“Tag der Pressemeldungen” zum Tracking
Heute ist anscheinend “Tag der Pressemeldungen” der Aufsichtsbehörden für den Datenschutz. Alle scheinen sich abgesprochen zu haben heute jeweils Pressemeldungen zum Webtracking durch Drittanbieter-Dienste zu lancieren.
Denn verschiedene Aufsichtsbehörden haben heute zu diesem Thema jeweils unterschiedlich formulierte Meldungen veröffentlicht.
Beispiele:
Hessen: datenschutz.hessen.de/pressemitteilu
Niedersachsen: lfd.niedersachsen.de/startseite/all
NRW: ldi.nrw.de/mainmenu_Aktue
RLP: datenschutz.rlp.de/de/aktuelles/d
Saarland: datenschutz.saarland.de/ueber-uns/aktu
ULD Schleswig-Holstein: https://www.datenschutzzentrum.de/artikel/1302-Achtung,-Webseiten-Betreiber-Bitte-Einbindung-von-Analyse-Diensten-ueberpruefen.html
Jeweils geht es darum, dass die Aufsichtsbehörden daran erinnern und dazu auffordern der Cookie-Entscheidung des EuGH und der eigenen Rechtsauffassung der Aufsichtsbehörden folgend, die Nutzung von Diensten mit Drittbeteiligung zu Zwecken des Tracking nur noch nach ausdrücklicher vorheriger Einwilligung der Nutzer der Webseiten vorzunehmen.
Beispielsweise sagt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber in seiner Pressemitteilung:
Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen:
Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.
Sensibilisierung oder Verunsicherung?
Bei Twitter darauf angesprochen sagt Ulrich Kelber man würde “sensibilisieren”:
Wir sensibilisieren, wir „scheuchen“ nicht „auf“
— Ulrich Kelber (@UlrichKelber) November 14, 2019
Fakt ist aber, dass die Verunsicherung durch solche Maßnahmen weiter erhöht wird. Und dies, obwohl mir persönlich noch kein einziger Fall bekannt ist, bei dem die Aufsichtsbehörden wegen der angeprangerten Vorgehensweise ein Bußgeld ausgesprochen hätten. Das wäre aber meines Erachtens nicht nur sinnvoll, sondern würde dann auch den Rechtsweg zu den Gerichten ermöglichen, um hier weitere Rechtssicherheit zu erlangen.
Mein Fazit
Die EuGH-Entscheidung ist zumindest was Third-Party-Cookies zu Trackingzwecken angeht eindeutig. Daher sollten Webseitenbetreiber hier entsprechend den Vorgaben mit ausführlichen Consent-Bannern arbeiten. Ich kann hier bspw. das Word Press Plugin “Cookiebot” empfehlen.
Die Nutzung andere Tools ohne Drittbeteiligung, wie beispielsweise Matomo (ehemals PIWIK) halte ich nach wie vor für zulässig. Und das ganz ohne Banner, da ein ausführlicher Hinweis in der Datenschutzerklärung der Website wegen des i.d.R. bestehenden berechtigten Interesses genügen sollte.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
DSGVO-Man
