Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies

Mit der Datenschutzreform wird Onlinemarketing noch mehr als je zuvor zum Glückspiel. Was jedoch nicht heißt, dass Sie verzagen, Ihre Webseite schließen oder auf alle Tracking- und Analysetools verzichten sollten.

Ganz im Gegenteil. Denn zum einen müssen Sie an diesem Glücksspiel nicht teilnehmen. Zum anderen können Sie selbst bestimmen, wie hoch Ihr Einsatz ist. Natürlich, je höher die möglichen Vorteile sind, desto höher ist auch das Risiko.

In dem folgenden Beitrag erkläre ich Ihnen daher, wo die Gefahren beim Onlinemarketing nach der Datenschutzgrundverordnung (DSGVO) liegen und wie Sie sie vermeiden oder möglichst gering halten können. Zusätzlich finden Sie am Ende des Beitrags eine Checkliste.

[sc name=“tshinweisboxBEGIN“]Datenschutz und ePrivacy 2018: Falls Ihnen die rechtlichen Basics des Onlinemarketings und Begriffe wie Cookies, Remarketing, Tracking oder Opt-Out unbekannt sind, dann bitte ich Sie zuvor meinen Beitrag „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies“ zu lesen. Falls Sie im Onlinemarketing tätig sind, ist das m.E. ohnehin Pflichtwissen. Ferner erfahren Sie in dem Beitrag mehr über die geplante ePrivacy-Verordnung, die eine Opt-In-Pflicht eindeutig im Gesetz festschreiben könnte.[sc name=“tshinweisboxEND“]

Bunte Vielefalt der Expertenmeinungen

Wo wirtschaftliche Interessen und der Datenschutz miteinander ringen, bleibt die Rechtslage unübersichtlich. Die am häufigsten vertretenen Ansichten reichen von einer generellen Opt-In-Pflicht bis dazu, ein Opt-Out genügen zu lassen:

• Pseudonymisierung und Opt-Out sind ausreichend – Das sagt die Wirtschaft, wobei zum Teil eine Pseudonymisierung und ein einfaches Opt-Out gefordert werden.
• Spätestens ab Conversion-Messung oder ab Remarketing oder ab interessens-/verhaltensbezogenen Marketing oder ab Cross-Device-Tracking ist ein Opt-In erforderlich – Das sagen viele Juristen, die dem „sanften Tracking“ zugeneigt sind. Darunter gibt es manche die z.B. die Grenze beim Cross-Device-Tracking ziehen (so wären z.B. Universal Analytics und das Facebook-Pixel unzulässig und je nach Ansicht auch AdWords wg. Conversion-Tracking).
• Third-Party-Cookies bedürfen immer eines Opt-Ins, nur First-Party-Cookies nicht – Das sagen moderate Datenschützer und datenschutzbedachte Unternehmen. Gemeint sind Tools, die Nutzer nicht über Websites hinweg verfolgen, sondern auf dem eigenen Server betrieben werden, wie z.B. Matomo.
• Onlinetracking und Cookiesetzung sind generell nur mit Opt-In zulässig – Das äußerten vor Kurzem eindeutig die Datenschutzbehörden und Google. Ausnahmen werden nur für notwendige Cookies gemacht (z.B. Warenkorb-Cookie, Login-Status, etc.).

Die Lösung scheint dabei mit Hilfe der weitverbreiteten Cookie-Banner zum Greifen nahe. Doch nur, wenn man die Idee eines Opt-In-Banners konsequent umsetzt.

Reicht das Cookie-Banner nicht aus?

Die Cookie-Banner, die uns bis dato im Netz begegnen, genügen nicht den Anforderungen an ein wirksames Opt-In. Dazu dürften Cookies erst dann bei Nutzern gespeichert werden, bevor Nutzer über sie aufgeklärt und sich mit ihnen einverstanden erklärt haben.

Die heutigen Cookie-Banner holen dagegen allenfalls eine Einwilligung für die Nutzung der Cookies beim Weitersurfen, d.h nach dem Klick auf „Ok“ oder „Einverstanden“ ein. Aber auch nur, wenn Sie nachweisen können, dass und wann ein Nutzer das Cookie-Banner bestätigt hat. D.h. die Cookie-Banner sind praktisch nur ein deutlicherer Hinweis auf die Datenschutzerklärung und die Opt-Out-Möglichkeiten (zum Ursprung und Geschichte der Cookie-Banner).

