DSGVO-Konformität auf Webseiten mit Analyse-Tools sicherstellen
Dieser Artikel beschäftigt sich damit, wie Analyse-Tools, welche personenbezogene Daten von den NutzerInnen einer Webseite sammeln, speichern und verarbeite, datenschutzkonform genutzt werden können. Den Anlass für diesen Artikel bietet die Erstellung einer Landingpage für das Startup FeFood und die Einbindung von Google Analytics auf dieser Seite. Es soll dargelegt werden, an welche rechtlichen Vorgaben sich Webseiten halten müssen, wenn diese Daten erheben, welches Problem sich bei der Einbindung von Google Analytics sowie den damit verbundenen Cookies ergibt und wie diese mit Hilfe von Cookie Consent Management Plattformen dennoch datenschutzkonform genutzt werden können.
FeFood Architektur
FeFood (kurz für Fetch Food) ist der Name eines Startup-Projektes von vier Master-Studierenden der Hochschule Flensburg. Die Idee liegt darin, eine App zu entwickeln, in welcher LebensmittelproduzentInnen Profile anlegen und ihre Produkte, die sie vor Ort in einem Hofladen oder in einem Automaten verkaufen, bewerben können. Des Weiteren können sie auf ihren Profilen Informationen zu Öffnungszeiten oder Veranstaltungen posten und so potenzielle KundInnen auf dem Laufenden halten. KonsumentInnen können sich mit Hilfe der App, in der es eine Liste und eine Karte mit den ProduzentInnen gibt, darüber informiere, wo in ihrer Nähe regionale Produkte angeboten werden und diese direkt dort und nicht im Supermarkt kaufen. Damit sollen Probleme wie lange Transportwege, Vernichtung von Lebensmitteln aufgrund von Supermarktnormen und viel Müll durch Verpackungen verringert werden. Das Ziel des Startups liegt darin, den regionalen Markt zu stärken.
Neben dem App-Prototypen wurde eine Landingpage für das Startup entwickelt, auf dem sich ProduzentInnen und KonsumentInnen anhand von Bildern, Texten und einem Video darüber informieren können, was FeFood ist und wie sie Teil der Community werden können. Dieser Artikel fokussiert sich auf die Einbindung von Tools auf dieser Webseite.
Zur Untersuchung von Nutzerstatistiken wurde Google Analytics auf der Webseite eingebunden. Google Analytics ist ein kostenloses Tool von Google, welches es ermöglicht zu tracken, wie viele NutzerInnen sich wann und wie lange auf welcher Seite befunden habe. Des Weiteren können beispielsweise Buttons oder Links getrackt werden, um herauszufinden, wie oft diese geklickt wurden. In der Auswertung der Nutzerdaten werden nicht nur Statistiken über die Anzahl der NutzerInnen sondern auch über deren Geschlecht, Herkunft, Medium (mobile, desktop) oder wie sie auf die Seite gekommen sind, in Statistiken zusammengefasst.
Welche Risiken ergeben sich durch die Nutzung von Google Analytics?
Durch die Einbindung von Google Analytics oder anderen Analyse-Tools ergibt sich das Problem, dass Nutzerdaten gesammelt werden, ohne dass die NutzerInnen vorher ihren Konsens gegeben haben. Dieser Punkt führt zu einem Datenschutz-Vergehen nach der europäischen Datenschutzgrundverordnung (DSGVO) und dem deutschen Telekommunikation-Telemedien-
Datenschutz-Gesetz (TTDSG). Im Folgenden sollen diese beiden Rechtstexte näher beschrieben werden, um zu erklären, wie diese sich auf das Sammeln von Nutzerdaten auf Webseiten auswirken.
