Google Analytics – jetzt nur noch mit ausdrücklicher Einwilligung!

Cookie Banner easy Rechtssicher

Google Analytics immer gefährlicher? Die Datenschutzbehörden verschärfen die Anforderungen immer mehr. Was Du jetzt noch darfst und tun kannst.

Beitrag von Rechtsanwältin Laura Tudose

Inhalt

Google Analytics – jetzt nur noch mit ausdrücklicher Einwilligung!

Der Bundesgerichtshof (BGH) hatte sich wegen der unklaren Rechtslage in Deutschland in einem Rechtsstreit an den Europäischen Gerichtshof (EuGH) gewandt. Bei dem Rechtsstreit zwischen der Gewinnspielfirma Planet49 und dem Verbraucherzentrale Bundesverband ging es darum, in welcher Form der Nutzer dem Einsatz von Google Analytics „zustimmen“ kann. Im Cookie-Banner von Planet49 war das Häkchen für den Einsatz von Google Analytics bereits voreingestellt.

Der EuGH hat am 01.Oktober 2019 entschieden, dass diese Voreinstellung nicht rechtmäßig ist. Das Urteil verlangt ein sog. Opt-In (EuGH, 1.10.2019 – C-673/17 “planet49”). Das heißt, User müssen die Möglichkeit haben zu wählen, ob Cookies gesetzt werden und zwar durch aktives Handeln. Eine bereits erfolgte Vorauswahl, wie es bei Planet49 der Fall war, ist nicht ausreichend.

Was hat sich mit der EuGH-Entscheidung geändert?

Nach der Entscheidung des EuGHs im Oktober veröffentlichten 13 deutsche Aufsichtsbehörden Pressemitteilungen zum Einsatz von Google Analytics. Dabei entschieden die Behörden, dass es beim Einsatz von Google Analytics stets einer ausdrücklichen Einwilligung bedarf. Ein einfaches Weitersurfen oder vorangekreuzte Kästchen erklärten die Behörden entsprechend dem EuGH in ihrer Stellungnahme für unzulässig.

Am 30.01.2020 hat nun auch der Verhandlungstermin am BGH zur Einwilligung in die Speicherung von Cookies zwischen der Gewinnspielfirma Planet49 und dem Verbraucherzentrale Bundesverband stattgefunden. Ein Urteil ist noch nicht gefallen. Der Verkündungstermin wurde für den 28. Mai 2020, 9.00 Uhr festgelegt. Mit dem Urteil hoffen viele auf mehr Rechtsklarheit. Die Lage bleibt damit vorerst unklar.

Aktuelle Rechtslage in Deutschland

Laut § 15 Absatz 3 Telemediengesetz darf ein Dienstleister für Zwecke der Werbung oder Marktforschung Nutzerprofile erstellen. Voraussetzung ist, dass der Dienstleister Pseudonyme verwendet und der Nutzer der Erstellung seines pseudonymisierten Profils nicht widersprochen hat.

Da im Fall der Gewinnspielfirma Planet49 die Daten über den Träger des Pseudonyms zusammengeführt werden konnten und der Rückschluss auf die Identität des Betroffenen ohne weiteres möglich war, konnte sich das Unternehmen nicht auf § 15 Abs. 3 TMG stützen. Nichtsdestotrotz ist auch dieses Gesetz in seiner Rechtmäßigkeit äußerst umstritten. Warum das so ist, liegt gerade an solchen Webanalyse-Tools wie Google Analytics.

Warum ist Google Analytics vielen Datenschützern ein Dorn im Auge

Soweit Google Analytics mit der sog. Anonymize IP verwendet wird, sollte man dem deutschen Gesetz folgend eigentlich auf der sicheren Seite sein. Viele Online-Unternehmen haben, vor allem vor Inkrafttreten der DSGVO, die Übertragung der IP-Adresse an Google nicht unterbunden. Noch immer gibt es Webseiten die Google Analytics nicht rechtssicher einsetzen. Dies führt dazu, dass unzählige Nutzerdaten bei Google landen und ausgewertet werden. Diese Daten liegen dabei auf Servern in der USA und werden zudem mit anderen Kennzahlen verknüpft. Google hat sich damit ein riesiges Datenimperium aufgebaut und hat nicht nur in die Daten Einzelner Einblicke, sondern auch in Kennzahlen von Unternehmen.

Doch wie ist die Rechtslage bei Verwendung von Pseudonymen?