Wenn jedoch „echte“ Opt-In-Cookie-Banner (wie bei Nike.de) Schule machen, dann werden wir bald auf möglichst rechtssicheren Webseiten gegen Opt-In-Schranken laufen. Zumindest bis sich die Wirtschaft, Browseranbieter und Datenschützer auf  nutzerfreundliche Opt-In-Systeme geeinigt haben.

Ist ein verpflichtendes Opt-In überhaupt zulässig?

Ob man von Nutzern verlangen kann den Cookies zuzustimmen, ist noch nicht abschließend geklärt. In der DSGVO findet sich ein so genanntes Kopplungsverbot (Art. 7 Abs. 4 DSGVO). Es besagt so viel, wie dass nicht erforderliche Einwilligungen ein deutliches Indiz dafür sind, dass sie nicht freiwillig abgegeben wurden.

Nach praxisnahen Juristenmeinungen kommt es jedoch darauf an, inwieweit die Nutzer unter einem Zustimmungszwang stehen. Wenn ein Nutzer z.B. nur dann in sein Nutzerkonto gelangen könnte, wenn er den Cookies zustimmen muss, dann würde ich einen solchen Zwang und damit keine wirksame Einwilligung sehen.

Wenn Sie auf Nummer sicher gehen wollen, dann machen Sie die Einwilligung der Nutzer nicht zu einer Pflicht, sondern zu einer eindeutig freiwilligen Entscheidung.

[sc name=“tshinweisboxBEGIN“]Gefährliche Cookie-Banner: Wenn Sie Cookie-Banner einsetzen möchten, achten Sie bitte darauf, dass sie nicht die Links zum Impressum und der Datenschutzerklärung verdecken.[sc name=“tshinweisboxEND“]

Warum verlangt Google ein Opt-In?

Google hat zuletzt für Verunsicherung mit der Ankündigung gesorgt, von den Verwendern seiner Tools eine Einwilligungspflicht einzufordern (zumindest eindeutig im Fall der Nutzung der Google-Dienste zu Werbezwecken). D.h. wenn Sie Analytics oder Adwords zu Werbezwecken einsetzen, müssen Sie  entsprechend Googles Nutzungsbedingungen ein Opt-In einführen.

Doch diese „Pflicht“ ist nicht neu. Sie stand so ähnlich auch schon vorher in der Einwilligungs-Richtlinie von Google. Ferner ist es m.E. eine aus der Sicht Googles nachvollziehbare Formulierung. So kann Google bei Streitigkeiten rund um den Datenschutz und in etwaigen Haftungsfällen immer darauf verweisen, Daten nur unter Annahme einer wirksamen Einwilligung zu verarbeiten.

Verlangt auch Facebook ein Opt-In?

Facebook überraschte zumindest mit deutlichen Hinweisen an Entwickler und einem Leitfaden für die Cookie-Zustimmung für Webseiten und Apps, in denen erklärt wird, wie sich ein Opt-In und ein Opt-Out implementieren lassen. Jedoch wird den Verwendern, anders als bei Google, keine Pflicht auferlegt. Stattdessen heißt es im Leitfaden:

Außerhalb der EU kannst du möglicherweise aufgrund anderer Gesetze und Vorschriften dazu verpflichtet sein, einen Hinweis bereitzustellen und die Zustimmung einzuholen, um Daten von deiner Webseite oder App zu sammeln und zu nutzen.

[sc name=“tshinweisboxBEGIN“]Facebook-Pixel einsetzen: Überraschenderweise erklärte die bayerische Datenschutzbehörde Ende 2017, dass das Facebook-Pixel eingesetzt werden darf. Ob diese Ansicht auch nach der Datenschutzreform – abweichend von anderen Aufsichtsbehörden – beibehalten wird, bleibt abzuwarten.[sc name=“tshinweisboxEND“]

Was kann mir passieren – die Risikoabwägung?

