Köln, 22.12.2020
I. Cookies
Nach dem Urteil des Bundesgerichtshofs (BGH) zu Planet49 (Urteil vom 28. Mai 2020 - I ZR 7/16), das sich auf das Urteil des Europäischen Gerichtshofs (EuGH) vom 01.10.2019 (C-673/17) stützt, bedarf es wegen § 15 Abs. 3 Satz 1 TMG für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung, der Marktforschung oder der bedarfsgerechten Gestaltung von Webseiten einer aktiven Einwilligung des Nutzers. Eine vorangeklickte Box erfüllt dieses Einwilligungserfordernis nicht. Nach dem EuGH setzt eine wirksame Einwilligung zudem die umfassende Information des Nutzers über die eingesetzten Cookies voraus. Hierzu zählen u.a. Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Daten erhalten.
BGH und EuGH haben sich in den Urteilen allerdings nicht damit beschäftigt, ob auch für technisch notwendige Cookies eine Einwilligung eingeholt werden muss. Zu technisch notwendigen Cookies wird unter Verweis auf die Regelung in der einschlägigen EU-Richtlinie in der Literatur vertreten, dass für diese eine Einwilligung nicht erforderlich ist. Denn Art. 5 (3) der RL 2002/58 (in der durch die RL 2009/136/EG geänderten Fassung) sagt hierzu: Dies steht einer technischen Speicherung […] nicht entgegen, wenn […] dies unbedingt erforderlich ist, damit der Anbieter […] diesen Dienst zur Verfügung stellen kann.
- Soweit ersichtlich, hat sich die Rechtsprechung bisher nicht dazu geäußert, welche Cookies als unbedingt erforderlich anzusehen sind, so dass hier vorsorglich eine strenge Auslegung erfolgen sollte.
1. Technisch nicht notwendige Cookies
Für Werbe-Cookies, Analyse-Cookies und ähnliche nicht notwendige Cookies muss daher, bevor sie gesetzt werden, die Einwilligung des Webseitennutzers abgefragt werden, z.B. über ein Cookie-Banner, das der Nutzer „bearbeiten“ muss, bevor er weitersurfen kann. Er muss dort anklicken können, welche nicht notwendigen Cookies er akzeptiert. In dem Banner muss eine Übersicht zu den betreffenden Cookies gegeben werden. Für Details (Angaben zu Datenkategorien, Rechtsgrundlagen, Speicherdauer, Datenempfänger etc.) kann dann auf die Datenschutzhinweise oder einen gesonderten Cookie-Informationstext verwiesen werden.
Wenn in den Datenschutzhinweisen als Rechtsgrundlage für das Setzen von Cookies bisher nur Art. 6 Abs. 1 f) DSGVO (berechtigte Interessen) genannt ist, ist dies anzupassen, denn für nicht notwendige Cookies kommt als Rechtsgrundlage nach der aktuellen Rechtsprechung des BGH nur § 15 Abs. 3 Satz 1 TMG in Verbindung mit der Einwilligung des Nutzers in Betracht (1).
Zudem muss dem Nutzer die Möglichkeit gegeben werden, seine Cookie-Einstellungen jederzeit zu ändern. Denn eine Einwilligung in die Cookie-Verwendung muss jederzeit einfach technisch widerrufbar sein. Dies kann beispielsweise durch einen leicht auffindbaren Link „Datenschutzeinstellungen“ o.ä. gelöst werden, unter dem die Cookie-Einstellungen geändert werden können.
- Einwilligung über Cookie-Banner o.ä.
- Detaillierte Informationen zu den Cookies z.B. über Link in Cookie-Banner
- Einfache Möglichkeit der Änderung der Cookie-Einstellungen
2. Technisch notwendige Cookies
Unbedingt notwendige Cookies dürfen wohl auch ohne ausdrückliche Einwilligung gesetzt werden. Trotzdem muss der Nutzer über diese Cookies ebenfalls ausreichend informiert werden.
- Detaillierte Informationen zu den Cookies z.B. über Link in Cookie-Banner
II. Google Analytics
Unseres Erachtens ist ein absolut datenschutzkonformer Einsatz von Google Analytics derzeit nicht möglich.
1. Webseitenanbieter und Google als gemeinsame Verantwortliche
Nach Ansicht der Datenschutzbehörden (2) sind der Webseitenbetreiber und Google gemeinsame Verantwortliche und müssen daher einen Vertrag nach Art. 26 DSGVO schließen.
