Die Bombe platzte am Randes eines Dialoges mit der Hamburger Aufsichtsbehörde am 16.10.2019. Ein Mitarbeiter von Behördenleiter Prof. Dr. Caspar verlautbarte, man hätte eine Beschwerde erhalten, in der ein Betroffener angibt, über 20.000 Hamburger Websites besucht zu haben, die allesamt Google Analytics in nicht Datenschutz-konformer Weise verwenden. Kein Wunder, dass Normal- und Vielsurfer an Google Analytics nicht vorbei kommen, dominiert doch Googles „kostenloses“ Analytics heute mit einem Marktanteil von über 80% auch den deutschen Web Tracking-Markt.
Der Behördenmitarbeiter verband die Weitergabe dieser Information mit der Frage, ob die Beschwerde aus meinem Umfeld stammen könnte, denn Datenschutz-konformes Tracking ist bekanntlich meine Leidenschaft. Diesen Verdacht konnte ich zwar nicht bestätigen, wohl aber, dass ich die Aktion für sehr gelungen halte, da nunmehr hoffentlich Bewegung in die lange Jahre geduldeten Verstöße kommt. Schade, dass ich nicht die Idee hatte.
Über 90.000 Google Analytics Anwender betroffen
Der Betroffene gibt vermutlich an, dass die besuchten Websites gegen die Orientierungshilfe der DSK verstoßen und/oder gegen das jüngste Cookie Urteil des EuGH. Zu allem Unglück scheint es sich bei dem Beschwerdeführer um einen „Vielsurfer“ zu handeln. Hat er nicht nur bei der Hamburger Behörde über 20.000 Unternehmen akribisch aufgeführt. Ähnliches zeichnet sich in anderen Bundesländern ab, wo der Betroffene auch zu surfen scheint. Nordrhein-Westfalen meldet nach Hamburger Behördenangaben einen identischen Fall mit über 70.000 beanstandeten Websites. Wie groß das Ausmaß der Beschwerdewelle ist, könne man gegenwärtig jedoch noch nicht abschätzen – obwohl die Behörden sich regelmäßig austauschen.
Druck auf Behörden steigt
Ob die Aufsichtsbehörden bei der schieren Masse an Beschwerden hier auch auf eine Dialogstrategie, wie in Hamburg üblich, setzen werden, bleibt fraglich. Auf der anderen Seite muss jede Beschwerde nach der DSGVO auch verfolgt werden, sofern sie substantiell ist. Und daran besteht sicher kein Zweifel, denn wer die Forderungen der Aufsichtsbehörden kennt, weiß dass praktisch kein Google Analytics Anwender heute konform trackt: Eine separate Einwilligungsseite vor dem Trackingvorgang ist sehr selten und gerade auch bei großen Unternehmen fernab jeder Realität.
Wegsehen und Aussitzen kaum mehr möglich
Die Verstöße durch Google Analytics Anwender sind evident und seit langem bekannt. Mit den Planet49 und jüngstem Cookie Urteil des EuGH liegen neben der gleichlautenden Auffassung der deutschen Datenschutzkonferenz nunmehr klare Weisungen höchster Gerichte vor, die bindend eingehalten werden müssen. Wegsehen und aussitzen können die Aufsichtsbehörden hier sicher nicht mehr. Wie die Reaktion aber ausfallen wird, konnte mir der Mitarbeiter nicht sagen. Wir dürfen sehr gespannt bleiben.
Wir haben die Aktion im Team diskutiert, unterstützen sie ausdrücklich und möchten uns hiermit an den oder die Beschwerdeführer/in wenden.
Offener Brief: Einladung an Beschwerdeführer
Lieber Betroffene, lieber Vielsurfer, lieber Beschwerdeführer,
Ihre Aktion, durch eine Massenbeschwerde die Datenschutz-Verstöße bei Anwendern von Google Analytics abzustellen, begrüßen wir ausdrücklich sehr.Der Zeitpunkt ist klug gewählt und das taktische Vorgehen scheint koordiniert. Politik und Behörden werden nicht länger weg sehen können, denn die Brisanz ist groß und die Rechtsprechung eindeutig.
