Webtracking ist aus der Praxis vieler Websitebetreiber kaum noch wegzudenken. Auch datenschutzrechtlich spricht nichts gegen ein sauber implementiertes Trackingtool, das die Vorgaben des Telemediengesetzes beachtet.
In der Vergangenheit haben sich mehrere Produkte herauskristallisiert, die beanstandungsfrei betrieben werden können. Unter ihnen Piwik und Google Analytics. Für beide Trackingtools liegen Stellungnahmen von Datenschutzaufsichtsbehörden vor, welche diesen Tools einen Freibrief erteilen. Natürlich nur, sofern bestimmte Rahmenbedingungen eingehalten werden. Hierzu gehört auch die Forderung, dass in bestimmten Fällen ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden muss. Wer das Webtracking in die Hände eines Dienstleisters (z.B. Google) legt, benötigt eine solche schriftliche Vereinbarung. Google selbst stellte hierfür bislang einen funktionierenden Prozess zur Verfügung. Websitebetreiber können sich nach einiger Wartezeit tatsächlich einen unterschriebenen Vertrag mit der amerikanischen Google Incorporated in die Schublade legen.
Derzeit prüft die für Google zuständige Hamburgische Aufsichtsbehörde allerdings, ob dieser Vertrag noch ausreichend ist. Denn Google hat in der Vergangenheit „nur“ einen Vertrag zur Auftragsdatenverarbeitung und keine EU-Standardvertragsklauseln abgeschlossen. Stattdessen hat sich Google auf eine Safe Harbour Zertifizierung berufen. Genau diese wurde jedoch im Oktober 2015 durch ein Urteil des europäischen Gerichtshofs für unwirksam erklärt. Die Zulässigkeit des Einsatzes von Google Analytics steht daher derzeit auf dem Prüfstand. [Update: Seit dem 22.9.2016 ist Google nach dem EU-US-PrivacyShield zertifiziert. An dieser Stelle kann also vorerst Entwarnung gegeben werden.]
Darüber hinaus sind beim Einsatz von Google Analytics noch weitere Dinge zu beachten. Die Aussagen der Aufsichtsbehörden zum beanstandungsfreien Betrieb (hier ein Archivlink) bezogen sich in der Vergangenheit nämlich lediglich auf die Standardimplementierung von Google Analytics, auch wenn dies nur wenig deutlich wurde.
Aber was ist, wenn vom Standard abgewichen wird?
Die ersten Antworten auf diese Fragen finden sich bei Google selbst: Sofern von der Standardimplemtierung abgewichen wird, schreibt Google für die Google Analytics Werbefunktionen die Einholung einer Einwilligung des Nutzers vor. Die betroffenen Werbefunktionen sind nach Aussage von Google:
- Remarketing mit Google Analytics
- Berichte zu Impressionen im Google Displaynetzwerk
- Google Analytics-Berichte zur Leistung nach demografischen Merkmalen und Interessen
- Integrierte Dienste, für die in Google Analytics Daten mithilfe von Cookies für Anzeigenvorgaben und Kennungen gesammelt werden müssen
Die Art und Weise, wie diese Einwilligung eingeholt werden muss, lässt Google offen, legt aber die Vorschaltung eines Cookie-Banners nahe.
Zur Wirksamkeit dieser Cookie-Banner muss in aller Deutlichkeit gesagt werden: Datenschutzrechtlich besteht hier noch eine Menge Diskussionsbedarf und viele Implementierungen werden datenschutzrechtlich unwirksam sein. So ist es wohl nicht ausreichend, seiner Website mit 45 Trackern einfach ein Cookie-Banner vorzuschalten, welches auf eine 40-Seitige Datenschutzerklärung verlinkt und beim Weiternutzen der Website davon ausgeht, dass der Nutzer seine konkludente Einwilligung erteilt hat. Das macht doch keiner, oder? Im Gegenteil, es ist mittlerweile eher die Regel.
