Beiträge

Tracking ohne Einwilligung: Aufsichtsbehörden warnen

Tracking ohne Einwilligung: Aufsichtsbehörden warnen

Von Timo Schutt 14. November 2019

„Tag der Pressemeldungen“ zum Tracking

Heute ist anscheinend „Tag der Pressemeldungen“ der Aufsichtsbehörden für den Datenschutz. Alle scheinen sich abgesprochen zu haben heute jeweils Pressemeldungen zum Webtracking durch Drittanbieter-Dienste zu lancieren.

Denn verschiedene Aufsichtsbehörden haben heute zu diesem Thema jeweils unterschiedlich formulierte Meldungen veröffentlicht.

Beispiele:

Hessen: datenschutz.hessen.de/pressemitteilu

Niedersachsen: lfd.niedersachsen.de/startseite/all

NRW: ldi.nrw.de/mainmenu_Aktue

RLP: datenschutz.rlp.de/de/aktuelles/d

Saarland: datenschutz.saarland.de/ueber-uns/aktu

BfDI: https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html

ULD Schleswig-Holstein: https://www.datenschutzzentrum.de/artikel/1302-Achtung,-Webseiten-Betreiber-Bitte-Einbindung-von-Analyse-Diensten-ueberpruefen.html

Jeweils geht es darum, dass die Aufsichtsbehörden daran erinnern und dazu auffordern der Cookie-Entscheidung des EuGH und der eigenen Rechtsauffassung der Aufsichtsbehörden folgend, die Nutzung von Diensten mit Drittbeteiligung zu Zwecken des Tracking nur noch nach ausdrücklicher vorheriger Einwilligung der Nutzer der Webseiten vorzunehmen.

Beispielsweise sagt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber in seiner Pressemitteilung:

Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.

Sensibilisierung oder Verunsicherung?

Bei Twitter darauf angesprochen sagt Ulrich Kelber man würde „sensibilisieren“:

Fakt ist aber, dass die Verunsicherung durch solche Maßnahmen weiter erhöht wird. Und dies, obwohl mir persönlich noch kein einziger Fall bekannt ist, bei dem die Aufsichtsbehörden wegen der angeprangerten Vorgehensweise ein Bußgeld ausgesprochen hätten. Das wäre aber meines Erachtens nicht nur sinnvoll, sondern würde dann auch den Rechtsweg zu den Gerichten ermöglichen, um hier weitere Rechtssicherheit zu erlangen.

Mein Fazit

Die EuGH-Entscheidung ist zumindest was Third-Party-Cookies zu Trackingzwecken angeht eindeutig. Daher sollten Webseitenbetreiber hier entsprechend den Vorgaben mit ausführlichen Consent-Bannern arbeiten. Ich kann hier bspw. das Word Press Plugin „Cookiebot“ empfehlen.

Die Nutzung andere Tools ohne Drittbeteiligung, wie beispielsweise Matomo (ehemals PIWIK) halte ich nach wie vor für zulässig. Und das ganz ohne Banner, da ein ausführlicher Hinweis in der Datenschutzerklärung der Website wegen des i.d.R. bestehenden berechtigten Interesses genügen sollte.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man

Urheberangabe für das Beitrags-Foto: