Das fordert jedenfalls das Bayerische Landesamt für Datenschutz in einer gestrigen Pressemitteilung und droht gleichzeitig mit empfindlichem Bußgeld, wenn eine solche Einwilligung nicht eingeholt und nachgewiesen werden kann. Und das soll gut sein? Nein, mit dieser Haltung verhindert der Bayerische Präsident des Amts die digitale Zukunft des Freistaates.
Zunächst die Pressemitteilung
Dienste zur statistischen Analyse von Besuchern einer Webseite werden von vielen Webseitenbetreibern in Bayern eingesetzt. Bei manchen dieser Produkte, wie z. B. Google Analytics, werden personenbezogene Daten der Webseitennutzer Teil eines umfassenden Internetprofils (Tracking). Dann muss eine Einwilligung von den Webseitenbesuchern eingeholt werden.
Wer einen Webauftritt (Homepage, Onlineshop oder Firmenseite) betreibt, möchte in der Regel wissen, wie häufig diese besucht wird, ob es regelmäßige Nutzer gibt, aus welchen Ländern diese kommen und wie das Nutzungsverhalten auf der Seite ist. Dies wird allgemein als Reichweitenmessung bezeichnet und kann nach transparenter Information der Webseitenbesucher und einer Widerspruchsmöglichkeit (Opt-Out) auch ohne deren Einwilligung gemacht werden.
Wenn das Nutzerverhalten allerdings nicht nur für die eigenen Zwecke verwendet, sondern an andere Stellen übertragen wird, um dort zur Erstellung eines umfassenden „Internetprofils“ des Webseitenbesuchers genutzt zu werden, spricht man von Tracking. Dafür benötigen Webseitenbetreiber eine Einwilligung der Webseitenbesucher.
Eine Einwilligung liegt nur dann vor und ist auch nur dann wirksam, wenn die Nutzer über die geplante Verarbeitung ihrer Nutzerdaten vollständig informiert werden (u. a.: wer bekommt welche Daten zu welchem Zweck) und dann eindeutig zugestimmt haben. Ein sogenannter Cookie-Banner, der beinhaltet, dass ein Weitersurfen auf der Website o. ä. eine Einwilligung darstellt, ist falsch und unwirksam. Dasselbe gilt auch für vorausgefüllte Kästchen bei Einwilligungserklärungen. Mit anderen Worten: Eine wirksame Einwilligung erfordert eine aktive Handlung des Nutzers.
„Wer eine Software zur webseitenübergreifenden Erfassung des Nutzungsverhaltens (Tracking) wie z. B. Google Analytics einsetzen möchte, darf das nur, wenn er eine (wirksame) Einwilligung der Nutzer eingeholt hat und dies nachweisen kann“, so Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).
Bereits im Frühjahr 2019 haben die Datenschutz-Aufsichtsbehörden des Bundes und der Länder eine „Orientierungshilfe für Anbieter von Telemedien1“ veröffentlicht und dort dargestellt, unter welchen Bedingungen Tracking von Webseitenbesucherinnen und -besuchern zulässig ist. Die dort enthaltene Rechtsaufassung findet sich genauso im Urteil des Europäischen Gerichtshofes (EuGH) vom 1. Oktober 2019 wieder.
Viele Website-Betreiber berufen sich bei der Einbindung von Google Analytics oder vergleichbaren Analysewerkzeugen auf alte, längst überholte und zurückgezogene Veröffentlichungen. Das Produkt Google Analytics wurde in den vergangenen Jahren aber so fortentwickelt, dass Google sich das Recht einräumt, die Daten der Webseitenbesuchenden zu eigenen Zwecken zu verwenden.
Webseitenbetreiber von nichtöffentlichen Stellen in Bayern sollten ihre Website umgehend auf den Einsatz von Trackingsoftware überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, darf diese Funktionen bei Webseitenbesuchern nicht mehr nutzen, solange diese keine wirksame Einwilligung erklärt haben. Webseitenbetreiber, die Nutzer ohne Vorliegen einer Einwilligung tracken, begehen einen Datenschutzverstoß, der mit einer empfindlichen Geldbuße geahndet werden kann.