DSGVO
Die DSGVO ist die Datenschutzgrundverordnung, die in der ganzen Europäischen Union gültig ist und so einen einheitlichen Standard bieten soll. In dieser wird geregelt wie Unternehmen mit personenbezogenen Daten von ihren BesucherInnen oder KundInnen, welche in einem Dateisystem gespeichert werden, umgehen müssen. Die DSGVO trat im Mai 2016 in Kraft — muss aber erst seit Mai 2018 in allen EU-Staaten verpflichtend umgesetzt werden. Neben dieser allgemeinen Verordnung gibt es in Deutschland noch weitere Gesetze, wie das TTDSG, welche den Umgang mit Daten regeln. Bei einem Verstoß gegen diese Gesetze kann es zu hohen Bußgeldern oder Abmahnung kommen. [1][2]
Personenbezogene Daten werden dabei als Informationen bezeichnet, welche eine natürliche Person identifizierbar machen. Identifizierbar wird diese beispielsweise durch bestimmte Kennungen wie Name, Kennnummer oder Standort, denen sie eindeutig zugeordnet werden können. (DSGVO Art. 4 Abs. 1) Die personenbezogenen Daten können nur zu legitimen Zwecken erhoben werden und müssen rechtmäßig und nachvollziehbar verarbeitet werden. Des Weiteren muss die Sicherheit der Daten zu jeder Zeit gewährleistet sein. Es muss nachweisbar sein, dass diese Regeln eingehalten werden. (DSGVO Art. 5) Bevor überhaupt Daten erhoben werden können, müssen die betroffenen Personen der Datenverarbeitung zustimmen (DSGVO Art. 6 Abs. 1). Auch wenn sie dieser Verarbeitung einmal zugestimmt haben, haben sie zu jeder Zeit das Recht, ihre Einwilligung zu widerrufen und dieser Widerruf muss genau so einfach wie die Zustimmung sein (DSGVO Art. 7 Abs. 3).
Doch was bedeuten diese Regeln konkret für Webseiten? Zum einen müssen in der Datenschutzerklärung alle personenbezogenen Daten, Cookies oder Drittanbieter die genutzt werden aufgelistet werden und erklärt werden, zu welchem Zweck und wie lang die Daten gespeichert werden. Es ist außerdem verpflichtend, hier die Kontaktdaten der Verantwortlichen Person, die Daten erhebt, zu nennen. Auch das Widerspruchsrecht und das Beschwerderecht bei einer Aufsichtsbehörde dürfen hier nicht fehlen. (DSGVO Art. 13) Den NutzerInnen muss die Möglichkeit gegeben werden, ihren Konsens zu geben, bevor ihre Daten gesammelt und gespeichert werden. Wenn auf Webseiten keine personenbezogenen Daten gesammelt werden, ist es nicht nötig sich zu dem Problem der NutzerInnen-Einwilligung Gedanken zu machen. Es kommt allerdings sehr schnell zur Datenverarbeitung, wenn zum Beispiel Analyse-Tools, Newsletter, Kontaktformulare, Social Media Feeds oder Onlineshops, welche Bezahlungs- und Bestelldaten verarbeiten, genutzt werden. [1]
TTDSG
Das Telekommunikation-Telemedien-Datenschutz-Gesetzt erweitert die DSGVO in Deutschland auf nationaler Ebene. Da in der DSGVO nicht eindeutig geregelt wird, wie mit Cookies und der Speicherung von personenbezogenen Daten im Internet umgegangen werden muss, gibt das TTDSG hier genauere Vorgaben. Hier wird bestätigt, dass EndnutzerInnen von Webseiten über die Speicherung von Daten informiert werden müssen und jegliche Speicherung ohne vorherige Einwilligung rechtswidrig ist (TTDSG Art. 25 Abs. 1). Während technisch notwendige Cookies (wie Session- oder Login-Cookies) von der Einwilligungspflicht ausgenommen werden, muss der Verwendung jeglicher Cookies von Tracking-Tools oder anderen Drittanbietern von den NutzerInnen explizit zugestimmt werden (TTDSG Art. 25 Abs. 2). [3]
Google Analytics
Google Analytics nutzt JavaScript-Bibliotheken, um Informationen über das Nutzerverhalten zu sammeln und an den Besitzer der Webseite weiterzugeben. Diese Bibliotheken nutzen HTML Cookies, um zwischenzuspeichern, wie die NutzerInnen mit der Webseite interagieren. [4] Auf der FeFood-Webseite setzt Google Analytics aktuell die folgenden zwei Tags:
_ga: registriert die IDs der NutzerInnen, um statistische Daten darüber zu gewinnen, wie die Webseite genutzt wird.
