Nahezu jede Webseite verwendet Cookies, um bestimmte Webseitenfunktionen bereitzustellen oder Nutzer zu tracken. Gleichzeitig wird die Rechtslage in Sachen Cookies und Tracking immer undurchsichtiger. Die zentrale Frage ist vor allem, ob und wann man eine Einwilligung für Cookies benötigt. Wir erklären, was Sie tun können.
Worüber streiten die Gelehrten?
Cookies sind kleine Textdateien, die der Webseitenbetreiber verwendet, um einzelne Kunden gewissermaßen zu markieren. Bestimmte Cookies sind notwendig um beispielsweise Zahlungsvorgänge, das Abspielen von Videodateien oder die Darstellung von Warenkörben zu ermöglichen. Andere Cookies dienen dagegen der Analyse des Nutzerverhaltens oder zur Darstellung interessenbezogener Werbung.
Die entscheidende Frage, mit der sich Rechtsanwälte, Gerichte und Datenschutzbehörden beschäftigen ist, für welche Cookies bzw. welche Analyse- und Werbetools man eine Einwilligung der Webseitenbesucher benötigt.
Was verlangen die Datenschutzbehörden?
Die Datenschutzbehörden vertreten eine ziemlich restriktive Auffassung. Danach soll die Auswertung des Nutzerverhaltens mithilfe von Drittanbieter-Tools nur mit Einwilligung möglich sein. Dies gilt insbesondere dann, wenn Webseitenbesucher geräteübergreifend getrackt werden (das kennen Sie, wenn Sie z.B. auf Ihrem PC und Ihrem Handy die gleichen Werbeanzeigen sehen). Eine Einwilligung ist außerdem dann erforderlich, wenn die Daten der Webseitenbesucher in ein großes Werbenetzwerk weitergegeben werden (z.B. Google oder Facebook).
Auf eine Einwilligung kann nach Auffassung der Behörden nur dann verzichtet werden, wenn das Analysetool „lokal“ auf der Webseite eingebunden wird, die Daten nicht an den Anbieter des Tools weitergeleitet werden und keine dauerhafte Profilbildung stattfindet. Vor diesem Hintergrund halten die Datenschutzbehörden zumindest den lokalen Einsatz von Tools wie Matomo für zulässig. Tools wie Google Analytics, Facebook Pixel, Hotjar & Co. dürften dagegen nur mit Einwilligung genutzt werden.
Mittlerweile sind zudem Fälle bekannt geworden, in denen Datenschutzbehörden gegen die Nutzung von Google Analytics ohne Einwilligung mit Bußgeldern vorgehen.
Was sagen die Gerichte?
Von Seiten der Gerichte hat vor allem das Urteil des Europäischen Gerichtshofes (EuGH) in der Sache „Planet49“ hohe Wellen geschlagen. In der Presse war vielfach davon die Rede, dass dieses Urteil den Einsatz von (Analyse)-Cookies ohne Einwilligung vollständig verbietet. Allerdings wird über die Wirkungen des Urteils noch immer heftig gestritten. Unabhängig von den komplexen juristischen Details lässt sich jedoch festhalten, dass das Urteil eher die Befürworter der Cookie-Einwilligung gestärkt hat.
In Sachen Facebook haben außerdem zwei bayerische Gerichte entschieden, dass Facebook Pixel und Facebook Custom Audiences nur mit Einwilligung verwendet werden dürfen.
Kann man Analysetools nun ohne Einwilligung einsetzen oder nicht?
Da man hierauf im Moment keine abschließende Antwort geben kann, beschränken wir uns an dieser Stelle auf die Aussagen, die wir relativ sicher wissen:
Ohne Einwilligung zulässig: Matomo oder ähnliche Tools bei lokaler Einbindung
Wenn Sie ein Tracking-Tool wie Matomo lokal auf Ihrer Webseite einbinden und die Daten nicht an ein Werbenetzwerk weitergeben, ist eine Einwilligung nach jetzigem Stand nicht erforderlich.