„Uns liegen zahlreiche Beschwerden und Hinweise über unzulässiges Tracking vor. Wir werden diese Eingaben prüfen, Verfahren gegen Unternehmen einleiten und dann, wenn das unzulässige Tracking nicht eingestellt wurde, dagegen mit Anordnungen zur Abschaltung, aber insbesondere auch durch Einleitung von Bußgeldverfahren vorgehen“, so Thomas Kranig, Präsident des BayLDA.
Worum geht es genau?
Die Bayern sind nicht grundsätzlich gegen die Benutzung von Diensten wie Google Analytics, sie wehren sich gegen das Tracking. Also die automatische Übertragung der Nutzerdaten an andere Stellen, sodass ein Nutzerprofil übertragen werden kann. Holt ihr euch eine Einwilligung ein UND könnt diese nachweisen, dann ist wieder alles paletti.
Kommentar
Bisweilen nerven schon die ganzen aufpoppenden Fenster, wenn zuerst eine Internetseite besucht wird. Nicht wenige Nutzer klicken diese Infofenster schnell weg, damit sie endlich die Inhalte konsumieren können. Ob die Vielzahl der Belehrungen und Einwilligungen tatsächlich ihre Wirkung entfalten, darf zurecht bezweifelt werden. Dem Grunde nach etabliert sich hier gerade die zweite große Lebenslüge der Internetnutzer neben dieser bekannten >Ich habe die AGB gelesen. […]< Sicherlich wird sie bald den ersten Platz noch vor dem >AGB Ding< belegen.
Muss das denn alles sein?
Nein, denn es ist doch wesentlich wichtiger, Verbraucher und Konsumenten über die Datenverwendung aufzuklären. Sprich, es gehört ein tiefes Bewusstsein und ein gutes Wissen dem Verbraucher vermittelt, wie, wo, wann und warum seine Daten verwendet werden. Daran fehlt es. Stattdessen regulieren >wir<, wo es nur geht und stören das barrierefreie Nutzererlebnis von Internetseiten und Shops.
Viele kostenfreie Inhalte, aber keiner soll zahlen?
Nein, das geht nicht und wirft uns zurück. Natürlich werden auch die kostenfreien Inhalte bezahlt. Halt mit unseren Daten. Und wer bewusst in der Lage ist, diese weiterzugeben, der kann sich auch gegen Datenmissbrauch schützen. Das soll nun kein Plädoyer für unkontrollierte Datenfreiheit sein, jedoch sollen sich die Akteure etwas mehr an der Praxis und dem tatsächlichen Nutzerverhalten orientieren. Und gerade das passiert nicht. Durch die Einholung dieser (wie auch anderer Genehmigungen) passiert nämlich eines: Das Nutzerverhalten wird unterbrochen und betroffene Internetseiten driften in den wettbewerblichen Nachteil ab. Das kann und darf nicht sein.
Fazit: Ein bewusster Umgang mit den eigenen Daten ist wichtig. Da gehört geschult. Freie kommerzielle Datennutzung ist auch nicht das >gelbe vom Ei<. Wichtig ist eine maßvolle und vor allem Praxis- und Nutzerverhalten angepasste Lösung.
Und alles zum Nachteil und auf dem Rücken der KMU: Während Großkonzerne mehr oder weniger leicht in der Lage sind, auch recht komplexe Verordnungen umzusetzen, ergibt sich gerade für den Kleinst- und Kleinhandel daraus immer eine außerordentliche Belastung und auch ein große rechtliches Risiko. Das Damoklesschwert der Abmahnung schwingt unabänderlich über den Köpfen der Säulen unserer Wirtschaft. Das gehört abgestellt!
