Google Analytics – jetzt nur noch mit ausdrücklicher Einwilligung!

Cookie Banner easy Rechtssicher

Beitrag von Rechtsanwältin Laura Tudose

Inhalt

Google Analytics – jetzt nur noch mit ausdrücklicher Einwilligung!

Der Bundesgerichtshof (BGH) hatte sich wegen der (nach wie vor) unklaren Rechtslage in Deutschland in einem Rechtsstreit an den Europäischen Gerichtshof (EuGH) gewandt. Bei dem Rechtsstreit zwischen der Gewinnspielfirma Planet49 und dem Verbraucherzentrale Bundesverband ging es darum, in welcher Form der Nutzer dem Einsatz von Google Analytics „zustimmen“ kann. Im Cookie-Banner von Planet49 war das Häkchen für den Einsatz von Google Analytics bereits voreingestellt. Der EuGH hat am 01.Oktober 2019 entschieden, dass die Zustimmung der Nutzer zur Verwendung von Cookies ausdrücklich erfolgen muss. Das Urteil verlangt ein sog. Opt-In (EuGH, 1.10.2019 – C-673/17 “planet49”). Das heißt User müssen die Möglichkeit haben zu wählen, ob Cookies gesetzt werden und zwar nur durch aktives Handeln z.B. indem Sie selbst ein Häkchen setzen. Eine bereits erfolgte Vorauswahl, wie es bei Planet49 der Fall war, ist nicht ausreichend.

Was hat sich mit der EuGH-Entscheidung geändert?

Nach der Entscheidung des EuGHs im Oktober veröffentlichten auch 13 deutsche Aufsichtsbehörden Pressemitteilungen zum Einsatz von Google Analytics. Dabei entschieden die Behörden, dass es beim Einsatz von Google Analytics stets einer ausdrücklichen Einwilligung bedarf. Ein einfaches Weitersurfen oder vorangekreuzte Kästchen erklärten die Behörden entsprechend dem EuGH in ihrer Stellungnahme für unzulässig. Am 30.01.2020 hat nun auch der Verhandlungstermin am BGH zur Einwilligung in die Speicherung von Cookies zwischen der Gewinnspielfirma Planet49 und dem Verbraucherzentrale Bundesverband stattgefunden. Ein Urteil ist noch nicht gefallen. Der Verkündungstermin wurde für den 28. Mai 2020, 9.00 Uhr festgelegt. Mit dem Urteil hoffen viele auf mehr Rechtsklarheit. Die Lage bleibt damit vorerst unklar.

Aktuelle Rechtslage in Deutschland

Laut § 15 Absatz 3 Telemediengesetz darf ein Dienstleister für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien (Werbung) Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Das deutsche Telemediengesetz (TMG) sieht eine sog. Widerspruchslösung (Opt-out) vor. Demnach dürfen Cookies ohne vorherige Zustimmung gesetzt werden, soweit der User nicht erkennbar ist. Die Betroffenen können jedoch widersprechen, wenn sie das nicht wünschen. Da im Fall der Gewinnspielfirma Planet49 die Daten über den Träger des Pseudonyms zusammengeführt werden konnten und der Rückschluss auf die Identität des Betroffenen ohne weiteres möglich war, konnte sich das Unternehmen nicht auf § 15 Abs. 3 TMG stützen. Nichtsdestotrotz ist auch dieses Gesetz in seiner Rechtmäßigkeit äußerst umstritten. Warum das so ist, liegt gerade an solchen Webanalyse-Tools wie Google Analytics.

Warum ist Google Analytics vielen Datenschützern ein Dorn im Auge

Viele Online-Unternehmen haben, vor allem vor Inkrafttreten der DSGVO, die Übertragung der IP-Adresse an Google nicht unterbunden. Noch immer gibt es Webseiten, die Google Analytics nicht rechtssicher einsetzen. Dies führt dazu, dass unzählige Nutzerdaten bei Google landen und ausgewertet werden. Diese Daten liegen dabei auf Servern in der USA und werden zudem mit anderen Kennzahlen verknüpft. Google hat sich damit ein riesiges Datenimperium aufgebaut und nicht nur in die Daten Einzelner Einblicke, sondern auch in Kennzahlen von Unternehmen. Soweit Google Analytics jedoch mit der sog. AnonymizeIP verwendet wird, sollte man dem deutschen Gesetz folgend eigentlich auf der sicheren Seite sein.

Doch wie ist die Rechtslage bei Verwendung von Pseudonymen?

Bereits seit 2009 regelt die E-Privacy-Richtlinie, dass Cookies, die für die Nutzung einer Website nicht erforderlich sind, nur mit der Einwilligung des Betroffenen gesetzt werden dürfen. Irrelevant ist dabei ob das Setzen der Cookies einen Rückschluss auf eine Person zulässt und damit personenbezogene Daten verarbeitet werden. Art. 5 Abs. 3 der E-Privacy-Richtlinie gilt mit und ohne die Erhebung personenbezogener Daten. Obwohl die E-Privacy-Richtlinie eine aktive Einwilligung (Opt-In) vorsieht, entfaltet sie keine Wirkung in Deutschland. Europäische Richtlinien haben keine direkte Wirkung in den einzelnen Ländern. Die einzelnen Länder müssen die Richtlinie selbst umsetzen und in ihre Gesetze integrieren. Andere Stimmen sind hingegen der Ansicht, dass das deutsche Gesetz (§ 15 Abs. 3 TMG) bereits jetzt entsprechend der Richtlinie auszulegen ist. Wenn man dieser Ansicht folgt, erfordert das Setzen von Cookies meist auch die ausdrückliche Einwilligung.

Fazit zur aktuellen Rechtslage

Das deutsche Gesetz lässt es aktuell ausreichen, wenn der Nutzer die Möglichkeit hat, nachträglich zu widersprechen. Bereits jetzt lässt sich erkennen, dass der BGH, ähnlich wie bei der Entscheidung in Sachen E-Mail-Werbung dazu tendiert, das deutsche Gesetz für nicht europarechtskonform anzusehen. Damit müsste der Webseiteninhaber eine Einwilligung beim Tracking jeglicher Art einholen. Das deutsche Recht wäre entweder anzupassen oder es wird so auszulegen sein, dass es mit der europäischen Richtlinie vereinbar ist. Nachdem der deutsche Gesetzgeber die Anforderungen dieser europäischen Richtlinie nicht richtig umgesetzt hat, kann die BGH-Entscheidung hohe Auswirkungen auf die Zukunft von Tracking-Cookies haben. Aktuell bietet weder der EuGH, noch die E-Privacy-Richtlinie, noch das deutsche Gesetz eine zufriedenstellende Antwort. Es bleibt zu hoffen, dass das BGH-Urteil für mehr Rechtssicherheit sorgen wird und klarstellt, ob es stets einer Einwilligung beim Tracking bedarf. Für die Online-Branche bedeutet das also nach wie vor Rechtsunsicherheit!

Was sagt die DSGVO eigentlich?

Artikel 6 Absatz 1 Buchstabe f DSGVO ist die relevante Norm in diesem Kontext. Sie erlaubt die Verarbeitung personenbezogener Daten, soweit ein berechtigtes Interesse besteht. Laut Erwägungsgrund 47 DSGVO, der Artikel 6 Absatz 1 Buchstabe f DSGVO näher erläutern soll, kann die „Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine dem berechtigten Interesse dienende Verarbeitung betrachtet werden“. Artikel 6 Absatz 1 Buchstabe f DSGVO macht in seinem Wortlaut jedoch deutlich, dass das Vorliegen eines berechtigten Interesses eine Abwägung der wechselseitigen Interessen von betroffenen Usern und dem verantwortlichen Online-Unternehmen voraussetzt. Im Rahmen dieser Interessenabwägung muss dabei die Wertung der E-Privacy Richtlinie Berücksichtigung finden. Es ist also zu prüfen, wann ein Tracking für ein Unternehmen tatsächlich erforderlich ist. Wie so häufig handelt es sich hierbei um Einzelfallentscheidungen.

Rechtliche Einschätzung zur Zukunft der Cookies

Viele Fragen, die vor allem für die Online-Branche offen waren, sind nach dem EuGH-Urteil auch weiterhin. Das Thema Google-Analytics ist dabei schon lange umstritten. Nachdem § 15 Absatz 3 des Telemediengesetzes das anonymisierte Tracking gestattet und der deutsche Gesetzgeber die E-Privacy-Richtlinie nicht umgesetzt hat besteht aktuell nur ein geringes Risiko, dass man wegen des Setzens der Cookies abgemahnt wird oder mit gerichtlichen Schritten rechnen muss. Dies gilt natürlich nur, wenn Google Analytics datenschutzkonform eingesetzt wird. Wie du Google Analytics rechtssicher verwendest, kannst du hier nachlesen. Um die erhobenen und ausgewerteten Daten jedoch zukünftig nicht zu verlieren, empfehle ich bereits jetzt den sicheren Weg zu gehen. Sobald der deutsche Gesetzgeber eine klare Linie fährt und sich für die Einwilligungslösung entscheidet, müsstest du ansonsten alle Daten löschen, die du ohne Einwilligung erlangt hast. Zudem deutet vieles darauf hin, dass das Setzen von Cookies durch Google Analytics nur noch mit einer Einwilligung funktionieren wird. Natürlich gibt es auch Alternativen zu Google Analytics, wie zum Beispiel Matomo. Da Matomo auf dem eigenen Server gehostet wird, gelangen keine Daten an externe Medien, wie es bei Google Analytics der Fall wäre. Eine Auswertung der Daten erfolgt trotzdem. Bei Umsetzung der Richtlinie wären auch Alternativen wie Matomo nicht mehr ohne explizite Einwilligung einsetzbar.

