Google Analytics, Cookies und die DSGVO – Worauf Du jetzt achten solltest

Vor ein paar Jahren haben wir einen Artikel über Google Analytics und die DGSVO veröffentlicht. Viele Erkenntnisse aus diesem sind zwar auch heute noch gültig, jedoch sind seitdem auch einige Dinge passiert. 

In diesem Blogartikel geht es um die fünf wichtigsten Entwicklungen in der Cookie-Landschaft, die sich direkt auf die Nutzung von Google Analytics und anderen Tracking-Plattformen auswirkt.

Inhaltsverzeichnis

1. Die Regel der zweifache Zustimmung
2. Internationale Datentransfers
3. Das (nicht so neue) TTDSG
4. Europäische Cookie-Banner-Richtlinien 
5. Server-side Tagging
6. Fazit

1. Die Regel der zweifachen Zustimmung

Entgegen dem Verständnis vieler zielt Art. 5 (3) der e-Privacy Richtlinie (Europäische Cookie Vorschrift) nicht nur auf Cookies ab. Es betrifft auch die Speicherung von Informationen und/oder den Zugriff auf Informationen, die bereits in einem Endgerät gespeichert sind (z.B. Computer oder Smartphone).

Cookies sind nur eine Möglichkeit, in einem Endgerät gespeicherte Informationen zu speichern und/oder auf sie zuzugreifen. Andere Beispiele sind die Installation von Software oder der Zugriff auf die in einem mobilen Gerät gespeicherten Fotos oder Kontakte.

Eigentlich ist die Speicherung von Informationen und/oder der Zugriff auf Informationen, die bereits in einem Endgerät gespeichert sind, nur erlaubt, wenn User:innen vorher ihre Zustimmung geben. In der Praxis werden jedoch zwei Zustimmungen benötigt. Denn das Zustimmungsmandat, das in der europäischen Cookie-Verordnung verankert ist, bezieht sich auf die Speicherung von Informationen/oder der Zugriff auf Informationen, die in einem Endgerät gespeichert sind. Jedoch nicht auf die anschließenden Verarbeitungsprozesse. 

Für diese nachfolgenden Verarbeitungsprozesse und sobald persönliche Daten involviert sind, wird eine andere Zustimmung benötigt: Die DSGVO Zustimmung. Diese zwei Zustimmungsverordnungen, wurden vom europäischen Datenschutzausschuss in den Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen festgelegt. Diese besagen:

«Soweit es sich bei den auf dem Endgerät des Nutzers gespeicherten Informationen um personenbezogene Daten handelt, hat Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation in Bezug auf die Tätigkeit der Speicherung oder des Zugriffs auf diese Informationen Vorrang vor Artikel 6 DSGVO. Jegliche Verarbeitungsvorgänge personenbezogener Daten, die im Anschluss an die vorgenannten Verarbeitungsvorgänge erfolgen, einschließlich der Verarbeitung personenbezogener Daten, die durch den Zugriff auf Informationen im Endgerät gewonnen werden, bedürfen einer Rechtsgrundlage gemäß Artikel 6 DSGVO, um rechtmäßig zu sein.

Da der Verantwortliche, der eine Einwilligung zur Speicherung oder zum Zugriff auf Informationen gemäß Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation einholen will, die betroffene Person dabei über alle Zwecke der Verarbeitung informieren muss, einschließlich jeglicher Verarbeitung, die im Anschluss an die vorgenannten Verarbeitungsvorgänge erfolgt (d. h. die „nachfolgende Verarbeitung“), ist eine Einwilligung gemäß Artikel 6 DSGVO im Allgemeinen die am besten geeignete Rechtsgrundlage, um eine Verarbeitung personenbezogener Daten im Anschluss an diese Vorgänge zu erfassen (soweit der Zweck der anschließenden Verarbeitung von der Einwilligung der betroffenen Person erfasst wird, siehe Randnummern 53 und 54 der vorliegenden Leitlinien). Die Einwilligung wird daher wahrscheinlich sowohl für die Speicherung und den Zugriff auf bereits gespeicherte Informationen als auch für die nachfolgende Verarbeitung personenbezogener Daten die Rechtsgrundlage bilden.».

Bedeutet die zweifache Zustimmungs-Regel, dass Webseitenbetreiber:innen und andere Einrichtungen, die Cookies nutzen, User:innen zweimal fragen müssen? 