Christian Bennefeld
Genau von diesen Aktionen brauchen wir mehr. Wir wollen sehen, wie scharf das DSGVO-Schwert der Behörden wirklich ist – und notfalls beim Schärfen helfen. Deshalb möchten wir Sie einladen: Werden Sie Mitglied in unserer Initiative und bereichern Sie unsere Gruppe. Natürlich 100% vertraulich und anonym. Garantiert!
Über eine vertraulich Kontaktaufnahme oder eine Registrierung, verbunden mit einer regen Teilnahme, würden wir uns sehr freuen.
Make Privacy Great Again und beste Grüße
(im Namen des gesamten Teams von datenschutz-zwecklos.de)
[Update 30.10.2019]
Dr. Datenschutz hat die Beschwerde-Welle in seinem Blog-Artikel bestätigt. Hier wird die Zahl der betroffenen Unternehmen durch die Bayerische Aufsichtsbehörde mit 200.000 beziffert. Ich bezweifele jedoch, dass es „nur“ 200.000 Firmen sind, da alleine Hamburg und NRW zusammen rund 90.000 Fälle melden. Laut Statista beheimaten die beiden Bundesländer zusammen jedoch nur einen Anteil von rund 23% der bundesweiten Unternehmen. Geht man davon aus, dass sich der Anteil von gewerblichen Google Analytics Anwendern in jedem Bundesland etwa gleich verteilt, müssten nach einer Überschlagsrechnung über 380.000 Unternehmen betroffen sein. Vorausgesetzt natürlich, der Vielsurfer war in den anderen Bundesländern ähnlich akribisch unterwegs, wie in Hamburg und NRW.
Wir werden diesen Artikel bei Neuigkeiten entsprechend ergänzen und informieren bei Neuerungen auch aktiv über unseren Web Push Info-Kanal. Einfach am Fuß der Seite Datenschutz-konform abonnieren.
[Dieser Artikel wurde am 20.10.2019 verfasst und der Hamburger Aufsichtsbehörde vorab im Volltext zur Verfügung gestellt. Eine Stellungnahme haben wir bis heute nicht erhalten.]
4 Comments
TBrHH
… ich bin als Datenschutzbeauftragter und auch Berater in Datenschutzfragen „unterwegs“ und habe meine Mandanten wie folgt über die ToDo’s informiert:
————————– start ————————————————
Ein sehr aktuelles Thema, zu dem zwar viel, aber leider wenig wirklich richtiges geschrieben wird, mit erheblicher Bedeutung für alle Betreiber von Websites & Shops: mit Urteil vom 1. Oktober 2019 hat der Europäische Gerichtshof unter dem Aktenzeichen C-673/17 in einem Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und einem Lottoanbieter eine richtungsweisende Entscheidung zum Einsatz von Cookies gefällt.
Der Europäische Gerichtshof hat befunden, dass für technisch nicht notwendige Cookies eine Einwilligung des Nutzers eingeholt werden muss. Nicht notwendige Cookies sind solche, die für den Betrieb der Webseite nicht erforderlich sind.
Für einen Shop erforderlich sind beispielsweise Cookies, die die Zuordnung des Nutzerkontos während des Log-Ins oder die Funktion des Warenkorbs bereitstellen.
Für einen Shop nicht notwendig sind beispielsweise Analysefunktionen, wie sie Google Analytics bereitstellt, aber auch Remarketingtools usw…
Keine wirksame Einwilligung liegt vor, wenn beispielsweise nur eine Vorauswahl bestätigt wird oder gar keine Zustimmung im eigentlichen Sinne erklärt wird.
Das Einwilligungserfordernis differenziert außerdem nach Einschätzung des EuGH nicht, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Zu Deutsch: das Einwilligungserfordernis umfasst auch solche Cookies, bei denen keine personenbezogenen Daten gespeichert werden.
Praktische Auswirkungen der Entscheidung:
a) die bisher sehr verbreiteten Cookie-Banner mit dem Text „indem Sie diese Internetseite benutzen, stimmen Sie der Verwendung von Cookies zu“ sind mit der Entscheidung (endgültig) rechtlich falsch. Wenn mit einem solchen Banner technisch nicht notwendige Cookies legitimiert werden sollen, funktioniert das schon deshalb nicht, weil mit der Benutzung einer Webseite kein Einverständnis erklärt, sondern die Seite genutzt wird.
b) Alle für technisch nicht notwendige Cookies vorgesehenen Banner, die nur ein einziges Interaktionsfeld enthalten, sind unsinnig. Das gilt natürlich vor allem dann, wenn dieses Interaktionsfeld noch nicht einmal eine Zustimmungserklärung enthält, sondern beispielsweise „Verstanden“ oder „zur Kenntnis genommen“. Denn eine Einwilligung setzt voraus, dass der Nutzer auch eine Wahl hat. Diese besteht bei einem Banner mit einem einzigen Button natürlich nicht.
c) Ebenfalls rechtlich und logisch unsinnig sind Banner, die eine Zustimmung auch für technisch notwendige Cookies einholen. Denn in diesem Fall würde dem Nutzer eine nicht notwendige Einwilligung abverlangt, bei deren Verweigerung die Seite nicht funktioniert.
Hier eine Anleitung für ein nach Einschätzung des Verfassers „richtiges“ Einwilligungsszenario:
1. Zunächst ist zu prüfen, ob technisch notwendige Cookies oder auch andere Cookies auf der Webseite verwendet werden. Werden ausschließlich technisch notwendige Cookies verwendet, ist keine Einwilligung erforderlich. In diesem Fall müssen Cookies in der Datenschutzerklärung erläutert werden. Eine Zustimmungserklärung muss aber nicht eingeholt werden.
2. Sollen auch technisch nicht notwendige Cookies verwendet werden, wie beispielsweise für Web-Analyse, dann gilt
a. für die notwendigen Cookies muss keine Einwilligung erklärt werden
b. für die nicht notwendigen Cookies ist die Einwilligung erforderlich; bevor die Einwilligung erteilt wird, darf das Cookie nicht gesetzt werden.
c. die Einwilligung kann (so jedenfalls meine derzeitige Einschätzung auf Basis der Rechtsprechung des BGH) für mehrere Cookies gleichzeitig erfolgen. Das ist aber nicht rechtssicher.
d. Der EuGH fordert, dass der Nutzer über die Nutzungsdauer der Cookies informiert wird. Diese Information sollte sich daher in den verlinkten Informationstexten finden.
Hier eine denkbare Gestaltung:
„Wir möchten Ihnen interessante und topaktuelle Informationen rund um unsere Produkte und Leistungen und Ihre Sicherheit/Mobilität/Familie (Shop-Thema) anbieten. Mit Ihrer Erlaubnis erfahren wir durch Cookies mehr über Ihre Nutzung unserer Seiten (Link/Menüfunktion mit Infos, insb. zur Nutzungsdauer). Wir werden Sie dabei nicht namentlich identifizieren. Ohne Ihre Erlaubnis verwenden wir nur für die Funktion dieser Seite notwendige Cookies.“
[Nur notwendige Cookies verwenden] [Alle Cookies zulassen]
Eine weitere denkbare Gestaltung wäre, dass der Einsatz nicht notwendiger Cookies erläutert wird und nur nach der Einwilligung für nicht notwendige Cookies gefragt wird:
Diese Webseite verwendet Cookies für die Bereitstellung notwendiger Funktionen (mehr Informationen ). Wir würden gerne mittels Cookies auch die Nutzung unserer Website durch Sie für ein noch besseres Webangebot auswerten. Durch Klick auf „Akzeptieren“ stimmen Sie dazu zu. Informationen zu Webanalyse, Cookies und zum jederzeit möglichen Widerruf Ihrer Einwilligung finden Sie hier (Link mit Infos, insb. Zur Nutzungsdauer).
[Nein danke] [Akzeptieren]
Achtung: die vorgenannten Möglichkeiten beziehen sich nur auf die Zulässigkeit des Cookies als solches. Für den Einsatz von Analysediensten gelten darüber hinaus datenschutzbezogene Anforderungen. Handelt der Analysedienst im Auftrag des Website-Betreibers, muss der Website-Betreiber auch die Möglichkeit haben, den tatsächlichen Umgang des Analysedienst-Betreibers mit den Daten zu kontrollieren. Außerdem ist eine Vereinbarung zur Auftragsverarbeitung wichtig, weil sie durch Art. 28 der Datenschutz-Grundverordnung vorgeschrieben ist. Wer hier sichergehen will und unangenehmen Überraschungen vorbeugen möchte, sollte sich für einen Analysedienst entscheiden, der nicht das Nutzerverhalten über verschiedene Websites hinweg auswertet und eine Vereinbarung zur Auftragsverarbeitung anbietet. Als Beispiel kann der deutsche Anbieter etracker (https://www.etracker.com/) genannt werden.
Wir empfehlen Ihnen, Ihre Webseite zu prüfen und ggf. anzupassen.
Eine weitere Klärung erwarten wir von der derzeit diskutierten ePrivacy-Verordnung der Europäischen Union, die dann die Datenschutz-Grundverordnung für den Bereich von Internetdiensten konkretisieren wird. Wann diese allerdings kommt, steht aber leider noch in den Sternen.
————————– the end ————————————————
Benne
Hallo Herr Niedermayr,
nach Aussage der Aufsichtsbehörden im DSK Papier hat ein Website-Betreiber ein berechtigtes Interesse an der statistischen Auswertung seiner Website.
Er muss *keine* Einwilligung einholen, solange die Daten nur in seinem Auftrag (klassische Auftragsverarbeitung) verarbeitet werden und durch den Analyse-Dienstleister nicht selbst weiter verwendet werden. Dies ist (nach Abschluss des AV-Vertrags) nach meinem Verständnis bei etracker der Fall. Es genügt damit der Hinweis in der Datenschutzerklärung.
Falls etracker jedoch nicht auf „Cookieless Tracking“ umgestellt ist, könnte es sein, dass man eine Einwilligung für das Setzen von Cookies durch etracker benötigt. Das ist aber sicherlich strittig, da man genauso argumentieren könnte, dass etracker Cookies funktional für die statistische Auswertung (von wiederkehrenden Besuchern) der Website notwendig sind. Dann müsste keine Einwilligung eingeholt werden. Abschließend kann ich das aus meiner Perspektive nicht beurteilen, aber der etracker GF hat hier auch schon kommentiert und kann dazu ggf. etwas mehr sagen.
Übrigens: Wir verwenden etracker auch auf dieser Seite. Als Datenschutz-Initiative steht für uns die Transparenz im Vordergrund. Daher informieren wir pro-aktiv über die Datenerfassung durch etracker – auch wenn wir rechtlich nach dem oben Gesagten wahrscheinlich gar nicht dazu verpflichtet sind.
Beste Grüße
Christian Bennefeld
GN-IT
Hallo Herr Bennefeld,
Ich setze auf meine Webseite und mehren Kunden Webseite als Analysetool etracker eine.
Gehe ich recht in der Annahme dass dies ohne Opt-In möglich ist, da man sich auf das berechtigte Interesse stützen kann, da die Daten nicht an Dritte weitergegeben werden und Personenbezogene Daten schon in der Grundeinstellung anonymisiert werden.
Meine Frage an Sie gibt es dazu schon Stellungsnahmen der Datenschutzbehörden auf die man sich berufen kann.
Freue mich auf Ihre Antwort.
Gustav Niedermayr
OBrandt
Auf jeden Fall helfen wir von etracker gerne Website-Betreibern, die auf eine DSGVO-konforme Lösung wechseln wollen. Im Gegensatz zu Google Analytics können Daten mit etracker auch ohne Opt-In erfasst werden. So muss man nicht auf eine ausreichende Datenbasis für die Webanalyse verzichten oder Bußgelder der Aufsichtsbehörden riskieren. Denn die Daten werden ausschließlich im Auftrag verarbeitet, nicht Dritten zur Verfügung gestellt oder zu eigenen Zwecken genutzt. Das schafft Sicherheit für Unternehmen und Nutzer gleichermaßen.
Olaf Brandt, GF http://www.etracker.com