Direkt zum Inhalt wechseln

Website-Betreiber müssen sich heute mehr denn je über die in ihren Seiten eingebundenen Technologien Gedanken machen. Das zeigen die jüngsten Urteile des EuGH. Welche Vorgaben sie dabei konkret zu berücksichtigen haben, ist bislang aber kaum geklärt. Agieren Website-Betreiber dann noch europaweit verkompliziert sich die Lage wegen der unterschiedlichen Umsetzung und Auslegung der ePrivacy-Richtlinie weiter. Zu allem Überfluss hat unlängst auch der europäische Gesetzgeber die Flinte ins Korn geworfen – jedenfalls vorerst. Und was sagen die Aufsichtsbehörden?

Vielerorts scheint sich zur rechtssicheren Umsetzung des EuGH-Urteils in der Rechtssache Planet49 die Meinung zu bilden, dass lediglich der Einsatz von technisch zwingend erforderlichen Cookies einwilligungsfrei erfolgen könne. Cookies, die von Analysetools gesetzt werden, so etwa die ICO, seien aber gerade nicht unbedingt notwendig in diesem Sinne. Gleichzeitig sind für viele Seitenbetreiber Analysen aber aus wirtschaftlicher Sicht unverzichtbar und eine große Anzahl von ihnen greift dabei auf Google Analytics zurück.

Guidelines und Recommendations der CNIL

Im Sommer 2019 hat die CNIL eine bemerkenswerte Aussage getroffen, die sich nach Ansicht einer Reihe französischer Website-Betreiber so verstehen lässt, als könnten auch Analyse-Cookies, einwilligungsfrei eingesetzt werden.

Hintergrund

In Frankreich sind die Vorgaben der ePrivacy Richtlinie in Art. 82 des loi informatique et libertés umgesetzt. Im Juli 2019 passte die CNIL daraufhin ihre Guidelines zum Einwilligungserfordernis beim Einsatz von Cookies und anderen Trackern (bislang nur in französischer Sprache erhältlich) an, welche nun – im Anschluss an eine mehrmonatige Konsultationsphase – am 14. Januar um einen Empfehlungsentwurf mit praktischen Hinweisen und Beispielen ergänzt wurden. Die wesentlichen Neuerungen der angepassten Guidelines beziehen sich, wie auch das Urteil des EuGH vor allem darauf wie eine Einwilligung einzuholen ist und betreffen

  • Die Abkehr vom bisherigen System der informierten Einwilligung durch Weitersurfen;
  • Gesteigerte Anforderungen an die Nachweispflicht des verantwortlichen Website-Betreibers für das Vorliegen einer Einwilligung, die nicht mehr bereits dadurch erfüllt sein soll, dass die Pflicht zum Einholen einer Einwilligung einer anderen Partei vertraglich auferlegt wird.

CNIL: Einsatz bestimmter Audience-Cookies einwilligungsfrei

In Art. 5 der Guidelines befasst sich die CNIL mit der Frage, wann eine Einwilligung bei der Verwendung sogenannter Audience-Cookies erforderlich ist. Deren Einsatz könne unter bestimmten Voraussetzungen als unbedingt erforderlich i.S.v. Art 5 Abs. 3 der ePrivacy-Richtlinie angesehen werden. Zahlreiche Website-Betreiber in Frankreich haben dies so aufgefasst, dass für den Einsatz von Google Analytics-Cookies keine Einwilligung erforderlich sei, sondern die Möglichkeit zum Opt-Out-ausreiche.

Wir haben uns mit französischen Kolleg*innen der Kanzlei CMG Legal über die Guidelines und Recommendations der CNIL unterhalten und die spezifischen Anforderungen, welche die CNIL an solche Audience-Cookies stellt, genauer analysiert. Bemerkenswert ist der Detaillierungsgrad mit dem die CNIL die Voraussetzungen für einen einwilligungsfreien Einsatz bestimmt. Das Einwilligungserfordernis entfällt danach nur in Fällen statistischer Auswertungen der Besucher oder in Fällen des sogenannten A/B Testings und nur dann, wenn eine Reihe weiterer Bedingungen erfüllt. Dazu zählen die Art des Cookies, transparente Informationen, Widerspruchsmöglichkeiten, Lebensdauer. Darüber hinaus werden bestimmte Vorgaben an die Verarbeitung, wie Zweckvorgaben, eingeschränkte Verwendung der IP-Adresse und besondere Anforderungen an die Geolokalisierung, angeführt.

Insgesamt geht die CNIL davon aus, dass es bei der Frage nach einem Einwilligungserfordernis auf den konkreten Einsatz und die vorgenommenen Einstellungen ankommt und gibt in erfreulich detaillierter Weise konkrete Anforderungen vor.

Deutsche Aufsichtsbehörden: Google Analytics nur mit Einwilligung

Die Überzeugung, dass, je nach gewählten Einstellungen und konkretem Einsatz, Google Analytics keiner Einwilligung bedürfe, galt lange auch in Deutschland. Hier scheint die Beurteilung auf den ersten Blick auch einfacher. Denn der deutsche Gesetzgeber hat aus weit überwiegender Sicht die Anforderungen der ePrivacy-Richtlinie an den Einsatz von Cookies nie umgesetzt. Wegen des Vorrangs des Europarechts kann Google Analytics in Deutschland daher einheitlich und ausschließlich anhand der Anforderungen der DSGVO beurteilt werden. Danach kann auch ein Tracking-Verfahren und selbst eine Profilbildung bis zu einem gewissen Grad grundsätzlich auf berechtigte Interessen gestützt werden, es sei denn, eine Abwägung ergibt, dass die Rechte der betroffenen Personen überwiegen.