Nicht unbedingt. In der Stellungnahme 02/2013 zu Apps auf intelligenten Endgeräten stellte die alte Artikel-29-Arbeitsgruppe fest, dass beide Zustimmungen gleichzeitig abgefragt werden können. Die Stellungnahme besagt:

«Beide Anforderungen gelten gleichzeitig (mit jeweils unterschiedlicher Rechtsgrundlage). Außerdem muss die Einwilligung in beiden Fällen ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgen (nach Artikel 2 Buchstabe h der Datenschutzrichtlinie). Daher können beide Einwilligungen in der Praxis gemeinsam eingeholt werden, entweder während der Installation oder bevor die App mit der Erfassung personenbezogener Daten vom Gerät beginnt; Voraussetzung ist allerdings, dass der Nutzer unmissverständlich darüber informiert wird, wofür er seine Einwilligung erteilt.».

Kurz gesagt: Die beiden verschiedenen Zustimmungen sind nötig, wenn Cookies genutzt werden und persönliche Daten involviert sind. Diese zweifache Zustimmungs-Regel wird definitiv bleiben, vor allem in Anbetracht der Tatsache, dass der Wortlaut der vorgeschlagenen Datenschutzverordnung für elektronische Kommunikation die Zustimmung auch auf die in der geltenden europäischen Cookie-Verordnung beschriebenen Verarbeitungen beschränkt.

Kostenloses E-Book: DSGVO Guide

Sammelt Analytics personenbezogene Daten oder nicht? Und was bedeutet das für Unternehmen, die Analytics nutzen? Dieses kostenlose E-Book beantwortet die wichtigsten Fragen.

2. Internationale Datentransfers

Einen Monat nach unserem alten Artikel und genau wie es schon mit den Safe Harbour Principles passiert ist, wurde das sog. Privacy Shield vom Gerichtshof der Europäischen Union gekippt.

Die Aufhebung des Privacy Shields hatte zur Folge, dass die Verantwortlichen für die Datenverarbeitung dieses nicht mehr als Blankoscheck für die Übermittlung persönlicher Daten an die Vereinigten Staaten nutzen konnten. Deshalb begannen viele der Verantwortlichen die sog. Standarddatenschutzklauseln der Europäischen Kommission zu nutzen, um Daten nach Amerika zu übermitteln. 

Wie der Gerichtshof der Europäischen Union in der Entscheidung zur Aufhebung des Privacy Shield jedoch feststellte, reicht die Verwendung von Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union möglicherweise nicht aus. Vor allem, wenn diese Klauseln nicht in der Lage sind, den von der Datenschutz-Grundverordnung gebotenen Schutz zu gewährleisten.

Die Unzulänglichkeit der Standarddatenschutzklauseln veranlasste den europäischen Datenschutzausschuss zur Verabschiedung seiner Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten. Diese Empfehlungen enthalten eine Liste an Maßnahmen, die Verantwortliche nutzen können, um die Gültigkeit von Datentransfers abzusichern. Diese Maßnahmen beinhalten:

• Verschlüsselung
• Pseudonymisierung
• Geteilte oder mehrseitige Bearbeitung
• Zusätzliche vertragliche Maßnahmen

Ähnlich wie beim Privacy Shield wurde die Verwendung zusätzlicher Maßnahmen zur Ergänzung von Standarddatenschutzklauseln von mehreren Datenschutzbehörden in ganz Europa geprüft. 

Leider kamen die Behörden zu dem Schluss, dass die, von den Verantwortlichen ergriffenen zusätzlichen Maßnahmen nicht ausreichen, um den von der DSGVO gebotenen Schutz zu gewährleisten, insbesondere wenn die Daten von amerikanischen Auftragsverarbeitern verarbeitet und/oder in die Vereinigten Staaten übermittelt werden.

Glücklicherweise nähert sich dieses Vakuum, das durch die Annullierung des Privacy Shields entstand, dem Ende. Die Europäische Union und die US-Regierung arbeiten schon längst an einer neuen Vereinbarung, um Datentransfers zwischen beiden Gebieten zu vereinfachen.

Diese neue Vereinbarung trägt den Namen EU-US Data Privacy Framework, muss aber noch von der Europäischen Kommission übernommen werden. Mit etwas Glück passiert dies noch in diesem Jahr.

Das heißt, dass Verantwortliche nicht mehr die Standarddatenschutzklauseln, zusätzliche Maßnahmen oder eine der in der Datenschutz-Grundverordnung genannten Ausnahmeregelungen für die Übermittlung von Daten in die Vereinigten Staaten nutzen müssen.

3. Das (nicht so neue) TTDSG

Die deutsche Cookie-Verordnung war schon immer recht umstritten. Jedoch wurden die Probleme, die durch die alten Regeln entstanden sind, mit dem (nicht so neuen) Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) gelöst. 

Genauer gesagt heißt das: Das TTDSG extrahiert die Datenschutzregeln, die vorher im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) verankert waren. Dazu gehören die Regeln über Verkehrs- und Standortdaten, Einzelverbindungsnachweise und Teilnehmerverzeichnisse.

In Bezug auf Cookies, das TTDSG hebt die umstrittenen Regelungen des TMG (insbesondere die §§ 12 bis 15) auf und ersetzt sie durch den wesentlich klareren § 25.

Das letztere repliziert die Regeln, die in Art. 5 (3) e-Privacy Richtlinie etabliert wurden und geht damit in die gleiche Richtung wie Frankreich, Spanien oder Irland.

Obwohl § 25 des TTDSG deutliche transparenter ist als sein Vorgänger, gibt es dennoch Spielraum zur Interpretation. Um Webseitenbetreiber:innen und anderen digitalen Service Providern zu helfen, die neue Regel richtig umzusetzen, haben viele Datenschutzbehörden in Deutschland umfassende Leitlinien erlassen. Diese beinhalten:

• Die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 der Datenschutzkonferenz (DSK).
• Die FAQ Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg.
• Die Erläuterungen zum neuen Telekommunikation-TelemedienDatenschutz-Gesetz (TTDSG) der Bayerischen Landesbeauftragten für den Datenschutz.

4. Europäische Cookie-Banner-Richtlinien

Anders als die alte Artikel-29-Arbeitsgruppe, der europäische Datenschutzausschuss hat bis jetzt noch keine Richtlinien zur europäischen Cookie-Regelung ausgestellt. Jedoch hat das europäische Gremium erst vor kurzem einen Bericht über die Arbeit seiner Task Force „Cookie-Banner“ veröffentlicht.

Der Bericht gibt wertvolle Einblicke im Hinblick auf weit-genutzte Praktiken von Webseiten Betreiber:innen, wenn diese ihr Cookie-Banner einrichten. Weitere Inhalte des Berichts:

• Eine Bestätigung, dass der One-Stop-Shop-Mechanismus der Datenschutz-Grundverordnung nicht für Fälle, die die europäische Cookie-Verordnung betreffen, gilt.
• Bereits vor-angeklickte Boxen sind keine gültige Methode, um die Nutzerzustimmung einzusammeln. Dies wurde bereits vom Europäischen Gerichtshof der EU und der alten Artikel-29-Arbeitsgruppe bestätigt.
• Die Option der Cookie-Ablehnung für User:innen in einem Linktext ist ohne visuelle Hervorhebung nicht gültig.
• Es gibt keine Aussagen über trügerische Farben von Buttons/Feldern und Kontrasten, diese Praktiken müssen von Fall zu Fall analysiert werden. Ist der Kontrast zwischen Text und Hintergrund des Buttons so minimal, dass der Text unlesbar wird, ist dies laut Bericht irreführend.
• Der Bericht lehnt eine eingehende Analyse der Praxis ab, die darin besteht, Zustimmung und berechtigtes Interesse zu vermischen, bestätigt jedoch, dass ein berechtigtes Interesse die Zustimmung als Rechtsgrundlage für die Speicherung von und/oder den Zugang zu bereits in einem Endgerät gespeicherten Informationen nicht ersetzen kann.
• Besagt, dass der Widerruf mit Symbolen nicht die einzige mögliche und gültige Art ist, die Zustimmung zu widerrufen.

Viele, wenn nicht sogar alle der analysierten Praktiken in diesem Report werden als sog. “dunkle Muster” oder “Nudging”, bezeichnet. Diese sind nicht mehr als trügerische Praktiken, die Nutzende dazu bringen sollen, gegen ihr eigenes Interesse zu handeln. Im Falle der Cookies also diese zu akzeptieren. Die Nutzung dieser Muster in Cookie Bannern wurde bereits von verschiedenen Datenschutzbeauftragten in Europa analysiert.

Dazu gehört die Landesbeauftragte für den Datenschutz Niedersachsen (hier das zugehörige Dokument: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer) und die Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (siehe: FAQ Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps). 

Die wissenschaftliche Literatur hat sich ebenfalls schon intensiv mit diesen Mustern in Cookie Bannern auseinandergesetzt, wie die Studie von Graßl et al. mit dem Namen “Dark and bright patterns in cookie consent requests”.

5. Server-side Tagging

Vor ein paar Jahren wurde Server-side Tagging von Google eingeführt. Die Mechanismen sind einfach: Anstatt Daten direkt auf eine Web-Tracking-Plattform zu senden, werden diese vorher auf einen Proxy-Server geleitet und dort verarbeitet. Nach der Verarbeitung werden die Daten auf die Web-Tracking-Plattform geleitet, für die sie ursprünglich bestimmt waren.

Obwohl Server-side Tagging in vielen Fällen nützlich sein kann, gibt es einige Missverständnisse bzgl. der Interaktion mit der europäischen Cookie-Verordnung. Die gefährlichste ist, dass die Nutzung von Server-side-Tagging die Notwendigkeit ausschließt, die genannte Verordnung einzuhalten. Diese Vorstellung ist jedoch nicht zutreffend: Solange Informationen in einem Endgerät gespeichert und/oder von dort abgerufen werden (auch wenn sie dann an einen Proxy-Server übertragen werden), gilt die europäische Cookie-Verordnung.

Server-side Tagging kann ein sehr nützliches Mittel sein, um internationale Datentransfers durchzuführen. Denn die meisten Daten von User:innen, die im Internet gesammelt werden, werden auf eine Web-Tracking-Plattform geschickt, dessen Server sich außerhalb der EU befinden. Jedoch ist das alleinige Verlassen auf Standarddatenschutzklauseln, um Daten in andere Länder wie die USA zu leiten, keine tragfähige Option.

Server-side Tagging kann dieses Problem lösen, indem die Daten so verarbeitet werden, dass sie von der Empfängerplattform nicht zum Herausfiltern einzelner Personen verwendet werden können. Dies bedeutet jedoch nicht, dass das Server-side Tagging uneingeschränkt genutzt werden kann.

Der CNIL akzeptiert, dass Server-side Tagging als zusätzliche Maßnahme zu den Standarddatenschutzklauseln genutzt wird. Jedoch nur, wenn mindestens sieben dieser Anforderungen erfüllt sind:

1. IP-Adressen können nicht auf die Web-Tracking-Plattform übermittelt werden
2. Nutzeridentifikationen müssen im Proxy-Server ersetzt werden, bevor sie weitergeleitet werden.
3. Die Informationen über die verweisende Website (Referrer) müssen gelöscht werden.
4. Alle in den gesammelten URLs enthaltenen Parameter (z. B. UTM-Parameter) müssen gelöscht werden.
5. Ein Fingerabdruck des Geräts kann nicht erstellt werden.
6. Es darf keine Sammlung von Identifikatoren zwischen den Standorten geben.
7. Daten, die zu einer Re-Identifizierung führen können, müssen gelöscht werden.

Kostenloses E-Book: DSGVO Guide

Sammelt Analytics personenbezogene Daten oder nicht? Und was bedeutet das für Unternehmen, die Analytics nutzen? Dieses kostenlose E-Book beantwortet die wichtigsten Fragen.

6. Fazit

Wie wir gerade gesehen haben, sind die jüngsten Entwicklungen in der Cookie-Landschaft weit davon entfernt, die Bedeutung der europäischen Cookie-Verordnung und ihrer nationalen Entsprechungen zu schmälern. Ganz im Gegenteil: Techniken wie das Server-seitige Tagging schließen ihre Anwendung nicht aus, solange Informationen in einem Endgerät gespeichert und/oder von dort abgerufen werden. Nicht einmal das Auslaufen der Third-Party Cookies wird die Europäische Cookie Verordnung beenden, aber das ist ein Thema für einen anderen Tag.