I.) Was muss ich beim Betreiben einer Webseite mit Cookies beachten?
Zum Themenschwerpunkt Datenverarbeitung auf Webseiten hat die Datenschutzkonferenz (DSK) in ihrer neuesten Veröffentlichung Stellung bezogen. Der in der DSK verbundene Zusammenschluss aller Landesaufsichtsbehörden gibt darin unter anderem Empfehlungen für die beste Vorgehensweise bei der Analyse von Nutzerdaten und Nutzerverhalten ab.
Zurzeit wird die Analyse von Nutzerdaten noch von Analysetools wie etwa Google, Analytics, Remarketing, Facebook, Pixel u.a. vorgenommen, die dabei jedoch auch Daten und Cookies für eigene Zwecke erheben und verarbeiten. Dieser Aspekt des sogenannten ‚Webtrackings‘ wird von den Aufsichtsbehörden kritisch gesehen.
Da diese letztgenannten Analysen zur Erstellung eines Nutzerprofils aber der Einwilligung durch den Nutzer bedürfen, die bei dieser Vorgehensweise jedoch in der Regel nicht zuvor eingeholt wird, verstößt dieses Vorgehen gegen die Transparenzgrundsätze des Datenschutzrechts nach Ansicht der Aufsichtsbehörden der Länder.
Um bei der Analyse des Nutzerverhaltens einen solchen Verstoß gegen die Transparenzgrundsätze zu vermeiden, wird geraten, die Daten lokal zu erheben und auch auszuwerten, ohne einen Drittdienstleister dazwischen zu schalten, der die Nutzerdaten ohne deren Wissen für seine eigenen Interessen abgreift und weiterverwertet.
II.) Was darf ohne Einwilligung von Cookies des Nutzers beim Besuch einer Webseite passieren?
- Bereitstellung besonderer Funktionalitäten, wie etwa der Warenkorb-Funktion.
- Einbindung von externen Inhalten zur kosteneffizienten Gestaltung der Webseite.
- IT-Security-Maßnahmen, wie zum Beispiel das Speichern von Log-Dateien oder IP-Adressen, um Missbrauch oder Betrug nachverfolgen zu können.
- Statistische Analysen und Reichweitenmessungen.
- Optimierung des Webangebots durch Individualisierung und Wiedererkennung bezogen auf den jeweiligen Nutzer.
III.) Umsetzung
Bei der Umsetzung ist zu beachten, dass das Telemediengesetz (TMG), das die Anbringung der unterschiedlichen Cookie-Hinweise geregelt hat, nach Auffassung der Aufsichtsbehörden der Länder (DSK) nicht mehr anwendbar ist. Daher sind Hinweise auf Cookies, die nur mit einer Zustimmungsfunktion in Form des bloßen ‚OK-Buttons‘ versehen sind, nicht mehr statthaft.
Was tun?
Vielmehr müssen die Nutzer einer Webseite nun im Sinne des Art. 13 Datenschutzgrundverordnung (DSGVO) in den Datenschutzhinweisen aufgeklärt werden. Sobald eine Verarbeitung der personenbezogenen Nutzerdaten die nach der DSGVO angemessene Verarbeitung der Daten überschreitet, muss der Webseitenanbieter anstelle der Cookie-Hinweise eine Einwilligungsabfrage einstellen. Erst wenn diese vom Nutzer jeweils bestätigt wurde, darf die entsprechende Verwendung der Nutzerdaten aktiv geschaltet werden.
IV.) Wie kann man in diesem Zusammenhang Schadensersatzansprüche verhindern?
Bei Verstößen gegen die oben genannten Kriterien können gemäß Art. 82 DSGVO Schadensersatzansprüche auf die Unternehmen zukommen. Zum Beispiel können bei einem Hackerangriff oder Datenleck die Nutzerdaten an unberechtigte Personen weitergeleitet werden. Den Nutzern, deren Daten weitergeleitet wurden, stehen dann Schadensersatzansprüche gegen das Unternehmen zu. Aber auch eine Verwendung der Nutzerdaten ohne Rechtsgrundlage, wenn also wie oben beschrieben, keine Einwilligung in die Verwendungen der Nutzdaten von den Nutzern eingeholt wurde, kann einen Schadensersatzanspruch (der Nutzer, Betroffenen) nach Art. 82 DSGVO begründen.
Da damit zu rechnen ist, dass genau wegen dieser Verstöße von Nutzern vermehrt Schadensersatz gefordert werden wird, ist es umso wichtiger, es erst gar nicht zu einem solchen Verstoß kommen zu lassen. Dazu beachten Sie bitte unsere folgenden Tipps.
Im Falle eines solchen Schadensersatzanspruchs des Nutzers liegt die Beweislast beim Unternehmen. Es muss also darlegen können, nicht für das schadensauslösende Ereignis verantwortlich zu sein. Das Unternehmen muss folgendes darlegen können:
- den Nachweis, dass die IT auf dem neuesten Stand der Technik ist, sowie
- den Nachweis, dass die datenschutzrechtlichen Vorgaben eingehalten wurden.
Achten Sie als Unternehmen daher auf die Einhaltung obiger Punkte und halten Sie Ihre Datenverarbeitung regelmäßig auf dem neuesten Stand. Auch ist eine regelmäßige Überprüfung durch Ihren Datenschutzbeauftragten erforderlich.
Noch Fragen?
Wenn Sie zu diesem Thema weitergehende Fragen haben, freuen wir uns jederzeit über Ihre Nachricht. Unsere Anwälte beraten Sie gern!
