Blog

Einführung

Websitebetreiber erachten Website-Analyse Tools und die daraus resultierenden Optimierungen für einen erfolgreichen Internetauftritt als unerlässlich. Dass diese Analyse Tools eine Menge an personenbezogenen Daten verarbeiten, sollte mittlerweile jedem Websitebetreiber bekannt sein. Wie solche Tools jedoch datenschutzkonform implementiert werden können und welche Alternativen es zu den großen Anbietern, allen voran Google Analytics gibt, ist den meisten jedoch nicht bewusst. Dieser Blogbeitrag soll den derzeitigen Status quo in den wesentlichen Grundzügen erläutern und beliebte Alternativen im Bereich der Analyse Tools darstellen.

Cookies und Einwilligung

Cookies sind laut EuGH (C-673/17 – „Planet 49“) Textdateien, „die der Anbieter einer Website auf dem Computer des Nutzers der Website speichert und bei ihrem erneuten Aufruf durch den Nutzer wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen.“

Im zuvor zitierten Urteil hielt der EuGH insbesondere fest, dass die einzige Form der rechtswirksamen Einwilligung zum Platzieren von Cookies für Trackingzwecke die explizite Einwilligungserklärung ist, die vom jeweiligen Nutzer einer Website aktiv und spezifisch zu erteilen ist. Dies geschieht in der Regel durch aktives Ankreuzen eines Kästchens. Ein bereits im Vorhinein angekreuztes Kästchen (Opt-Out) ist demnach nicht zulässig. Ebenfalls keine gültige Einwilligungserklärung ist das fortgesetzte Scrollen und Browsen auf einer Website, sowie die Verwendung von sogenannten Cookie-Walls. Mit dem zuletzt genannten Tool wird dem Nutzer nach dem Motto „take it or leave it“ nur dann Zugriff zur Website gewährt, wenn er sich mit der Verwendung von Cookies einverstanden erklärt.

Für Websitebetreiber und Rechtsanwender stellt sich die Frage, ob und inwieweit Website-Analyse Tools rechtskonform eingesetzt werden können.

Ausnahmen von der Einwilligungspflicht für Website-Analyse Tools?

Website-Analyse Tools dienen vor allem der Sammlung und Auswertung von Besucherverhalten im Zusammenhang mit dem Aufruf einer Website. Diese ermöglichen es zu erkennen, welche Werbemaßnahmen bei potentiellen Kunden gut ankommen und welche Waren und Dienstleistungen nachgefragt werden, aber auch ein benutzerfreundliches Websiteerlebnis zu gewährleisten. Die gängigste Technik, die dabei zum Einsatz kommt, ist entweder eine Cookie- oder logfilebasierte Analyse, wobei auch beide Methoden kombiniert werden können. Platzhirsch unter den kostenlosen

Analyse-Systemen ist Google Analytics, welches jedoch datenschutzrechtlich stark in der Kritik steht, vor allem im Zusammenhang mit dem damit verbundenen Datentransfer in die USA (Stichwort: Schrems  II).

Grundsätzlich existiert gemäß Art 5 Abs 3 ePrivacy-Richtlinie (idF 2009/136/EC) eine Ausnahme des Einwilligungserfordernisses für Cookies, die unbedingt notwendig sind, um den vom Nutzer ausdrücklich angeforderten Dienst bereitzustellen („Strictly Necessary Cookies“). In Österreich wurde diese Bestimmung im § 96 Abs 3 Telekommunikationsgesetz umgesetzt.

Die Kategorie „unbedingt notwendige Cookies“ wird jedoch grundsätzlich eng ausgelegt und dementsprechend ein klarer Zusammenhang zwischen der unbedingten Notwendigkeit und der Erbringung der Dienstleistung gefordert. Ein lediglich aus wirtschaftlicher Sicht für den Betrieb der Website erforderliches Cookie (zB wie das bei Website-Analyse Tools der Fall sein könnte) wird dabei nicht als „unbedingt notwendig“ erachtet.

Im März 2021 hat die französische Datenschutzbehörde (Commission Nationale de l’Informatique et des Libertés – CNIL) Leitlinien veröffentlicht, wonach Reichweitencookies (zB Messung der Besucherzahlen, Statistiken über Benutzeraktionen (Klick, Auswahl, Art des Endgeräts, des Browsers und der Bildschirmgröße der Nutzer) unter Umständen als unbedingt notwendige Cookies angesehen werden können. Diese müssen sich ausschließlich auf die Messung der Besucherzahlen der Website im Auftrag des Websitebetreibers beschränken und für das ordnungsgemäße Funktionieren und die laufende Verwaltung der Website unbedingt erforderlich sein. Durch die Messung darf es zu keiner globalen Verfolgung des Surfverhaltens des Nutzers auf mehreren Websites oder Anwendungen kommen und müssen die Daten in aggregierter und statistischer Form verarbeitet werden. Übermittlungen von Daten an Dritte sind in diesem Zusammenhang untersagt.

Auf ihrer Website hat die CNIL eine nicht abschließende Liste mit bereits sechs Anbietern veröffentlicht, deren Tools unter spezifischen Konfigurationen keiner Einwilligung bedürfen. Websitebetreiber können auch auf andere Anbieter zurückgreifen, solange diese die jeweilige Konfiguration datenschutzkonform einstellen und der Anbieter die Daten nicht für eigene Zwecke verwenden kann.

Eine datenschutzkonforme Alternative zu Google Analytics, welche sich auch in der Liste der CNIL findet, ist der Anbieter der kostenpflichtigen Software Piwik Pro Analytics. Auch die kostenlose Software Matomo, ein Spin-Off von Piwik, genießt zunehmend an Aufmerksamkeit und wurde bereits auf mehr als einer Million Websites weltweit implementiert. Der wesentliche Vorteil von Piwik Pro und Matomo im Vergleich zu Google Analytics besteht darin, dass Userdaten auf dem eigenen Server oder einem EU-Server gespeichert werden können, wodurch es zu keinem Drittstaatentransfer kommt. Ob jedoch eine Einwilligung zur Setzung von Cookies durch Matomo notwendig ist, hängt von den jeweiligen Voreinstellungen ab und bedarf einer Einzelfallbeurteilung.

Es bleibt abzuwarten, ob auch andere nationale Datenschutzbehörden der CNIL folgen werden. Jedenfalls sind die Leitlinien eine gute Argumentations- und Orientierungshilfe für Organisationen und Unternehmen in den anderen EU-Mitgliedstaaten, dass bestimmte Cookies zur Reichweitenmessung möglicherweise keiner Einwilligung bedürfen. Letztendlich bleibt es zu hoffen, dass der EuGH sich dieser Frage in naher Zukunft annehmen wird, um das verbleibende Restrisiko im Zuge der Implementierung von Reichweitencookies ohne Einwilligung zu beseitigen. Selbstverständlich werden wir Sie über alle neuen nationalen sowie europaweiten Entwicklungen zu dieser Thematik auf dem Laufenden halten.

DISCLAIMER

Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.