Rechtskonforme Webanalyse ohne Cookie-Banner

Zum diesem Thema haben wir uns zwei Experten von etracker eingeladen.

Video Transkription

Ja, was habe ich euch mitgebracht? Ganz kurz, ich werde zunächst auf die rechtlichen Rahmenbedingungen eingehen, insbesondere auf das, was sich gerade eben erst geändert hat, nämlich EuGH- und BGH-Urteile und welche Folgen das auch für den rechtskonformen Einsatz insbesondere von Web Analytics Systemen hat. Und wie man, auch ohne Cookie-Banner und ohne Consent Manager, Web Analytics rechtskonform betreiben kann. Das ist heute unser Kernthema. Wenn man das nicht so richtig sauber hinstellt, möchte ich auch nochmal einen kleinen Ausflug machen, was einem da so passieren kann.

Im zweiten Teil wechseln wir dann die Präsentation und ich beantworte dann gerne eure Fragen im Chat, während Olaf schon präsentiert, geht er auf die Praxis ein, zum Beispiel wie das eigentlich mit cookielosem Sessiontracking geht, was das eigentlich ist und welche Unterschiede es da gibt. Oder auch, wie man vielleicht dennoch Cookies einsetzen kann und welche Vorteile man daraus generiert, wenn man sich jetzt überlegt, welches System man in der Zukunft langfristig einsetzen will, wie so eine Migration funktioniert und welche Kriterien es für eine günstige Lösungsauswahl gibt. Das sind so die Themen, mit denen wir uns beschäftigen.

Bevor ich jetzt starte, habe ich ein kleines Experiment mit euch vor. Denn die Herausforderung für mich als Referent ist immer der ganz unterschiedliche Wissensstand bei euch als Zuhörern. Den versuche ich jetzt mal auf das gleiche Niveau zu heben. Dazu habe ich jemanden, den ihr wahrscheinlich kennt, hinzugebeten, Agent Jay von den Men in Black.

Er hat ein kleines Gerät mitgebracht, das nennt sich das Blitzdings und das hat die tolle Eigenschaft, wenn ihr da gleich draufguckt, das löscht alle Erinnerungen. Soweit wollen wir heute nicht gehen, aber ich bitte euch jetzt euch zu konzentrieren und auf den Bildschirm zu achten. Bitte vergessen Sie alles. Und ich sage alles über rechtskonforme Webanalyse. Denn alles, was ihr bisher gehört habt, ist falsch. Es gibt da nämlich ganz viele neue Regelungen und auf die will ich jetzt eingehen. Ich hoffe, das hat geklappt. Vielen Dank Agent Jay für das kleine Intro.

Jetzt ist alles gelöscht, was ihr vorher wusstet und wir haben eine gute Ausgangsposition. Wie sah das denn bisher in der Praxis des Datenschutzes aus? Da habt ihr wahrscheinlich das gleiche Bild vor Augen, was ich jetzt hier auf den Bildschirm geworfen habe; ein ziemliches Chaos. Ganz, ganz viele verschiedene Regelungen, was man genau machen soll, weiß man eigentlich nicht. Woran liegt das? Gucken wir mal welche Regelungen es da überhaupt gibt.

Aktuelle Rechts­spre­chung - BGH- und EuGH-Urteile

DSGVO

Zunächst gibt es da die Datenschutzgrundverordnung DSGVO. Die ist jetzt seit Mai 2018 in Kraft und regelt den Umgang mit personenbezogenen Daten. Jetzt muss man hier nochmal einen Punkt machen und ganz klar sagen, dass Personenbezogene Daten nicht nur Daten sind, wo dann eben Christian Bennefeld, oder Timo Heinrich drinnen vorkommt, sondern das ist ganz abstrakt und dieser Begriff der personenbezogenen Daten ist sehr weit gefasst. Das können eben auch ganz viele Attribute sein, die ich über eine Person sammele, über die ich zu einem späteren Zeitpunkt erst den Personenbezug herstellen kann. Auch dann sind diese Attribute schon per se personenbezogene Daten. Darauf muss man achten, gucken wir auch gleich noch genauer darauf.

Die Datenschutzgrundverordnung, für die Techniker unter euch und ich komme wie gesagt aus der Security, ist aufgebaut wie eine gute Firewall. Bei einer Firewall ist es so, alles, was nicht explizit erlaubt ist, ist verboten. Genauso ist es bei der DSGVO. Das heißt erstmal ist jegliche Datenverarbeiten von personenbezogenen Daten verboten, außer man findet dafür einen Rechtsgrund, der Fachmann spricht hier von einem Erlaubnistatbestand in der DSGVO. Die sind alle in Artikel 6 Absatz 1 abgelegt, wer da mal nachlesen möchte. Auch ganz wichtig ist, dass die DSGVO ein sogenanntes Lex generalis, ein ganz allgemeines, Gesetz ist. Das heißt sie ist völlig technikneutral. Wer jetzt den Cookieparagraphen in der DSGVO sucht, der wird ihn nicht finden.

ePrivacy Verordnung

Der findet ihn aber in der ePrivacy-Verordnung. Das ist eine Verordnung, die sollte eigentlich parallel und zeitgleich mit der DSGVO in Kraft treten. Da steht im Detail drinnen, wie mit Cookies, Fingerprinting, Tracking und solchen Dingen umgegangen wird, aber sie ist immer noch nicht verabschiedet. Ob und wann sie tatsächlich in Kraft tritt weiß niemand. Also daran können wir uns auch nicht halten.

Orien­tie­rungs­hilfen

Dann gibt es Orientierungshilfen, das habt ihr sicherlich schon mal gehört, nämlich der Aufsichtsbehörden, also der Datenschutzaufsichtsbehörden. Die haben Vorgaben gemacht. Und diese Vorgaben, das ist einmal in Deutschland die DSK, die Datenschutzkonferenz, denn Datenschutz ist föderal organisiert. Jedes Bundesland hat seinen eigenen Datenschutzbeauftragten und um das Ganze zu harmonisieren und damit kein Chaos innerhalb der Bundesrepublik entsteht, treffen die sich und beschließen eben aktuelle Rechtslagen und entsprechend auch diese Orientierungshilfen.

Das Gleiche macht dasEuropean Data Protection Board auf der europäischen Ebene und harmonisiert die einzelnen Dinge zwischen den europäischen Ländern. Sowohl die deutschen, als auch die europäischen Behörden haben hier Orientierungshilfen herausgegeben, wie man sich im Bereich Webtracking eigentlich verhalten soll, aber diese Orientierungshilfen sind eben Ableitungen und Interpretationen aus der DSGVO, wo jemand vielleicht auch anderer Ansicht sein kann und sagt: "Ich glaube nicht, was die Aufsichtsbehörden da sagen.". Ob das eine gute Idee ist, dass muss sich jeder selbst überlegen, denn die Aufsichtsbehörden sind ja auch diejenigen, die uns prüfen und im Zweifelsfall Verwarnungen, oder Bußgelder aussprechen können.

Die Aufsichtsbehörden haben bereits im vergangenen Jahr vor rund zehn Monaten sich erstmals in der Geschichte überhaupt konkret zu einem Tool geäußert, nämlich im Besonderen zu Google Analytics, weil es eben auf der einen Seite eine sehr große Verbreitung hat und die Aufsichtsbehörden auf der anderen Seite überhaupt nicht glücklich damit sind. Bereits im November letzten Jahres, ich habe hier nur einen kleinen Auszug mitgebracht des Bundesdatenschutzbeauftragten, haben die ganz klar gesagt: "Google Analytics erfordert ab sofort eine Einwilligung per Vorschaltseite.".

Der bisherige Erlaubnistatbestand, der bisherige Rechtsgrund, nämlich das berechtigte Interesse, wo man ohne einen Cookiehinweis auch tracken konnte, das ist nicht mehr möglich, sagen die Aufsichtsbehörden. Und sie machen das gleiche wie Agent Jay, die blitzdingsen uns und sagen: "Bitte alles vergessen, was vor dem November passiert ist. Alle Gestaltungsmöglichkeiten sind nicht mehr zulässig.". Und sie haben vor kurzem erst eine neue Orientierungshilfe speziell für Google Analytics herausgegeben. Das war aber vor den Urteilen auf die ich jetzt zu sprechen kommen möchte, denn die sind mittlerweile schon wieder teilweise revidiert worden.

Abschließende Klarheit bringt jetzt ganz neu seit 28.05 zum Thema Cookies der BGH. Hier geht es eigentlich um eine Rechtsprechung, die vom BGH kam, dem EuGH vorgelegt worden ist und dann von diesem zurückgegeben wurde, nachdem er sein Urteil zum Fall Plant49 gefällt hat. Darauf will ich gar nicht im Detail eingehen, nur das Urteil möchte ich hier erwähnen.

"Cookie-Urteil" (28.05.2020)

Die haben abschließend entschieden, dass immer dann, wenn Cookies zur Erstellung von Nutzerprofilen verwendet werden, man die informierte, freiwillige Einwilligung des Nutzers benötigt. Ganz, ganz wichtig ist, dass es eine abschließende Entscheidung ist. Das heißt, dass sie nicht weiter in Revision gebracht werden kann. Das ist nicht möglich. Insofern verhält sich jetzt dieser Urteilsspruch genauso wie ein Gesetz. Er ist justiziabel und damit dieses Recht auch einklagbar. Wichtig ist auch, so hat der BGH geurteilt, dass voreingestellte Ankreuzkästchen nicht mehr erlaubt sind und auch lange Abwähllisten, wo man dann einzeln nein sagen muss. Der BGH hat sich auch zum Thema Personenbezug genau geäußert und hat gesagt, dass es überhaupt nicht darauf ankommt, ob mit diesen Profildaten, die da gesammelt werden, ein Personenbezug herstellbar ist, oder nicht. Es gilt dieses Urteil. Und, weil das Urteil, beziehungsweise die Klage schon recht alt war, noch zu Zeiten des BDSG gestellt worden ist, hat der BGH nochmal abschließend klargestellt, dass dieses Urteil genauso Anwendung findet auf die neue Rechtsnorm der DSGVO. Es ist damit heute bindend und einklagbar. Ein ganz neues und wichtiges Urteil.

Schrems II & Privacy Shield (16.07.20)

Jetzt gibt es sogar ein noch neueres Urteil, da möchte ich auch noch darauf eingehen, nämlich Schrems II und das sogenannte Privacy Shield. Davon habt ihr vielleicht schon gehört. Der EuGH hat da auch abschließend zu einer Klage von Max Schrem geurteilt. Dieser ist ein Datenschutzaktivist aus Österreich und hatte Facebook angegriffen. Er hat gesagt: "Die bestehende Rechtsgrundlage für den Export meiner Daten in die USA von Facebook unter dem Privacy Shield, das stelle ich mal in Frage.". Jetzt muss man dazu wissen, dasPrivacy Shield ist der Nachfolger eines Rechtsabkommens namens Safe Harbor, um sicherzustellen, dass Daten, die eben in ein Drittland transferiert werden, das gleiche Datenschutznieveau haben, wie in der EU. Das ist schon vom EuGH gekippt worden. Zum Nachfolger haben viele gesagt: "Alter Wein in neuen Schläuchen. Privacy Shield wird auch kippen.". Und genau so ist es gekommen. Der EuGH hat am 16.07 entschieden, dass Privacy Shield ab sofort ungültig ist.

Er hat auch schon wieder ein Stück vorweggegriffen, weil er nämlich auch sieht, dass das nächste Abkommen, was kommen könnte, nämlich die sogenannten Standardvertragsklauseln, auch wieder fallen wird. Die Standardvertragsklauseln sind auch wieder alter Wein in neuen Schläuchen, es ist genau das gleiche. Ob das Safe Harbor heißt, Privacy Shield, oder Standardvertragsklauseln, der EuGH sagt ganz klar, dass die keinen angemessenen Schutz bieten.

Was ist eigentlich das Problem? Das Problem ist, dass immer dann, wenn ich Daten exportiere, muss ich eben sicherstellen, dass in dem Zielland das Gleiche Datenschutzniveau herrscht und in den USA gibt es die Gesetze FISA und Cloud Act. FISA steht für Foreign Intelligence Surveillance Act, also ein Rechtsakt, mit dem man Ausländer von den USA heraus beobachten darf. Cloud Act ist etwas Ähnliches. Damit können sie im Prinzip auf alles zugreifen, was von amerikanischen Unternehmen gespeichert wird. Die Konsequenz davon ist, dass jeglicher personenbezogene Datenexport in die USA einer Rechtsgrundlage entbehrt und damit illegal ist. Die DSGVO ist wie gesagt ein Verbotsgesetz. Jetzt kann man sich überlegen, ob das überhaupt für Websites gilt. Wir gucken mal, ob das Urteil für Websites überhaupt anwendbar ist.

Die Folge aus Schrems II für Websites

Da wisst ihr vielleicht, IP Adressen, das hat der EuGH auch entschieden und der BGH später nochmal bestätigt, sind stets personenbezogene Daten, auch, wenn es dynamische IP Adressen sind. Wenn man jetzt Packs, Pixels, Script, oder Ähnliches in die eigene Website einbaut, dann passiert technisch immer eines: Die IP Adresse des jeweiligen Nutzers, der sich auf eurer Seite bewegt, wird automatisch an die Dienstanbieter geschickt und so gelangen eben personenbezogene Daten in die USA. Zusätzlich, das muss man auch nochmal sagen, besteht eben auch die Möglichkeit über IDs diese Attribute von denen ich am Anfang gesprochen habe über viele Websites hinweg zu sammeln und auch darüber ist ein Personenbezug herstellbar. Insofern haben wir hier ganz klar personenbezogene Daten. Das Urteil ist anwendbar und sogar verpflichtend einzuhalten. Die Herausforderung, die wir jetzt alle haben ist, dass viele unserer geliebten Dienste in den USA sitzen. Zum Beispiel sind hier Kartendienste, Schriftarten, Bilder, oder der Likebutton, Twitternachrichten zu nennen. Aber auch Analytics und Conversion Pixel, die ja praktisch auf jeder Seite heute irgendwo vorhanden sind. Amerikanische Anbieter erhalten damit personenbezogene Daten ohne eine Rechtsgrundlage und das Ganze ist ab sofort illegal, da sind sich alle Juristen einig. Wie kriegt man das jetzt hin? Die erste Möglichkeit ist und das ist auch das, was die Aufsichtsbehörden aktuell empfehlen, zu prüfen, ob man nicht auf die amerikanischen Dienste verzichten kann und alternativ europäische Unternehmen verwendet. Die andere Möglichkeit und das ist eine kleine Krücke muss ich dazu sagen, ist die Einwilligung als Ausnahmeregelung. Man kann den Nutzer hier bitten, wenn man ihn entsprechend aufklärt, seine Einwilligung für diesen Datenexport zu erteilen. Welche Pflichten damit verbunden sind, da kommen wir sofort darauf.

Das Fazit aus den Urteilen, ich mache es ganz kurz: Wenn man Cookies setzt, oder wenn Daten in die USA exportiert werde, dann ist die Einwilligung notwendig. Ganz wichtig ist hier, wenn Daten in die USA exportiert werden, dann muss ich eben auf die besonderen Risiken hinweisen. Das heißt aufzeigen, dass dort ein anderes Schutzniveau herrscht und die Behörden zugreifen können und ich eben sogar potentiell mit Sanktionen rechnen muss.

Wie muss eine rechtskonforme Einwilligung aussehen?

Dazu hat das European Data Protection Board eine Leitlinie herausgegeben, die will ich jetzt nicht in Gänze diskutieren, ich habe euch die vier wichtigsten Punkte für eine rechtskonforme Einwilligung mitgebracht.

