Themenreihe DSGVO - Teil 2: Worauf Sie beim Einsatz von Cookies und Co. künftig achten müssen!

19. Februar 2018
Themenreihe DSGVO - Teil 2: Worauf Sie beim Einsatz von Cookies und Co. künftig achten müssen!

Wie gelingt es Online-Händlern nur immer, ein derart genaues Nutzerprofil zu zeichnen? Und woher weiß der Webshop-Betreiber, welche Produkte ich zuletzt in den Warenkorb gelegt habe, obwohl ich nicht eingeloggt bin? Tracking mittels Cookies & Co. machen's möglich! Und gerade deshalb nehmen Cookies und andere Webanalyse-Tools im E-Commerce einen enorm hohen Stellenwert ein. Doch welche Auswirkungen werden die neuen Datenschutzgesetze darauf haben?

Cookies - klein aber oho!

Cookies sind kleine browserspezifische Textdateien, die temporär auf dem genutzten Endgerät des Users gespeichert werden. Mithilfe dieser Dateien können Nutzer beim erneuten Besuch einer Webseite wiedererkannt werden. Online-Shop Betreiber können so Analysen über die Nutzung ihrer Seite erstellen, den Warenkorb eines Nutzers für eine bestimmte Zeit auch ohne Login in Erinnerung behalten oder ihren Service durch die Schaltung verhaltensbasierter und individueller Werbung ausweiten.

Neben der DSGVO soll unter anderem auch die sogenannte ePrivacy-Richtlinie angepasst werden. Daraus wird künftig die ePrivacy-Verordnung, welche ergänzend zur DSGVO den elektronischen Datenverkehr regeln soll. Mit der DSGVO möchte der Gesetzgeber klar festlegen, dass eine Einwilligung seitens der Nutzer bei jeglicher Verarbeitung von personenbezogenen Daten auf ihren Geräten zwingend notwendig ist. Ausnahme bilden beispielsweise das sogenannte Session-Cookie für den Login-Status, Warenkorb oder Webanalysen und Reichweitenmessungen, die eigenständig durchgeführt werden.

Da auch IP-Adressen unter den Begriff der personenbezogenen Daten fallen, werden bei deren Verarbeitung dieselben Anforderungen gestellt wie beispielsweise beim Speichern von E-Mail-Adressen. Hier besteht Handlungsbedarf! IP-Adressen müssen dahingehend geändert werden, dass kein Rückschluss auf die Nutzeridentität möglich ist. Das kann durch eine Anonymisierung erfolgen.

Webanalyse mit Google Analytics

Neben Cookies wird auch bei Webanalyse Tools wie beispielsweise Google Analytics die ePrivacy-Verordnung greifen. So besagt Art. 8 Abs. 1 lit. d des Verordnungsentwurfs:

"Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer … sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt."

Wenn Sie als Webseitenbetreiber das Tracking zur Besuchermessung also selbst durchführen, wird es privilegiert und ist grundsätzlich zulässig. Natürlich können Sie auch künftig auf Google Analytics zurückgreifen. Achten Sie hierbei darauf, dass Sie einen Vertrag zur Auftragsdatenverarbeitung mit Google abgeschlossen haben. Dann nämlich wird das Webtracking dem Webseitenbetreiber zugeordnet. Werden Trackingtechnologien für andere Zwecke als der Besuchermessung eingesetzt, kommt Art. 8 Abs. 1 lit. b ins Spiel, der dies erlaubt, sofern

"der Endnutzer ... seine Einwilligung gegeben (hat)."

Webseitenbetreiber, die mit Cookie-Bannern arbeiten, sollten diese sorgfältig überprüfen. An dieser Stelle eröffnet sich nämlich die Frage, wie ausdrücklich User einwilligen müssen. Gängige Praxis hierzulande ist wie erwähnt ein sogenannter Cookie-Banner, der Besucher über den Einsatz von Trackingtechnologien informiert. Bislang ist man oftmals davon ausgegangen, dass die Einwilligung in die Nutzung solcher Technologien auch beim weiteren Verwenden der Webseite greift. Die Einwilligungsanforderungen werden in Art. 9 Abs. 1 des Verordnungsentwurfs jedoch weiter konkretisiert. Dieser verweist unter anderem auf Art. 4 Nr. 11 der DSGVO, nach der die Einwilligung wie folgt definiert ist:

"(...) jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist".

