Aktuelles, Experten - geschrieben von am Donnerstag, November 14, 2019 19:49 - noch keine Kommentare

Analyse-Dienste für Webseiten nur mit Einwilligung zu nutzen

Bei der Einbindung von „Google Analytics“ u.a. ist geltendes Datenschutzrecht strikt zu befolgen

[datensicherheit.de, 14.11.2019] Mehrere Datenschutzbeauftragte der Länder haben sich am 14. November 2019 zu Wort gemeldet und Stellung zu Analyse-Diensten für Webseiten genommen. Wer solche für seine eigenen Webseiten einbindet, sollte dringend überprüfen, ob damit nicht gegen geltendes Datenschutzrecht verstoßen wird.

Detaillierte Daten über Nutzungsverhalten, Interessen und Standorte

Vielen Internet-Nutzern sei offensichtlich nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut werde, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten könnten. Besonders bekannt seien Analyse-Dienste, welche das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten („Tracking“). Nicht jeder Webanbieter habe bei der Einbindung solcher Dienste das Datenschutzrecht im Blick.
„Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten – das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Unter welchen Bedingungen nach der aktuellen Rechtslage Analyse-Dienste auf Webseiten eingebunden werden dürfen, habe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Frühjahr 2019 veröffentlicht. „Ein Großteil der Webanbieter muss dringend nachbessern, um nicht gegen das Datenschutzrecht zu verstoßen!“ Hansens Appell: Wer Analyse-Dienste auf den Webseiten einbindet, soll dies bitte dringend überprüfen!

Die meisten Cookie-Banner erfüllen gesetzlichen Anforderungen nicht

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont: „Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt ,Google Analytics‘.“
Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürften danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt laut Smoltczyk, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden könne es demgegenüber, wenn ein Webseiten-Betreiber eine Reichweitenerfassung durchführt und dafür die Zahl der Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter dürfe allerdings die Daten nicht zu eigenen Zwecken verwenden, „wie es sich mittlerweile der Anbieter von ,Google Analytics‘ vorbehält“.
Viele Webseiten-Betreiber beriefen sich bei der Einbindung von „Google Analytics“ auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die „Google Analytics“ einsetzen. Das Produkt „Google Analytics“ sei in den vergangenen Jahren so fortentwickelt worden, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstelle. Smoltczyk: „Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von ,Google Analytics‘ erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.“
Webseiten-Betreiber sollten ihre Website umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, müsse entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung sei nur dann wirksam, wenn der Nutzer „der konkreten Datenverarbeitung eindeutig und informiert zustimmt“. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, sei unzureichend. Dasselbe gelte für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung sei eindeutig, und der Europäische Gerichtshof habe sie in seinem Urteil vom 1. Oktober 2019 ausdrücklich bestätigt.
Was eine wirksame Einwilligung ist, werde in Artikel 4 Nummer 11 der Datenschutz-Grundverordnung (DSGVO) definiert. Danach ist eine „,Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO seien Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher „nicht als Einwilligung anzusehen“.
Smoltczyk: „Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

15.000 Websites von Betreibern in Rheinland-Pfalz setzen „Google Analytics“ rechtswidrig ein

Auch Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI) berichtet, dass er eine Vielzahl von Beschwerden über Websites erhalte, welche die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom März 2019 missachteten.
Insbesondere liege ein Hinweis vor, „der nahelegt, dass auf rund 15.000 Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz ,Google Analytics‘ rechtswidrig eingesetzt wird“. Der LfDI prüfe diese und habe bereits Verfahren gegen Unternehmen eingeleitet. Diese Zahl werde sich künftig noch erheblich erhöhen, da der LfDI zukünftig gezielt Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz überprüfen werde. Website-Betreiber, die unzulässig Dritt-Inhalte einbinden, müssten nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androhe.

Weitere Informationen zum Thema:

DSK Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, März 2019
Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 14.11.2019
Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen

datensicherheit.de, 26.10.2016
Kritik zu Googles 18. Jahrestag: Von der Suchmaschine zum Überwachungsimperium



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung