Original-URL des Artikels: https://www.golem.de/news/datenschutz-faq-nutzer-dsgvo-konform-tracken-1904-140951.html    Veröffentlicht: 30.04.2019 11:00    Kurz-URL: https://glm.io/140951

Datenschutz-FAQ

So können Websitebetreiber Nutzer DSGVO-konform tracken

Tracking, Plugins, Cookies, Einwilligungsbanner und Co.: Die baden-württembergische Datenschutzaufsicht gibt Tipps für Einsatz und Gestaltung.

Welche Reichweite-Analysetools, welche Cookies und Tracking-Mechanismen dürfen Website-Betreiber einsetzen? Wie soll das Einwilligungsbanner für Cookies aussehen? Wann ist eine Einwilligung von Nutzern gültig? Die deutschen Datenschutz-Aufsichtsbehörden haben dazu kürzlich eine allgemein gehaltene Orientierungshilfe "für Anbieter von Telemedien" veröffentlicht.

Rechtsanwalt Carsten Ulbricht, der zu Datenschutzfragen berät, setzt nach Durchsicht der Orientierungshilfe auf die Einwilligung als Königsweg: "Die sichere Variante ist fraglos, Cookies von Targeting und -trackingwerkzeugen erst setzen zu lassen, wenn der Nutzer aktiv im Sinne eines Opt-in zugestimmt hat". Doch viele Betreiber fürchten, keine Einwilligung zu bekommen, da eine Ablehnung ja nicht mit negativen Folgen verbunden sein darf. Sie hoffen daher, dass eine Interessenabwägung ohne Einwilligung weiterhin möglich ist.

Die Aufsichtsbehörden stellen jedoch hohe Anforderungen an eine Interessenabwägung. Deshalb ertönt der Ruf nach "allgemeingültigen Kriterien", mit denen man, so fordert etwa Rechtsanwalt Thomas Stadler, unabhängig vom Einzelfall sich für ein Werkzeug entscheiden können soll. Dafür sei aber wohl eine gesetzliche Klarstellung notwendig, meint Stadler einschränkend. Ob und wann eine gesetzliche Klärung stattfinden wird, steht überdies in den Sternen. Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink hat nun konkrete Praxishinweise im Format der Frequently Asked Questions (FAQ) entwickelt.

Reichweiten-Analyse und Cookies ohne Einwilligung

Eine Frage, die Nutzer umtreibt, ist, ob Reichweiten-Analysetools wie Google Analytics ohne Einwilligung eingesetzt werden dürfen. Die Antwort lautet: "Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird." Denn für die Analyse sei es eben nicht notwendig, die Daten an Dritte weiterzugeben. Logfile-Analysen oder lokal installierte Analysewerkzeuge wie Matomo, die datensparsam konfiguriert werden, genügen. Dafür muss dann auch keine Nutzereinwilligung eingeholt werden.

Nicht jedes Cookie benötigt die Einwilligung des Nutzers, stellt die baden-württembergische Aufsichtsbehörde klar: Die Warenkorb-Funktion etwa darf so genutzt werden, wenn die Daten nicht an Dritte übertragen werden. Gleichwohl benötigen Plugins von Social-Media-Anbietern, Betreibern großer Onlineplattformen und Werbenetzwerken immer eine Einwilligung. Die Behörde empfiehlt hierfür Zwei-Klick-Lösungen oder datenschutzfreundliche Einbett-Hilfen wie Shariff und Embetty.

Ob Social-Media-Accounts betrieben werden dürfen, müssen Betreiber separat klären. Dabei verweist die Aufsichtsbehörde auf den jüngsten Beschluss der Datenschutzkonferenz zum Betrieb von Facebook-Fanpages, wonach im Grunde derzeit kein datenschutzkonformer Betrieb einer Fanpage möglich ist.

Wann ist eine Einwilligung gültig?

Schließlich erklärt die Aufsichtsbehörde, wie die geforderte "informierte, freiwillige, aktive und vorherige Einwilligung" aussehen soll. Hinweise wie "diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern" oder "für Webanalyse und Werbemaßnahmen" werden als "irreführend" bewertet, weil sie keine Transparenz über die Datenverarbeitung herstellen. Denn die Einwilligung wird nicht für die Cookies, sondern für die mit ihnen verbundene Datenverarbeitung eingeholt. Entsprechend muss namentlich aufgelistet werden, wer die Dritten sind, an die die Daten weitergegeben werden. Auch muss erklärt werden, warum das notwendig ist. Verfolgen diese Dritte eigene Zwecke, müssen auch diese beschrieben werden.

Als No-Go gilt auch eine vorausgewählte Zustimmung des Nutzers, denn die Nutzer müssen aktiv und freiwillig einwählen. Auch dürfen auf keinen Fall vor der Einwilligung des Nutzers irgendwelche personenbezogenen Daten erhoben werden. Auch die immer wieder zu beobachtende Annahme, dass die Nutzung einer Website bereits eine Einwilligung darstellt, ist falsch.

Cookie-Banner rechtskonform gestalten

Eine eigene Frage widmet die baden-württembergische Aufsichtsbehörde der Gestaltung von Cookie-Bannern. Diese müssen nur dann gesetzt werden, wenn ein Cookie wirklich eine Einwilligung benötigt. Der Widerruf der Einwilligung muss dabei so einfach sein wie die Einwilligungserklärung selbst. Er darf sich also nicht etwa auf über verschiedene Links erreichbaren Seiten befinden, sondern muss wie die Einwilligung prominent zu sehen sein.

"Bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus", mahnt die Aufsichtsbehörde. Der Nutzer müsse klar und eindeutig darüber informiert werden, was mit seinen Daten geschieht. So müssen folgende Fragen beantwortet werden: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?

Auch dürfen die Inhalte "nicht durch Links verschleiert" werden. Per Klick aufklappbare Textbausteine sind demnach wohl in Ordnung, nicht aber verlinkte Unterseiten. Ebenso wenig darf der Zugriff auf Impressum und Datenschutzerklärung eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde. Diese Vorgaben gelten für Webseiten und Apps gleichermaßen.

Nachdem die Orientierungshilfe in Fachkreisen für Diskussionen sorgte, dürften die FAQs etwas Klärung bringen. Sie bespricht zentrale Einsatzkonstellationen, die sich auf die großen Player wie Google und Facebook sowie Werbenetzwerke beziehen. Klärungsbedarf besteht aber weiterhin auch für den Einsatz von Anti-Spam-Werkzeugen für Blog-Kommentare, Captchas und Empfehlungs-Plugins. Eine datenschutzrechtliche Orientierungshilfe, die sich an Blogger wendet, die nicht mit den Baukästen großer Anbieter arbeiten wollen, ist seit Jahren überfällig.  (csh)


Verwandte Artikel:
Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht   
(10.04.2019, https://glm.io/140588 )
Soziales Netzwerk: In 50 Jahren mehr tote als lebendige Nutzer bei Facebook   
(29.04.2019, https://glm.io/140931 )
iOS: Apple soll gegen alternative Screen-Time-Apps vorgehen   
(28.04.2019, https://glm.io/140921 )
Cookie-Banner: Deutsche Datenschützer spielen bei Nutzertracking auf Zeit   
(14.02.2019, https://glm.io/139374 )
IT-Konzerne: Einigung auf europaweite Digitalsteuer gescheitert   
(13.03.2019, https://glm.io/139975 )

© 1997–2019 Golem.de, https://www.golem.de/