Bereits seit 2009 regelt die europäische E-Privacy-Richtlinie, dass Cookies, die für die Nutzung einer Website nicht erforderlich sind, nur mit der Einwilligung des Betroffenen gesetzt werden dürfen. Dies gilt unabhängig davon, ob das Setzen der Cookies einen Rückschluss auf die Person zulässt. Anders als im deutschen Gesetz dürfen anonymisierte Nutzerprofile gemäß der E-Privacy Richtlinie nie ohne Einwilligung erstellt werden.

Obwohl die E-Privacy-Richtlinie eine aktive Einwilligung (Opt-In) vorsieht, entfaltet sie keine Wirkung in Deutschland. Europäische Richtlinien haben keine direkte Wirkung in den einzelnen Ländern. Die einzelnen Länder müssen europäische Richtlinien in nationale Gesetze umsetzen. Manche Stimmen in Deutschland sind der Ansicht, dass das deutsche Gesetz (§ 15 Abs. 3 TMG) jedoch entsprechend der E-Privacy-Richtlinie auszulegen ist. Wenn man dieser Ansicht folgt, erfordert das Setzen von Cookies auch bei Verwendung von Pseudonymen eine ausdrückliche Einwilligung.

Fazit zur aktuellen Rechtslage

Das deutsche Gesetz lässt es aktuell ausreichen, wenn der Nutzer die Möglichkeit hat nachträglich zu widersprechen. Bereits jetzt lässt sich erkennen, dass der BGH, ähnlich wie bei der Entscheidung in Sachen E-Mail-Werbung dazu tendiert das deutsche Gesetz für nicht europarechtskonform zu ernennen. Das deutsche Gesetz wäre sodann anzupassen. Damit müsste der Webseiteninhaber eine Einwilligung beim Tracking jeglicher Art einholen. Folglich kann das BGH-Urteil hohe Auswirkungen auf die Zukunft von Tracking-Cookies haben. Aktuell bietet weder der EuGH, noch die E-Privacy-Richtlinie, noch das deutsche Gesetz eine zufriedenstellende Antwort. Es bleibt zu hoffen, dass das BGH-Urteil vom 28. Mai 2020 für mehr Rechtssicherheit sorgen wird und klarstellt, ob es stets einer Einwilligung beim Tracking bedarf. Für die Online-Branche bedeutet das also nach wie vor Rechtsunsicherheit!

Was sagt die DSGVO eigentlich?

Artikel 6 Absatz 1 Buchstabe f DSGVO ist die relevante Norm in diesem Kontext. Sie erlaubt die Verarbeitung personenbezogener Daten soweit ein berechtigtes Interesse besteht. Laut dem Erwägungsgrund 47 DSGVO, der Artikel 6 Absatz 1 Buchstabe f DSGVO näher erläutert, kann die „Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine dem berechtigten Interesse dienende Verarbeitung betrachtet werden“. Die Betonung liegt hierbei auf „kann“. Das Vorliegen eines berechtigten Interesses bedarf einer Abwägung der wechselseitigen Interessen von betroffenen Usern und dem verantwortlichen Online-Unternehmen. Im Rahmen dieser Interessenabwägung muss die Wertung der E-Privacy Richtlinie Berücksichtigung finden. Es ist also zu prüfen, wann ein Tracking für ein Unternehmen tatsächlich erforderlich ist. Da es sich hierbei um Einzelfallentscheidungen handelt, hilft auch die DSGVO mit keiner klaren Aussage weiter.

Rechtliche Einschätzung zur Zukunft der Cookies

Das Thema Cookies und Google-Analytics ist schon lange umstritten. Nachdem § 15 Absatz 3 des Telemediengesetzes das anonymisierte Tracking gestattet und der deutsche Gesetzgeber die E-Privacy-Richtlinie nicht umgesetzt hat besteht aktuell nur ein geringes Risiko, dass man wegen des Setzens der Cookies abgemahnt wird oder mit gerichtlichen Schritten rechnen muss. Dies gilt natürlich nur, wenn Google Analytics datenschutzkonform eingesetzt wird. Wie du Google Analytics rechtssicher verwendest, kannst du hier nachlesen.

Um die erhobenen und ausgewerteten Daten jedoch zukünftig nicht zu verlieren, empfehle ich bereits jetzt den sicheren Weg zu gehen. Sobald der deutsche Gesetzgeber eine klare Linie fährt und sich für die Einwilligungslösung entscheidet, müsstest du ansonsten alle Daten löschen, die du ohne Einwilligung erlangt hast. Zudem deutet vieles darauf hin, dass das Setzen von Cookies durch Google Analytics nur noch mit einer Einwilligung funktionieren wird.

Die dänische Aufsichtsbehörde ging sogar noch einen Schritt weiter. Sie verlangt nicht nur eine ausdrückliche Einwilligung zum Setzen von Cookies, sondern erachtet die Gestaltung vieler Cookie-Banner für unzulässig. Nicht nur das Einholen, sondern auch das Ablehnen der Einwilligung zum Setzen von Cookies muss viel leichter und transparenter gestaltet werden.

Best Pratice – wie setzt man Google Analytics nun rechtssicher ein?

Der Einsatz von Social Media Buttons, Youtube Videos, Google Adsense, Facebook Pixel und vielen weiteren Marketing- und Statistik-Tools bedürfen bereits jetzt der Einholung einer Einwilligung. Daher empfiehlt es sich auch für Google Analytics eine explizite Einwilligung einzuholen. Nachdem sich die meisten Menschen ohnehin nicht für den Einsatz von Cookies und die sogenannten Cookie-Banner interessieren, wird die Gerichtsentscheidung zu Google Analytics in der Praxis kaum noch zu einem Unterschied führen.

Ich selbst habe mich auf meinem Online-Reiseblog für den Einsatz des inzwischen weit verbreiteten Borlabs Cookie Plugins entschieden. Das WordPress Plugin ist sehr benutzerfreundlich und kann auch ganz ohne fundierte IT-Kenntnisse für Rechtssicherheit und damit den rechtskonformen Einsatz von Webanalyse-Tools sorgen.

Praxistipp – Usability Optimierung

Wichtig wird vielmehr die Gestaltung deines Cookie-Banners sein. Die User sind es gewohnt schnell an Informationen zu gelangen und ungestört zu Surfen. Der Cookie-Banner wird meist nur schnell weggeklickt. Die Wahrscheinlichkeit, dass der Nutzer den farbigen “Zustimmen Button” klickt ist viel höher, als den unscheinbaren grauen Hinweis, dass nur essentielle Cookies gesetzt werden sollen.

 

Viele von uns haben ohnehin schon resigniert und sich damit abgefunden, dass ausführliche Nutzerprofile von Ihnen existieren. Andere wiederum sind einfach nur von dem Geklicke genervt und lesen nur äußerst selten die Datenschutzhinweise.

Doch wenn Google Analytics richtig eingesetzt wird, haben auch die User einen Vorteil davon. Die stetige Optimierung von Webseiten erhöht die Chancen, dass ein Nutzer bei der Google Suche relevante Treffer erhält. So kannst du durch Google Analytics die Usability deiner Seite optimieren, z.B. indem du dein Menü umstrukturierst oder Inhalte nutzerfreundlich gestaltest. Oder wer will schon noch auf Binge Watching verzichten?

Datenschutz, Tracking und Co.: Viele offene Fragen bleiben

Fraglich ist nach wie vor wie detailliert der Cookie-Banner sein muss. Die dänische Aufsichtsbehörde hat hierzu als erstes eine Orientierungshilfe geschaffen. (https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/feb/dmis-behandling-af-personoplysninger-om-hjemmesidebesoegende/)

Diese gilt zwar nicht in Deutschland, nichtsdestotrotz kann hierin ein erster Richtwert für das Einholen der Einwilligung beim Setzen von Cookies gesehen werden.

Neben Google Analytics gibt es auch diverse andere Statistik-Tools. Müssen diese einzeln bestätigt werden oder reicht hier eine Unterteilung in Cookie-Gruppen, wie Statistik, Marketing und externe Medien? Kann die Einwilligung gleichzeitig für verschiedene Cookie-Gruppen eingeholt werden? Ist das deutsche Gesetz, das aktuell noch eine pseudonymisierte Verarbeitung zu Werbezwecken zulässt, mit der ePrivacy Richtlinie vereinbar?

Darf der Webseitenbetreiber, Nutzern den Zugang zur Website versagen, wenn diese keine Einwilligung für die Verwendung von Cookies erteilen? – Stichwort Kopplungsverbot der DSGVO. Viele Fragen die nach wie vor hoch umstritten sind und wohl auch mit dem anstehenden BGH-Urteil unbeantwortet bleiben werden.

Lass uns doch einen Kommentar dar. Wie stehst du zu diesem Thema?

Wie gehst du mit Cookies um? Welches Thema interessiert dich am meisten?

Weitere Informationen wie Du Deine Website DSGVO konform gestaltest, findest Du hier.

 

Rechtsanwältin Laura Tudose

Laura Tudose betreut als Rechtsanwältin vor allem Mandanten in den Bereichen Digitales und Recht. Als zertifizierte Datenschutzbeauftragte berät sie Unternehmen im Bereich Marketing und Soziale Medien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.