1. Einwilligung für jeden Zweck einzeln

Das heißt ich habe ja unterschiedliche Zwecke, wenn ich Daten verarbeite. Beispielsweise den Zweck der Websiteoptimierung für meine Website, ein weiterer Zweck wäre das Bewerben der Kunden, das Retargeting und es kann noch viele andere Zwecke geben. Für jeden dieser Zwecke muss ich die Einwilligung einholen und so eine Einwilligung, wie wir sie hier zum Beispiel bei Otto sehen, mit einem pauschalen Ok Button in alles einzuwilligen, das ist eben nicht in Ordnung. Es muss so aussehen, wie hier bei der Lufthansa dargestellt, dass ich eben die einzelnen Kategorien von Zwecken habe, in die ich entsprechend einwilligen kann.

2. Aktive Einwilligung ist erforderlich

Der zweite Punkt, den ich aufgreifen will, ist das, was der BGH schon bestätigt hat, nämlich die aktive Einwilligung ist erforderlich. Ich kann also nicht hingehen und eine implizite, oder konkludente wie der Fachmann sagt, Einwilligung annehmen, wie es häufig noch auf verschiedenen Websites zu sehen ist. Durch Weitersurfen akzeptiert man die Datenschutzbedingungen, das ist keine Einwilligung und damit nicht rechtsgültig.

3. Störungs- & zwangsfreie Einwilligung

Der dritte Punkt ist die störungs- und zwangsfreie Einwilligung. Das heißt ist kann nicht hingehen und sagen: "Du kommst hier nur auf diese Website, wenn du die Datenschutzbedingungen akzeptierst.", oder wenn ich den Schließenbutton verstecke. Ich war vorgestern auf der Website von Flixbus und habe diesen Screenshot gemacht, weil ich ein bisschen enttäuscht war. Vor allem, wenn der Satz heißt: "Wir respektieren deine Privatsphäre.". Da kommt man nicht daran vorbei an diesem Banner, ohne dass man auf akzeptieren klickt. So sollte man es eben nicht machen.

4. Widerruf der Einwilligung

Der letzte Punkt der Leitlinien, auf den ich eingehen möchte, ist der Widerruf einer Einwilligung. Dieser muss genauso einfach sein, wie die Einwilligung selbst. Das heißt, wenn ich einen Einwilligungsbutton habe, muss ich auf der anderen Seite auch die Möglichkeit bieten diese Einwilligung zu widerrufen. Und, das ist auch ganz wichtig, wenn der Nutzer seine Einwilligung gegeben hat, muss er die Möglichkeit haben zu einem späteren Zeitpunkt diese Ablehnung so einfach wie auch die Einwilligung zu widerrufen. Deswegen sieht man heute häufig auf der einen oder anderen Website ein Icon, mit dem man eben diese Einstellungen und Einwilligungen entscheiden kann, auch, wenn man sich schon vorher entschieden hat.

Wenn man sich das jetzt alles so anguckt und das alles zusammennimmt, also die DSGVO, die BGH Entscheidungen, Privacy Shield und alles andere, dann stellt man sich ja die Frage: "Wie muss denn jetzt so ein Consent Banner aussehen?". Und Timo hatte ja am Anfang schon die Frage gestellt: "Wer setzt denn so einen Consent Manager ein?". Hier muss ich den Hinweis geben, dass nicht jede Einwilligung, die über eine Consent Manager Plattform eingeholt wird auch per se rechtskonform ist. Denn es kommt sehr stark darauf an, wie ihr diese Consent Management Plattform konfiguriert. Und wir gucken uns jetzt mal an, wie man es gut macht und wie man es weniger gut macht.

Das erste haben wir schon gesehen, durch Weitersurfen automatisch zustimmen hat nichts mit einer aktiven Einwilligung zu tun. Das ist absolut unwirksam. Der zweite Punkt, hier sehen wir schon, wir verwenden Cookies, ein längeren Text, irgendwo steht "ablehnen", wieder ein längerer Text, mehr Infos und nur ein Ok Button. Warum ist das nicht in Ordnung? Ganz einfach, hier fehlt eben die differenzierte Einwilligungsmöglichkeit in die unterschiedlichen Zwecke der Datenverarbeitung. Damit ist das auch nicht möglich, auch, wenn da drinnen steht, dass man Cookies ablehnen kann. Auch dieses hier, konfigurieren, sehen wir auch ganz häufig, hier wird es unnötig erschwert den Widerruf zu leisten, oder abzulehnen. Auch das ist unwirksam. Auch ein ganz häufig gesehenes Beispiel, ablehnen, da kann ich schon ablehnen, dann muss ich aber konfigurieren und auch hier wieder die Herausforderung in die einzelnen Zwecke kann ich nicht individuell eingewilligt werden, also auch unwirksam.

Wie muss es dann jetzt aussehen? Ich habe euch das mal mitgebracht. So muss heute ein korrektes Einwilligungsbanner aussehen. Das ist sauber. Ich habe unten einwilligen, ich habe die einzelnen Punkte und ich habe auch die Möglichkeit mit einem Klick alles, bis auf die notwendigen Cookies, abzulehnen. Ganz, ganz wichtig: Das ist nur wirksam, wenn ich den Nutzer hier ausreichend informiert habe und er seine Entscheidung bewusst treffen kann. Da kommen wir gleich darauf welche Anforderung an diese Informationspflichten bestehen.

Folgen für die rechtskonforme Web-Analyse

Wenn ich nämlich so ein rechtskonformes Einwilligungsbanner habe, dann hat die Universität in Bochum Ende letzten Jahres eine sehr große Marktforschungsstudie gemacht und festgestellt, dass unabhängig davon, ob ich von mobilen Geräten, oder von stationären Geräten darauf zugreife, die Einwilligungsrate relativ gering ist. Ich habe die hier für alle auch nochmal verlinkt. Unter einem Prozent der Nutzer willigen ein.

Jetzt gibt es einen Trick, der auch häufig genutzt wird, sogenanntes Nudging. Nudging bedeutet, dass ich den Nutzer versuche zu stupsen und weise ihn vielleicht nicht auf den schlimmsten Fall hin, sondern versuche den besten Fall für mich als Websitebetreiber rauszukriegen. So, wie es hier unten eben gemacht ist, eben alle akzeptieren, sprich hier werden implizit dann alle Zwecke angehakt, da muss man sehr stark aufpassen und auch die Auswahl akzeptieren. Das sozusagen leicht schattiert hier nur abzusetzen, das ist rechtlich höchst bedenklich, weil man stört hier tatsächlich die korrekte Einwilligung, beziehungsweise auch den Widerruf. Da muss man aufpassen. Wenn man das aber macht, kann man die Einwilligungsrate ein Stückchen höher treiben, nämlich auf bis zu 34 Prozent. Auf der anderen Seite fehlen mir immer noch zwei Drittel meiner Nutzer, die ich in meinem Webanalyticstool überhaupt nicht sehe. Soviel zu diesem kleinen Ausflug.

Wie informiere ich rechtskonform?

Auch dazu hat sich das European Data Protection Board ganz eindeutig geäußert und da sind viele Punkte, die werdet ihr schon kennen. Ich muss auf der einen Seite sagen, wer hier eigentlich für die Datenverarbeitung verantwortlich ist. Der Zweck muss eben in jedem einzelnen Verarbeitungsvorgang erklärt werden. Es muss auch und das fehlt häufig, genau genannt werden, welche Daten hier eigentlich betroffen sind, wie sie gesammelt und gespeichert werden. Auch das Recht die einmal getroffene Einwilligung zu widerrufen muss drinnen sein. Falls ich, auf Basis der gewonnenen Daten auch automatisierte Entscheidungsfindung mache, gehört das in die Informationspflicht. Last but not least, wenn ich nicht sicherstellen kann, dass das gleiche Schutzniveau, wie von der DSGVO gefordert, von meinem Partner, an den ich die Daten gebe, eingehalten werden kann, wie zum Beispiel bei amerikanischen Diensten, dann muss ich eben auf die möglichen Risiken des Datentransfers hinweisen.

