Darf ich auf meiner Webseite Analysen ohne Einwilligung der Besucher durchführen?

Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird.
Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden. Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer.

Bei der Einbindung von Elementen Dritter, z.B. Reichweiteanalyse-Tools oder Social-Media-Plugins, ist regelmäßig eine

Einwilligung in die konkrete Datenverarbeitung erforderlich. Eine ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer ist insbesondere erforderlich, wenn Dritten die Möglichkeit gegeben wird, Nutzungsverhalten zu analysieren oder wenn personenbezogene Daten an Dritte weitergegeben werden. Letzteres findet üblicherweise bei der Einbindung externer Elemente wie Social-Media-Plugins oder externer Reichweitenanalyse-Tools statt. Es ist auch wichtig zu prüfen, ob ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortung notwendig ist und ob eine Datenübertragung in Länder außerhalb der europäischen Union erfolgt und rechtmäßig ist.

Welche Cookies darf ich ohne Einwilligung nutzen?

Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine

seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Verantwortliche häufig
auf (vor-) vertragliche Maßnahmen Artikel 6 Absatz 1 lit. b DSGVO stützen. Dies ist z.B. bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet.

In anderen Fällen können sich Verantwortliche auf ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen.

Wenn die entgegenstehenden Belange der Nutzer in diesen Fällen nicht überwiegen, ist die Nutzung von Cookies nicht einwilligungsbedürftig. Weitere Informationen zu der durchzuführenden Interessenabwägung finden sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.

Für welche Cookies
und Tracking-Mechanismen brauche ich die Einwilligung der Nutzer?

Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) der Nutzer. Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, großen Online-Plattform-Betreibern und Werbenetzwerken. Aber auch der Betreiber selbst darf nicht beliebig personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.

 

Darf ich Elemente Dritter wie Like und Share Buttons in meine Website einbinden?

Bei der Nutzung von Diensten Dritter (z. B. Analysetools oder Social Plugins) kommt es häufig zu
Datenübermittlungen an Dritte. Eine solche Einbindung bedarf einer
Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO. Mit wenig Aufwand nutzbar sind datenschutzfreundliche Implementierungen von Like- und Share-Buttons, wenn sichergestellt ist, dass Informationen über das Nutzerverhalten ohne

Einwilligung des Nutzers nicht an Dritte weitergegeben und nicht websiteübergreifend zusammengeführt werden. Social-Media-Elemente sollten über eine Zwei-Klick-Lösung oder mit Hilfe datenschutzfreundlicher Einbett-Hilfen eingebunden werden. Bei einem Tracking über Website- oder Geräte- Grenzen hinweg ist die Einwilligung der Nutzer immer erforderlich.

 

Was sind die Anforderungen an die informierte, freiwillige, aktive und vorherige Einwilligung?

In der Einwilligung muss der Verarbeitungsvorgang klar und

deutlich beschrieben werden. Nutzer müssen ohne weiteres verstehen können, in was sie einwilligen.

Ein bloßer Hinweis „diese Seite verwendet Cookies um Ihr Surferlebnis zu verbessern“ oder „für

Webanalyse und Werbemaßnahmen“ ist nicht ausreichend sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden. Die
Einwilligung muss nicht für die Verwendung von Cookies

an sich, sondern für die Erhebung und Weitergabe personenbezogener

Daten eingeholt werden. Insbesondere muss genau und verständlich aufgelistet werden, an welche namentlich zu benennenden Dritten welche Daten weitergegeben werden, bzw. welche Dritten

Daten erheben oder empfangen (Empfänger) und zu welchem genauen Zweck dies
geschieht. Verfolgen Dritte eigene Zwecke, müssen auch diese beschrieben werden. Diese Informationen müssen klar und deutlich dargestellt werden und dürfen nicht verschleiert werden, auch nicht durch die Wahl der Überschrift. Nutzer müssen aktiv und freiwillig einwilligen (Opt-In). Die Zustimmung darf nicht vorausgewählt sein. Opt-Out-Verfahren oder bereits im Vorhinein angekreuzte Kästchen
reichen nicht aus („privacy by design“ und „privacy by default“). Die einzelnen
Empfänger sollten einzeln, bzw. nach Kategorien auswählbar sein. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben bzw. entsprechende Elemente nachgeladen werden.

Auch das bloße Nutzen einer Website oder einer App stellt keine rechtmäßige Einwilligung dar.

Freiwillig ist die Einwilligung nur, wenn die betroffene Person eine echte oder freie Wahl) hat und eine Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden. Eine Koppelung einer vertraglichen
Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung führt regelmäßig dazu, dass die Einwilligung nicht freiwillig und damit unwirksam ist.

Wie gestalte ich
Einwilligungs-Banner?

Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies), für die keine Einwilligung erforderlich ist, müssen nur in der Datenschutzerklärung dargestellt werden. „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. In einem solchen Fall ist ein Hinweis auf Cookies in der Datenschutzerklärung nicht ausreichend, sondern es müssen die oben genannten Anforderungen (siehe Frage 5) und die folgenden Vorgaben für die Einwilligung beachtet werden.

Notwendige Elemente:

1. Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“. Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/ Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.

2. Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?

3. Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig

4. Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.

5. Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.

6. Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.

7. Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.

Quelle: Der Landesbeauftragte für Datenschutz Baden-Württemberg hat in einem FAQ die Vorgaben der Datenschutzkommission konkretisiert:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf 

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf