Die DSK (Datenschutzkonferenz) hat knapp einen Monat vor dem „Kick Off“ der DSGVO ein Positionspapier zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 veröffentlicht, das erstmals die rechtlichen Anforderungen an User-Tracking auf Websites thematisiert.
Das Gremium, bestehend aus dem Bundes- und Landesdatenschutzbeauftragten sowie dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, bezieht Stellung zu aktuellen Fragen des Datenschutzes in Deutschland.
Unter einer Vielzahl von Erklärungen findet sich in diesem Positionspapier eine Schlussfolgerung, die für einige Unternehmen mit einem erneuten Mehraufwand verbunden sein wird: Mit der DSGVO ist ab dem 25. Mai 2018 eine Einwilligung von betroffenen Personen für den Einsatz von Website-Tracking erforderlich.
Bisherige Bestimmung zum Einsatz von Website-Tracking
In der Vergangenheit konnten Websitebetreiber Analysetools wie Google Analytics oder Piwik PRO ohne Opt-In nutzen, wenn beim Tracking Pseudonyme verwendet wurden, die IP-Adresse anonymisiert wurde und es einen Hinweistext in der Datenschutzerklärung mit einer wirksamer Opt-Out Möglichkeit gab.
Die Grundlage dafür hat das Telemediengesetz (TMG) § 15 Abs. 3 geliefert:
“Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.”
Neue Bestimmung zum Website-Tracking unter der DSGVO
Die DSK hat in ihrer Positionsbestimmung die bis dahin noch offenstehende Frage geklärt, ob und inwiefern die TMG-Datenschutzbestimmungen mit der DSGVO ihre Gültigkeit behalten. Das Papier erklärt in Punkt 9 der geäußerten Auffassungen:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“
Dieses Statement macht deutlich, dass ab dem 25. Mai 2018 Web-Tracking nur mit Opt-Out Funktion nach § 15 Abs. 3 TMG nicht mehr möglich ist. Auch im Rahmen einer Interessenabwägung und auch wenn die Nutzerdaten nur für interne Auswertungen genutzt werden, muss eine explizite Einwilligung der betroffenen Person nach der DSGVO erfolgen bevor User-Tracking (z.B. durch Analysetools) durchgeführt wird.
Web Analytics & DSGVO – Das sollten Sie wissen!
In unserem Whitepaper zeigen wir Ihnen, wie Sie in 12 einfachen Schritten Ihre Analytics-Software DSGVO-konform einsetzen
Bisher waren alle davon ausgegangen, dass eigentlich die Einwilligung für Cookies mit der neuen ePrivacy-Verordnung geregelt wird, die erst 2019/2020 in Kraft tritt und das bisherige TMG bzw. die ePrivacy-Richtlinie ablöst. Die Datenschützer sprechen sich aber nun jetzt schon unter der DSGVO für eine strengere Anwendung aus.
Weitere Informationen zur ePrivacy-Verordnung stellen wir Ihnen in unserem Blog zur Verfügung. Zu allen ePrivacy-Artikeln
Update (Dez. 2018): Nach der DSGVO ist vor der ePrivacy! Welche Folgen die ePrivacy-Verordnung für den Online-Markt und Ihr Marketing haben könnte, sollte sie in der aktuellen Fassung tatsächlich in Kraft treten, habe wir ausführlich betrachtet:
- Was ändert sich im Online-Markt?
- Welche Vorkehrungen können wir jetzt schon treffen?
- Was können wir tun, um Einfluss auf die Gesetzgebung auszuüben?
- Welche Nachteile gibt es für uns als Internetnutzer?
- Wieso gibt es keinen Aufschrei seitens der Publisher?
Hier geht es zum Artikel:
ePrivacy-Verordnung: Tickende Zeitbombe für Ihr Online-Marketing? – So bereiten Sie sich vor!
Was bedeutet die neue Bestimmung für Unternehmen?
Dass die geltenden TMG-Vorschriften nicht mehr anwendbar sind und eine rechtliche Einwilligung für jede Art von Webtracking und Nutzerprofil-Erstellung benötigt wird, dürfte die DSGVO-Vorbereitungen vieler Unternehmen noch einmal durcheinander wirbeln. Den Betreibern von Websites bleibt nun nicht mehr viel Zeit, ihre technischen Prozesse entsprechend anzupassen.
