Dieser Blogbeitrag ist etwas länger geworden; das eigentlich Spannende kommt am Ende. Dennoch ist auch die Vorgeschichte und das Intermezzo interessant: Für Ungeduldige und Schnellleser bzw. zum besseren „Überfliegen“ könnten Sie auch direkt zur Überschrift „Schlussakt“ springen. Sie verpassen dann aber etwas Hintergrundwissen.

Die Vorgeschichte

Vor dem Wirksamwerden der Datenschutzgrundverordnung (DSGVO) konnten sich Websitebetreiber, die feststellen wollten, wie häufig ihre Website besucht wird, auf die relativ klaren Spielregeln des § 15 Abs. 3 Telemediengesetz (TMG) berufen. Nutzer von Matomo und Google Analytics in der Standardimplementierung befanden sich bei richtiger Konfiguration der Tools und bei der Einhaltung der definierten Spielregeln somit auf der sicheren Seite.

Noch kurz vor Wirksamwerden der DSGVO war auch nicht damit zu rechnen, dass sich hier etwas ändern würde. Denn unabhängig von der Frage, ob § 15 Abs. 3 TMG von der DSGVO verdrängt wird oder nicht, konnte man sich damals (aus unserer Sicht) auf den Standpunkt stellen, dass die bewährten Spielregeln fortan entweder über § 15 Abs. 3 TMG oder ansonsten bei gleichen Rahmenbedingungen nach Art. 6 Abs. 1 lit. f DSGVO Geltung behalten würden.

Für „normale“ Tools zur Besuchermessung war daher die vorherige Information der Nutzer, ein Widerspruchsrecht, die Anonymisierung der IP-Adresse und ggf. ein Vertrag zur Auftragsverarbeitung mit Google erforderlich.

Eine Einwilligung hätte man allerdings (aus unserer Sicht) für alle darüberhinausgehenden Trackingmaßnahmen benötigt, etwa Remarketing, Google Analytics mit demografischen Merkmalen, Einbindung von Facebook Pixeln etc.

Das Intermezzo

Diese relativ klare Sortierung wurde jedoch kurz vor Wirksamwerden der DSGVO von den deutschen Aufsichtsbehörden gehörig durcheinandergewirbelt. So vertraten die deutschen Aufsichtsbehörden, dass § 15 TMG mit der DSGVO nicht mehr angewendet werden könne und für alle Trackingmaßnahmen eine Einwilligung erforderlich sei. Auf Grund der Unbestimmtheit der Positionsbestimmung musste auch davon ausgegangen werden, dass hiervon die klassischen Tools zur Besuchermessung umfasst waren. Im Fazit durften Matomo und Google Analytics in der Standardimplementierung nur noch mit Einwilligung eingesetzt werden.

Im 27. Hamburgischen Tätigkeitsbericht lässt sich der weitere Fortgang des Schauspiels unter Ziffer III.10 nachlesen:

„An der Positionsbestimmung wurde vorrangig von Vertretern der Wirtschaft sowie der Medien- und Verlagsbranche teils heftige Kritik geübt. So fordert die Positionsbestimmung, entgegen der bisher gelebten Praxis des sogenannten Opt-Out-Verfahrens, also eine Widerspruchslösung für das Verarbeiten personenbezogener Daten im Internet, nunmehr ein Opt-In-Verfahren, also eine vorherige informierte Einwilligung in die Verarbeitung personenbezogener Daten. Dies führe nach Ansicht der Medienvertreter u.a. zu erheblichen Einnahmeverlusten im Bereich der Werbefinanzierung und bedrohe so den Journalismus insgesamt. Aufgrund der Tragweite der Positionsbestimmung hat die Datenschutzkonferenz ein Konsultationsverfahren eröffnet, in dem Verbände und Unternehmen schriftlich zur behördlichen Positionsbestimmung bis zum 29. Juni 2018 Stellung nehmen konnten. Im weiteren Verlauf schloss sich eine mündliche Konsultation an, die am 16. Oktober 2018 in Berlin stattgefunden hat. Im Rahmen des Konsultationsverfahrens konnte insbesondere zu der Frage, welche Verarbeitungstätigkeiten im Rahmen des Webtrackings einer Einwilligung bedürfen und welche auf eine Interessenabwägung gestützt werden können, kein Konsens gefunden werden. Die Aufsichtsbehörden haben sich darauf verständigt, eine Konkretisierung der Positionsbestimmung in Form einer Orientierungshilfe zu verabschieden.“

Tatsächlich entstand durch die Positionsbestimmung der Aufsichtsbehörden eine ungünstige Situation:

  • Websitebetreiber, die einfach nur messen wollten, wie häufig ihre Seite aufgerufen und wie die Seiten genutzt wurden, sahen sich hohen Hürden ausgesetzt.
  • Die Position der Aufsichtsbehörden beinhaltete an dieser Stelle auch eine nicht zu unterschätzende Gefahr – denn es konnte durchaus die etwas provokante Frage gestellt werden: Wenn sowieso jede Form des Trackings im Internet einer Einwilligung (in Form eines Cookie-Banners) bedarf, welche Anreize bestehen für Websitebetreiber dann noch, sich sogar nur auf eine zurückhaltende Messung der Besucher zu beschränken?
  • Cookie-Banner wurden inflationär genutzt, wobei diese Banner häufig nicht mehr als ein „Feigenblatt“ waren. So wurde in vielen Fällen trotz Banner bereits getrackt. Auch eine ausdrückliche Einwilligung wurde meistens nicht eingeholt, sondern ein „Weiternutzen der Seite“ jedweder Art als konkludente Einwilligung gewertet. Nutzer erhielten zudem nur selten die Wahlmöglichkeit, auch „Nein“ sagen zu können; und wenn diese Möglichkeit doch gegeben wurde, war die Nutzung der Seite häufig an eine Einwilligung gekoppelt. Zusätzlich fehlten nicht selten Widerrufsmöglichkeiten; insgesamt wurde eine umfassende und verständliche Information der Nutzer häufig nicht erreicht.

Die im Hamburger Tätigkeitsbericht erwähnte Kritik an der Positionsbestimmung der Aufsichtsbehörden kam daher nicht nur aus der Wirtschaft und der Medien- und Verlagsbranche, sondern wurde auch von Datenschutzberatern und ihren Datenschutzgesellschaften geäußert.

Schlussakt?

Knapp ein Jahr nach der ursprünglichen Positionsbestimmung haben die Aufsichtsbehörden nun eine „Orientierungshilfe für Anbieter von Telemedien“ verabschiedet. Hierin stellen die Aufsichtsbehörden fest, dass § 15 TMG nicht anwendbar ist und es bei der generellen Anwendbarkeit der DSGVO bleibt. Als Rechtsgrundlage kommen daher die unterschiedlichen Erlaubnistatbestände des Art. 6 DSGVO in Betracht. Mit diesen setzt sich die Orientierungshilfe dann auch auseinander.

Im Zusammenhang mit der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO treffen die Aufsichtsbehörden dabei endlich klare (und angemessen strenge) Vorgaben an wirksame „Cookie-Banner“ und „Consent-Tools“. Mit den genannten Vorgaben dürften den bisherigen „Feigenblattlösungen“, die oben beschrieben wurden, der Argumentationsboden entzogen worden sein. Gefordert werden nun ausdrücklich wirksame Tools, die jedwedes einwilligungsbedürftige Tracking unterbinden, bis die Einwilligung durch ausdrückliche Handlung vom Nutzer erteilt wurde.

Im Hinblick auf die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO trifft die Orientierungshilfe zu den wirklichen spannenden Fragen leider kaum klare und eindeutige Aussagen. Zwar wird die Möglichkeit, bestimmte Datenverarbeitungen auch auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zu stellen, erörtert. Dabei werden immerhin auch konkrete Tipps gegeben, wie eine Verhältnismäßigkeitsprüfung aussehen kann. Es bleibt jedoch dabei, dass eine solche im Einzelfall durchgeführt werden muss und dabei u.a. folgende Kriterien zu berücksichtigen sind:

  • Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz

An dieser Stelle ist spannend, dass die Aufsichtsbehörden ausführen, dass Nutzer normalerweise nicht erwarten werden, dass Informationen über die Nutzung der besuchten Seite an Dritte weitergegeben werden. Eine Informationsweitergabe an Dritte dürfte z.B. beim Einsatz von Facebook-Trackingpixeln sowie Remarketing-Cookies vorliegen. Diese Funktionen werden nach unserer Lesart daher eine Einwilligung erforderlich machen (dies konnte man aber schon früher so vertreten und selbst Anbieter wie Google und Facebook sahen dies in Ihren Nutzungsbedingungen so vor).

Auch die Nutzung von Tools, die zwar lokal ausgeführt werden, jedoch die Interaktion mit der Website exakt nachvollziehen (also z.B. Tastatur- und Maus- bzw. Wischbewegungen aufzeichnen), entsprechen nach Ansicht der Aufsichtsbehörden nicht den vernünftigen Erwartungen der Nutzer. Ohne Einwilligung ist eine solche vollständige Interaktionsaufzeichnung also unzulässig.

Erfreulicherweise scheinen die Aufsichtsbehörden an dieser Stelle keine Probleme mit Tools zu haben, die eine zurückhaltende Besuchermessung durchführen. Sofern hier keine andauernde Wiedererkennung, keine stetig umfangreiche Profilbildung, keine Weitergabe an Dritte erfolgt, kann die Abwägung auch zugunsten des Websitebetreibers ausfallen. Aus unserer Sicht sind damit die gängigen Tools wie Google Analytics in der Standardimplentierung sowie Matomo grundsätzlich wieder auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO einsetzbar.

  • Interventionsmöglichkeiten der betroffenen Personen

Nutzer müssen die Datenverarbeitung widerrufen können. Je weniger Hürden an den Widerruf gestellt werden, desto eher fällt die Interessenabwägung zu Gunsten des Websitebetreibers aus. Auch hier haben die gängigen Tools wie Google Analytics in der Standardimplentierung sowie Matomo alle erforderlichen Möglichkeiten an Bord.

Probleme scheinen die Aufsichtsbehörden an dieser Stelle mit Device-Fingerprints zu haben. Das dies tatsächlich so ist, zeigt ein Blick über den Tellerrand in Kapitel 23.8 des aktuellen Tätigkeitsberichts des BayLDA zum Browser-Fingerprinting:

Wir sind der Auffassung, dass ein Einsatz von Browser-Fingerprinting-Technologien nur mit Einwilligung der Nutzer zulässig ist. Auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO können sich die Verwender dieser Technologie nicht stützen, da die schutzwürdigen Interessen der Nutzer hier eindeutig überwiegen.

Leider muss man an dieser Stelle entgegnen, dass die Aufsichtsbehörden hier zu wenig differenzieren. Tatsächlich gibt es auch Device-Fingerprints mit einer sehr geringen Wiedererkennbarkeit, die noch nicht einmal eine sessionübergreifende Besuchermessung zulässt. Bestes Beispiel hierfür: Die cookielose Variante von Matomo (die bei richtiger Einstellung sogar weniger eingriffsintensiv ist, als die Variante mit Cookies). Man wird also auch hier eher sagen müssen, dass es auf den Einzelfall ankommt, und kann nicht von vornherein einer Technologie die Zulässigkeit absprechen.

  • Verkettung von Daten

Auch die Möglichkeit der Verkettung von Daten muss in den Blick genommen werden – insbesondere die Möglichkeit der geräteübergreifenden Verkettung. An dieser Stelle spricht also viel dafür, dass die Funktion der Google Analytics User-ID nicht ohne Einwilligung genutzt werden darf; ebenso das Measurement-Protokoll zur Verknüpfung von On- und Offlinedaten (vgl. auch unsere Position hier).

  • Beteiligte Akteure

Je mehr Verantwortliche, Auftragsverarbeiter und sonstige Empfänger ggf. sogar in unterschiedlichen Jurisdiktionen involviert sind, desto größer sei die Beeinträchtigung des Betroffenen. Nach unserer Einschätzung ist jedoch die Nutzung eines Dienstleisters, der z.B. in den USA sitzt, mit dem ein Vertrag zur Auftragsverarbeitung abgeschlossen wurde und der unter das Privacy Shield fällt, noch in Ordnung (Google Analytics in der Standardimplementierung).

  • Dauer der Beobachtung

Hier gilt: Je kürzer, desto besser. Entsprechende Einstellungsmöglichkeiten bieten sowohl Matomo als auch Google.

  • Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)

Betreiber von Seiten, die sich an Kinder oder andere besonders schutzbedürftige Personen richten, müssen dies im Rahmen ihrer Interessenabwägung berücksichtigen. Gegen eine zurückhaltende Besuchermessung mit z.B. Matomo und Google Analytics in der Standardimplementierung dürfte auch hier bei Nutzung eines kurzen Trackingzeitraums nichts sprechen.

  • Datenkategorien und Umfang der Datenverarbeitung

Diese können – je nach Webseite – zum Problem werden: Die Speicherung von auf der Seite eingegeben Suchbegriffen, von unvollständig ausgefüllten Formularen sowie die Frage, welche konkreten Daten zur Nutzungsprofilbildung verarbeitet werden, bedürfen jeweils einer sorgfältigen Prüfung. Maßgeblich dabei ist auch und gerade die Überlegung, ob ein Zusammenspiel von mehreren dieser Faktoren eine Verbindung zu einzelnen Personen ermöglichen. Besonders vorsichtig sollten z.B. Seiten sein, die Daten verarbeiten, die Rückschlüsse auf besondere Kategorien personenbezogener zulassen.

 Fazit:

Die jetzige Orientierungshilfe ist leider alles andere als eindeutig. Im Hinblick auf die vor der DSGVO gängigen Analysetools zur Besuchermessung (Matomo und Google Analytics) scheint ein Einsatz auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO aber grundsätzlich wieder möglich zu sein. Zumindest hier zeichnet sich ein Ende der Odyssee ab, und Websitebetreiber haben künftig die Wahl:

  • Zurückhaltende Besuchermessung ohne Nutzung eines Consent-Tools oder
  • Diensteanbieterübergreifendes Tracking mit Consent-Tool und angemessen strengen Anforderungen an die Einwilligung (keine Feigenblattlösungen).

Im Ergebnis kann mit diesem Ansatz ein guter Ausgleich zwischen den Risiken für die Rechte und Freiheiten der betroffenen Person einerseits und den Interessen von Websitebetreibern andererseits gefunden werden.

[Update: Da es einige Nachfragen gab, möchte ich noch einmal deutlich schreiben, dass es zur zurückhaltenden Besuchermessung m.E. auch gehört, dass die IP-Adressen bei Verwendung von Google Analytics und Matomo anonymisiert werden. Das wurde auch früher von Aufsichtsbehörden zu Recht gefordert und sollte weiterhin im Rahmen der Interessenabwägung vorausgesetzt werden. Mit Google muss zudem ein Vertrag zur Auftragsverarbeitung geschlossen werden. Ebenso mit einer etwaigen Agentur, falls diese für den Websitebetreiber Matomo hostet.]