Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung in Kraft

Google Analytics: Tracking erst nach Einwilligung erlaubt . Änderungen bei der Datenschutzgrundverordnung

von Ralf Hendel
am

Am 25. Mai 2018 wird die Datenschutzgrundverordnung (“DSGVO”) bzw. die EU General Data Protection Regulation (“GDPR”), wie sie außerhalb Deutschlands bezeichnet wird, nach einer zweijährigen Übergangsfrist anwendbares Recht.

Die Datenschutzgrundverordnung ist aus unserer Sicht grundsätzlich richtig und wichtig, da es der EU mit dieser Verordnung nun erstmals gelungen ist, ein allgemeines Bewusstsein über die Schutzwürdigkeit personenbezogener Daten zu schaffen. Die Umsetzung auf politischer Ebene stellt jedoch ein bürokratisches Monster mit der realen Gefahr von Abmahnungen und Bußgeldern dar, die Unternehmen bzw. deren Geschäftsführer empfindlich treffen können.

In verschiedenen Medien wird derzeit leider viel Panik geschürt und Geschäftemacherei betrieben. Mit diesem Artikel möchten wir Betreiber von Websites über etwaige Anpassungen informieren, sowie über den aktuellen Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (“DSK”), der in der Tat gravierende Auswirkungen zum Tracking von Besuchern nach sich zieht.

Das englischsprachige Informationsportal zur GDPR befindet sich hier,
Informationen zur DSVGO befinden sich hier.

Die Speicherung persönlich identifizierbarer Informationen (“PII”) und die Bildung von Personenprofilen ist gemäß der neuen Verordnung nur erlaubt, solange sie für das Unternehmen unverzichtbar sind um dessen Angebote und Leistungen erbringen und abrechnen zu können. Marketing-Zwecke gelten zwar als berechtigtes Interesse, nicht jedoch als unabdingbare Gründe, mit denen sich die Erstellung von Personenprofilen rechtfertigen lässt.

 

Tracking des Besucherverhaltens

Die aus unserer Sicht wichtigste Änderung betrifft das Tracking von Besuchern.

Nach dem Telemediengesetz galt bislang die Regel, dass das Besucherverhalten auch ohne explizite vorherige Einwilligung anonym getrackt werden darf, sofern die IP-Adresse des Besuchers verstümmelt gespeichert wird und die Informationen nicht mit weiteren Daten zu Benutzerprofilen kombiniert werden. Der Hinweis auf eine OptOut-Regelung war ausreichend.

Nun hat die Datenschutzkonferenz (“DSK”) diese Auslegung jedoch am 25. April 2018 gekippt und folgende Regelung festgelegt:

Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Das heißt im Klartext, dass Benutzer erst nach ihrer expliziten Einwilligung getrackt werden dürfen – dies gilt selbst dann, wenn anonym getrackt wird. Demzufolge wird in den Besucherstatistiken mindestens die Information über die Einstiegsseite verloren gehen, sowie die über sämtliche Besuche auf der Seite, bevor die Einwilligung erfolgt.

Von einer Zustimmung profitieren – in aller Regel – nur die Betreiber des Angebots. Nicht die Besucher. Auch wenn uns Facebook bei der Zustimmung zur Gesichtserkennung vormacht, wie sich dem Besucher eine Einwilligung als Vorteil verkaufen lässt, ist es mehr als fraglich, ob signifikante Besucherzahlen dem Tracking überhaupt zustimmen werden.

Die Frage möglicher Sammel-Opt-Ins sieht unser Datenschutzbeauftragter Tobias Mauß als eher nicht praktikabel an: Auf diese Weise würden Benutzer die Möglichkeit verlieren, sich für oder gegen einzelne Tracking-Maßnahmen entscheiden zu können.

Lassen Sie sich die Einwilligung mit einem Opt-In Kästchen geben! Ab dem 25. Mai 2018 wird ein Opt-Out nicht mehr ausreichen – und mit einer Vorauswahl belegte Kästchen stellen keine wirksame Einwilligung dar.

Das Thema Datenschutz ist bereits seit längerem Thema – so zum Beispiel auf den Drupal Business und Community Days 2017 in Heidelberg. Durch die aktuellen Ereignisse gewinnt das Thema nun noch einmal rasant an Fahrt.

Einbindung externer Inhalte und Schriftarten

Die Bildung von Profilen bedarf wie oben beschrieben der expliziten vorhergehenden Einwilligung der betroffenen Personen. Die Möglichkeit der Profilbildung ist dabei nicht nur durch Analyse-Tools wie zum Beispiel Google Analytics gegeben. Auch durch Einbindung externer Medien – zum Beispiel Videos von YouTube oder Vimeo – oder externer Schriftarten – beispielsweise Google Fonts – wird die IP-Adresse der Besucher an externe Unternehmen übermittelt. Diese IP-Adressen stellen personenbezogene Information dar, auf deren Basis sich im Zusammenspiel mit dem Besucherverhalten Personenprofile bilden lassen.

Darüber hinaus werden solch externe Inhalte – insbesondere Videos – häufig in einem sogenannten “iframe”  ausgeführt, bei dem eine komplette externe Website innerhalb eines Bildschirmbereichs der eigenen Seite eingebunden wird. Der Betreiber der Seite kann die Aktionen des Inhalteanbieters nicht kontrollieren. So können (und werden) bei solcherart eingebundener Fremdinhalte auch Cookies gesetzt und ausgelesen. Demzufolge dürfen Videos aus externen Quellen erst dann ausgeliefert werden, wenn der Besucher seine explizite Einwilligung erteilt hat.

Externe Schriftarten sollten – sofern es die Lizenzbedingungen des Anbieters erlauben – lokal gehostet werden. Andernfalls müsste der Besucher erst in die Weitergabe seiner Daten an Dritte einwilligen, bevor ihm die Website in der von Anbieter gewünschten Darstellung präsentiert werden kann.

Das Recht vergessen zu werden

Bei Community-Plattformen bzw. Online-Angeboten mit einem LogIn muss sichergestellt werden, dass die Plattform sämtliche persönlichen Daten eines Besuchers auf dessen Veranlassung hin vergessen kann.

Hier lassen sich Third-Party-Lösungen wie zum Beispiel Lockr.io einbinden, die die Daten mit persönlichen Keys verschlüsseln. Zum Vergessen muss dann nur der entsprechende Entschlüsselungs-Key gelöscht werden: Ohne diesen ist der Datensatz nicht mehr lesbar.

Damit Daten nicht auf dem Umweg einer Rücksicherung einer Datenbank wieder reaktiviert werden, sollten Löschwünsche archiviert und nach jedem Einlesen der Sicherung erneut ausgeführt werden.
Eine einheitliche Umsetzung bleibt dennoch fernes Ziel in Europa.

Leider stellt es sich derzeit so dar, dass einzelne Länder innerhalb der EU die neue Verordnung sehr unterschiedlich auslegen bzw. Verstöße sanktionieren werden. Österreich hat Unternehmen gerade eine General-Amnestie in Aussicht gestellt, die vermutlich gegen EU-Recht verstößt.