In den letzten Tagen, seit dem Urteil des EUGH vom 29.07.2019, wurde wieder viel über Cookies, Einwilligungen und Soziale Netzwerke geschrieben. Leider ist nicht alles fundiert, und vieles für den „normalen“ Gebraucher des Internets zu abstrakt geschrieben. Deswegen versuchen wir in dieser kleinen Serie einmal von den Grundlagen an, das Problem, und seine Lösungsmöglichkeiten aufzuzeigen. Zudem können Sie im Anschluss selbst beurteilen, ob Sie bzw. Ihre Webseite von der aktuellen Rechtslage betroffen sind und wir geben Ihnen eine Handlungsempfehlung, wie Sie die Herausforderung datenschutzkonform lösen können.

In diesem ersten Teil soll es um die grundlegenden Begriffe und Zusammenhänge gehen, bevor in den weiteren Teilen die rechtlichen Neuerungen und technischen Möglichkeiten aufgezeigt werden sollen.

Bereits seit Einführung der EU-Datenschutzgrundverordnung (DSGVO) gibt es auf vielen Webseiten plötzlich vermehrt Cookie-Banner, die vom User bestätigt werden müssen. Teilweise fühlt sich der Nutzer genervt, und der Webseitenbetreiber empfindet die Verpflichtung als unnütz und Geldmacherei für Webagenturen. Denn die wenigsten machen sich Gedanken, was hinter dieser Verpflichtung eigentlich genau steht und worin der Sinn liegt.

Wir erklären Ihnen hier zuerst den Sinn von korrekten Cookie-Bannern, und den Nutzen von Opt-Out Möglichkeiten. Hierfür erläutern wir die notwendigen Fachbegriffe vorab in verständlicher Form, um Ihnen im Anschluss das EuGH-Urteil und die Anforderungen der Datenschutzkonferenz (DSK) hinsichtlich des Datenschutzes zu erläutern.

Was sind personenbezogene Daten?

Unter personenbezogene Daten fallen jegliche Informationen, durch die eine Person identifiziert werden kann, wobei auch "identifizieren" weit zu verstehen ist. Sie erkennen Menschen morgens im Bus wieder, auch ohne deren Namen, Adresse usw. zu kennen. Unter personenbezogene Daten fallen z. B. Name, Adresse, Telefonnummer, Fotos, Angaben zu Gesundheitsinformationen oder Religion oder Parteizugehörigkeit, aber auch die E-Mail- und IP-Adresse.

Jedoch ist es im Datenschutz so, dass Sie oftmals nicht aufgrund eines einzelnen personenbezogenen Datums erkannt bzw. gefunden werden, sondern aufgrund mehrerer einzelnen Teile. Diese wiederum ergeben ein Ganzes, durch das Sie letztlich identifiziert werden können.

Beispiel:

Nur weil jemand weiß, dass Sie z. B. Müller heißen, weiß die Person nicht wirklich viel über Sie. Denn der Name „Müller“ ist in Deutschland ein weit verbreiteter Nachname. Es tragen ca. 700.000 Menschen in Deutschland den Namen „Müller“, wodurch es tatsächlich schwierig wird, Sie als Einzelperson auszumachen.

Weiß die Person jedoch noch weitere Dinge über Sie, z. B. ob Sie männlich oder weiblich sind, in welcher Stadt und Straße Sie wohnen, wie Ihre Telefonnummer lautet oder wie alt Sie sind, ergeben diese Informationen ein genaueres Bild über Sie und umso mehr Puzzleteile man von Ihnen als Person hat, umso besser kann man Sie z. B. finden.

Im Online-Geschäft ist es so, dass diese personenbezogenen Daten kombiniert mit weiteren (nicht personenbezogenen) Informationen über Sie als Gesamtpaket für Marketingzwecke genutzt werden. Dies geschieht auf unterschiedliche Weise.

Ist Ihnen schon mal aufgefallen, dass Sie auf einer Webseite etwas gesucht haben und dann kurz danach ganz plötzlich Werbung für genau dieses Produkt auf diversen anderen Webseiten oder Social Media Plattformen erhalten? Damit genau diese Form von Marketing möglich ist, wurden Ihre personenbezogenen Daten verarbeitet. Sie werden Webseiten-übergreifend wiedererkannt, unter anderem durch das Setzen von „Cookies“.

Was sind Cookies?

Erinnern Sie sich an die Geschichte von Hänsel und Gretel? Nein? Versuchen Sie es mal. Und nein, es ist keine Märchenstunde, doch ein wenig Phantasie hilft oftmals, komplexe Zusammenhänge etwas besser zu verstehen. Im Märchen von Hänsel und Gretel streuen die beiden Kinder Brotkrümel aus, um mit ihnen den Weg nach Hause wiederfinden zu können.
Der Begriff Cookie wird aus dem englischen mit den Begriffen „Keks“ oder „Plätzchen“ übersetzt und die Übersetzung trifft die inhaltliche Bedeutung schon recht gut. Denn im Zusammenhang mit Webseiten ist ein Cookie tatsächlich, ähnlich der Märchengeschichte der Gebrüder Grimm, eine Art Krümelchen, mit denen man eine Spur oder einen Weg verfolgen kann.
Denn ein Cookie beinhaltet eine kleine Textdatei, die beim Besuch auf einer externen Webseite auf dem eigenen Rechner lokal gespeichert wird. Also werden „Informationen“ auf dem Rechner des Seitenbesuchers abgespeichert. Diese Informationen können unterschiedliche Bedeutungen haben und letztlich liegt hier die Differenzierung bei den einzelnen Arten von Cookies.

Für den Datenschutz unterscheiden wir zwischen den verschiedenen Cookies je nachdem für welchen Zweck sie eingelesen werden. Cookies helfen allgemein, Sie wiederzuerkennen; manchmal dient dieses "Wiedererkennen" aber dazu, dass Sie z. B. beim Zurückspringen ein Formular nicht wieder neu ausfüllen müssen (diese Cookies werden als technisch notwendig eingeschätzt), und manchmal dient es dazu, Ihre Kauf-Vorlieben möglichst genau kennenzulernen.

Auf diese Unterschiede und deren Bedeutung gehen wir zum besseren Verständnis kurz ein.

Technisch notwendige Cookies

Unter die technisch notwendigen Cookies fallen z. B. die sogenannten Sitzungs- bzw. Session-Cookies. Der Begriff sagt es indirekt: die Cookies sind für die Dauer des Seitenbesuchs vorhanden und insofern notwendig, dass sie für die Handhabung der Seite notwendig sind. Unter diese fallen Informationen wie die Anmeldung, Warenkörbe oder die jeweilige Sprachauswahl, welche nach dem Seitenbesuch innerhalb kürzester Zeit automatisch wieder gelöscht werden. Denn: endet der Besuch auf der Seite sind diese Cookies nicht mehr erforderlich und deren Zweck ist entfallen.

Um es einfach zu formulieren: die technisch notwendigen Cookies erleichtern dem Nutzer tatsächlich nur den Gebrauch der jeweiligen Webseite und optimieren die Darstellung dieser, sind aber für den Nutzer unbedenklich.

Marketing Cookies

Als Gegensatz dazu betrachten wir einmal Marketing Cookies, wobei Cookies auch noch zu anderen Zwecken eingesetzt werden können. Marketing Cookies bleiben für eine längere Zeit auf Ihrem Computer gespeichert (häufig z. B. ein Jahr) und werden immer wieder erneuert.

Marketing Cookies erlauben es, Sie über verschiedene Webseiten hinweg zu verfolgen, und zu schauen, welche Webseiten Sie besuchen, für welche Produkte Sie sich interessieren, und unter welchen Umständen Sie gerne online einkaufen.

Wozu ein Cookie-Banner?

Wozu gibt es dann auf allen Seiten Cookie-Banner? Es gibt eine rechtliche Pflicht für Webseitenbetreiber darauf hinzuweisen, dass Cookies gesetzt werden. Dies ist besonders wichtig, weil Webseiten meist mehr Tools auf der Seite installiert haben, als ausschließlich technisch relevante Cookies, die für die Usability erforderlich sind.

Der Grund dafür ist folgender: Die meisten Webseitenbetreiber nutzen ihre Homepage auch als Marketinginstrument. Dies kann auf unterschiedliche Weise passieren: bei Dienstleistern geschieht dies z. B. durch Fachartikel oder Blog-Beiträge, um mögliche Kundschaft auf sich aufmerksam zu machen oder bei Webshops auch über diverse Angebote, Rabatte und Gewinnaktionen usw. auf die Sie immer wieder stoßen sollen.
Natürlich möchte jeder Seitenbetreiber, der seine Seite auch als Marketinginstrument nutzt, wissen ob er auf dem richtigen Weg ist. Aus diesem Grund kommen die unterschiedlichsten Marketing-, Analyse- oder Tracking-Tools wie z. B. Google Analytics oder Matomo (früher Piwik) auf der Seite zum Einsatz. Sie werden dazu verwendet, das Kundenverhalten besser zu verstehen, mehr Reichweite der Seite zu erhalten und entsprechend das Marketing anzupassen, ergo: mehr Umsatz zu erzielen.

Das Cookie Banner erfüllt dann die rechtliche Pflicht, die Webseitenbenutzer darauf hinzuweisen, dass Informationen über Sie gesammelt, gespeichert und verwertet werden, und möglichst die Einwilligung dazu einzuholen.

Marketing- / Analyse-Tools und ihre Cookies

Der Klassiker unter den Analyse-Tools bei Webseiten und weitestgehend bekannt ist sicherlich Google Analytics. Mit Hilfe von Analytics, das hier beispielhaft für eine Vielzahl von nicht lokal genutzten Analyse-Tools steht, lässt sich der Datenverkehr auf einer Webseite analysieren. Laut Wikipedia wird Google Analytics auf 50 – 80% aller Webseiten verwendet.
Aus datenschutzrechtlicher und Nutzer-Sicht ist es jedoch wichtig zu wissen, dass bei dieser Analyse personenbezogene Daten des Nutzers verarbeitet werden, weshalb Google Analytics nicht unumstritten ist.

Nun werden einige von Ihnen sagen: Weshalb? Analytics lässt sich doch datenschutzkonform anwenden, indem ich auf nachfolgende Punkte achte:

• Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit Google Analytics geschlossen
• Die Speicherdauer der Daten im Backend auf 14 Monate beschränkt (aktuell kürzeste Speicherdauer, die möglich ist)
• IP-Anonymisierung implementiert
• Korrekte Angabe in der Datenschutzerklärung
• Direkten (one-klick) Opt-Out-Button in der Datenschutzerklärung eingebaut

Wenn Sie alle obenstehenden Punkte umgesetzt haben, dann nutzen Sie Google Analytics nahezu datenschutzkonform. Aber leider nicht ganz.

Zuerst hilft ein kleiner Überblick über die Daten, um die es in der Diskussion geht. Ist auf einer Webseite Google Analytics eingebaut, werden mit Hilfe des Cookies, das bei Ihnen auf Ihrem Gerät gesetzt wird, unter anderem nachfolgende Daten an Google weitergegeben:

• Spracheinstellung
• Betriebssystem des Rechners, mit dem auf die Seite zugegriffen wird
• Herkunft (Land und Stadt), aufgrund der IP-Adresse (auch bei vorheriger Anonymisierung!)
• Ob es sich bei dem Gerät um ein Smartphone, Tablet oder PC handelt (inkl. Unterscheidung des Herstellers, und der technischen Bezeichnung des Gerätes)
• Welches Betriebssystem verwendet wird
• Welcher Browser vom Nutzer verwendet wird und alle verwendeten Add-ons
• Ob und welche Videos angesehen wurden
• Auf welche Werbebanner geklickt wurden
• Ob der Besucher auf weitere Seiten usw. geklickt hat
• usw.

Löschen Sie diese Cookies nicht nach Ihrem Besuch auf der Webseite, erkennt diese Sie bei jedem Ihrer nächsten Besuche wieder und erfährt Neues über Sie. Und mittels dieser Informationen erstellt Google Analytics ein Nutzerprofil von Ihnen und Ihrem Surfverhalten auf der jeweiligen Webseite.

Wie bereits zu Beginn erklärt, ergeben alle Bausteine zusammen ein Gesamtbild von Ihnen, anhand dessen Ihr Nutzerverhalten ausgelesen und z. B. Werbung entsprechend auf Sie zugeschnitten werden kann.

Natürlich kann man, wenn man als Nutzer weiß, wo diese in der jeweiligen Datenschutzerklärung zu finden sind, die Analyse durch Google Analytics deaktivieren.

Allerdings hat nahezu jedes Marketing-/Analyse- oder Tracking-Tool wie Google Analytics, das auf einer Seite eingesetzt wird, jegliche vorgenannten Informationen bereits erhalten bis ich diesen Schritt durchgeführt habe.
Genau hier liegt die Krucks bzgl. der Datenschutzkonformität. Denn eine Verarbeitung von personenbezogenen Daten ist gem. DSGVO nur erlaubt, wenn diese auf einer Rechtsgrundlage basiert.

Datenverarbeitung nur mit Rechtsgrundlage

In Art. 6 Abs. 1 DSGVO befinden sich die Rechtsgrundlagen, aufgrund derer personenbezogene Daten verarbeitet werden dürfen. Diese sind Art. 6 Abs. 1:

a) Das Vorliegen einer Einwilligung des Betroffenen
b) Zur Erfüllung eines Vertrages oder bei einer Vertragsanbahnung
c) Zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt
d) Zum Schutz von lebenswichtigen Interessen der betroffenen oder einer anderen natürlichen Person
f) Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde

Der Einsatz von Analyse-Tools auf Webseiten wird bisher immer mit Art. 6 Abs. 1 f) DSGVO begründet:

"die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."

Sich auf diese Bestimmung zu stützen ist aber problematisch. Vereinfacht gesagt, erklären die Behörden, dass das berechtigte Interesse nicht das Risiko, dass die Übermittlung der Daten an Google darstellt, rechtfertigt. Stattdessen braucht es eine Einwilligung.

Auf diese Punkte soll aber im folgenden Teil unserer Serie weiter eingegangen werden. In diesem zweiten Teil werden die rechtlichen Aspekte näher beleuchtet.