Selbstverständlich, im worst case drohen „Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ oder Abmahnungen mit Schadensersatzforderungen.

Doch umgekehrt müssen auch die risikomildernden Faktoren berücksichtigt werden:

• Entspricht alter Rechtslage– Datenschutzbehörden meinen schon seit Jahren, dass die Cookie-Richtlinie unmittelbar gilt (wobei uneinheitlich, z.B. im Hinblick auf Google Analytics, das mit Abschluss eines Auftragsverarbeitungsvertrages auch nur mit einer Widerrufsmöglichkeit „Opt-Out“ zulässig sein sollte oder das Facebook-Pixel, das nach der Ansicht der bayerischen Datenschutzbehörde mit einem eigenem Opt-Out genutzt werden darf.)
• Datenschutz ist jetzt europäisch – Es gilt nicht nur die Ansicht der deutschen Datenschutzbeauftragten. Vielmehr muss ein gemeinschaftlicher europäischer Konsens gefunden werden.
• Fingerspitzengefühl bei Datenschutzbehörden – Datenschutzbehörden neigen nicht gerade dazu Bußgelder zu verhängen, wenn wie hier mehrere Ansichten vertretbar sind. In solchen Fällen werden eher Musterverfahren angestrebt, wobei sich die Datenschutzbehörden häufig Adressaten aussuchen, denen die Verfahren zumutbar sind (staatliche Stellen oder große Unternehmen).
• Abmahnungen bergen ein Risiko für Abmahnende – Die unklare Rechtslage ist auch ein Risiko für diejenigen die Abmahnungen versenden und sich auf das neue Recht auf immateriellen Schadensersatz berufen möchten (Art. 82 DSGVO). Zum einem wissen wir noch nicht, wie hoch eine Verletzung durch unerlaubtes Tracking angesetzt wird. Zunächst ist in Deutschland eher mit kleineren Werten zu rechnen. Man bedenke, dass z.B. für das Verbreiten von Nacktbildern vergleichsweise geringe 5.000 Euro Schadensersatz zugestanden werden (das kann je nach Konstellation mehr oder weniger sein).
• Keinen Sanktionen seitens von Google – Nutzer die gegen Googles Vorgaben verstoßen, begehen einen Vertragsbruch. Gleichzeitig wird der Verstoß bisher zumindest m.W. nicht durchgesetzt. Ansonsten würde Google auf einen Schlag der überwiegenden Mehrzahl der Nutzer kündigen müssen (man kann sich auch fragen, ob eine solche Pro-Forma-Pflicht überhaupt wirksam ist und sich Google auf sie berufen kann).

Wenn Sie diese Risiken und bisherige Entwicklung zusammennehmen, dann kann ein Einsatz oder Onlinetracking-Tools durchaus, zumindest wirtschaftlich, sinnvoll sein.

[sc name=“tshinweisboxBEGIN“]Hörtipp: Unsere Podcastfolgen zur Datenschutzgrundverordnung mit Grundlagen (DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54) und Umsetzungstipps für die Praxis (DSGVO: Datenschutzerklärung FAQ – Rechtsbelehrung Folge 55).[sc name=“tshinweisboxEND“]

Checkliste: Abgestufter Einsatz von Onlinemarketing-Tools

Wenn Sie auf Grundlage der gegenwärtigen Rechtslage entscheiden, ob und welche Tools Sie einsetzen, nehmen Sie bitte die folgende Prüfung vor:

• Benötige ich überhaupt ein Tracking-Tool? – Falls nicht, dann lassen Sie es weg. Das ist die sicherste Lösung. Da Sie jedoch diesen Text lesen, kommt diese Alternative wahrscheinlich für Sie weniger  in Frage.
• Muss es ein Third-Party-Tool sein? – Würde es nicht ausreichen ein Webtracking mittels einer eigenen Software vorzunehmen (vorausgesetzt Sie haben die Möglichkeiten hierzu)? Das gilt vor allem, wenn Sie sich nicht beantworten können welche Vorzüge z.B. Google Analytics gegenüber First-Party-Tracking hat. In solchen Fällen sollten Sie z.B. das Tool Matomo einsetzen (aber die sicheren Datenschutzeinstellungen verwenden.)
• Möglichst sichere Third-Party-Tools verwenden, sicher einstellen und Rückstellung bilden: Ich schlage eine Summe zwischen 2.500 – 5.000 Euro vor, die Sie als Rückstellung für mögliche Rückfragen, Abmahnungen mit Vertragsstrafen einplanen sollten. Achten Sie darauf, dass die Tools möglichst die folgenden Kriterien erfüllen:
  • Pseudonymes Tracking – Dabei sollten die IP-Adresse gekürzt und Klardaten wie Namen oder E-Mailadressen nicht gespeichert werden.
  • Opt-Out – Das Tool sollte eine möglichst einfache und auf allen Geräten (Desktop/Mobil) funktionierende Opt-Out-Lösung bieten (am besten eine Möglichkeit sich vom Tracking durch das Tool generell abzumelden und nicht nur ein auf eine Domain beschränktes Opt-Out)
  • Art und Umfang des Trackings – Hier stellt man darauf ab, ob die Nutzer vernünftigerweise mit dem Tracking rechnen können. Dabei wird das in der folgenden Reihenfolge zunehmend verneint und das Risiko steigt (Reichweitenmessung, Conversion-Tracking, Remarketing, Interessensbasiertes Marketing, Cross-Device-Tracking).
  • Datenschutzerklärung – Ihr Tool muss auf jeden Fall in der Datenschutzerklärung mit seinen Grundfunktionen, Schutzmaßnahmen, Opt-In-Möglichkeiten, etc. beschrieben sein.
  • Speicherdauer – Je kürzer die Speicherdauer der Daten, desto sicherer (wenn einstellbar, dann wählen Sie die niedrigste Einstellung, z.B. 14 Monate bei Google Analytics).
  • Besondere Verpflichtungen des Anbieters – Anbieter wie Google bieten spezielle Auftragsverarbeitungsverträge ab, die Sie abschließen sollten.
  • Garantien bei Verarbeitung in Drittstaaten – Wenn die Anbieter Daten außerhalb der EU/EWR verarbeiten, dann sollten Sie besondere Garantien dafür bieten, dass sie das europäische Recht zu befolgen. Sie können aus einem als sicher anerkanntem Drittstaat kommen (Schweiz, Kanada und Israel (mehrheitlich), Neuseeland, Uruguay, etc.) oder so genannte Modelverträge mit „Standard Contractual Clauses“ anbieten oder im Fall von US-Unternehmen unter dem Privacy Shield zertifiziert sein.

Praxistipp und Fazit

Der Einsatz von Tracking- und Onlinemarketing-Tools bleibt ein ungewisses Spiel, vor allem wenn man nicht den Ansichten der Datenschutzbehörden folgt. Dann nimm die Gefahr graduell zu, je genauer die Nutzerprofile und je umfassender die Beobachtung der Nutzer ist.

Wobei Sie bei diesem Risikospiel nicht mitmachen müssen.

Wenn Sie ohnehin kein Geld oder sonstige Vorteile mit den Tracking-Tools erwirtschaften, dann sollten Sie auf First-Party-Tracking oder gar auf ein Opt-In auszuweichen. Ansonsten sollten Sie die Gewinne mit den Risiken abwägen. Dabei werden Sie sich übrigens m.E. keinen bewussten Rechtsbruch vorwerfen lassen müssen, da die Nutzung der Tools auf vertretbaren Ansichten fußt.

Leseempfehlungen zur Vertiefung:

• „Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten“ von Stephan Hansen-Oest
• „Das Aus für Google Analytics …. und andere Google Dienste!? #dsgvo“ von Thomas Werning.
• „Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz?“ von RA Dr. Martin Schirmbacher.
• „Der rechtskonforme Einsatz von Google Analytics bzw. Universal Analytics unter der DSGVO“ von RAin Nina Diercks.
• „Ist Tracking nach 25.Mai 2018 nur noch mit Einwilligung erlaubt ?!“ von Dr. Carsten Ulbricht.
• „Tracking nur noch mit Opt-In? Kritische Anmerkungen zum DSK-Papier“ von Dr. Nils Christian Haag

 Werbung in eigener Sache: