Seit einiger Zeit werden Besucher von Webseiten praktisch flächendeckend mit Cookie-Hinweisen begrüßt. Teilweise so aufdringlich, dass der Inhalt der Webseite wirklich nur gelesen werden kann, wenn die Zustimmung erteilt wird. Doch muss ich als Webseitenbetreiber wirklich solche Maßnahmen setzen? Vertreibe ich damit nicht vielmehr Besucher von meiner Seite?
Warum das Ganze?
Nach DSGVO ist die Erhebung oder Verarbeitung von personenbezogenen Daten über eine Webseite nur zulässig, wenn dafür eine rechtliche Grundlage vorliegt.
Was sind personenbezogene Daten?
Welche Daten als personenbezogen anzusehen sind, wird in Art. 4 Ziff.1 DSGVO definiert. Neben Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, fallen ausdrücklich auch Onlinekennungen in den Anwendungsbereich. Danach genügt es schon, wenn eine Onlinekennung (z.B. eine Cookie-ID) einen Webseitenbesucher als „unique user“ identifizieren kann, welcher bestimmte Webseiten angesehen hat. Ein Rückschluss auf die tatsächliche Identität muss dafür gar nicht gezogen werden, es reicht hier bereits die theoretische Möglichkeit aus.
Cookie ist also nicht gleich Cookie!
Es hängt also ganz davon ab, ob die verwendete Technologie zur Onlinekennung eines Besuchers Daten mit Personenbezug verwendet.
Soweit eine Webseite also nur technisch notwendige Cookies setzt, die keine Wiedererkennung des Nutzers ermöglichen, also keine personenbezogenen Daten enthalten, ist das ohne Hinweis oder Einwilligung des Nutzers möglich. Bei diesen Cookies fehlt die datenschutzrechtliche Relevanz.
Werden hingegen Cookies gesetzt, die es ermöglichen den Nutzer wiederzuerkennen (wie z.B. Retargeting) oder das Nutzungsverhalten (pseudonym) tracken, stellt dies eine Verarbeitung personenbezogener Daten dar, die unter der DSGVO legitimiert werden muss. Tracking definieren die Datenschutzbehörden als (Webseitenübergreifende) Nachverfolgung des individuellen Verhaltens des Nutzers.
Werden personenbezogene Daten der Webseitenbesucher über Cookies verarbeitet, muss dafür eine Legitimation vorliegen. Dies kann erfolgen durch:
- Die Einwilligung der betroffenen Person, Art. 6 Abs. 1 lit. a) DSGVO
- Das berechtigte Interesse des Verantwortlichen, Art. 6 Abs. 1 lit. F) DSGVO
Berechtigtes Interesse
Der Webseitenbetreiber kann also die Nutzungsdaten der Webseitenbesucher auf der Grundlage berechtigter Interessen verarbeitet. Allerdings nur, wenn
- die Verarbeitung zur Wahrung berechtigter Interessen des Webseitenbetreiber erforderlich ist,
- und die Interessen sowie Grundrechte und Grundfreiheiten der Nutzer diese nicht überwiegen.
Es gilt also im Einzelfall juristisch abzuwägen wie stark der Eingriff in die Persönlichkeitsrechte der Betroffenen ist.
Die deutsche Datenschutzkonferenz hat dazu eine Orientierungshilfe herausgegeben, wonach:
- die Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
- die freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z.B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Web Fonts, Kartendiensten, Social-Plugins, etc.
- die Integrität und Sicherheit der Website (IT-Security-Maßnahmen sind bspw. das Speichern von Log Dateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
- die Reichweitenmessung und statistische Analysen,
- die Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer und
- die Wiedererkennung und Merkmalszuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten – Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken) und Bot-Nutzung
durchaus berechtigte Interessen des Webseitenbetreibers sein können.
Hierunter wird der Großteil der technisch erforderlichen Cookies einzuordnen sein, die bspw. dazu dienen einen Warenkorb für den Benutzer zu führen oder den Zugriff auf Daten im Benutzeraccount zu ermöglichen.