Dem dadurch eröffneten Interpretations- und Konfigurationsspielraum scheinen die deutschen Aufsichtsbehörden jedoch einen Riegel vorgeschoben zu haben. In mehreren Pressemitteilungen vom 14. November 2019 haben sich diverse Landesdatenschutzbehörden zu einem grundsätzlichen Einwilligungserfordernis beim Einsatz von Google Analytics positioniert. Denn die Tracking-Methoden, die Google Analytics anbietet, hätten einen derartigen Umfang angenommen, dass sich der Einsatz insgesamt nicht mehr auf berechtigte Interessen stützen ließe. Einer von Beratern und Unternehmen gern herangezogenen, aber bereits in die Tage gekommenen Pressemitteilung des hamburgischen Datenschutzbeauftragten, wonach bei Aktivierung von anonymizeIP und Vorhalten einer echten Widerspruchsmöglichkeit der Einsatz von Google Analytics nicht einwilligungsbedürftig sei, treten diverse deutsche Aufsichtsbehörden heute explizit entgegen. Nach Sicht der Aufsichtsbehörden sollen nämlich ohnehin zu beachtende Strukturvorgaben der DSGVO – wie Pseudonymisierung und bedingungsloser Werbewiderspruch – nicht zugunsten der Websitebetreiber berücksichtigt werden. Einzig überobligatorisch getroffene Maßnahmen sollen bei der Abwägung auf Seiten der Verantwortlichen streiten. Diese Begründung überzeugt nicht. Denn in der Konsequenz wäre damit so gut wie jede Form des Trackings pauschal von einer möglichen Rechtfertigung auf Grundlage von berechtigten Interessen ausgeschlossen. Die DSGVO aber kennt zulässige Verarbeitungen zum Zwecke der Direktwerbung, einschließlich Werbeprofiings, auch ohne Einwilligung.

Außerdem – so die Verlautbarungen einzelner Landesdatenschutzbehörden – sei Google nicht als Auftragsverarbeiter anzusehen. Denn Google behalte sich das Recht vor, die Analytics-Daten auch zu eigenen Zwecken zu nutzen.


Einen wertvollen Hinweis, wie dem abgeholfen werden kann, liefert der Tätigkeitsbericht des BayLDA. Danach lässt sich die automatische Datenfreigabe in den Einstellungen wohl problemlos deaktivieren.


 

Google Analytics ohne Einwilligung – Eine Frage der Einstellung

Die Position der Landesdatenschutzbehörden basiert auf einer pauschalierten Gesamtbetrachtung sämtlicher Einstellungsmöglichkeiten und Voreinstellungen, die Google Analytics bietet. Das Tool ermöglicht aber grundsätzlich auch, Voreinstellungen ab- und gewisse Einstellungen gar nicht erst vorzunehmen. Dazu welche Einstellungsmöglichkeiten getroffen werden sollten, damit der Einsatz noch auf berechtigte Interessen gestützt werden kann, bleiben die deutschen Aufsichtsbehörden bislang weitestgehend eine Antwort schuldig. Bei der rechtlichen Bewertung der Konfiguration lassen sich nun aber die Vorgaben der CNIL als wertvolle Hinweise heranziehen.

Vor diesem Hintergrund interessant und auch ein bisschen amüsant ist, dass dies selbst das BayLDA so zu sehen schien, hieß es doch in der zunächst veröffentlichten Version des 9.Tätigkeitsbericht (vom 28.01.2020), dass ein rechtmäßiger Einsatz von Google Analytics je nach vorgenommenen Einstellungen durchaus möglich sei. Zwischenzeitlich wurde diese Textstelle allerdings mit dem Hinweis, es habe sich dabei um einen veralteten Redaktionsstand gehandelt, überarbeitet. In de aktuellen Version wird nun auch dort pauschal unter Verweis auf die (wenig überzeugende) Orientierungshilfe der DSK für Anbieter von Telemedien, eine Einwilligung für den Einsatz von Google Analytics gefordert.

Wie die französische Aufsicht den Einsatz von Google Analytics bewertet, wird sich erst nach Ablauf der den französischen Unternehmen eingeräumten Schonfrist zeigen. Denn die CNIL hat angekündigt, einen sechsmonatigen Übergangszeitraum zu gewähren, ehe Verstöße gegen die neuen Vorgaben auch tatsächlich verfolgt werden.

Und der EuGH?

In Planet49 ging es um die Anforderungen an eine wirksame Einwilligung nach der ePrivacy Richtlinie, die – vereinfacht gesagt – auf die Anforderungen an eine DSGVO-wirksame Einwilligung verweist. Mit der Frage, ob eine Einwilligung beim Einsatz von Cookies und Tracking-Tools erforderlich ist, hat sich der EuGH bisher nicht befasst.

To Do’s und Handlungsempfehlungen

Website-Betreiber sind in diesen Zeiten gut beraten,

  • sich die in ihren Seiten eingebundenen Technologien genau anzusehen und
  • die dort einmal gewählten Einstellungen und anbieterseitig vorgenommenen Vor-Einstellungen zu überprüfen. Gerade Google Analytics bietet hier zahlreiche Möglichkeiten, so dass ein einwilligungsfreier Einsatz nicht von vornherein ausgeschlossen ist.
  • Zu der Frage, welche Konfigurationen einen einwilligungsfreien Einsatz ermöglichen, bieten derzeit vor allem die Vorgaben der CNIL wertvolle Hilfestellungen.