Ihre Fragen zum rechtskonformen User-Tracking auf Webseiten und in der Marketing Automation

Seit Ende Mai ist – zumindest aus Marketingsicht – der nächste Datenschutz-Aufreger in der Welt: Der Bundesgerichtshof hat am 28.05.2020 entschieden, dass der Einsatz von Cookies auf Webseiten nur mit Einwilligung des einzelnen Besuchers zulässig ist. Was das Urteil für das User-Tracking auf Webseiten, aber auch für den Einsatz von Marketing Automation Software konkret bedeutet, darüber möchten wir in unserem neuen SiteBoosters Experten-Webinar aufklären. Damit reagieren wir auf die zahlreichen Nachfragen von Kunden und Partnern, die uns wieder einmal gezeigt haben, dass Gesetzestexte nicht selbsterklärend sind.

Wie unser Webinar „Rechtskonformes User-Tracking auf Webseiten und in der Marketing Automation“ gezeigt hat, wirft dieses sensible und dringliche Thema viele Fragen auf. Wir haben Ihre Fragen gesammelt, die Sie während des Webinars gestellt haben. Und unsere Gastreferentin Sabine Heukrodt-Bauer hat geantwortet. Nachfolgend finden Sie ihre Rückmeldung:

Ist ein Double OptIn für einen Newsletter Pflicht?

Voraussetzungen der Einwilligung nach Art. 6, 7 DSGVO:

• Freiwilligkeit: kein Verstoß gegen das Koppelungsverbot
• Nachweisbarkeit - also bei Online-Einwilligung mit DOI unter Protokollierung aller Steps
• Betroffener muss bei Einwilligung (also im Onlineformular) darüber informiert werden,
  • dass er ein Widerrufsrecht hat
  • zu welchem Zweck die Datenverarbeitung erfolgt
  • wer der Verantwortliche ist

• nicht vorab angeklickte Checkbox, Untätigkeit/Schweigen reicht nicht aus

Was ist Tracking?

Herausfinden,

• welcher Traffic wie auf die Webseite kommt, wer die Nutzer sind, wie das Nutzerverhalten ist usw. -> Analyse und Optimierung
• wer die Webseite besucht -> Remarketing
• wer wie das Angebot nutzt, ansieht usw. -> Cross Device Tracking
• Es gibt die verschiedensten Varianten.
• Technisch über First-Party-und Third-Party Cookies, Java Skript, HTTP-Header.

Rechtliche Konsequenzen

• DSK: Jegliches Tracking erfordert eine Einwilligung im Opt-In Orientierungshilfe März 2019

Welche Cookies benötigen eine Einwilligung?

• Nach Art. 5 Abs. 3 ePrivacyRiLi reicht bei rein funktionalen Cookies ein Opt-Out: Rechtsgrundlage kann nach DSGVO daher das überwiegende Interesse des Unternehmens an der Bereitstellung einer Usability-freundlichen Webseite sein. Dann steht dem Nutzer ein Widerspruchsrecht zu.
  
  Beispiele: Warenkorb-Cookies, Login-Cookies
   
• Für alle anderen (Werbe-) Cookies ist eine Einwilligung nach Art. 6, 7 DSGVO erforderlich. Hier steht dem Nutzer ein Widerrufsrecht zu. Gilt für Session-Cookies und Dauer-Cookies. Beispiele: Google Analytics, Facebook Custom Audiences, Google Ads Remarketing über Google AdWords, DoubleClick…

Wie muss ein Cookie-Banner aussehen?

