BLOG -


Datenschutzbehörden prüfen den Einsatz von Tracking-Diensten auf Webseiten

Was ist passiert?

Mehrere deutsche Datenschutzbehörden prüfen aktuell den Einsatz von Tracking-Diensten im Zusammenhang mit Analytics-Tools, Online-Werbung und sonstiger Dritt-Dienste auf Webseiten. Dazu versenden die Behörden einen abgestimmten Fragebogen mit der Aufforderung, diesen Fragebogen ausgefüllt zurückzuschicken. Gegenstand der Prüfung sind nach Angaben der Datenschutzbehörden in erster Linie Internetpräsenzen von Medienunternehmen, z.B. von Zeitungen und Zeitschriften, da dort Tracking-Dienste häufig in besonders großem Umfang eingesetzt werden.

Während einige beteiligte Datenschutzbehörden diese Prüfung bereits durchführen (etwa der Landesbeauftragte für den Datenschutz Niedersachsen), haben andere Datenschutzbehörden angekündigt, auf Unternehmen „in Kürze“ zuzugehen (siehe das LfDI Baden-Württemberg). Laut dem LfDI Baden-Württemberg sollen die Prüfungen in erster Linie bei Anbietern mit „besonders reichweitenstarken Online-Präsenzen“ durchgeführt werden.

Welche Fragen stellen die Aufsichtsbehörden?

Die Fragebögen sind detailliert und enthalten Fragen bzw. Aufforderungen wie:

  • Sind auf Ihrer Website Dienste von Dritten […], z.B. Zählpixel, Analysedienste, Marketingdienste, Trackingdienste, Kartendienste, Wetterdienste, Chatdienste eingebunden und wenn ja, welche?“
  • Welche Daten der Nutzer Ihrer Website werden aufgrund der Dienste von Dritten verarbeitet?“
  • Werden Datenverarbeitungen auf Ihrer Website, insbesondere Datenübermittlungen an Drittdienstleister und die Verwendung von Cookies, auf eine Einwilligung der Nutzer der Webseite gestützt“ und wenn ja: „Benennen Sie die konkreten Datenverarbeitungen, für die eine Einwilligung der Nutzer eingeholt wird“.
  • „Werden Datenverarbeitungen auf Ihrer Website, insbesondere Datenübermittlungen an Drittdienstleister und die Verwendung von Cookies, auf eine andere Rechtsgrundlage als die Einwilligung gestützt?“
  • Welche konkreten Datenverarbeitungen werden auf welches konkrete berechtige Interesse gestützt?“ und „Welche Kriterien wurden bei der von Art. 6 Abs. 1 Buchstabe f DS-GVO geforderten Interessenabwägung berücksichtigt?“

Darüber hinaus fragen die Datenschutzbehörden nach dem Einsatz von „Fingerprinting“, nach der Erfüllung von Informationspflichten, nach der Umsetzung datenschutzfreundlicher Voreinstellungen gemäß Art. 25 Abs. 2 DS-GVO, nach der Durchführung von Datenschutz-Folgenabschätzungen und der Erfüllung von Nachweispflichten.

Dem Fragenbogen angehängt sind mehrere Tabellen, in denen die angeschriebenen Unternehmen Details zu den eingebundenen Diensten, zu etwaiger Kommunikation der Anbieter-Webseite mit anderen Webseiten (z.B. Kartendienste) und zur Speicherung von Informationen auf dem Endgerät der Nutzer (z.B. Cookies) angeben müssen.

Was sollten Unternehmen jetzt tun?

Unternehmen sollten sich darauf vorbereiten, auf diese Fragebögen Antworten liefern zu können. Streng genommen enthalten die Fragebögen keine völlig unerwarteten Fragen. Der Detailgrad der Fragen ist jedoch ausgesprochen hoch. Viele der angesprochenen Unternehmen werden die abgefragten Informationen ohne Hilfe der Dritt-Anbieter nicht vollständig beantworten können. Diese Informationen in der von den Behörden gesetzten Frist zusammenzutragen, ist, je nach Anzahl der eingesetzten Tracking-Dienste, nur unter großen Anstrengungen möglich.

Soweit noch nicht geschehen, sollten Unternehmen jetzt eine umfassende Prüfung der auf ihren Webseiten eingesetzten Tracking-Dienste durchführen. Der von den Datenschutzbehörden versendete Fragebogen kann hierfür als Orientierung dienen. Unternehmen sollten für die Auswahl der Tracking-Tools einen sachgerechten Prüfkatalog entwerfen, der (insbesondere im Fall von aufsichtsbehördlichen Maßnahmen) auch als Nachweis der Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) dienen kann.

Zudem müssen Unternehmen konkret festlegen, auf welcher datenschutzrechtlichen Rechtsgrundlage sie die Tracking-Dienste einbeziehen. Herfür kommt in der Regel nur eine Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO) oder eine Interessenabwägung (Art. 6 Abs. 1 lit. f) DS-GVO) in Frage. Stützt das Unternehmen den Einsatz der Drittanbieter auf eine Interessenabwägung, muss diese Interessenabwägung detailliert dokumentiert werden.

Die aktuelle Prüfung ist auch für Unternehmen relevant, die nicht unmittelbar von der Prüfung betroffen sind. Insbesondere ist davon auszugehen, dass sich die Datenschutzbehörden in anlassbezogenen Prüfungen (z.B. bei Beschwerden einzelner Nutzer) an dem Fragebogen orientieren werden.

Die Datenschutzbehörden haben den Druck auf Unternehmen, bei der Auswahl von Tracking-Diensten datenschutzrechtliche Gesichtspunkte zu berücksichtigen und nachzuvollziehen, in welchem Umfang die eingesetzten Tracking-Dienste personenbezogene Daten verarbeiten, weiter erhöht.

Dr. Johannes Baumann



TAGS

Datenschutzrecht DSGVO Tracking Datenschutzbehörde Fragebogen Cookies