Best Pratice – wie setzt man Google Analytics nun rechtssicher ein?

Der Einsatz von Social Media Buttons, Youtube Videos, Google Adsense, Facebook Pixel und vielen weiteren Marketing- und Statistik-Tools bedürfen bereits jetzt der Einholung einer Einwilligung. Daher empfiehlt es sich auch für Google Analytics eine explizite Einwilligung einzuholen. Nachdem sich die meisten Menschen ohnehin nicht für den Einsatz von Cookies und die sogenannten Cookie-Banner interessieren, wird die Gerichtsentscheidung zu Google Analytics in der Praxis kaum noch zu einem Unterschied führen. Ich selbst habe mich auf meinem Online-Reiseblog für den Einsatz des inzwischen weit verbreiteten Borlabs Cookie Plugins entschieden. Das WordPress Plugin ist sehr benutzerfreundlich und kann auch ganz ohne fundierte IT-Kenntnisse für Rechtssicherheit und damit den rechtskonformen Einsatz von Webanalyse-Tools sorgen.

Praxistipp – Usability Optimierung

Wichtig wird vielmehr die Gestaltung deines Cookie-Banners sein. In der heutigen Zeit einer immer schnelllebigeren Gesellschaft, solltest du es dem Nutzer einfach machen ans Ziel zu gelangen. Die User sind es meist gewohnt schnell an Informationen zu gelangen und ungestört zu Surfen. Der Cookie-Banner wird meist nur schnell weggeklickt. Die Wahrscheinlichkeit, dass der Nutzer den farbigen “Zustimmen Button” klickt ist viel höher, als den unscheinbaren grauen Hinweis, dass nur essentielle Cookies gesetzt werden sollen.  

 

Viele von uns haben ohnehin schon resigniert und sich damit abgefunden, dass ausführliche Nutzerprofile von Ihnen existieren. Andere wiederum sind einfach nur von dem Geklicke genervt und lesen nur äußerst selten die Datenschutzhinweise. Doch wenn Google Analytics richtig eingesetzt wird, haben auch die User einen Vorteil davon. Die stetige Optimierung von Webseiten erhöht die Chancen, dass ein Nutzer bei der Google Suche relevante Treffer erhält. So kannst du durch Google Analytics die Usability deiner Seite optimieren, z.B. indem du dein Menü umstrukturierst oder Inhalte nutzerfreundlich gestaltest. Oder wer will schon noch auf Binge Watching verzichten?

Datenschutz, Tracking und Co.: Viele offene Fragen bleiben

Fraglich ist nach wie vor wie detailliert die Cookie-Hinweise sein müssen. Neben Google Analytics gibt es auch diverse andere Statistik-Tools. Müssen diese einzeln bestätigt werden oder reicht hier eine Unterteilung in Cookie-Gruppen, wie Statistik, Marketing und externe Medien? Kann die Einwilligung gleichzeitig für die verschiedenen Cookie-Gruppen eingeholt werden? Ist das deutsche Gesetz, das aktuell noch eine pseudonymisierte Verarbeitung zu Werbezwecken zulässt, mit der ePrivacy Richtlinie vereinbar? Darf der Webseitenbetreiber Nutzern den Zugang zur Website versagen, wenn diese keine Einwilligung für die Verwendung von Cookies erteilen? – Stichwort Kopplungsverbot der DSGVO. Viele Fragen die nach wie vor hoch umstritten sind und wohl auch mit dem anstehenden BGH-Urteil unbeantwortet bleiben werden.

Lass uns doch einen Kommentar dar. Wie stehst du zu diesem Thema? Wie gehst du mit Cookies um? Welches Thema interessiert dich am meisten?

Weitere Informationen wie Du Deine Website DSGVO konform gestaltest, findest Du hier.

 

Rechtsanwältin Laura Tudose

Laura Tudose betreut als Rechtsanwältin vor allem Mandanten in den Bereichen Digitales und Recht. Als zertifizierte Datenschutzbeauftragte berät sie Unternehmen im Bereich Marketing und Soziale Medien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.