BfDI: Personenbezogenes Webtracking nur mit Einwilligung - es drohen Bußgelder
von , veröffentlicht am 14.11.2019Der BfDI und auch Landesdatenschutzbeauftragte haben noch einmal ausdrücklich darauf hingewiesen, dass personenbezogenes Tracking über eingebundene Drittanbieter einer expliziten Einwilligung bedarf.
"Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.“
Vgl: Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien vom März 2019: https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_TMG.pdf?__blob=publicationFile&v=1
Lesenswert dazu auch der Aufsatz von Rauer/Ettig: ZD 2018, 255. ff - Rechtskonformer Einsatz von Cookies.
Welche Erfahrungen haben sie mit der Einbindung von Drittanbietern beim Tracking und der praktischen Umsetzung der Vorgaben (vgl. ZD 2011, 3 und ZD 2017, 460)?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
3 Kommentare
Kommentare als Feed abonnierenLieber Herr Spies,
vielen Dank für Diskussionsinitiative. Ich möchte daran anknüpfen und folgende Überlegung/Frage in die Runde geben:
Es geht um folgende Begriffe/Terme die für ein Einwilligungserfordernis immer verwendet werden:
Was ist mit reinen B2B-Wesiten? Wenn nur Unternehmens-/Firmen IP Adressen getrackt werden und keine Kenntnis bei dem ebsitebetreiber über den Mitarbeiter des Unternehmens vorliegen.
Ich möchte mit Blick auf den risikobasierten Ansatz der DSGVO (und auch der eprivacy VO?) den Ansatz wagen, dass in diesen Fällen kein Personenbezug besteht bzw. das Risiko für die Privatsphäre eines möglichen hinter der IP-Adresse stehenden Betroffenen gering bis gegen Null geht.
Was meinen Sie!?
Beste Grüße
Barbara Schmitz
Gute Fragen und Diskussionspunkte, Frau Schmitz und Danke Herr Spies!
Die Auslegung des EuGH in der neuen Planet49-Entscheidung sorgt leider dafür, dass für eine Vielzahl an Cookies die vorherige Einwilligung des Nutzers erforderlich ist, weil das Gericht eine Fiktion des Personenbezugs im Urteil nutzt.
Ausgenommen sind gem. Art. 5 Abs. 3 RL 2002/58/EG lediglich Cookies, deren alleiniger Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Das dürfte aber nur für wenige Cookies zutreffen, etwa Session-Cookies oder sog. „Opt-in-Libraries“, die dem Webseitenbesucher eine Auswahl ermöglichen, welche Drittanbieter-Elemente geladen oder eben nicht geladen werden sollen (z. B. Social Media-Plug-ins, Google Fonts oder Tracking-Cookies).
Erwägungsgrund 30 DS-GVO sieht ausdrücklich vor, dass eine Cookie-Kennung, die einer natürlichen Person zugeordnet ist, erst in Kombination mit weiteren Informationen zu einer Identifikation des Betroffenen führen kann. Eine Fiktion des Personenbezugs wie im Urteil des EuGH erfolgt hier also gerade nicht, sodass auch eine Unterscheidung im Lichte der DS-GVO nicht obsolet ist. Der Gesetzgeber sollte das Problem dringen lösen. Das deutsche nationale Recht sieht gerade keinen Einwilligungsvorbehalt für Cookies vor; vielmehr verlangt § 13 Abs. 1 Satz 2 TMG lediglich die Unterrichtung des Nutzers.
Einige (etwa Facebook nahestende) Lobbyisten behaupten, Webtracking sei alternativlos und aus ökonoischen Gründen zwingend.
Apple zeigt bald aber, daß es auch anders geht:
https://www.tagesschau.de/wirtschaft/unternehmen/apple-tracking-faq-101.html