Tracking und Cookies

F.A.Q. zu den Themen Tracking und Cookies für Website-Betreiber

1. Benötige ich als Webseitenbetreiber für Cookies eine Einwilligung?

Das kommt auf den Zweck des Cookies an. Ist das Cookie für die Funktion der Seite technisch erforderlich, müssen Sie keine Einwilligung einholen. Beispiele dafür sind eine Warenkorb-Funktion oder die Spracheinstellung einer internationalen Website. Soweit anlässlich der sogenannten Planet49-Entscheidung des Europäischen Gerichtshofs (Rs. C-673/17) teils berichtet wurde, alle Cookies bedürften einer Einwilligung, trifft das nicht zu.

Allerdings werden Cookies häufig zu werblichen Zwecken (Tracking) verwendet, wofür keine funktionale Notwendigkeit besteht. Hier bedarf es einer Einwilligung. Achtung: In manchen CMS-Vorlagen sind standardmäßig Komponenten eingebaut, die eigenmächtig Cookies setzen, etwa Google-Dienste oder Social-media-Plugins. Prüfen Sie das, denn Sie haften unter Umständen dafür. Beachten Sie die Anforderungen für eine Einwilligung, anderenfalls kann dies zur Unwirksamkeit der Einwilligung führen.

Ein besonderes Problem gerade bei US-amerikanischen Diensten wie Google liegt darin, dass deren Verarbeitungszwecke weithin intransparent sind. Da eine Einwilligung „informiert“, also inhaltlich klar sein muss, ist es kaum möglich, für Tracking-Cookies von Google-Diensten eine rechtssichere Einwilligung zu formulieren. Jedenfalls hinsichtlich Google Analytics haben inzwischen auch die Aufsichtsbehörden erhebliche Bedenken.

Damit der User die Rechtmäßigkeit der Cookies prüfen kann, sollten Sie den Zweck der jeweiligen Cookies in Ihrer Datenschutzerklärung angeben, ebenso wie die im Cookie gespeicherten Datenarten – natürlich in abstrakter Form. Das Herauskopieren von Textbausteinen aus Generatoren genügt meist nicht. Diese Angabepflicht gilt spätestens, wenn die Cookie-Inhalte personenbeziehbar sind, beispielsweise wenn die Benutzerkennung im Cookie mit einem personalisierten Account des Benutzers verknüpft wird.

Vorsicht: Rechtswidrige Cookies werden auch nicht dadurch rechtmäßig, dass in der Datenschutzerklärung über sie aufgeklärt wird.

2. Benötige ich Cookie-Bars?

Nicht direkt. Wenn das Cookie funktional erforderlich ist, genügt eine Erwähnung in der Datenschutzerklärung. Ist das Cookie nicht funktional erforderlich, ist eine Einwilligung erforderlich (siehe Nr. 1). Diese können Sie prinzipiell in Form einer Cookie-Bar gestalten.

Keine Einwilligung liegt vor, wenn Cookie-Bars lediglich einseitige Hinweise enthalten, die weder vernünftig über den Zweck des Cookies aufklären noch dem Nutzer eine echte Wahlmöglichkeit lassen („OK“), sodass die Freiwilligkeit fehlt. Die Freiwilligkeit, die Seite zu verlassen, genügt nicht. Außerdem werden die Cookies oft schon gesetzt, ehe der Nutzer aktiv geworden ist. Cookie-Bars in diesem Sinne stellen keine Einwilligung dar und sind daher rechtlich wertlos.

Eine unzulässige Datenverarbeitung wird nicht dadurch zulässig, dass man auf sie hinweist. Auch ein Opt-out beispielsweise in der Datenschutzerklärung ändert daran nichts.

3. Darf ich Google Analytics einsetzen?

Nein. Google Analytics ist ein invasiver Tracking-Dienst, der laut Datenschutzerklärung Daten diensteübergreifend nutzt. Sinn von Google Analytics ist nur vordergründig die Analyse durch den Webseiten-Anbieter; in Wahrheit geht es um eine übergreifende Verhaltensanalyse durch Google selbst. Zum einen verstößt die sehr weitgehende Datennutzung durch Google, die Google selbst in seiner Datenschutzerklärung einräumt, gegen den Zweckbindungsgrundsatz der DS-GVO. Zum anderen bedürfte es, da Google die Daten auch zu eigenen Zwecken nutzt, eines Vertrags zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO, dessen Abschluss Google nicht anbietet. Die Haftung dafür liegt beim Seitenbetreiber.

Daran ändert auch Googles IP-Anonymize-Funktion nichts, weil die „Anonymisierung“ von Google selbst vorgenommen wird. Selbst wenn man Google also glauben mag, dass Teile der IP-Adresse gelöscht werden, kennt Google den Volltext.

Außerdem setzt Google Analytics Tracking-Cookies, die einer Einwilligung bedürften (siehe Nr. 1). Google bietet eine solche aber nicht an. Dasselbe gilt für die Verarbeitung der Daten auf Googles Servern. Mangels Transparenz seitens Google weiß aber niemand, wie eine informierte Einwilligung zu formulieren wäre.

Es hilft auch nichts, dass Google Analytics von eine Tochtergesellschaft in Irland betrieben wird. Die Datenübermittlung erfolgt an Google USA. Auch unabhängig davon bleibt die Problematik des Cloud Acts. Dieser führt dazu, dass US-amerikanische Behörden ein weitreichendes Zugriffsrecht auf Daten nicht nur von US-Unternehmen, sondern auch auf deren weltweiten Tochterunternehmen erhalten. Das verstößt gegen Art. 48 DS-GVO, wie der Europäische Datenschutzbeauftragte in einer Stellungnahme bestätigt hat. US- und deren Tochterunternehmen bergen daher generell Datenschutzrisiken und sollten so weit wie möglich vermieden werden.

Eine unzulässige Datenverarbeitung wird nicht dadurch zulässig, dass man auf sie hinweist. Auch ein Opt-out, etwa in der Datenschutzerklärung, ändert daran nichts.

Google Analytics ist daher aktuell nicht rechtskonform zu betreiben. Es ist auch schon zu Abmahnungen, Klagen und aufsichtsbehördlichen Verfahren gekommen. Dass ohne Google Analytics eine Kombination mit den Daten anderer, schwer ersetzbarer Google-Dienste wie Google Adsense nicht möglich ist, muss hingenommen werden.

Ein möglicher alternativer Tracker ist Matomo, sofern er lokal betrieben und die IP-Adresse gekürzt wird. Daneben kommt der externe, deutsche Dienst eTracker in Betracht, der allerdings kostenpflichtig ist. Denken Sie in diesem Fall an den Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO.

4. Wie gestalte ich eine wirksame Einwilligung beim Tracking?

Sind Sie sicher, dass Sie eine Einwilligung benötigen? Beim Tracking benötigen Sie im Wesentlichen nur eine Einwilligung, wenn Sie Tracking-Cookies setzen (siehe Nr. 1) oder invasives Tracking betreiben, beispielsweise externe Tracker in Drittländern wie den USA einsetzen oder keine Anonymisierung vornehmen. Benötigen Sie eine Einwilligung, gelten vor allem folgende Eckpunkte:

a. Informiertheit: Der Nutzer muss so genau informiert werden, dass er weiß, worauf er sich einlässt. Dass Sie es ihm erklären können, setzt voraus, dass Sie die Datenverarbeitung bei sich und ihren Dienstleistern verstehen. Zugleich sollte der Text verständlich bleiben.

b. Freiwilligkeit: Der Nutzer muss eine echte Wahl (Ja/Nein) haben. Es genügt nicht, wenn es nur einen OK-, einen Ja- oder einen Schließen-Button gibt. Die Freiwilligkeit fehlt auch, wenn der Nutzer bei einem Nein benachteiligt wird und von der Nutzung der Seite ausgeschlossen wird. Das würde auch gegen das sogenannte Koppelungsverbot verstoßen. Achtung: Vor dem Ja darf die fragliche Verarbeitung noch nicht stattfinden.

c. Unmissverständlichkeit: Der Nutzer muss die Einwilligung ausdrücklich erklären. Er muss aktiv etwas anklicken oder eingeben, wenn er die Einwilligung erteilen möchte. Passives Verhalten stellt keine Einwilligung dar. Einseitige Erklärungen genügen daher nicht.

d. Bestimmter Fall: Mehrere Einwilligungen, die nichts miteinander zu tun haben (z. B. Mithören eines Anrufs zu Schulungszwecken und Einwilligung in Telefonwerbung) dürfen nicht so gebündelt werden, dass nur eine einheitliche Antwort möglich ist. Solche Einwilligungen sind zu separieren. Der Bundesgerichtshof hat allerdings entschieden, dass Einwilligungen in E-Mail- und Telefonwerbung gebündelt werden können.

e. Widerruf: Der Nutzer muss die Möglichkeit haben, über dasselbe Medium die Einwilligung mit Wirkung für die Zukunft zu widerrufen. Darauf muss er hingewiesen werden. Beispiel: „Wenn Sie sich anders entscheiden, können Sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft per Schreiben an … widerrufen.“

f. Nachweis: Im Streitfall müssen Sie die Einwilligung nachweisen können. Versuchen Sie, sie so zu speichern, dass Sie sie dem Nutzer zuordnen können. Dabei verlangt die deutsche Rechtsprechung, dass auch jeweils der volle Einwilligungstext und die Zeit gespeichert werden.

(Stand: Januar 2020)