Bei der Abwägung sind nach Auffassung der Datenschutzbehörden Kriterien wie
- Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
- Interventionsmöglichkeiten der betroffenen Personen
- Verkettung von Daten
- Beteiligte Akteure
- Dauer der Beobachtung
- Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
- Datenkategorien
- Umfang der Datenverarbeitung
entscheidend dafür, ob eine Legitimation über Art. 6 Abs.1 lit.f DSGVO begründet werden kann oder nicht.
First Party- vs. Third Party-Cookies
First Party-Cookies werden von der Webseite gesetzt auf der der Benutzer gerade surft und werden vom Browser nicht domainübergreifend zugänglich gemacht.
Third Party-Cookies hingegen werden durch einen Dritten gesetzt und erlauben ein domainübergreifendes Tracking der Benutzer, was beispielsweise bei Google Analytics, Facebook Pixel, Google Maps, YouTube Videos, etc. der Fall ist. Hier soll also das Benutzerverhalten webseitenübergreifend nachverfolgt werden um aus den gewonnenen Daten Profile erstellen zu können.
Der EuGH hat dazu vor kurzem klargestellt, dass Third Party-Cookies nicht durch berechtigtes Interesse legitimiert werden und somit nicht ohne das Einverständnis des Betroffenen gesetzt werden dürfen. Hierfür muss also in jedem Fall erst die Einwilligung des Benutzers eingeholt werden, bevor solche Third Party-Cookies gesetzt werden
Alternativen zu Google Analytics und Co
Neben Google Analytics gibt es zahlreiche Analysewerkzeuge, die vom Webseitenbetreiber selbst betrieben werden können.
Dazu zählen beispielsweise klassische Log File Analyzer wie AWStats, welche sich rein auf die Analyse der Server-Logs konzentrieren und ohne Cookie auskommen.
Alternativ dazu bieten aber auch Tools wie Matomo (Piwik PRO) oder Open Web Analytics ähnliche Einblicke wie Google Analytics. Diese sind open source, können daher auch selbst betrieben werden und setzten in diesem Fall ein First Party-Cookie.
Bei Analysewerkzeugen wie z.B. Matomo, die keine individuellen Nutzungsprofile erstellen bzw. weitergeben, lässt sich eine Legitimation über berechtigte Interessen auch nach Auffassung der deutschen Datenschutzbehörden aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings mit guten Argumenten begründen. Wer entsprechende Werkzeuge bzw. die dafür erforderlichen Cookies einsetzt, muss zwar in der Datenschutzerklärung auf die entsprechende Datenverarbeitung und die jeweiligen Widerspruchsmöglichkeiten (sog. Opt-Out) hinweisen. Eine Zustimmung vor Setzen der Cookies bedarf es also nach Auffassung der Datenschutzbehörden nicht mehr.
Die Zulässigkeit von First Party-Cookies – ohne explizite Zustimmung – hängt stark davon ab welche Daten erhoben werden, ob diese mit anderen Daten zusammengeführt werden und wie stark die „Eingriffsintensität“ letztlich ist. Hier wird die Rechtsprechung zeigen, wo genau die Grenze verläuft.
Firefox blockiert Third Party-Cookies
Der Webbrowser Firefox blockiert seit Anfang September 2019 Third Party Tracking Cookies in der Standardeinstellung. Damit wird das Tracking Cookie erst dann gesetzt, wenn der Benutzer in den Einstellungen seines Browsers dies auch explizit freigegeben hat. Tut er das nicht, wird das Tracking Cookie selbst dann nicht gesetzt, wenn der Nutzer die Zustimmung auf der Webseite gegeben hat.
Es ist davon auszugehen, dass viele Benutzer diese Einstellung auf dem Standard belassen werden. Dies wird die Webanalyse mit Google Analytics durchaus vor Herausforderungen stellen.
Bei Analysewerkzeugen wie bspw. Matomo funktioniert die Analyse mit der Standardeinstellung hingegen, da hier ein First Party-Cookie gesetzt wird und Firefox das nicht verhindert.
Wir führen einen Website-Check für Sie durch.
Gerne übernehmen wir die Prüfung Ihrer Webseite damit Sie wissen welche Maßnahmen erforderlich sind, um DSGVO konform zu sein.