Stand: 24.09.2020

Einleitung

Datenschutz – trocken, komplex, fragwürdig. Doch wir müssen dir ein paar Zeilen dazu schreiben. Das am 01.10.2019 ergangene Grundsatzurteil des EuGH (Az-C-673/17) sorgte dafür, dass das Setzen von Cookies nur mit ausdrücklicher Einwilligung des Seitennutzers erlaubt ist. Warum sprechen wir jetzt darüber und was hat es mit Datenschutz zu tun? Abmahnungswellen kommen und gehen. Dabei stehen sogenannte Trackingtools wie Google Analytics stark in der Kritik von Datenschutzbehörden und Unternehmen, die diese Trackingtools verwenden, sind beliebte Ziele von Abmahnvereinen und Aufsichtsbehörden. Wir erklären dir, was aktuell gefordert wird im Rahmen der Datensicherheit, wo die Problematik liegt, welche Lösungen es gibt und was unsere Empfehlung ist.

Bitte bedenkt, dies ersetzt keine Rechtsberatung und unsere Empfehlung ist rechtlich nicht bindend. Auch wird dieser Blogeintrag nicht tagesaktuell gehalten. Dieses Thema ändert sich kontinuierlich, also können die eine oder andere Information veraltet sein.

Aktuelle Situation

Wie bereits oben angesprochen, gerät Google Analytics immer öfters ins Fadenkreuz, besonders wenn es um das Thema Datenschutz geht. Mit den verschärften Gesetzen müssen Webseitenbetreiber auf viele Faktoren achten, um die Datenschutz-Grundverordnung (DSGVO), auch international bekannt als General Data Protection Regulation (GDPR), einzuhalten. Wenn gegen diese Verordnungen verstoßen wird, ist dies Musik in den Ohren von Abmahnvereinen. Der eine oder andere spricht aus Kulanz eine Verwarnung aus, doch meistens kommt die Abmahnung direkt. Dazu hat eRecht24 einen aktuellen Fall vom Landgericht Hamburg vorgestellt.

Google Analytics wird auf Webseiten benutzt, um Nutzerdaten beim Besuch der Seite zu greifen und zu analysieren. Diese Daten werden in der Form eines „Cookies“ hinterlegt. Diese Sammlung an Informationen ist in erster Linie nützlich, um das Verhalten Eurer Nutzer herauszufinden und für Marketingzwecke zu nutzen. Ein umstrittener Teil dieser Daten ist die IP-Adresse, die als personenbezogene Information bewertet wird und bereits in den Datenschutz eingreift.

Um dies nun auszuschließen, muss der Nutzer dem Setzen von Cookies ausdrücklich zustimmen. Diese Zustimmung erhält der Webseitenbetreiber mit einem Plugin, welches dem Nutzer gleich am Anfang des Besuchs der Webseite in der Form eines Banners präsentiert wird.

Vor diesem Grundsatzurteil reichte die IP-Anonymisierung (die IP-Adresse durch Veränderung unbrauchbar machen) und ein Auftragsverarbeitungsvertrag, um ohne Zustimmung Cookies zu verwenden.

Problematik

Abgesehen von der sehr komplexen Verordnung selbst, den schwammigen Definitionen und der unterschiedlichen Beurteilung und Auslegung der Gesetze in verschiedenen Bundesländern, ist die Gefahr der Abmahnung hoch, wenn man sich nicht ausreichend mit dem Thema auseinandersetzt. Dies umfasst umfangreiche Recherche, teure Anwälte und Datenschutzbeauftragte.

Die oben genannten Cookie-Banner machen eine Webseite oftmals unattraktiv. Viele fühlen sich genervt von den Pop-ups und den geforderten Handlungen, nur um schnell eine Information zu finden. Man möchte die Öffnungszeiten vom Supermarkt herausfinden und muss erst durch eine lange Datenschutzerklärung scrollen oder zahlreiche Drittanbieter durchlesen, um diese abzuwählen, oder der Cookie-Banner ist in der mobilen Version überdimensioniert und man verbringt seine Zeit damit den Button zur Einwilligung zu finden.

Dazu kommt, dass diese Verordnung die vorhandenen Nutzerdaten teilweise unbrauchbar macht. Wie soll man mit Daten arbeiten, die nur von 10 oder 20 Prozent der Nutzer stammen? Durch eine breite Aufklärung stimmen immer weniger Nutzer zu oder akzeptieren nur das Setzen von notwendigen Cookies.

Lösungen

Doch welche Lösungen gibt es, um eine Abmahnung abwenden zu können?

1. Die erste und offensichtliche Lösung ist der Einsatz eines datenschutzkonformen Cookie Consent Tools in Verbindung mit der IP-Anonymisierung. Entweder stimmt der Nutzer zu oder nicht. Entweder erhältst du Daten oder nicht.
2. Die nächste Lösung ist das Setzen von Cookies in Google Analytics zu deaktivieren. Hierzu hat die IT-Recht Kanzlei ein Script vom Google Analytics Entwickler-Guide genommen und zusammengefasst. Das heißt jedoch im Umkehrschluss, dass es keine Daten zum Verwerten gibt.
3. Eine noch wenig bekannte Möglichkeit ist das „Device Fingerprinting“. Denn auch mit deaktivierten Cookies erkennt Google Analytics ein bestimmtes Nutzerverhalten:
   IT Recht Kanzlei „Google Analytics ohne Cookies nutzen: Handlungsanleitung und Risikoanalyse“ vom 25.10.2019:
   „Unter Device Fingerprinting werden (vom Nutzer meist nicht zu erkennende) Technologien verstanden, die vom verwendeten Endgerät spezifische Informationen (etwa den Gerätetyp, die Geräteleistung, das Betriebssystem, Log-Ins etc.) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.“
   Mit diesem Geräte-Fingerabdruck kann man gewisse Daten sammeln, aber auch hier ist die Qualität fraglich. In diesem Bereich ist auch die Einwilligungspflicht noch unklar, sodass es zunächst nur eine Zwischenlösung darstellt.
4. Die Alternative zu Google Analytics: Matomo. Dieses Webanalysetool erlaubt Einstellungen, ohne in Konflikt mit der DSGVO/GDPR zu geraten. Ein großer Vorteil ist der Einsatz von Matomo beim lokalen Hosting. Im Umkehrschluss heißt dies keine Weitergabe an Dritte und somit ist die Einwilligung für die Datensammlung theoretisch nicht notwendig. Auch hier geht die IT Recht Kanzlei näher auf die rechtskonforme Nutzung ein, weist aber auch auf die rechtliche Grauzone zu diesem Thema hin.

Empfehlungen

Alle Ratschläge sind aus Sicht von uns als Spezialisten für E-Commerce. Wie oben schon erwähnt, wir sind keine Rechtsanwälte und die Situation ändert sich stetig. Nehme dies als Anreiz sich mit dem Thema zu beschäftigen und wenn man kann, sich auch schon selbst darum zu kümmern.

Erste Empfehlung sind die Grundbausteine aktuell zu halten: die Datenschutzerklärung und den Auftragsverarbeitungsvertrag.

Wer Daten sammeln möchte, dem zeigen wir hier die verschiedenen Szenarien mit Risikoeinschätzung abgemahnt zu werden (1 = sehr hoch bis 4 = gering):

1. 1. Tracking-Situation: Google Analytics aktiviert / keine Einwilligung vom Nutzer / kein lokales Hosting Was sagen wir dazu: dies ist die größte Wahrscheinlichkeit, abgemahnt zu werden
2. 2. Tracking-Situation: Google Analytics aktiviert / keine Einwilligung vom Nutzer / kein lokales Hosting / IP-Anonymisierung Was sagen wir dazu: dies hat eine ähnlich große Wahrscheinlichkeit, abgemahnt zu werden
3. 3. Tracking-Situation: Google Analytics aktiviert / keine Einwilligung vom Nutzer / kein lokales Hosting / IP-Anonymisierung / Cookies deaktiviert Was sagen wir dazu: dies hat eine geringere Wahrscheinlichkeit, abgemahnt zu werden
4. 4. Tracking-Situation: Einsatz von Matomo / Cookies aktiviert / lokales Hosting / keine Einwilligung vom Nutzer / Daten nur zu Analysezwecken und zur Fehlerbehebung / keine Weitergabe an Dritte
5. Was sagen wir dazu: hier ist Wahrscheinlichkeit gering, eine Abmahnung kann trotzdem erfolgen, wenn Zweck der Erhebung nicht anerkannt wird
6. Und wenn du dich entscheidest auf Cookies ganz zu verzichten, dann verzichte auch gleich auf die Trackingtools, unsere persönliche Meinung.

Fazit

Es gibt keine Garantie, einer Abmahnung zu entgehen, wenn man sich auf dem Rand vom Datenschutz bewegt. Auch wenn der Bundestag erst kürzlich ein Gesetz verabschiedet hat, welches Webseitenbetreiber etwas schützt, indem Anwälte keine Gebühren mehr erheben dürfen bei einer Abmahnung, ist es für größere Kanzleien trotzdem möglich. Die Unsicherheit im Bereich Datenschutz ist riesig, und es durchaus frustrierend, dass es dir als Unternehmer so schwer gemacht wird.

Hilfreich hier ist eine genaue Evaluierung. Brauche ich diese Daten tatsächlich? Kann ich auf ein Trackingtool komplett verzichten und verringere damit das Risiko und mache es den Seitennutzern angenehmer? Und wenn ich diese Daten haben möchte? Wie hoch ist mein Risiko aktuell?

Und wer sich immer noch unsicher ist, dem ist das Hinzuziehen eines Anwaltes zu raten. Persönlich kennen wir kein Unternehmen, das bisher abgemahnt worden ist. Doch Vorsicht ist besser als Nachsicht.

Quellen

• Datenschutz: Google Analytics rechtssicher nutzen – Was Webseitenbetreiber jetzt tun müssen
• https://www.e-recht24.de/artikel/datenschutz/12119-bgh-urteil-cookies-einwilligung.html
• https://www.it-recht-kanzlei.de/google-analytics-cookieless-anleitung-risiken.html.html
• https://www.it-recht-kanzlei.de/matomo-richtig-verwenden-dsgvo.html
• https://t3n.de/news/abmahnungen-neues-gesetz-besser-1321648/
• https://www.haendlerbund.de/de/news/aktuelles/rechtliches/3511-tracking-cookie-banner-ueberprueft
• https://matomo.org/
• https://openjur.de/u/2180608.html
• https://de.wikipedia.org/wiki/Google_Analytics
• https://de.wikipedia.org/wiki/IP-Adresse
• https://de.wikipedia.org/wiki/HTTP-Cookie