No-Go: Facebook-Pixel, Google Analytics & Co. ohne Einwilligung
Die Tracking- und Marketingtools der großen „Datenkraken“ Facebook und Google können nur mit einer Einwilligung rechtskonform genutzt werden. Dies betrifft vor allem Google Remarketing, Google Ads & Conversion-Tracking, Google Analytics, Facebook Pixel und Facebook Custom Audiences.
Grenzwertig: Tools von Drittanbietern ohne Anbindung an Werbenetzwerke
Es gibt eine Reihe von Analysetools, die zwar nicht lokal auf der Webseite eingebunden sind, die die Daten aber auch nicht an Werbenetzwerke weiterleiten. Der Anbieter stellt dabei ein Analysetool zur Verfügung, verwendet die Daten aber nicht für eigene Zwecke. Beispielhaft sei hier das Tool etracker genannt. Diese Tools wurden von den Datenschutzbehörden bisher nicht ausdrücklich erwähnt und könnten daher auch ohne Einwilligung zulässig sein.
Was soll ich als Webseitenbetreiber tun?
Die Handlungsempfehlung hängt letztlich von Ihrer Risikobereitschaft ab.
Kein / geringes Risiko:
Verzichten Sie komplett auf Analyse- und Tracking-Tools oder binden Sie Tools wie Matomo lokal ein. Unter Umständen sind auch andere Tools mit vergleichbarer Technologie denkbar. Matomo wurde aber als einziges Tool ausdrücklich von den Datenschutzbehörden genannt.
Alternativ können Sie ein Cookie-Consent-Tool (Einwilligungs-Tool) auf Ihrer Webseite einbinden, sodass Google Analytics & Co. nur mit Einwilligung des Webseitenbesuchers aktiviert werden. In PRIVE finden Sie ein integriertes Consent-Tool von Usercentrics, mit dem Sie Cookie-Einwilligungen auf Ihrer Webseite einholen können. Mehr Informationen zu Consent-Tools und Cookie-Bannern finden Sie hier.
Durchschnittliches Risiko:
Setzen Sie externe Tools ein, die zwar Ihre Webseiten-Besucher analysieren, die Daten aber nicht an große Werbenetzwerke weitergeben oder geräteübergreifend tracken (z.B. etracker).
Diese Variante ist riskanter, da sie rechtlich noch nicht endgültig geklärt ist. Bedenken Sie hierbei aber auch, dass Sie vor dem Einsatz solcher Tools eine (schriftliche) Risikoabwägung vornehmen sollten, in der Sie (oder Ihr Rechtsanwalt bzw. Datenschutzbeauftragter) begründen, warum Sie eine Einwilligung für nicht erforderlich halten. Die Behörden könnten Sie nämlich unter Umständen nach einer solchen Abwägung fragen (auch wenn das im Moment eher unwahrscheinlich ist).
Hohes Risiko:
Sie setzen Google Analytics & Co. auch weiterhin ohne Einwilligung ein. Hierbei stellen Sie sich aber der ausdrücklichen Ansicht der Datenschutzbehörden und der überwiegenden Ansicht in der Rechtsprechung entgegen und setzen sich einem Bußgeldrisiko aus.
Unsere Empfehlung:
Aus datenschutzrechtlicher Sicht kann natürlich nur die erste Variante empfohlen werden. Auch mir ist aber klar, dass ich damit nicht jeden überzeugen kann. Daher rate ich dazu, sich zunächst Gedanken zu machen, welche Tools man wirklich benötigt. Es ist ein Unterschied, ob man 80 % seiner Umsätze mit der Verwendung von Tracking- und Analysetools verdient oder lediglich wissen möchte, wie sich ein Kunde auf der eigenen Webseite verhält.
Ist man sich über die wirtschaftliche Bedeutung von Webseiten-Tracking und Analyse im Klaren, kommt es darauf an, welches Risiko man einzugehen bereit ist.
PRIVE hat in Zusammenarbeit mit Usercentrics ein Cookie-Consent-Tool integriert, das PRIVE-Kunden ab sofort auf ihrer Webseite einsetzen können, um DSGVO-konforme Einwilligungen einzuholen.