Wer heutzutage eine Website besucht, der kommt selten direkt in den Genuss des Inhalts – meist blockiert ein Fenster unausweichlich die eigentliche Seite, bei welchem – manchmal mehr, manchmal weniger freundlich – nach einer Zustimmung gefragt wird. Zumeist aus Gewohnheit und um schnell die gewünschten Informationen zu erhalten, klickt man den farblich hervorgehobenen Button «Alle akzeptieren» ohne eigentlich zu wissen, was dies bedeutet.Diese in der heutigen Gesellschaft zur Routine gewordene Angewohnheit erlaubt den Websitebetreibern (sofern die Einwilligungen seriös eingeholt werden) diverse Daten über den Besucher zu erfassen, zu verarbeiten und teilweise sogar Dritten zur Verfügung zu stellen.

Mit dem Besuch einer Website – und sei es nur für eine Sekunde – werden zwangsläufig sensible technische Daten übertragen, die es dem Betreiber möglich machen, Rückschlüsse auf das Surfverhalten des Besuchers zu ziehen bis teilweise die Person zu identifizieren. Dies ist nicht ungewöhnlich noch verwerflich, da in Deutschland bzw. der EU genau definiert ist, wie mit diesen Daten umzugehen ist.

Problematisch wird es dann, wenn diese Daten an sog. Dritte (das können weitere Dienstleister sein, die Dienste auf der Website zur Verfügung stellen, bspw. YouTube, Google Maps und andere Firmen) weitergegeben werden und der Websitebetreiber damit die Kontrolle aus der Hand gibt, was mit den Daten passiert – gleichwohl aber in der Verantwortung bleibt, da er diese erhebt und weitergibt.

Neue Bestimmungen durch das Schrems-II-Urteil im Juli 2020

Spätestens seit dem 25. Mai 2018 mit der Einführung der neuen DSGVO ist das Thema zentral in die Öffentlichkeit gerückt. Im Juli vergangenen Jahres hat der wohl bekannteste Datenschutzaktivist Max Schrems ein Urteil des EuGH erwirkt (Schrems-II-Urteil), welches das bisher etablierte Privacy Shield, das zwischen der EU und den USA etabliert wurde und zur Grundlage hatte, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen, für ungültig erklärt wurde.

Damit einhergehend ist eine breite Diskussion entfacht, ob überhaupt noch Dienste wie Facebook, Google, WhatsApp & co. verwendet werden dürfen.

Das deutsche und europäische Datenschutzrecht ist massgeblich auf die Verwendung der Privacy Shield-Regelungen ausgerichtet gewesen, soweit es um die Übermittlung personenbezogener Daten in Drittländer wie die USA geht. Mit dem Urteil des EuGH ist daher in erster Linie die Politik gefordert eine vergleichbare Regelung mit den USA zu treffen. Bis dahin könnte man formaljuristisch von einer fehlenden Legitimation des Datentransfers von und in die USA ausgehen. Da aber quasi jedes Unternehmen in Deutschland vom Wegfall des Privacy-Shields betroffen ist, da fast jedermann Facebook, Twitter etc. einsetzt, kann eine „Verfolgung der gesamten Nation durch die Datenschutzbehörden“ nicht zielführend sein. Insofern bleibt abzuwarten, bis von Seiten der zuständigen Stellen (Landesbeauftragte für den Datenschutz, Bundesbeauftragter für den Datenschutz) Empfehlungen für die Übergangszeit herausgegeben werden. Denn letztlich gilt: Die Verantwortung für die rechtliche Korrektheit gesetzlicher Regelungen trägt immer noch der Staat und nicht etwa der Bürger.

Was bedeutet dies nun aber für das datenschutzrechtlich korrekte Betreiben von Websites?

Allgemein kann man festhalten, dass für die Verarbeitung der Daten von Besuchern, eine der folgenden Voraussetzungen geschaffen sein muss:

  1. Die Person hat ihre Einwilligung zur Verarbeitung der Daten gegeben (z.B. via eines Einwilligungsbanners),
  2. Die Verarbeitung der Daten ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, zwingend notwendig,
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
  4. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Es ist daher nicht zwingend notwendig alles von einer Einwilligung abhängig zu machen. Oft führt dies dazu, dass in einen Einwilligungsbanner (der oft fälschlicherweise auch immer nur mit Cookies in Verbindung gebracht wird) eine seitenlange Auflistung aller einzuholenden Einwilligungen gebracht wird, die für den Besucher weder verständlich noch zielführend sind. Man unterscheidet daher zwischen essenziellen und statistischen Cookies sowie externen Medien. Unter essenziell versteht man all jene Cookies und Einbindungen, die zwingend notwendig sind, dass die Website betrachtet werden kann (bspw. das Merken der ausgewählten Sprachen oder Weiterleiten von http zu https zum Einhalten der Sicherheitstandards).

Cookies und externe Inhalte

Statistische Cookies heisst dann, dass dort z.B. das Tracking aktiviert wird (Google Analytics, Matomo, o.ä.) wie auch sog. Retargeting (dass Ihnen als Besucher der Website danach für Werbeanzeigen auf anderen Plattformen wie Facebook oder Instagram gezeigt werden).

Zumeist lässt sich daher der essenzielle Bereich mit der Voraussetzung d) begründen, nämlich, dass das Interesse einer einwandfreien Darstellung und Nutzbarkeit der Website überwiegt. Wichtig in diesem Fall ist, dass für jeden gesetzten Cookie eine kurze Dokumentation in der Datenschutzerklärung hinterlegt wird mit der Begründung des berechtigten Interesses.

Externe Einbindungen sollten prinzipiell immer nur mit Zustimmung geladen werden, da sich ein berechtigtes Interesse schwer begründen lässt und Daten an externe Unternehmen gesandt werden.

Besonders zu beachten ist, wenn Sie externe Skripte einbinden (dazu zählt auch das Einbinden eines YouTube-Players, das Einbinden von Google Analytics oder Facebook-Pixeln), dass Sie einen Auftragsdatenverarbeitungsvertrag (AV-Vertrag) mit dem Dienstleistungsunternehmen geschlossen haben.

Wenn ein Dienstleister genutzt wird um ein externes Script einzubinden, dieser dieses Script und die weitere Auswertung also zur Verfügung stellt, ist dieser nicht unbedingt ein Dritter und die Datenweitergabe nicht sofort eine Übermittlung.

Wenn mit diesem Dienstleister ein Vertrag zur Auftragsverarbeitung geschlossen wurde, wird dieser zu einem «Auftragsverarbeiter» [Art. 4 Abs. 8 DSGVO] und ist kein

Dritter mehr. Die Verarbeitung wird „ausgelagert“, die Verantwortung aber bleibt „eingegliedert“.

Auch hier ist eine Einwilligung, sofern die Rechtsgrundlage für die Verarbeitung auf berechtigten Interessen beruhen kann, nicht erforderlich (beispielsweise bei der Einbindung von externen Schriftarten).

Es bleibt also festzuhalten, dass die DSGVO viel mehr als ein «notwendiges Übel» ist, sondern vor allem auch dem Schutz des Individuums und einem fairen Internetmarketing dient. Klärt man die Besucher entsprechend auf seiner Seite auf, was mit ihren Daten passiert, sorgt das vor allem auch für Transparenz und Vertrauen, was unweigerlich auf Ihre Wahrnehmung und Marke einzahlt.

Sofern Sie Unterstützung zu diesem komplexen Thema benötigen, kontaktieren Sie uns gerne.

Quellen:
Wikipedia
Faires Internetmarketing / werning.com
Datenschutz individuell / Olav Seyfarth