Cookies und Tracking unter der aktuellen Datenschutz-Grundverordnung
Seit der DSGVO wundern sich die Internetnutzer über die Masse an verschiedensten Cookie-Bannern. Mit ein Grund für die neue Vielfalt ist die immer noch herrschende Rechtsunsicherheit bezüglich der kleinen Identifizierungs-Dateien:
- Cookies werden erst gesetzt, wenn der Nutzer tatsächlich zugestimmt hat.
- Es wird lediglich mitgeteilt, dass der Besucher der Cookie-Setzung durch die Weiternutzung automatisch zustimmt.
- Ein Zugang zur Website ist gar nicht erst möglich, wenn der Nutzer nicht vorher mit einem Klick auf den Einverstanden-Button zustimmt.
Was ist ein Cookie?
Ein Cookie ist eine kleine Textdatei, die beim Besuch einer Website lokal auf dem Rechner gespeichert wird. Ruft der Besucher die Website erneut im Browser auf, gibt der Cookie dem Betreiber mithilfe der gespeicherten Daten Aufschluss über das Surf-Verhalten.
Stellt das Setzen eines Cookies eine Verarbeitung personenbezogener Daten dar?
Nach dem Verbotsprinzip der DSGVO ist die Erhebung oder Verarbeitung personenbezogener Daten über eine Website nur dann zulässig, wenn einer der Erlaubnistatbestände die Datenverarbeitung legitimiert.
In Art. 4 Ziff.1 DSGVO ist definiert, was im Sinne der DSGVO alles als personenbezogene Daten anzusehen ist: Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.
Folglich hat jede Information, die einer natürlichen Person zugeordnet ist, Personenbezug. Als „identifizierbar“ wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung, identifiziert werden kann. Als „identifizierbar“ wird eine natürliche Person nach neuem Recht auch dann angesehen, wenn sie nicht mit ihrem Namen identifiziert werden kann, sondern nur eine Zuordnung zu einer Online-Kennung (Online-Identifier) erhält.
So genügt es also schon, wenn z. B. eine Cookie-ID als Online-Kennung einen Besucher als einzigartigen Nutzer erkennen kann, ohne dass auch eine tatsächliche Identifikation des Namens möglich ist. Dies ist z. B. beim Retargeting der Fall – oder wenn das Nutzungsverhalten via Pseudonym getrackt wird. Soweit aber technisch notwendige Cookies gesetzt werden, die keine Wiedererkennung des Nutzers ermöglichen, fehlt es bereits an einer datenschutzrechtlichen Relevanz, und somit fallen nicht alle Cookies in den Anwendungsbereich der DSGVO.
Nach der DSGVO ist die Erhebung und Verarbeitung von nutzerbasierten Cookie-IDs oder anderen Online-Kennungen also nur dann zulässig, wenn einer der Erlaubnistatbestände des Art. 6 Abs.1 DSGVO die konkrete Datenverarbeitung legitimiert – z. B. durch:
- Einwilligung des Nutzers,
- und/oder es gibt einen Vertrag, der die konkrete Datenverarbeitung rechtfertigt,
- und/oder es gibt ein berechtigtes Interesse, etwa des Werbenden oder des Website-Betreibers, auf das man die Datenverarbeitung stützen kann.
Re-Targeting und Personenbezug
Ob Cookie-basiertes Tracking oder Targeting über berechtigte Interessen legitimiert werden kann, ohne dass der Besucher vorher zugestimmt hat oder ob es einer vorherigen Einwilligung per Opt-In bedarf, hängt also von einer Abwägung der Interessen des Betreibers in Abhängigkeit der berechtigten Nutzererwartung ab. Und lange galt die Annahme, dass eine Vielzahl von Tracking- und Targeting-Tools über berechtigte Interessen legitimierbar war – dass also keine ausdrückliche Zustimmung mittels eines Opt-In nötig war.
Wie Cookie- & Browser-basiertes Tracking im Detail funktioniert, erfahren Sie im Beitrag ONLINE NUTZER-TRACKING? ABER DSGVO-KONFORM!
