Neues Menü in etracker analytics: benutzerfreundlicher & effizienter
Das Wichtigste zur neuen “Orientierungshilfe für Anbieter:innen von Telemedien“ der deutschen Datenschutzaufsicht vom 20. Dezember 2021
von Katrin Nebermann
Kurz vor Weihnachten haben die Aufsichtsbehörden die für den rechtskonformen Einsatz von Web-Analyse entscheidende „Orientierungshilfe für Anbieter:innen von Telemedien“ (OH Telemedien 2021) aktualisiert. Hintergrund hierfür war das am 01. Dezember 2021 Inkraft getretene Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), in dem die EU-ePrivacy-Richtlinie in deutsches Recht umgesetzt wurde. Der entsprechende §25 TTDSG gilt für alle Technologien, mittels derer Informationen auf Endgeräten des Nutzers gespeichert oder ausgelesen werden.
Die Orientierungshilfe ist abrufbar unter:
https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
Die drei wichtigsten Punkte haben wir für euch zusammengefasst und im Folgenden näher erläutert:
Drei wichtige Punkte
- Die datenschutzfreundliche Web-Analyse, wie sie etracker Analytics im Standard ohne Cookies bietet, ist nicht einwilligungsbedürftig.
- Der Einsatz von US-Diensten wie Google Analytics ist selbst bei Nutzer-Einwilligung in Deutschland verboten.
- Einwilligungsbanner müssen auf derselben Ebene neben der Zustimmung einen gleichgestalteten Ablehnen-Button beinhalten.
Zu 1.: Einwilligungsbedürftigkeit
Die neue Orientierungshilfe bestätigt die rechtlichen Grundlagen des Consent-befreiten Session Trackings mit etracker Analytics:
1. Die Backend-seitige Verknüpfung von Besuchsdaten mittels Browser- und Header-Informationen ist nicht einwilligungsbedürftig nach TTDSG.
Es handelt sich dabei laut Aufsichtsbehörden eindeutig nicht um einen aktiven Zugriff auf den Speicher des Endgeräts:
„Ein Zugriff setzt eine gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen voraus. Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als ‚Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind‘, zu werten. Beispiele dafür sind:
- die öffentliche IP-Adresse der Endeinrichtung,
- die Adresse der aufgerufenen Website (URL),
- der User-Agent-String mit Browser- und Betriebssystem-Version und
- die eingestellte Sprache.“
Um den Anforderungen der DSGVO gerecht zu werden, kürzt etracker die IP-Adresse automatisch bereits vor einer Speicherung und kombiniert die vom Browser übermittelten Daten mit einem täglich wechselnden Zufallswert. Dadurch ist die anonyme Verknüpfung von Besuchen auf maximal 24 Stunden begrenzt. Eine Nachverfolgung der Nutzer über längere Zeiträume ist ausgeschlossen.
2. Eine datenschutzfreundliche Verarbeitung zum Zweck der Web-Analyse kann nach wie vor auf die Rechtsgrundlage des überwiegenden berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.
Beim Einsatz von etracker Analytics kann der Einsatz auch weiterhin auf das berechtigte Interesse gestützt werden. Die Orientierungshilfe stellt klar, dass die Einwilligung nicht dem überwiegend berechtigten Interesse vorzuziehen ist. Beide Rechtsgrundlagen stehen gleichrangig und gleichwertig nebeneinander. Allerdings erfordere die Rechtsgrundlage des berechtigten Interesses eine individuelle Interessenabwägung. Hierfür sind die Prüfungsmaßstäbe gegenüber 2019 unverändert. Somit ist auch die Vorlage für die Interessenabwägung, die wir zur Verfügung stellen, nach wie vor aktuell, denn sie basiert genau auf den Maßstäben aus dem Jahr 2019. Diese bilden ebenfalls die Basis für unser Audit und die Auszeichnung mit dem Datenschutz-Gütesiegel ePrivacyseal.
Die Prinzipien des Cookie-losen Session Trackings sind damit offiziell von den deutschen Aufsichtsbehörden als nicht einwilligungsbedürftig anerkannt.
Zu 2.: US-Web-Analyse-Dienste wie Google Analytics
Die Orientierungshilfe stellt klar, dass die Rechtsgrundlage des berechtigten Interesses ausscheidet, wenn der Anbieter sich vorbehält, die Daten auch für eigene Zwecke zu verwenden:
„Darüber hinaus ist in Fällen, in denen Drittdienstleister beim Tracking als Auftragsverarbeiter eingebunden werden, darauf zu achten, ob diese Dienstleister Daten der betroffenen Personen auch zu eigenen Zwecken verarbeiten (z. B. um eigene Dienste zu verbessern oder Interessensprofile zu erstellen). In diesem Fall – und selbst wenn sich der Drittdienstleister sich dies nur abstrakt vorbehält – wird der Rahmen einer Auftragsverarbeitung nach Art. 28 DS-GVO überschritten. Für die Übermittlung personenbezogener Daten – und sei es nur der IP-Adresse – an diese Drittdienstleister kann Art. 6 Abs. 1 lit. f DS-GVO sodann in der Regel keine wirksame Rechtsgrundlage bilden.“
Selbst bei einer Einwilligung durch den Nutzer fehlt es an einer Rechtsgrundlage für die Datenverarbeitung durch US-Anbieter:
„Gerade im Zusammenhang mit der Einbindung von Dritt-Inhalten und der Nutzung von Tracking-Dienstleistungen werden allerdings oft keine ausreichenden ergänzenden Maßnahmen möglich sein. In diesem Fall dürfen die betroffenen Dienste nicht genutzt, also auch nicht in die Webseite eingebunden werden. Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden.“
Der Einsatz von Google Analytics ist damit innerhalb der EU verboten.
Zu 3. Einwilligungsbanner
Zur Gestaltung von Einwilligungsbannern haben sich die Aufsichtsbehörden eindeutig positioniert: Das Erschweren der Ablehnung führt zu einer rechtlich unwirksamen Einwilligung:
„Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar.“
Weiter heißt es: „Den Nutzer:innen muss im Einwilligungsbanner eine gegenüber der Zustimmung gleichwertige Möglichkeit gegeben werden, die Einwilligung zu verweigern. Wenn es auf der ersten Ebene des Einwilligungsbanners eine Schaltfläche für eine Einwilligung in bestimmte Prozesse gibt, muss es dort auch eine entsprechend dargestellte Schaltfläche geben, um diese Prozesse abzulehnen.“
Zusätzlich muss der Dialog alle wesentlichen Informationen auf oberster Ebene enthalten, damit die Einwilligung rechtlich wirksam ist:
„Grundsätzlich ist es möglich, Einwilligungsbanner mehrschichtig zu gestalten, also detailliertere Informationen erst auf einer zweiten Ebene des Banners mitzuteilen, zu der die Nutzenden über einen Button oder Link gelangen. Wenn jedoch bereits auf der ersten Ebene des Banners ein Button existiert, mit dem eine Einwilligung für verschiedene Zwecke erteilt werden kann, müssen auch auf dieser ersten Ebene konkrete Informationen zu allen einzelnen Zwecken enthalten sein. Zu unbestimmt wäre es, hier lediglich generische, allgemeine oder vage Informationen zu den Zwecken anzugeben, wie z. B. „Um Ihnen ein besseres Nutzungserlebnis bieten zu können, verwenden wir Cookies“.“
Wer nicht auf Einwilligungsbanner verzichten will oder kann, muss auf die rechtskonforme Gestaltung achten und darf insbesondere nicht die Ablehnung erschweren.
Disclaimer
Diese Ausführungen stellen keine Rechtsberatung dar und können keine individuelle Rechtsberatung ersetzen. Sie sind eine fachliche Auseinandersetzung und Zusammenfassung des Themas. Im Bedarfsfall stellen wir gerne den Kontakt zu einem Fachanwalt her.