• Home
  • /Datenschutz
  • /Webseiten-Analyse nur noch mit Einwilligung durch den Besucher?!

Webseiten-Analyse nur noch mit Einwilligung durch den Besucher?!

Deutsche Aufsichtsbehörden ändern ihre Auffassung zu Analysetools.

Wenige Tage vor dem Gültig werden der Datenschutz-Grundverordnung (DS-GVO) haben sich die deutschen Aufsichtsbehörden in einer gemeinsamen Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes (TMG) ab dem 25. Mai 2018 geäußert. In der Praxis hat dies nach unserem Verständnis erhebliche Auswirkungen für deutsche Webeitenbetreiber, die Besuche Ihrer Webseite mit Hilfe von Analysetools messen.

Bisher konnte eine Messung der Webseitenbesuche mit Hilfe von Analysetools, z. B. Google Analytics, Matomo, auf Grundlage von § 15 Abs. 3 TMG erfolgen, wenn einige Voraussetzungen eingehalten wurden:

  • Tracking nur anhand von Pseudonymen,
  • Anonymisierung der IP-Adresse,
  • Aufnahme eines Hinweistextes in der Datenschutzerklärung mit wirksamer Opt-Out-Möglichkeit,
  • ggf. Abschluss eines Vertrags zur Auftragsverarbeitung.

Sofern sich Webseitenbetreiber daran hielten, vertraten deutsche Aufsichtsbehörden die Ansicht, dass ein beanstandungsfreier Betrieb möglich sei. Die jetzige Positionsbestimmung der deutschen Aufsichtsbehörden entzieht diesem Vorgehen nun die Grundlage und stellt fest, dass die “§§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden“ können.

Diese o. g. Ansicht ändern nun die Aufsichtsbehörden mit folgender Auffassung:
„Ob und inwieweit […] Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Aus Datenschutzsicht kann Webseitenbetreiben nur empfohlen werden, entsprechende Einwilligungen einzuholen. Dies führt in der Praxis zu einer weiteren Zunahme von so genannten „Cookie-Bannern“, deren Wirksamkeit allerdings ebenfalls fraglich ist. Ggf. muss das Webtracking komplett eingestellt werden.
Der Gesetzgeber oder die Gerichte greifen hoffentlich schnell korrigierend ein. Oder die Aufsichtsbehörden für Datenschutz relativieren ihre Position und das Einwilligungserfordernis z. B. nur auf den Einsatz von websiteübergreifenden Remarketing-Technologien beziehen.

Positikonspaper der Datenschutzkonferenz (DSK) vom 26. April 2018: Anwendbarkeit des TMG ab 25. Mai 2018

2 thoughts on “Webseiten-Analyse nur noch mit Einwilligung durch den Besucher?!

  1. Heiner Etzler

    Die deutschen Bürokraten wollen offenbar wieder (strengere) Sonderwege gehen. Wäre es eine Lösung die IT in das nicht europäische Ausland zu verlegen? Gerade für Unternehmen, die stark im Online Marketing involviert sind könnte sich ein solches Konstrukt lohnen.

    • Regina Mühlich

      Nein. Zum einen greift ggf. das Marktortprinzip. Das Marktortprinzip (Art. 3 Abs. 2 DS-GVO) schließt unter bestimmten Bedingungen auch Unternehmen, die nicht in der EU niedergelassen sind, in den Anwendungsbereich der DS-GVO ein.
      Zum anderen muss ein EU-Unternehmen sicherstellen, dass das „Datenschutzniveau der EU“ auch im Drittland gewährleistet wird. Das BDSG a.F. (Bundesdatenschutzgesetz alt) hat dies allerdings bereits in sehr ähnlicher Form geregelt. Durch die DS-GVO werden die möglichen Rechtsgrundlagen einer Datenübermittlung in Drittländer um zwei interessante Aspekte erweitert:
      – genehmigte Verhaltensregeln (Codes of Conduct)
      – genehmigte Zertifizierungsmechanismen

      Die betroffene Person ist über die Datenübertragung im Rahmen der Informationspflichten zu informieren. Hier hat die DS-GVO nicht wirklich neue Anforderungen im Vergleich zum BDSG a.F.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*