_ga_#: hier wird gespeichert, wie oft die gleichen NutzerInnen die Webseite besuchen.
Auch wenn Google Analytics die IP-Adressen der NutzerInnen im Standard anonymisiert, kann Google durch die gesammelten Daten gegebenenfalls Rückschlüsse auf die Identität dieser ziehen. Aus diesem Grund fallen die von Google Analytics gesetzten Cookies unter jene, die laut der TTDSG eine Einwilligung benötigen.
Wie kann ein Analyse-Tool nun datenschutzkonform eingebunden werden?
Die einfachste Lösung, um eine Webseite immer datenschutzkonform zu halten, wäre, gar keine personenbezogenen Daten zu sammeln und damit verbunden auch keine Drittanbieter zu nutzen. Mit solchen Webseiten kommt man allerdings meist nicht weit, da den WebseitenbetreiberInnen in diesem Fall notwendige oder interessante Funktionen vorenthalten werden. Es gibt nun verschiedene Möglichkeiten, wie die Einhaltung der DSGVO sowie der TTDSG auf Webseiten gewährleistet werden kann [5].
Erste Möglichkeit: Die NutzerInnen können in der Datenschutzerklärung der Webseite über die erhobenen Daten und eingesetzten Cookies informiert werden. Vor, bzw. unmittelbar nach dem Einsetzen der DSGVO, war dies wahrscheinlich die einfachste und am meisten verbreitete Art, um Webseiten datenschutzkonform zu halten. Schon mit dem Einsetzen der DSGVO ist diese Möglichkeit allerdings recht risikoreich, da den NutzerInnen nicht präsent genug die Informationen über gesammelte Daten gegeben werden und sie dieser Sammlung an keiner Stelle widersprechen können. Spätestens mit dem in Kraft treten der TTDSG im Dezember 2021 ist die erste Möglichkeit als rechtswidrig einzustufen.
Zweite Möglichkeit: Hier werden die BesucherInnen per Cookie-Banner beim ersten Aufruf einer Webseite über die eingesetzten Cookies informiert und müssen per Klick bestätigen, dass sie diese zur Kenntniss genommen haben. Dieser Banner hat eine ausschließlich informierende Funktion und stellt keine Möglichkeit zum Widerspruch bereit. In den letzten Jahren war diese Möglichkeit weit verbreitet, da sie den Ansprüchen der DSGVO weitestgehend entsprach. Da der Einsatz von Cookies und die explizite Einwilligung durch die NutzerInnen erst in der TTDSG eindeutig geregelt wurde, hat sich der Einsatz von Cookie-Bannern bisher in einer Grauzone befunden. Seit der Verabschiedung der TTDSG fallen die Banner allerdings auch in einen rechtswidrigen Bereich.
Dritte Möglichkeit: In den vergangenen Jahren sind immer mehr Cookie Consent Management Plattformen (CMP) auf den Markt gekommen. Diese sollen genau das regeln, was die DSGVO und jetzt auch die TTDSG vorgeben. Zum einen scannen sie die Webseite nach eingesetzten Cookies und zum anderen geben sie den NutzerInnen einen Cookiebanner beim ersten Besuch der Webseite, bei dem diese über die eingesetzten Cookies informiert werden und zusätzlich die Möglichkeit haben, dem Einsatz dieser Cookies zuzustimmen oder nicht. Zu den bekanntesten Plattformen zählen unter anderem Cookiebot, Usercentrics und Borlabs Cookie. Diese Möglichkeit bietet den sichersten und datenschutzkonformsten Weg, da die Cookies von dem eingesetzten CMP blockiert und gar nicht erst zugelassen werden, solange der Nutzer diesen nicht aktiv zugestimmt hat. Aktuell ist diese Möglichkeit die einzig empfehlbare.
Datenschutzkonformität dank CMP
Für die Webseite von FeFood wurde sich für die dritte Möglichkeit entschieden. Bei dem eingesetzten CMP handelt es sich um Cookiebot, ein Tool des dänischen Anbieters CYBOT A/S. Neben der Einhaltung der DSGVO, verspricht der Anbieter auch die Sicherung der ePrivacy-Richtlinie (ePR), sowie der des California Consumer Privacy Act (CCPA). Aktuell nutzen mehr als 500.000 Webseiten diese CMP, die außerdem über 40 Sprachen unterstützt. Bei der Nutzung von einer Domain mit bis zu 100 Unterseiten ist die Nutzung von Cookiebot kostenlos. Daneben gibt es kostenpflichtige Premium-Abbonements, welche sich nach der Anzahl der Domains und Unterseiten richten. [6] Cookiebot bietet die folgenden Grundfunktionen:
Cookie-Überwachung: Bei dem ersten Erstellen eines Kontos bei Cookiebot wird die Webseite einmal auf alle dort gesetzten Cookies untersucht. Diese werden in einem Cookie-Scanbericht zusammengestellt. Dieser Vorgang wiederholt sich automatisch monatlich (bei manueller Startung oder bei Premium-Abbonements gegebenenfalls öfter), wodurch der Webseitenbetreiber immer auf dem aktuellen Stand bleibt.
Cookie-Kontrolle: Die gefunden Cookies müssen bestimmten Kategorien zugeordnet werden, wenn diese nicht automatisch von Cookiebot sortiert werden. Zu den Kategorie gehören notwendige Cookies (Cookies, denen zugestimmt werden muss, damit die Webseite genutzt werden kann), Statistik, Marketing und Präferenzen.
Cookie-Zustimmung: Die Zustimmung beschreibt den Cookie-Banner, in dem NutzerInnen über die eingesetzten Cookies informiert werden und dem Einsatz dieser zustimmen können. Dabei können sie entscheiden, welcher der Cookie-Kategorien sie zustimmen, wobei die notwendigen Cookies nicht abgewählt werden können. In der Datenschutzerklärung ist außerdem ein Absatz von Cookiebot eingebunden, in dem noch einmal alle Cookies beschrieben werden und die NutzerInnen zu jeder Zeit die Möglichkeit haben, ihre Einwilligung zurückzuziehen oder anzupassen.
Sowohl Cookiebot als auch Google Analytics können mit Code-Schnipseln im <head>-Abschnitt einer Webseite eingebunden werden. Dabei ist darauf zu achten, dass das Cookiebot-Skript als erstes steht und damit vor dem Google Analytics-Skript geladen wird. Es besteht aber auch die Möglichkeit, beide Anwendungen über den Google Tag Manager (GTM) einzubinden, um bessere Kontrolle über das Auslösen oder Blockieren der Cookies zu haben. Hierfür werden im GTM Tags für jeweils die Google Analytics und die Cookiebot Instanz angelegt. Diese werden dann so geschaltet, dass der Cookiebot-Tag bei jedem Seitenaufruf als erstes getriggert wird. Nun ist es nur noch notwendig, den GTM-Code auf der Webseite einzubinden.
Es ist wichtig anzumerken, dass nicht alle Cookies sich wie Google Analytics automatisch durch den Cookiebot blockieren lassen. Manche Cookies werden von Cookiebot zwar ausgelesen und aufgeführt, aber nicht blockiert, beziehungsweise schon geladen, bevor der Nutzer seine Zustimmung gibt. Dazu gehören beispielsweise oft YouTube-Videos oder andere Elemente, die durch ein iFrame auf einer Webseite eingebunden werden. Diesen Elementen müssen dann nochmal im Code Cookie-Kategorien hinzugefügt werden, damit sie blockiert werden, bevor die NutzerInnen diese Cookies annehmen. Damit den NutzerInnen dann aber an dieser Stelle keine leere Fläche angezeigt wird, kann ein Vorschaubild oder Text angezeigt werden, der dazu auffordert, die Cookies anzunehmen, damit der Inhalt geladen wird. Beim Klicken auf den Text öffnet sich dann nochmal der Cookie-Banner in dem direkt die Zustimmung gegeben werden kann. [7]
Aktuelle Probleme bei der Nutzung von Cookiebot und Google Analytics
Cookiebot Urteil
In einem Urteil vom 1. Dezember 2021 hat das Verwaltungsgericht Wiesbaden aufgrund einer eingegangenen Klage entschieden, dass die Hochschule Rhein-Main auf ihrer Webseite die CMP von Cookiebot nicht mehr nutzen darf. Diese wurde als nicht datenschutzkonform eingestuft, da sie ein Content Delivery Network (CDN) nutzt, um Ladezeiten zu reduzieren, welches zu einem amerikanischen Anbieter gehört und IP-Adressen auf eine Domain weiterleitet, die auf Servern in den USA liegt. Diese Übertragung wird als Weitergabe von personenbezogenen Daten zwischen Ländern (EU und USA) gewertet, die keine internationale Einkunft miteinander haben. Laut DGSVO Artikel 6 und 48 liegt so ein Verstoß gegen die Verordnung vor. Auch wenn bisher nur ein Gericht so entschieden hat und dieser Beschluss in Fachkreisen auf einigen Widerspruch trifft, ist dazu angeraten, eine andere CMP, am besten eine, bei dem die Server in Europa liegen, zu wählen, um die Datenschutzkonformität der Webseite zu wahren. [8] In einer Stellungnahme hat sich Cookiebot zu diesem Urteil gemeldet und ausgesagt, dass sie die Anschuldigungen untersuchen und ihre Dienste dahingehend verbessern werden, dass die höchste Datenschutzkonformität gewährleistet bleibt. [9]
Google Analytics Urteil
Die österreichische Datenschutzbehörde (DSB) hat entschieden, dass bei der Nutzung von Google Analytics auf österreichischen Webseiten ein Verstoß gegen die DSGVO vorliegt. Nachdem die Datenschutzorganisation NOYB im Jahr 2020 101 Beschwerden eingelegt hat, hat die DSB nun als erstes ein Urteil zu der ersten Beschwerde entschieden. Neben der österreichischen prüft auch die niederländische Datenschutzbehörde aktuell die Datenschutzkonformität bei Einsatz von Google Analytics. Das Problem liegt auch hier darin, dass die Server von Google in den USA liegen und personenbezogene Daten aus der EU in die USA übermittelt werden. In den USA ist die Sicherheit der Daten nicht mehr gewährleistet, da dort andere Gesetze gelten und keine Einkunft die Verarbeitung der Daten regelt. Das größte Problem wird darin gesehen, dass nicht abgeschätzt werden kann, wie sehr US-Geheimdienste Zugriff auf diese Daten haben. Aktuell handelt es sich bei dem Urteil nur um einen konkreten Fall in Österreich, weshalb es keinen Einfluss auf die Nutzung von Google Analytics in Deutschland hat. NOYB hat allerdings auch hierzulange Beschwerden eingelegt und sobald die deutschen Datenschutzbehörden zu einem Urteil kommen, wird dieses wahrscheinlich nicht anders aussehen. Es besteht zu diesem Zeitpunkt keine Notwendigkeit aktiv zu werden, wenn Google Analytics auf der eigenen Seite genutzt wird. Es ist aber zu empfehlen sich über europäische Anbieter von Analyse-Tools zu informieren. [10]
Fazit
Die Nutzung jeglicher Drittanbieter oder Funktionen, die Cookies auf der eigenen Seite setzen ist möglich, solange diese erst aktiviert werden, wenn die NutzerInnen diesen aktiv zustimmen. Gibt es diesen Einwilligungs-Prozess nicht, ist die Webseite nicht DSGVO- und TTDSG-konform. CMP wie Cookiebot ermöglichen es, diesen Prozess automatisch durchzuführen, doch auch hier sollte überprüft werden, dass wirklich alle Cookies vor der Zustimmung deaktiviert sind. Die Urteile zum Cookiebot und zu Google Analytics zeigen, dass aktuell noch viel über die Auslegung der Rechtstexte diskutiert wird und nicht klar ist, was in kurzer Zeit überhaupt noch erlaubt ist. Es wird allerdings immer mehr klar, dass es sich anbietet, frühzeitig nach rein europäischen Anbietern für verschiedene Tools zu suchen, um auch in den nächsten Jahren, wenn es mehr Urteile von Datenschutzbehörden gibt, noch auf der sicheren Seite zu stehen.
[1] Rechtsanwalt Sören Siebert (5. Januar 2022): Das müssen Sie 2022 über die Datenschutzgrundverordnung wissen. e-recht24.de. Fachlich geprüft von: Rechtsanwalt Lev Lexow. Online verfügbar unter: https://www.e-recht24.de/datenschutzgrundverordnung.html (zuletzt geprüft am 26.01.2022)
[2] Europäisches Parlament und Rat (27. April 2016): VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Brüssel. Amtsblatt der Europäischen Union, Europäisches Parlament. Online verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679 (zuletzt geprüft am 26.01.2022)
[3] Bundesrat (23. Juni 2021): Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien. Berlin. Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 35, ausgegeben zu Bonn am 28. Juni 2021.
[4] Google Analytics (3. Mai 2021): Google Analytics Cookie Usage on Websites. developers.google.com. Online verfügbar unter: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage (zuletzt geprüft am 27.01.2022)
[5] Rechtsanwalt Sören Siebert (08. Oktober 2021): Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?. e-recht24.de. Fachlich Geprüft von: Rechtsanwältin Annika Haucke. Online verfügbar unter: https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html# (zuletzt geprüft am 26.01.2022)
[6] Cookiebot (2022): Startseite. Online verfügbar unter: https://www.cookiebot.com/de/ (zuletzt geprüft am 25.01.2022)
[7] Cookiebot Support (2021): Iframe cookie consent with YouTube example. Online verfügbar unter: https://support.cookiebot.com/hc/en-us/articles/360003790854-Iframe-cookie-consent-with-YouTube-example (zuletzt geprüft am 30.01.2022)
[8] Rechtsanwalt Marcus Dury; Natalie De Agazio (8. Dezember 2021): Cookiebot „Urteil“ — Cookiebanner nicht DSGVO konform? — VG Wiesbaden untersagt Nutzung des Cookiebanners von Cookiebot: Beschluss vom 01.12.2021, Az. 6 L 738/21. dury.de. Online verfügbar unter: https://www.dury.de/datenschutzrecht-blog/cookiebot-urteil-cookiebanner-nicht-dsgvo-konform-vg-wiesbaden-untersagt-nutzung-des-cookiebanners-von-cookiebot-beschluss-vom-01-12-2021-az-6-l-738-21 (zuletzt geprüft am 26.01.2022)
[9] Cookiebot (22. Dezember 2021): Cookiebot CMP-Stellungnahme zur vorläufigen Entscheidung aus Wiesbaden. Online verfügbar unter: https://www.cookiebot.com/de/wiesbaden-ruling/ (zuletzt geprüft am 27.01.2022)
[10] Rechtsanwältin Annika Haucke (25. Januar 2022): Österreichische Datenschutzbehörde_ Google Analytics ist rechtswidrig. e-recht24.de. Online verfügbar unter: https://www.e-recht24.de/artikel/datenschutz/12981-google-analytics-in-oesterreich-rechtswidrig-was-tun.html (zuletzt geprüft am 28.01.2022)