Zwar biete Google weiterhin einen Vertrag zur Auftragsverarbeitung an, stelle aber zusätzlich in den „Google Measurement Controller-Controller Data Protection Terms“ klar, dass für bestimmte Verarbeitungsprozesse Google und der Anwender (Website-Betreiber) getrennt verantwortlich seien. Zudem stelle Google in den Nutzungsbedingungen klar, dass Google die Daten für eigene Zwecke, insbesondere auch zum Zweck der Bereitstellung seines Webanalyse- und Trackingdienstes, verarbeite. Gemäß Artikel 28 Abs. 10 DSGVO handele es sich bei Google damit nicht mehr um einen Auftragsverarbeiter. Unter Berücksichtigung der aktuellen Rechtsprechung des EuGH seien Google und der Webseitenbetreiber gemeinsam für die Datenverarbeitung verantwortlich, sodass nach Ansicht der Behörden die Anforderungen des Art. 26 DSGVO zu beachten seien.
- Solange Google den Abschluss eines Vertrags nach Art. 26 DSGVO nicht anbietet, erscheint der Einsatz des Tracking-Tools unter diesem Aspekt datenschutzrechtlich problematisch.
2. Einwilligung in den Einsatz von Google Analytics
Da es sich bei Google Analytics um einen Dienst handelt, der sehr weitgehende Datenverarbeitungen durch Google mit sich bringt, die nicht durch berechtigte Interessen des Webseitenbetreibers gerechtfertigt werden können, stehen die Datenschutzbehörden auf dem Standpunkt, dass ein Einsatz von Google Analytics grundsätzlich nur mit freiwilliger, informierter und aktiver Einwilligung des Webseitenbesuchers zulässig ist (3).
Der Nutzer muss aktiv einwilligen, z.B. durch das Anklicken eines Buttons. Vorher darf Google Analytics auf der Webseite nicht zum Einsatz kommen. Auch darf die Einwilligung nicht zur Voraussetzung für die Nutzung der Webseite gemacht werden. Der Nutzer muss also eine echte Wahlmöglichkeit haben.
Die Einwilligung muss informiert sein, das heißt der Nutzer muss insbesondere darüber informiert werden, welche Daten verarbeitet werden, dass die Datenverarbeitung im Wesentlichen durch Google LLC erfolgt, die Daten nicht anonym sind, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.
Die Einwilligung muss jederzeit einfach technisch widerrufbar sein, z.B. durch Vorhalten eines Links „Datenschutzeinstellungen“, unter dem dies möglich ist.
Zusätzlich zu den o. g. Maßnahmen soll der Webseitenbetreiber nach Empfehlung der Datenschutzbehörden beim Einsatz von Google Analytics die Kürzung der IP-Adressen durch entsprechende Einstellungen veranlassen.
- Aktive Einwilligung über Button o.ä.
- Detaillierte Informationen über durch Google erfolgende Datenverarbeitungen
- Einfache Möglichkeit des Widerrufs der Zustimmung zum Einsatz von Google Analytics
- Kürzung der IP-Adressen
3. Datentransfer in die USA
Beim Einsatz von Google Analytics werden Nutzerdaten zu Google LLC in die USA transferiert. Ein solcher Datentransfer in die USA ist nur unter engen Voraussetzungen zulässig, die unseres Erachtens - nach derzeitigem Stand - nicht eingehalten werden können.
Im Einzelnen:
a) Absage an das EU-US Privacy Shield
Mit dem sog. Schrems II-Urteil (16.07.2020 - C-311/18) hat der EuGH nicht nur der Übermittlung von personenbezogenen Daten in die USA auf Grundlage des EU-US Privacy Shields eine Absage erteilt, sondern generell einen Datentransfer in Drittländer außerhalb der EU auf den Prüfstand gestellt. Datenexporteure sind danach vor jeder Übermittlung von personenbezogenen Daten in ein Drittland verpflichtet zu prüfen, ob in dem Drittland ein Datenschutzniveau herrscht, das dem durch die DSGVO vorgegebenen Schutzniveau im Wesentlichen gleichwertig ist. Ist dies etwa wegen Zugriffsmöglichkeiten von Geheimdiensten und anderen Behörden des Drittlands nicht der Fall, muss der Datenexporteur angemessene zusätzliche Maßnahmen zum Datenschutz treffen. Kann er solche nicht treffen oder sind diese nicht geeignet, ein vergleichbares Datenschutzniveau zu schaffen, ist eine Übermittlung von personenbezogenen Daten in dieses Land einzustellen.
- Das EU-US Privacy Shield stellt keine gültige Rechtsgrundlage mehr für die Übermittlung von personenbezogenen Daten in die USA dar.
b) Standardvertragsklauseln
Eine Übermittlung von Daten in die USA auf Grundlage der sog. Standardvertragsklauseln der Europäischen Kommission ist zwar denkbar, erfüllt nach Ansicht der deutschen Datenschutzbehörden (4) die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, aber allenfalls bei der Ergreifung zusätzlicher Maßnahmen. Der Verantwortliche muss zusätzliche Maßnahmen ergreifen, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies ist nach Ansicht der Behörden etwa in folgenden Fällen denkbar:
- Verschlüsselung, bei der nur der Datenexporteur (der deutsche Webseitenbetreiber) den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
- Anonymisierung aller personenbezogenen Daten.
Solche zusätzlichen Maßnahmen dürften beim Einsatz von Google Analytics für den deutschen Webseitenbetreiber allerdings nicht umsetzbar sein.
Es ist zudem fraglich, ob die von der EU Kommission geplante Anpassung der Standardvertragsklauseln dieses Problem lösen wird. Denn die Klauseln binden nur die Vertragsparteien, nicht aber den ausländischen Staat.
- Der Einsatz von Standardvertragsklauseln als Rechtsgrundlage für den Datentransfer genügt ohne die Ergreifung zusätzlicher Maßnahmen (z.B. Verschlüsselung) nach derzeitigem Stand nicht. Solche zusätzlichen Maßnahmen dürften bei Google Analytics aber nicht umsetzbar sein.
c) Einwilligung des Nutzers
Ferner kommt als mögliche Rechtsgrundlage die Einholung einer Einwilligung des Nutzers in den Datentransfer in Betracht. Ob dies eine rechtssichere Alternative darstellen kann, wird von den Datenschutzbehörden, soweit ersichtlich, bisher nicht diskutiert. Insofern ist hier Zurückhaltung geboten. Jedenfalls müsste der Nutzer dann ganz detailliert über die Folgen des Datentransfers informiert werden, insbesondere, dass ein Zugriff von US-Geheimdiensten und anderer Behörden auf seine Daten möglich ist und welche Folgen dies ggf. für ihn haben kann (z.B. Einreiseverbot).
- Ob die Einholung einer informierten Einwilligung des Nutzers den Datentransfer rechtfertigen kann, ist unsicher.
d) Ergebnis
Nach derzeitigem Stand besteht für den mit dem Einsatz von Google Analytics verbundenen Datentransfer in die USA keine rechtssichere Grundlage. Selbst wenn also die sonstigen Voraussetzungen (siehe unter Ziffer II. 1. und 2.) eingehalten werden, dürfte ein Einsatz von Google Analytics derzeit nicht datenschutzkonform möglich sein.
Ein ohne geeignete rechtliche Grundlage erfolgender Datentransfer in die USA kann Bußgelder und Schadensersatzforderungen für den Webseitenbetreiber nach sich ziehen.
Es ist Webseitenbetreibern anzuraten, sich um alternative Tracking-Tools zu bemühen, deren Einsatz nicht mit einem Datentransfer in die USA oder in andere Drittländer verbunden ist.
Sollten Sie Unterstützung bei der Umsetzung der datenschutzrechtlichen Vorgaben zum Einsatz von Cookies und Tracking-Tools benötigen, sprechen Sie uns gerne an.
(1) Die Datenschutzbehörden sehen als Rechtsgrundlage dagegen Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit der Einwilligung des Nutzers, da sie § 15 Abs. 3 Satz 1 TMG seit Geltung der DSGVO als nicht mehr anwendbar betrachten.
(2) Hinweise zum Einsatz von Google Analytics im nichtöffentlichen Bereich gemäß dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020.
(3) Hinweise zum Einsatz von Google Analytics im nichtöffentlichen Bereich gemäß dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.05.2020.
(4) Siehe hierzu die Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 07.09.2020: Was jetzt in Sachen internationaler Datentransfer? und die
Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020.