Auch die Frage, was unter dem „Weiternutzen einer Website“ zu verstehen ist, wird unterschiedlich beantwortet. An dieser Stelle hängt alles vom jeweiligen Websitebetreiber ab. Cookie-Banner-Tools bieten hier eine Vielzahl von Konfigurationsmöglichkeiten. Unter anderem kann eingestellt werden, dass ein Weiternutzen der Website nicht nur in einem Klick auf einen Link gesehen wird, sondern schon im Aktualisieren der Seite oder sogar beim Scrollen. Scrollen als konkludente Einwilligung? Naja.
Damit aber noch nicht kompliziert genug. Die Nutzung bestimmter Google Analytics Schnittstellen und Funktionen bringen weitere Anforderungen mit sich. Wer z.B. das Measurementprotokoll und das geräteübergreifende Tracking eines Nutzers anhand von USER-IDs nutzen möchte, sollte sich über die datenschutzrechtlichen Rahmenbedingungen ganz genaue Gedanken machen. Im Ergebnis wird auch hier eine Einwilligung oftmals die einzige Lösung sein.
Ganz schön kompliziert, oder?
Nun ja, man könnte doch einfach die DoNotTrack-Funktion seines Browsers einschalten und müsste sich keine weiteren Gedanken machen. Stimmt nicht! DoNotTrack ist mittlerweile eigentlich ziemlich tot – wenn man das mal so sagen darf. Im Januar wurden iOS-Nutzer mit der Mitteilung begrüßt, dass Chrome für iOS „Do Not Track“ nicht mehr unterstützt. Zudem wies Google bereits seit 2012 darauf hin, dass „die meisten Webdienste beim Erhalt einer Do Not Track-Anforderung weder ihr Verhalten noch ihre Dienste verändern“. Vereinfacht ausgedrückt: DoNotTrack wird ignoriert. Auch von Google. Und Microsoft hat im Rahmen der Windows 10 Einführung auch noch ein faules Easter Egg versteckt. Unternehmen, die Windows 10 einsetzen und die Einstellungen für den Microsoft Browser Edge per Gruppenrichtlinie steuern möchten, werden feststellen, dass Mitarbeitern das Senden von „Do Not Track“-Headern in der Standardeinstellung verboten ist. Die Möglichkeit muss erst durch den Administrator per Gruppenrichtlinie freigeschaltet werden.
Ich persönlich warte vor diesem Hintergrund nur auf ein erstes Musterklageverfahren, in welchem die Implementierung eines „niedrigschwelligen“ Cookie-Banners, das zur Legitimation eines umfangreichen Webtrackings genutzt wird, auf den Prüfstand gestellt wird. Verbraucherzentralen haben hier seit der Einführung des Unterlassungsklagegesetzes ja einige Pfeile im Köcher.
Nähere Informationen, wie die wie aktuelle Prüfung der Aufsichtsbehörde im Hinblick auf Google Analytics ausgehen könnte, wie man ein Cookie-Banner möglichst rechtswirksam einbindet und was beim Einsatz der Google Universal Analytics User-ID zu beachten ist, finden Sie in unseren Shownotes.
Shownotes
- Nähere Informationen, wie die aktuelle Prüfung der Aufsichtsbehörde im Hinblick auf Google Analytics ausgehen könnte und was das für Websitebetreiber bedeutet, haben wir im aktuellen Newsletter des AOK Verlags dargestellt, den Sie bei uns auch ohne Anmeldung als PDF-Dokument herunterladen können.
- Nähere Informationen zum Thema der Cookie-Banner Implementierung und der Frage, wie man ein Cookie-Banner möglichst rechtswirksam einbindet, haben wir im März im c’t Magazin dargestellt. Den Link zum kostenpflichtigen c’t Artikel finden Sie hier.
- Was beim Einsatz der Google Universal User-ID und dem Measurementprotokoll zu bachten ist, haben wir bereits vor zwei Jahren in der Fachzeitschrift Datenschutz und Datensicherheit dargestellt. Den Artikel finden Sie als kostenlosen Download auf unserer Website.