Die Einwilligung hinsichtlich Webtracking kann nach Art. 9 Abs. 2 des Verordnungsentwurf zudem

"in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden."

Das betrifft also den Browser, über den Nutzer künftig die Möglichkeit haben sollen, mittels entsprechender Einstellungen ihre Einwilligung zu erklären.

Wie bisher auch, müssen Nutzer beim Einsatz von Cookies und Webanalyse-Tools wie Google Analytics also ausreichend darüber informiert werden, wie die Nutzung genau aussieht, sprich: Wer erfasst, speichert und nutzt die Daten? Warum wird das gemacht? Und nicht zuletzt sollte darauf aufmerksam gemacht werden, dass ein Recht auf Widerspruch besteht (Opt-out).

Wie die Voraussetzungen beim Einsatz von Trackingtechnologien auf Webseiten in Zukunft genau aussehen werden und ob Daten für kommerzielle Zwecke wirklich nur noch sehr schwierig genutzt werden können, bleibt abzuwarten. Da die Verordnung noch von der EU-Kommission, dem EU-Parlament und dem europäischen Rat verabschiedet werden muss, wird diese voraussichtlich erst im Jahr 2019 umgesetzt, obwohl auch hier zunächst der 25. Mai 2018 angestrebt war.

Social Plug-ins - Datenschützern gefällt das nicht!

Wer nutzt ihn heutzutage nicht gerne, den Facebook "Gefällt mir"-Button? Während sich Social Plug-ins wie dieses bei Anwendern starker Beliebtheit erfreuen, schlagen Datenschützer Alarm. Warum? Beim einem Facebook-"Like" beispielsweise werden - vom Nutzer meist unbemerkt - personenbezogene Daten, unter anderem auch die IP-Adresse, vom Social Network abgegriffen, um damit detaillierte Userprofile zu erstellen. Außerdem wird der User nicht darüber in Kenntnis gesetzt, welche Daten übertragen werden, wo sie landen und was mit ihnen geschieht. Macht die DSGVO dem nun ein Ende?

Wie bereits gelernt, findet das neue Datenschutzrecht dann Anwendung, wenn es sich bei den erhobenen Daten um "personenbezogene Daten" handelt. Diese dürfen nur dann erhoben und verarbeitet werden, wenn der Betroffene eine aufgeklärte Willenserklärung abgegeben hat oder eine andere Rechtsgrundlage vorliegt. Webseitenbetreiber, die Social Plugins einsetzen, müssen also eine Aufklärungs- und Einwilligungspflicht gegenüber Besuchern wahren. Und das nicht nur innerhalb der Datenschutzerklärung, sondern schon bevor die Daten erhoben werden. Zur rechtskonformen Einbindung von Social Plug-ins werden verschiedene Ausweichmöglichkeiten vorgeschlagen. So zum Beispiel die 2-Klick-Lösung oder der sogenannte Shariff-Button. Mehr Informationen dazu finden Sie hier.

Die Zeiten von Social Plug-Ins sind also auch unter der neuen Datenschutzverordnung nicht gezählt. Wenn Sie als Online-Shop-Betreiber auf Social Plug-ins setzen, sollten Sie allerdings aktiv werden, um den Anforderungen der DSGVO gerecht zu werden!

Fazit

Wir können festhalten, dass die DSGVO samt ergänzender ePrivacy-Verordnung also durchaus Änderungen beim Einsatz von Cookies und Co. nach sich ziehen wird und deshalb Handlungsbedarf besteht. Wir raten Ihnen deshalb, sich umgehend mit den im Beitrag angesprochenen Punkten auseinanderzusetzen und entsprechende Maßnahmen einzuleiten, um optimal auf den Stichtag am 25. Mai 2018 vorbereitet zu sein. Behalten Sie auch die Entwicklung der ePrivacy-Verordnung weiter im Auge.

An dieser Stelle möchten wir Sie außerdem darauf aufmerksam machen, dass dies keine rechtliche Beratung ist. Vielmehr möchten wir Sie mit diesem Artikel informieren. Für notwendige Handlungsmaßnahmen Ihrerseits konsultieren Sie am besten eine Rechtsberatung.