Die neue Herausforderung besteht darin, Nutzer umfassend über die Funktionsweisen von Cookies zu informieren und deren Einwilligung einzuholen bevor Tracking-Cookies gesetzt werden. Laut Rechtsanwalt Christian Solmecke ist es “gerade bei Analysediensten wie Google Analytics nicht möglich, eine vollinformierte transparente Einwilligung einzuholen, da nicht abschließend bekannt ist, welche personenbezogenen Daten von diesen Diensten genau verarbeitet werden”.
Zudem reicht keine allgemeine Einwilligung aus und Unternehmen müssen somit für jeden einzelnen Tracking-Cookie eine explizite Einwilligung einholen. Hiervon sind nur Cookies ausgenommen, die für für die Funktionsweise der Website unbedingt notwendig sind.
Consent Manager erleichtern die Umsetzung der neuen DSGVO-Bestimmung
Um die neue Positionsbestimmung der DSK umzusetzen, empfiehlt sich die Einrichtung von einem Consent Management, welches Tracking und Marketing-Tags anhand von Einwilligungen automatisch steuert. Beim Erstbesuch Ihrer Website wird eine Einwilligung abgefragt und erst nach Bestätigung wird das entsprechende Tracking gestartet und weitere Pixel nachgeladen. Über einen Tag Manager lässt sich dieser Consent-Prozess steuern und alle Einwilligungen datenschutzkonform speichern.
Mit dem Piwik PRO Consent Manager speichern Sie Einwilligungen Ihrer Besucher zu definierten Datenverarbeitungszwecken wie Analytics und aktivieren somit für jeden User individuell datenschutzkonform das Tracking. Zusätzlich managen Sie automatisiert Änderungen und sämtliche Datenschutz-Anfragen von Usern und Kunden an einem zentralen Ort. In unserem Artikel “Piwik PRO Consent Manager Release: Kommen Sie der DSGVO-Compliance einen großen Schritt näher” erklären wir Ihnen alle nützlichen Features für eine problemlose Abwicklung.
Piwik PRO Consent Manager
Sammeln, Verarbeiten und Speichern Sie Einwilligungen und Anfragen betroffener Personen DSGVO-konform.
E-Mail-Marketing auch von härterer Auslegung betroffen
Auch beim E-Mail-Marketing gab es neue klare Anweisung, welche Daten zukünftig erhoben werden dürfen. Den Stein brachte das Corrigendum des Europäischen Rats ins Rollen. Demnach ist es Unternehmen, die Newsletter versenden oder Kundendaten für Mailings erheben, nicht mehr erlaubt mehr Informationen als die E-Mail-Adresse abzufragen (dies betrifft auch optionale Formularfelder). Bei t3n finden Sie einen ausführlichen Artikel: “DSGVO: EU ändert das Gesetz noch einmal kurz vor dem Stichtag“
Fazit
Die Vorbereitungen auf die DSGVO beschäftigt Unternehmen nun schon seit einiger Zeit. Die Unsicherheit ist bei vielen groß, da es maßgebliche Änderungen gibt, die das alltägliche Geschäft stark beeinflussen. Für viele kommt die neue Bestimmung so kurz vor Inkrafttreten der DSGVO daher mehr als ungelegen, da es einen erneuten Aufwand und Umdenken bedeutet.
Zusammenfassend lässt sich also feststellen, dass die DSGVO für alle Beteiligten eine große Herausforderung bleibt. Unternehmen bleibt nichts anderes übrig, als sich mit den Bestimmungen weiter zu beschäftigen, die internen Prozesse anzupassen und im besten Fall zu automatisieren. Piwik PRO unterstützt Unternehmen bei der Umsetzung der DSGVO und bietet mit dem Consent Manager ein Tool, das durch die neue Bestimmung zum Web-Tracking mit Opt-In einmal mehr an Bedeutung gewinnt.
DSGVO-konforme Webanalyse
Identifizieren Sie die Customer Journey über alle Kanäle hinweg