Der 28. Januar ist für Datenschutzinteressierte in Europa ein ganz besonderer Tag: Es jährt sich die Unterzeichnung der Europäischen Datenschutzkonvention.
Mit diesem völkerrechtlichen Vertrag wurde bereits im Jahr 1981(!) versucht, ein einheitliches Datenschutzniveau innerhalb der Unterzeichnerstaaten herzustellen.
Damit wurden bereits vor vierzig Jahren Ziele formuliert, die auch dem DSGVO-Kundigen nur allzu bekannt vorkommen dürften. Dennoch stellt die Verarbeitung personenbezogener Daten die Beteiligten immer wieder vor besondere Herausforderungen. Dies zeigt sich aktuell besonders im Zusammenhang mit dem Einsatz von Tracking-Tools. Grund genug also, um überblicksartig zu beleuchten, was es dabei zu beachten gilt.
Wenn die Autoren dieses Beitrags zur Feier des Europäischen Datenschutztages online eine Flasche Champagner bestellen, so bleibt dies ebenso wenig unbemerkt wie die Tatsache, dass Sie gerade diesen Beitrag lesen.
Verantwortlich hierfür sind Tracking-Tools, die Bewegungen eines Nutzers im Internet beobachten und auswerten. Dabei kann auf eine Vielzahl von Technologien zurückgegriffen werden, deren abschließende Auflistung kaum möglich erscheint.
I. Cookies
Bei der wohl bekanntesten Tracking-Technologie handelt es sich um Cookies, kleinen Textdateien also, die vom Browser gespeichert werden und die dazu dienen, bestimmte Informationen während des Navigierens auf einer Webseite aufzunehmen bzw. diese bei zukünftigen Besuchen wieder abrufen zu können. Auf diese Weise kann sich die Webseite etwa die Spracheinstellungen sowie Anmelde- oder Warenkorbinformationen eines Nutzers merken.
Cookies ermöglichen es aber zudem, das Surfverhalten des einzelnen Nutzers über mehrere Webseiten hinweg zu beobachten, um ihm dann verhaltensabhängige Werbung auszuspielen.
II. Browser-Fingerprinting
Das Browser-Fingerprinting verspricht dem Anwender einen ähnlichen Erkenntnisgewinn über die Besucher einer Webseite wie die Cookies. Dabei werden bestimmte Informationen ausgelesen, die beim Aufrufen einer Webseite aus technischer Sicht zwangsläufig übermittelt werden, wie etwa der vom Besucher verwendete Browsertyp, die Browser-Einstellungen, das verwendete Endgerät – und natürlich dessen IP-Adresse. Je nach Art des eingesetzten Fingerprintings lassen sich zudem Erkenntnisse über die vom Besucher verwendeten Bildschirm- oder Farbeinstellungen gewinnen.
In der Summe entsteht also ein individueller Fingerabdruck, der jederzeit einem individuellen Nutzer zugeordnet werden kann.
III. Zählpixel
Zählpixel sind extrem kleine Bilddateien (regelmäßig 1x1 Pixel), die in einer Vielzahl von E-Mail-Newslettern zu finden sind. Öffnet der Nutzer eine solche E-Mail, werden der Zählpixel vom Server des Newsletter-Betreibers geladen und sodann Informationen über den E-Mail-Empfänger übermittelt, etwa über die Tatsache und den Zeitpunkt des Öffnens der E-Mail – und auch hier natürlich dessen IP-Adresse. Die Zählpixel-Bilddatei kann dabei auch individuell generiert und damit einer konkreten E-Mail-Adresse zugewiesen werden.
IV. Social Plugins
Social Plugins werden auf einer Webseite eingebunden, um das einfache Teilen von Inhalten derselben auf den Nutzerprofilen von sozialen Netzwerken zu ermöglichen. Das Plugin kontaktiert dabei den Server des sozialen Netzwerks und stellt Informationen über die vom Nutzer besuchte Webseite bereit. Häufig werden dabei bereits dann Daten über den Besucher einer Webseite an das soziale Netzwerk gesendet, wenn dieser das jeweilige Plugin noch gar nicht betätigt hat.
Der Einsatz von Tracking-Tools geht zumeist mit der Verarbeitung personenbezogener Daten einher, so dass die Vorgaben der Datenschutzgrundverordnung zu beachten sind, wonach hierfür eine rechtliche Grundlage als Legitimation erforderlich ist. Als solche können etwa die Einwilligung der betroffenen Person, die Erfüllung eines Vertrages mit der betroffenen Person oder die berechtigten Interessen des Verantwortlichen herangezogen werden.
Für den Einsatz von Tracking-Tools galt lange Zeit, dass entweder § 15 Abs. 3 TMG oder aber Art. 6 Abs. 1 lit. f) DSGVO (berechtigte Interessen des Webseiten-Betreibers) als Rechtsgrundlage ausreichen. Dem Nutzer war es damit zwar im Nachhinein möglich, dem Einsatz von Tracking-Tools zu widersprechen, eine vorherige Einwilligung hierzu war aber nicht erforderlich.
Dies änderte sich jedoch durch das Urteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 (Az. C-673/17), dem mittlerweile auch der Bundesgerichtshof (BGH) mit Urteil vom 28. Mai 2020 (Az. I-ZR 7/16) gefolgt ist.
Dabei entschied der EuGH, dass das Setzen von Cookies, die nicht zwingend erforderlich sind, stets der aktiven und vorherigen Einwilligung des jeweiligen Nutzers bedarf – ganz unabhängig von der Frage, ob überhaupt die Verarbeitung personenbezogener Daten im Raum steht oder nicht.
Gleichzeitig machte das Gericht auch konkrete Vorgaben dazu, wie die Einwilligung vom Webseiten-Betreiber einzuholen sei. Eine Einwilligung durch voraktiviertes Ankreuzkästchen genügt danach ebenso wenig den Anforderungen wie eine Einwilligung, bei der der Nutzer nicht ausreichend über Funktionsweise und Speicherdauer der Cookies informiert wird.
Auch wenn die Urteile explizit nur Cookies ins Visier nehmen, sind die darin enthaltenen Erwägungen im gleichen Maße auf die sonstigen Tracking-Technologien zu übertragen. Die praktischen Konsequenzen sind daher enorm:
Jeder Webseiten-Betreiber muss im ersten Schritt prüfen, welche Cookies (respektive: welche Tracking-Technologien) auf der eigenen Webseite eingesetzt werden. Er muss sodann danach differenzieren, ob diese „zwingend erforderlich“ sind, um den Betrieb der Webseite zu gewährleisten. Dabei wird es sich in erster Linie um Log-In-Cookies, Warenkorb-Cookies und Spracheinstellungs-Cookies handeln, sowie um solche Cookies, die individuelle Cookie-Einstellungen speichern. Der Einsatz derartiger Cookies lässt sich auch nach wie vor auf ein berechtigtes Interesse des Webseiten-Betreibers stützen.
Für alle anderen Cookies und sonstigen Tracking-Tools gilt, dass der Nutzer seine Einwilligung erklären muss.
In letzter Zeit ist zu beobachten, dass sich das Erscheinungsbild der „Cookie-Banner“ wandelt. Handelte sich früher häufig um unauffällige Fenster in der Fußzeile einer Webseite, die dazu noch ignoriert oder weggeklickt werden konnten, sind solche Banner nunmehr in der Regel den Webseiten vorgeschaltet. Der Nutzer ist gezwungen eine Auswahl darüber zu treffen, in welche Cookies (und andere Tracking-Tools) er einwilligen möchte. Es handelt sich also streng genommen nicht um ein einfaches Cookie-Banner, sondern vielmehr um ein !Consent-Tool“.
Um rechtskonform zu sein, muss das Consent-Tool allerdings einige Voraussetzungen erfüllen.
Die Beachtung datenschutzrechtlicher Vorgaben kann kompliziert und zeitintensiv sein, das wissen auch die Aufsichtsbehörden. Gerade im Bereich der Tracking-Tools ist aber perspektivisch mit zunehmenden behördlichen Stichproben und im schlimmsten Falle auch mit Sanktionen zu rechnen. Es lohnt sich daher, die eigene Webseite und die dort ablaufenden Tracking-Maßnahmen genau im Blick zu behalten.
In diesem Sinne hoffen wir, mit diesem Beitrag eine kleine Orientierungshilfe formuliert zu haben und wünschen allen Lesern einen fröhlichen Europäischen Datenschutztag.