. 49 Abs. 1 lit. a DSGVO möglich, wenn: „(…) die betroffene Person[…] in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, (…)“.

Was gibt es beim Einsatz von Google Analytics und anderen Tracking-Tools zu beachten?

Um den Erfolg von Digital-Marketing-Maßnahmen messen zu können, ist ein Unternehmen auf Tools wie Google Analytics und einem Analyse-Dashboard wie das von Google Data Studio angewiesen. Wenn möglich, sollte ein europäischer Anbieter mit Servern in Europa bevorzugt werden. Des Weiteren wird empfohlen, im Vorhinein zu prüfen, ob die Software DSGVO-konform ist und was für den Datenschutz umgesetzt wird.

5 Schritte für den DSGVO-konformen Einsatz von Google Analytics und Co.:

  1. Einwilligung/ Consent-Tool auf der Seite einbinden (Cookie-Banner)
    Der Cookie-Banner muss eine 1-Klick–Ablehnung enthalten. Des Weiteren darf der Cookie-Banner den Link im Footer zur Datenschutzerklärung nicht verdecken. Daher sollte dieser Link zusätzlich in den Banner integriert werden.
  2. Vertrag zur Auftragsverarbeitung mit dem Anbieter abschliessen.
  3. IP-Anonymisierung einrichten.
  4. Eine leicht zugängliche Opt-Out-Lösung anbieten sowie beispielsweise für Google Analytics einen Link zum Browser-Plugin für eine Tracking-Verweigerung setzen. Bei der Verwendung eines Consent Tools sollte letzteres in der Regel automatisch enthalten sein.
  5. Die Datenschutzerklärung ergänzen bzw. anpassen.

Als letzte Aufgabe sollte die gesamte Infrastruktur von Datenschutzexperten überprüft werden. Im optimalen Fall wird bereits von Anfang an mit einem Datenschutzbeauftragten oder Spezialisten zusammengearbeitet.

Gibt es Alternativen zu Google Analytics?

Wem das alles zu unsicher ist, kann andere Tracking-Tools als Google Analytics verwenden. Die Alternativen zu Google Analytics sind Matomo.org oder Piwik Pro. Diese entsprechen noch besser den DSGVO-Vorgaben sowie sind die Server in der EU. Diese Tracking-Tools sind kostenpflichtig. Sie besitzen ein Abomodell mit verschiedenen Preis-Abstufungen, je nach Anzahl Seiteninteraktionen pro Monat sowie je nach Funktionsumfang.

Welche DSGVO-Massnahmen gibt es umzusetzen?

Um nur einige Maßnahmen zur Einhaltung der DSGVO zu nennen, sollten folgende umgesetzt werden:

  • Auflistung aller Tools, welche Daten sammeln.
  • Einen Datenschutzbeauftragten stellen.
  • Einen Prozess haben, wenn jemand um die Herausgabe und Löschung der Daten bittet.
  • Für melderelevante Sachverhalte bereits einen Prozess haben.
  • Tools wie YouTube und Google Maps dürfen nicht direkt eingebunden werden. Diese dürfen erst bei Einwilligung „aktiv“ werden.
  • Das Gleiche gilt für Social-Media-Buttons. Eingebundene Social-Media-Buttons teilen bereits Daten, wenn die User die Seite besuchen. Plugins gibt es für CMS wie Typo3 oder für WordPress (WordPress Shariff).
  • Maßnahmen für den Schutz der Daten umsetzen (Software + Hardware). Für den eCommerce-Bereich gibt es noch weitere Anforderungen wie: Der Button zum Kaufabschluss muss darauf hinweisen, dass mit einem Klick zahlungspflichtig bestellt wird („Zahlungspflichtig bestellen“).
  • Die Möglichkeit anbieten, ohne Konto/Registrierung zu bestellen.
  • Newsletter-Haken und meist andere Verpflichtungen dürfen nicht im Vorhinein angekreuzt sein.
  • Nur Daten erheben, welche gerechtfertigt sind. Beispielsweise beim Newsletter reicht nur die E-Mail-Adresse. Alles andere ist nicht notwendig.
  • Korrektes Impressum

Fazit zum Datenschutz und zu den Cookies

Als die DSGVO im Mai 2018 rechtskräftig eingeführt wurde, war vielen nicht klar, wie diese für den Online-Bereich umgesetzt werden soll. Noch heute gibt es viele offene Fragen, die wohl von Gerichten beantwortet werden müssen. Daher gilt es, sich regelmäßig über den aktuellen Stand des Datenschutzes zu informieren. Auch sollten gefällte Urteile wie beispielsweise in Bezug auf Google Analytics und die Anwendung von Cookies genauer geprüft werden. Vielfach bezieht sich das Urteil auf einen konkreten Sachverhalt, welcher bereits einige Zeit in der Vergangenheit liegen kann.

Hinsichtlich der internationalen Datenübermittlungen in Bezug auf die USA ist eine Transatlantic Data Privacy Framework in Erarbeitung. Dieses wurde bis Ende März 2022 weitgehend ratifiziert und sollte voraussichtlich in diesem Jahr in Kraft treten.

Schlussendlich gilt, so wenige Daten und nur so viele wie nötig zu sammeln und zu verarbeiten.