[datensicherheit.de, 14.11.2019] Mehrere Datenschutzbeauftragte der Länder haben sich am 14. November 2019 zu Wort gemeldet und Stellung zu Analyse-Diensten für Webseiten genommen. Wer solche für seine eigenen Webseiten einbindet, sollte dringend überprüfen, ob damit nicht gegen geltendes Datenschutzrecht verstoßen wird.

Detaillierte Daten über Nutzungsverhalten, Interessen und Standorte

Vielen Internet-Nutzern sei offensichtlich nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut werde, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten könnten. Besonders bekannt seien Analyse-Dienste, welche das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten („Tracking“). Nicht jeder Webanbieter habe bei der Einbindung solcher Dienste das Datenschutzrecht im Blick.
„Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten – das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Unter welchen Bedingungen nach der aktuellen Rechtslage Analyse-Dienste auf Webseiten eingebunden werden dürfen, habe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Frühjahr 2019 veröffentlicht. „Ein Großteil der Webanbieter muss dringend nachbessern, um nicht gegen das Datenschutzrecht zu verstoßen!“ Hansens Appell: Wer Analyse-Dienste auf den Webseiten einbindet, soll dies bitte dringend überprüfen!

Die meisten Cookie-Banner erfüllen gesetzlichen Anforderungen nicht

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont: „Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt ,Google Analytics‘.“
Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürften danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt laut Smoltczyk, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden könne es demgegenüber, wenn ein Webseiten-Betreiber eine Reichweitenerfassung durchführt und dafür die Zahl der Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter dürfe allerdings die Daten nicht zu eigenen Zwecken verwenden, „wie es sich mittlerweile der Anbieter von ,Google Analytics‘ vorbehält“.
Viele Webseiten-Betreiber beriefen sich bei der Einbindung von „Google Analytics“ auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die „Google Analytics“ einsetzen. Das Produkt „Google Analytics“ sei in den vergangenen Jahren so fortentwickelt worden, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstelle. Smoltczyk: „Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von ,Google Analytics‘ erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.“
Webseiten-Betreiber sollten ihre Website umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, müsse entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung sei nur dann wirksam, wenn der Nutzer „der konkreten Datenverarbeitung eindeutig und informiert zustimmt“. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, sei unzureichend. Dasselbe gelte für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung sei eindeutig, und der Europäische Gerichtshof habe sie in seinem Urteil vom 1. Oktober 2019 ausdrücklich bestätigt.
Was eine wirksame Einwilligung ist, werde in Artikel 4 Nummer 11 der Datenschutz-Grundverordnung (DSGVO) definiert. Danach ist eine „,Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO seien Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher „nicht als Einwilligung anzusehen“.
Smoltczyk: „Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

15.000 Websites von Betreibern in Rheinland-Pfalz setzen „Google Analytics“ rechtswidrig ein

Auch Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI) berichtet, dass er eine Vielzahl von Beschwerden über Websites erhalte, welche die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom März 2019 missachteten.
Insbesondere liege ein Hinweis vor, „der nahelegt, dass auf rund 15.000 Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz ,Google Analytics‘ rechtswidrig eingesetzt wird“. Der LfDI prüfe diese und habe bereits Verfahren gegen Unternehmen eingeleitet. Diese Zahl werde sich künftig noch erheblich erhöhen, da der LfDI zukünftig gezielt Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz überprüfen werde. Website-Betreiber, die unzulässig Dritt-Inhalte einbinden, müssten nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androhe.

Weitere Informationen zum Thema:

DSK Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, März 2019
Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 14.11.2019
Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen

datensicherheit.de, 26.10.2016
Kritik zu Googles 18. Jahrestag: Von der Suchmaschine zum Überwachungsimperium

[datensicherheit.de, 28.02.2014] Zum ersten Mal in der Geschichte des Xamit Datenschutzbarometers gehen die Verstöße im Internet im Jahr 2013 leicht zurück. Nun euphorisch von einer deutlichen Kehrtwende zu sprechen, wäre jedoch verfrüht. Denn mit 88,6 Gründen zur Beanstandung pro 100 Webseiten sind sie immer noch nahe am gemessenen Höchstniveau von 91 Verstößen im Jahr 2012.

Auch sinkt die Verwendung der nicht datenschutzkonformen Version von Google Analytics, was die Autoren auf die verstärkten Kontrollen einiger Aufsichtsbehörden zurückführen. Dies ist ein positives Beispiel dafür, dass vermehrte Kontrollen ihre Wirkung nicht verfehlen und zur Durchsetzung des Datenschutzes unbedingt notwendig sind. Jedoch scheinen die Webseitenbetreiber auch auf andere nicht konforme Webstatistik-Dienste auszuweichen. Hier haben wir eine Zunahme um 3 Prozent verglichen zum Jahr 2012.

Weitere Informationen zum Thema:

Xamit – Datenschutz, Audits, IT-Projekte
Xamit Datenschutzbarometer

datensicherheit.de, 16.12.2011
Milliardengewinne durch Datenschutzverstöße: Wettbewerbsnachteil für die Aufrichtigen

[datensicherheit.de, 12.06.2012] Sascha Kuhrau, Inhaber von a.s.k. Datenschutz in Franken und Betreiber des Fachblogs „ask datenschutz“, ist seit 2007 als Berater für Datenschutz und Datensicherheit sowie externer Datenschutzbeauftragter für zahlreiche Unternehmen in Deutschland tätig. Im vorliegenden Gastbeitrag führt er aus, weshalb der Einsatz des beliebten Webtracking-Tools „Google Analytics“ derzeit in Bayern und Nordrhein-Westfalen zu Ungemach für Betreiber von Websites führen kann.

Foto: a.s.k. Datenschutz Sascha Kuhrau, Vorra

Sascha Kuhrau: „Wer sich die ganze Aufregung ersparen will, setzt besser auf die ebenfalls kostenfreie Lösung ,PIWIK‘!“

Seit Jahren diskutieren die Landesdatenschutzbehörden mit dem Konzern Google über eine datenschutzkonforme Einsatzmöglichkeit des beliebten, weil kostenfreien Webtracking-Tools „Google Analytics“. Der sogenannte „Düsseldorfer Kreis“, ein Zusammenschluss der Landesdatenschutzbehörden, verabschiedete 2009 ein Eckpunkte-Papier zum datenschutzkonformen Einsatz von Webtracking. Auf dieser Basis vermeldete man im September 2011 die Einigung mit Google.
Der Hamburger Datenschutzbeauftragte stellte eine genaue Anleitung ins Netz, nach deren Vorgehensweise „Google Analytics“ beanstandungsfrei nach deutschem Datenschutzrecht einsetzbar sei. Kernpunkte waren und sind:

1. Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG.
2. Detaillierte Formulierung der Nutzung in der Datenschutzerklärung der Website zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google-Tool „gaoptaut“ inkl. Download-Link.
3. Aktivierung der „anonymizeIP“-Funktion (Achtung: Hierfür ist ein gesonderter Tracking-Code notwendig!).
4. Löschen aller bisher zu Unrecht erhobenen Daten.

Während die Punkte 2 und 3 auf wenig Widerspruch in der Netzwelt stießen, wurden kritische Stimmen zur notwendigen schriftlichen Regelung zur Auftragsdatenverarbeitung laut. Zwar existiert eine Formulierungsvorlage zum Download auf der deutschen Website von „Google Analytics“, doch externe Bewertungen ließen Zweifel an der rechtlichen Zulässigkeit aufkommen, so z.B. im Hinblick auf notwendige Kontrollrechte gegenüber dem Konzern. Das Löschen aller zuvor mit „Analytics“ erhobenen Daten führte und führt zu weiteren Aufregungen unter den Nutzern. In der Folge kam es zur widerwilligen Löschung oder zum totalen Boykott unter Berufung auf nicht immer nachvollziehbare Stellungnahmen sogenannter „Experten“.
Die teilweise sehr heftig und gegensätzlich geführten Diskussionen hatten jedoch einen Vorteil – das Thema verbreitete sich sehr schnell über die elektronischen Medien und sollte daher eine breite Zielgruppe angesprochen haben. Dies sehen wohl die Landesdatenschutzbehörden ebenso und werden nun aktiv.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA ) teilte am 7. Mai 2012 mit, den Einsatz des Webtracking-Tools „Google Analytics“ auf 13.404 Websites mit Betreibern aus Bayern mittels einer eigens entwickelten Software überprüft zu haben. Auf knapp 2.500 Websites sei „Google Analytics“ im Einsatz, davon lediglich drei Prozent datenschutzkonform. Die verbliebenen 2.371 Website-Betreiber erhielten im Anschluss Gelegenheit zur Stellungnahme und Anpassung unter Androhung von Bußgeldern.
Die Landesdatenschutzbehörde Nordrhein-Westfalen (LDI) hat zwar noch keine offizielle Pressemeldung herausgegeben, doch das Feedback von Unternehmen mit Sitz in NRW ist eindeutig. Das LDI hat sich der Vorgehensweise der bayerischen Kollegen angeschlossen und bereits mit dem Versand von Schreiben bei nicht datenschutzkonformem Einsatz von „Google Analytics“ durch Unternehmen mit Sitz in NRW begonnen.
Weitere Durchgänge in Bayern und NRW sowie gleichgeartete Aktionen der Schutzbehörden der anderen Bundesländer sind zu erwarten. Zwar hat die bayerische Landesdatenschutzbehörde klargestellt, es ginge nicht um die Erzielung von Bußgeldern, doch sind diese nicht ausgeschlossen. Ziel dieser Aktion sei es primär, datenschutzkonforme Zustände beim Einsatz von Software zur Erfassung des Nutzerverhaltens im Internet zu erreichen. Aus diesem Grund werde das BayLDA im Rahmen dieser Prüfung bei Feststellung von Verstößen zunächst keine Bußgeldverfahren einleiten, sondern erst dann, wenn ein Website-Betreiber sich nach entsprechender Aufforderung durch das BayLDA sein Programm anzupassen, nachhaltig weigert oder nicht reagiert.
Wer sich die ganze Aufregung ersparen will, setzt besser auf die ebenfalls kostenfreie Lösung „PIWIK“ – dieses „Open Source Tool“ wurde bereits frühzeitig durch die schleswig-holsteinische Landesdatenschutzbehörde (ULD) bewertet und samt einer einfachen Konfigurationsanleitung für den beanstandungsfreien Einsatz auf Websites freigegeben.

Weitere Informationen zum Thema:

Sitzung des Düsseldorfer Kreises am 26./27. November 2009 in Stralsund
Datenschutzkonforme Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten

ask datenschutz, 20.09.2011
Aufatmen bei Webseitenbetreibern — Google Analytics datenschutzkonform beanstandungsfrei einsetzbar

Piwik
Open source web analytics

ask datenschutz, 08.05.2012
ULD gibt Hinweise und Empfehlungen zum Einsatz des Webanalyse-Tools PIWIK