Und die wichtigsten Targeting-Techniken zur Steuerung von Online-Werbung lernen Sie im Artikel MIT TARGETING ZUR PERFEKTEN ZIELGRUPPENANSPRACHE kennen. Re-Targeting hat bspw. in der Regel bereits einen Personenbezug, denn es zielt darauf ab, die gleiche Person wieder zu erkennen. Und wenn auf Landing Pages nach allem personalisiert wird, was man über den Nutzer weiß, liegt Personenbezug vor. Mehr erfahren Sie zudem über:
- Technisches Targeting
- CRM Targeting
- Soziodemografisches Targeting
- (Predictive) Behavioral Targeting
- Keyword Targeting
- Contextual Targeting
- Semantisches Targeting
- GEO und Regionales Targeting
Was bedeutet das für die Praxis?
Blickt man auf Tools wie Google Analytics (mit IP-Masking) oder Matomo (ehemals Piwik), wird aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings eine Legitimation über ein berechtigtes Interesse vorliegen. In diesem Fall genügt ein Hinweis in der Datenschutzerklärung auf die entsprechende Datenverarbeitung und Widerspruchsmöglichkeit per sogenanntem Opt-Out. Einer expliziten Zustimmung bedarf es jedoch vor dem Setzen des Cookies nicht.
Bei anderen Tools, die Online Behavioral Advertising (OBA) oder Retargeting nutzen, hängt es davon ab, ob pseudonyme Daten erhoben werden und inwiefern sich diese mit anderen Daten zusammenführen lassen. Je nach speziellem Fall kann hier noch über berechtigtes Interesse im Sinne des Art. 6 Abs.1 lit.f DSGVO argumentiert werden, andernfalls bedarf es für den Einsatz einer Einwilligung des Nutzers.
Mehr noch: Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten – z. B. auch Verfahren zur Verfolgung der Nutzer durch Zählpixel oder diverse Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.
So ist auch technisch sicherzustellen, dass Tracking-Verfahren, die datenschutzrechtlich einer Einwilligung bedürfen, erst dann zum Einsatz kommen, wenn die betroffene Person die Information über die geplante Datenverarbeitung inhaltlich erfasst und eine Entscheidung in Form einer expliziten Willensbestätigung darüber getroffen hat.
Was ist bei Direktwerbung zu beachten?
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, besteht allerdings ohnehin ein Widerspruchsrecht ohne Bedingungen, auch für ein Profiling in Verbindung mit Direktwerbung (Art. 21 Abs. 2 DSGVO). In diesen Fällen wirkt sich das Einräumen des Widerspruchsrechts nicht auf die Interessensabwägung aus.
Aus Art. 25 Abs. 2 DSGVO und dem Erwägungsgrund 78 ergibt sich zudem, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, die unter anderem sicherstellen, dass durch die Nutzer vorgenommene technische Voreinstellungen an ihren Endgeräten zum Schutz personenbezogener Daten auch eingehalten werden. Eine technische Umgehung der gewünschten Voreinstellungen, beispielsweise die Verwendung von First-Party Cookies aufgrund blockierter Third Party-Cookies, ist nicht zulässig.
Ein Hinweis allein ist nicht ausreichend
Ein reiner Informationsbanner über verwendete Cookies, der durch Anklicken eines „Bestätigen“-Buttons lediglich weggeklickt werden kann, ist im Sinne der DSGVO nicht ausreichend.
Zudem fehlt die Rechtsgrundlage für das Tracking, wenn vorher nicht eingewilligt wurde und keine Möglichkeit zum Opt-Out für sämtliche Methoden, die nicht zwingend aus technischen Gründen zum Betrieb der Website erforderlich sind, besteht. Auch sollte beim Einpflegen von weitergehenden Tracking-Tools sichergestellt sein, dass es eine Version der Website gibt, bei der die Funktionalität grundsätzlich auch ohne Tracking möglich ist.
Wie lautet die Empfehlung?
Da aufgrund der noch nicht vollends geklärten Auslegung unterschiedliche Standpunkte vertreten werden können, sollten Webseiten nach einer individuellen Risikoabschätzung abwägen, welche Tracking- oder Targeting-Technologie sie einsetzen wollen. Während das Risiko bei einigen Tools aufgrund der Möglichkeit zur Pseudonymisierung eher gering ist, besteht bei anderen eine deutlich größere Rechtsunsicherheit.

↵ zurück zum Inhaltsverzeichnis