BfDI: Personenbezogenes Webtracking nur mit Einwilligung - es drohen Bußgelder

von Dr. Axel Spies, veröffentlicht am 14.11.2019
Rechtsgebiete: WirtschaftsrechtDatenschutzrecht2|1280 Aufrufe

Der BfDI und auch Landesdatenschutzbeauftragte haben noch einmal ausdrücklich darauf hingewiesen, dass personenbezogenes Tracking über eingebundene Drittanbieter einer expliziten Einwilligung bedarf.

"Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.“

Vgl: Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019: https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_TMG.pdf?__blob=publicationFile&v=1

Quelle: https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html

Lesenswert dazu auch der Aufsatz von Rauer/Ettig: ZD 2018, 255. ff - Rechtskonformer Einsatz von Cookies.

Welche Erfahrungen haben sie mit der Einbindung von Drittanbietern beim Tracking und der praktischen Umsetzung der Vorgaben (vgl. ZD 2011, 3 und ZD 2017, 460)?

 

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

2 Kommentare

Kommentare als Feed abonnieren

Lieber Herr Spies,

vielen Dank für Diskussionsinitiative. Ich möchte daran anknüpfen und folgende Überlegung/Frage in die Runde geben:

Es geht um folgende Begriffe/Terme die für ein Einwilligungserfordernis immer verwendet werden:

  • personenbezogenes Webtracking
  • Websitenutzer
  • datenschutzkonformer Einsatz

Was ist mit reinen B2B-Wesiten? Wenn nur Unternehmens-/Firmen IP Adressen getrackt werden und keine Kenntnis bei dem ebsitebetreiber über den Mitarbeiter des Unternehmens vorliegen.

Ich möchte mit Blick auf den risikobasierten Ansatz der DSGVO (und auch der eprivacy VO?) den Ansatz wagen, dass in diesen Fällen kein Personenbezug besteht bzw. das Risiko für die Privatsphäre eines möglichen hinter der IP-Adresse stehenden Betroffenen gering bis gegen Null geht.

Was meinen Sie!?

Beste Grüße

Barbara Schmitz

 

Gute Fragen und Diskussionspunkte, Frau Schmitz und Danke Herr Spies!

Die Auslegung des EuGH in der neuen Planet49-Entscheidung sorgt leider dafür, dass für eine Vielzahl an Cookies die vorherige Einwilligung des Nutzers erforderlich ist, weil das Gericht eine Fiktion des Personenbezugs im Urteil nutzt.

Ausgenommen sind gem. Art. 5 Abs. 3 RL 2002/58/EG lediglich Cookies, deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Das dürfte aber nur für wenige Cookies zutreffen, etwa Session-Cookies oder sog. „Opt-in-Libraries“, die dem Webseitenbesucher eine Auswahl ermöglichen, welche Drittanbieter-Elemente geladen oder eben nicht geladen werden sollen (z. B. Social Media-Plug-ins, Google Fonts oder Tracking-Cookies).

Erwägungsgrund 30 DS-GVO sieht ausdrücklich vor, dass eine Cookie-Kennung, die einer natürlichen Person zugeordnet ist, erst in Kombination mit weiteren Informationen zu einer Identifikation des Betroffenen führen kann. Eine Fiktion des Personenbezugs wie im Urteil des EuGH erfolgt hier also gerade nicht, sodass auch eine Unterscheidung im Lichte der DS-GVO nicht obsolet ist. Der Gesetzgeber sollte das Problem dringen lösen. Das deutsche nationale Recht sieht gerade keinen Einwilligungsvorbehalt für Cookies vor; vielmehr verlangt § 13 Abs. 1 Satz 2 TMG lediglich die Unterrichtung des Nutzers.

0

Kommentar hinzufügen