BGH vom 28. Mai 2020 -I ZR 7/16 -Planet49 Gewinnspiel Volltext des Urteils
EuGH vom 01.10.2019, C-673/17 –Planet49 Gewinnspiel Volltext des Urteils

• Keine wirksame Einwilligung, wenn Häkchen in Checkbox vorab eingestellt sind und der Nutzer dieses erst abwählen muss (Art. 5 III EUPrivacyRiLI2002/58). Auch die Anforderungen an Einwilligungen nach der neuen DSGVO sind so zu verstehen. Opt-out unzulässig
• Die rechtlichen Anforderungen gelten auch für Cookies, die Daten ohne Personenbezug sammeln.
• Es gehören umfassende Infos zu den Cookies (Funktionsdauer, Zugriff durch Dritte usw.) in die Datenschutzerklärung.

Ist es zulässig, wenn Webseiten-Inhalte nicht einsehbar sind, wenn die Cookies nicht akzeptiert werden?

der Einwilligung nach Art. 6, 7 DSGVO:

• Freiwilligkeit: kein Verstoß gegen das Koppelungsverbot
• Nachweisbarkeit - also bei Online-Einwilligung mit DOI unter Protokollierung aller Steps
• Betroffener muss bei Einwilligung (also im Onlineformular) darüber informiert werden,
  • dass er ein Widerrufsrecht hat
  • zu welchem Zweck die Datenverarbeitung erfolgt
  • wer der Verantwortliche ist

• nicht vorab angeklickte Checkbox, Untätigkeit / Schweigen reicht nicht aus

Wie detailliert muss die Cookie-Beschreibung in der DSE aussehen?

BGH vom 28. Mai 2020 -I ZR 7/16 -Planet49 Gewinnspiel Volltext des Urteils
EuGH vom 01.10.2019, C-673/17 –Planet49 Gewinnspiel Volltext des Urteils

• Es gehören umfassende Infos zu den Cookies (Funktionsdauer, Zugriff durch Dritte usw.) in die Datenschutzerklärung.
• Beispiel in DSE von RESMEDIA am Ende

Wie geht das mit Webanalyse und Google Analytics?

Tracking mit Google Analytics

• Die Urteile des EuGH und BGH beziehen sich nicht ausdrücklich auf Google Analytics.
• Der Einsatz von Google Analytics ist rechtskonform möglich, ABER Rechtsgrundlage kann allein eine Einwilligung nach Art. 6 Abs. 1 a) DSGVO sein, insbesondere kann GA nicht auf die berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO gestützt werden.
• Beschluss und Hinweise zum Einsatz von Google Analytics

Mindestanforderungen an die Einwilligung bei Google Analytics nach Auffassung der DSK

• Einwilligung in die konkrete Verarbeitungstätigkeit durch Google
• Website-Besucher muss aktiv in die Verarbeitung durch Google einwilligen (keine vorab aktivierten Checkboxen)
• Freiwilligkeit: Nutzer muss die Wahl haben, ob er in die Verarbeitung durch Google einwilligen will oder nicht, d.h. Nutzung der Webseite muss auch ohne Google Analytics möglich sein, wenn die Einwilligung nicht erteilt wird.

Problem: Unklar ist, ob mangels Infos seitens Google eine korrekte Datenschutzinformation gefertigt werden kann.

Empfehlung zu Google Analytics:

Aktuell gibt es keine gerichtliche Entscheidungen zu Google Analytics. Bis dahin

• sollte Google Analytics nur mit Einwilligung der Nutzer genutzt werden
• dazu kann vorerst ein Cookie-Banner eingesetzt werden, in dem Google Analytics ausdrücklich aufgeführt wird und aktiv angeklickt werden muss als Einwilligung
• muss eine ausführliche Datenschutzinformation über das Analysetool informieren und auch einen Opt-Out-Link enthalten.
• darf Google Analytics jedenfalls nur mit „anonymizeIP“ eingesetzt werden (auch mit aIPist eine Einwilligung erforderlich!).

Empfehlung zu Matomo:

• Einwilligung einholen -> auch wenn es um First-Party-Datenverarbeitung geht; es werden pb D zu Werbezwecken verarbeitet.

Empfehlung zum Google Tag Manager:

• Einwilligung einholen über das Cookie-Banner
• ausführliche Informationen in der DSE

-> obwohl der GTM keine personenbezogenen Daten verarbeitet.

Benötigt Conversion-Tracking immer eine Einwilligung?

• Facebook Custom Audiences from your List verstößt ohne Einwilligung der Kunden gegen Datenschutzrecht (Beschluss des Verwaltungsgerichtes Bayreuth vom 08.05.2018, Az.: B 1 S 18.105, bestätigt durch VGH München (Beschluss v. 26.09.2018, Az.: 5 CS 18.1157).
• Stellungnahme der Datenschutzkonferenz (DSK) vom 26. April 2018 zu „Tracking“: informierte Einwilligung vor der Datenverarbeitung, d.h. vor dem Platzieren von Cookies ist ausnahmslos erforderlich. Gilt für alle Tracking Mechanismen.
• Gilt insbesondere für Tracking-Pixel von Drittanbietern (Orientierungshilfe DSK vom März 2019)

Kann man den Google Ads Manager bei Schaltung nicht personalisierter Werbung ohne die (Cookie-)Zustimmung des Nutzers verwenden?

Dazu gibt es noch keine Entscheidung, aber nach Auffassung der DSK geht das nicht ohne Einwilligung der Nutzer.
Google selbst teilt mit, dass bei solchen Anzeigen „zwar keine Cookies für personalisierte Werbung eingesetzt, wohl aber Cookies, die für das Frequency Capping, für zusammengefasste Anzeigenberichte und zum Bekämpfen von Betrug und Missbrauch notwendig sind“ genutzt werden. „Für die Zwecke, die Nutzer in den Ländern betreffen, die den Cookiebestimmungenin der EU-Datenschutzrichtlinie für elektronische Kommunikation unterliegen, muss die Einwilligung zum Verwenden von Cookies eingeholt werden.“

„Bei nicht personalisierten Anzeigen werden „Kontextinformationen herangezogen werden, unter anderem auch der ungefähre Standort des Nutzers (auf Stadtebene).“

Benötigt Conversion-Tracking immer eine Einwilligung?

• Facebook Custom Audiences from your List verstößt ohne Einwilligung der Kunden gegen Datenschutzrecht (Beschluss des Verwaltungsgerichtes Bayreuth vom 08.05.2018, Az.: B 1 S 18.105, bestätigt durch VGH München (Beschluss v. 26.09.2018, Az.: 5 CS 18.1157).
• Stellungnahme der Datenschutzkonferenz (DSK)vom 26. April 2018 zu „Tracking“: informierte Einwilligung vor der Datenverarbeitung, d.h. vor dem Platzieren von Cookies ist ausnahmslos erforderlich. Gilt für alle Tracking Mechanismen.
• Gilt insbesondere für Tracking-Pixel von Drittanbietern (Orientierungshilfe DSK vom März 2019)
• BGH-Urteil zu Cookies …

Kann man den Google Ads Manager bei Schaltung nicht personalisierter Werbung ohne die (Cookie-)Zustimmung des Nutzers verwenden?

Dazu gibt es noch keine Entscheidung, aber nach Auffassung der DSK geht das nicht ohne Einwilligung der Nutzer.
Google selbst teilt mit, dass bei solchen Anzeigen „zwar keine Cookies für personalisierte Werbung eingesetzt, wohl aber Cookies, die für das FrequencyCapping, für zusammengefasste Anzeigenberichte und zum Bekämpfen von Betrug und Missbrauch notwendig sind“ genutzt werden. „Für die Zwecke, die Nutzer in den Ländern betreffen, die den Cookiebestimmungenin der EU-Datenschutzrichtlinie für elektronische Kommunikation unterliegen, muss die Einwilligung zum Verwenden von Cookies eingeholt werden.“
„Bei nicht personalisierten Anzeigen werden „Kontextinformationen herangezogen werden, unter anderem auch der ungefähre Standort des Nutzers (auf Stadtebene).“