Google Analytics und ähnliche Dienste nur mit Einwilligung zulässig
Website-Inhalte von Drittanbietern
Binden Websites Dritt-Dienste ein, deren Anbieter personenbezogene Daten auch für eigene Zwecke nutzen, müssen sie dafür eine Einwilligung der Nutzerinnen und Nutzer einholen. Andernfalls ist der Einsatz dieser Dienste, zu denen zum Beispiel Google Analytics zählt, unzulässig. Darauf weist die Landesbeauftragte für den Datenschutz Niedersachsen aufgrund aktueller Beschwerden von Betroffenen hin.
Betreiber sollten ihre Websites umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss diese entweder einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der Datenverarbeitung eindeutig und informiert zustimmt.
Ein Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeutet, ist unzureichend. Dasselbe gilt, wenn die Einwilligung durch ein bereits aktiviertes Kästchen gegeben bzw. durch Entfernen des Häkchens widerrufen werden soll (Opt-out-Lösung). Vielmehr muss der Nutzer das Kästchen selbst aktiv anklicken (Opt-in-Lösung).
Dies ist so von der Datenschutz-Grundverordnung eindeutig vorgegeben und wurden durch das Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 noch einmal ausdrücklich bestätigt.
Im Frühjahr 2019 haben die Datenschutzaufsichtsbehörden des Bundes und der Länder die „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht. Diese geht detailliert darauf ein, unter welchen Bedingungen das Tracking von Website-Besucherinnen und -Besuchern zulässig ist.
Die Orientierungshilfe gilt grundsätzlich für sämtliche Datenverarbeitungen durch Produkte und Dienste, welche die Betreiber von Webseiten und Apps nutzen können – insbesondere auch zur Webseiten-Analyse. Welche Vorgaben eine Einwilligung erfüllen muss, erläutern zudem die Leitlinien des Europäischen Datenschutzausschusses zur Einwilligung sowie das genannte Urteil des EuGH.
Ältere Veröffentlichungen der Aufsichtsbehörden gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse geändert haben.
Die Datenschutzaufsichtsbehörden in Deutschland erhalten in diesem Zusammenhang vermehrt Beschwerden und Hinweise. Sie werden dies zum Anlass nehmen, entsprechende Kontrollverfahren einzuleiten und etwaige Verstöße gegen die Datenschutz-Grundverordnung zu ahnden.
Quelle: Pressemeldung Die Landesbeauftragte für den Datenschutz Niedersachsen