Beispiel für rechtskonforme Google Analytics Einwilligung

Jetzt bin ich wie gesagt kein Jurist und deswegen habe ich jemanden gefragt, der davon wirklich etwas versteht, nämlich einen Anwalt, den Rechtsanwalt Thomas Brem hier aus Hamburg. Er ist externer, zertifizierter Datenschutzbeauftragter, hält viele Referate, ist TÜV geprüft und ein anerkannter Experte in dem Bereich.

Ihn hatte ich gebeten uns eine Einwilligung so mitzugeben, dass ihr sie auch direkt verwenden könnt und die sieht so aus. Die ist sehr umfangreich, wir haben hier vier Blöcke, ich gehe da gleich im Detail nochmal darauf ein, wo er sagt, die müssten sogar einzeln abgehakt werden. Erst, wenn denen einzeln zugestimmt wurde, dann kann unten der Zustimmbutton freigeschaltet werden und auf der anderen Seite bin ich eben gezwungen auch so einen Ablehnenbutton zu haben. Ich will ganz kurz darauf eingehen. Was sehen wir denn da eigentlich? Ich lese nicht alles vor, sondern erkläre das kurz strukturell.

Wir haben oben den Zweck des Websitebetreibers, den er eben mit den Daten verfolgt. Wir haben im zweiten Absatz die eigenen Zwecke, die Google mit den Daten verfolgt, denn Google verfolgt natürlich ganz andere Zwecke. Die wollen ja ein möglichst genaues Profil der Nutzer erstellen und sie identifizieren. Sofern die Nutzer ein Google Konto haben erfolgt sofort eine persönliche Identifizierung und alles wird in dem Konto der Nutzer entsprechend zusammengeführt und gespeichert. Dazu braucht man die Einwilligung. Den Punkt über die Cookies haben wir gerade besprochen und auch das eine Profilbildung über sämtliche Google Dienste stattfindet. Das kommt vom BGH, ist neu und muss jetzt rein. Ebenso der Hinweis auf die besondere Datenübertragung in die USA und die damit verbundenen Risiken und eben auch beispielweise, dass das auch zu Sanktionen führen kann. Der Hinweis gehört da rein, damit es rechtskonform ist. Wie groß jetzt von diesem rechtskonformen Banner die Einwilligungsrate ist, kann ich nicht beurteilen. Meine Vermutung wäre, sie liegt wahrscheinlich nicht viel höher, als von dem anderen rechtskonformen Banner.

Die Frage, die man sich jetzt natürlich stellen muss, ist: So viel Mühe für ein Prozent? Geht es nicht doch irgendwie anders? Kann man die Webanalyse nicht irgendwie rechtlich retten, damit ich nicht mit einem Prozent der Daten raten muss, sondern vielleicht mit 100 Prozent der Daten entscheiden und agieren kann? Und hier kann man nochmal genau zurückgucken auf das, was wir früher mal hatten, auch Google Analytics, wo die Aufsichtsbehörden gesagt haben, dass es nicht geht, nämlich das sogenannte berechtigte Interesse. Der junge Mann, der hat sicherlich ein berechtigtes Interesse an dem Apfel, aber im Datenschutz gibt es ein paar notwendige Bedingungen, auf die ich eingehen will. Was wir gerade gelernt haben, nämlich dass ich eben keine Cookies verwenden darf, dann habe ich vielleicht ein berechtigtes Interesse. In jedem Fall muss ich auch sicherstellen, dass eben keine Daten in einen Staat ausgeleitet werden, wo nicht das gleiche Datenschutzniveau gilt wie in Europa. Wichtig ist, dass diese beiden Bedingungen nicht ausreichen. Sie sind nicht hinreichend wie wir Mathematiker sagen, sondern notwendige Bedingungen. Zu den hinreichenden Bedingungen möchte ich jetzt kommen.

Wann ist Tracking ohne Einwilligung erlaubt?

Welche gibt es da für ein Tracking unter dem berechtigten Interesse? Berechtigtes Interesse heißt, dass ich eben keine Einwilligung brauche. Entweder hole ich die Einwilligung ein, oder ich habe ein berechtigtes Interesse. Beides brauche ich nicht. Das heißt ich kann hier ohne Einwilligung tracken, wenn alle Bedingungen, die ich gleich nenne, erfüllt werden.

Erstens: Ich schließe einen Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter ab. Da will ich den wichtigen Hinweis geben, dass nicht überall da, wo Auftragsverarbeitungsvertrag draufsteht auch einer drinnen ist. Denn auch hier sieht das Gesetz wichtige Maßgaben vor, nämlich erstens ich muss die Möglichkeit der Weisung an meinen Auftragsverarbeiter haben. Habe ich die nicht und kann den nicht anweisen, wie er die Daten verarbeiten soll, ist es kein Auftragsverarbeitungsvertrag. Weiterhin muss ich ein Kontrollrecht haben. Das heißt ich muss das Recht haben das Rechenzentrum des Auftragsverarbeiters zu besuchen und das zu kontrollieren. Habe ich das nicht, ist es ebenfalls kein Auftragsverarbeitungsvertrag. Jetzt weiß ich nicht was Google in der Vergangenheit alles so vorgelegt hat, aber Juristen haben mir ins Ohr geflüstert, dass es alles ist, nur keine Auftragsverarbeitung, auch, wenn das oben drübersteht. Insofern achtet bitte darauf, dass es wirklich ein rechtsgültiger Auftragsverarbeitungsvertrag ist.

Dannzweitens und das haben wir gerade gelernt, es dürfen eben keine Cookies verwendet werden, ichdarf die Datenverarbeitung ausschließlich in Europa stattfinden lassen, die Daten dürfen nicht von dem Auftragsverarbeiter für eigene Zwecke verwendet werden, sonst wäre es auch keine Auftragsverarbeitung, sondern es wäre ein anderer Rechtsakt, die Daten dürfen nicht anders angereichert, oder verknüpft werden durch den Auftragsverarbeiter, insbesondere dürfen keine Datenverknüpfungen vorgenommen werden, um den Nutzer persönlich zu identifizieren, ich muss die Widerrufsmöglichkeit anbieten, die muss dann in die Datenschutzerklärung kommen und natürlich muss auch hier für das berechtigte Interesse die IP Adresse anonymisiert werden. Idealer Weise hat meinen Auftragsverarbeiter, der das gleich serverseitig macht, dann muss ich das nicht überall in meine Website reinbringen, das nennt sich privacy by default und ist auch eine Anforderung der Datenschutzgrundverordnung.

Derletzte Punkt, den ich noch nennen möchte, ist:Do not track. Das ist eine Einstellung, die die meisten Browser beherrschen, wo ich sagen kann, dass ich nicht getrackt werden möchte. Auch das gilt als Widerruf und muss tatsächlich auch beachtet werden vom Auftragsverarbeiter. Wichtig ist, wenn ihr so etwas einführt unter dem berechtigten Interesse, müsst ihr den Auftragsverarbeiter in den Punkten eins bis acht genau geprüft haben. Jeder Punkt muss einzeln geprüft werden, oder der Auftragsverarbeiter hat sich schon mal selbst prüfen lassen. Eine neutrale Zertifizierung ist hier möglich, sodass ihr euch darauf verlassen könnt. Jetzt sagt ihr vielleicht: "Das interessiert mich alles nicht. Wir verarbeiten die Daten selber, wir haben selber ein Analyticssystem installiert.". Das hilft nicht dem Datenschutzrecht zu entkommen. Man muss genau dieselben Anforderungen erfüllen, egal, ob ich einen Auftragsverarbeiter beauftrage, oder das Ganze im Haus betreibe.

Was drohen für Konsequenzen?

Jetzt gucken wir mal, was die Konsequenzen sind, berechtigtes Interesse versus Einwilligung. Wir gucken hier mal auf eine ganz normale, etwas bunte Website. Da kann man draufgehen, kein Cookiebanner, nichts. Wenn sonst nur funktionale, wesentliche Cookies gesetzt werden, braucht man keinen Cookiehinweis. Das ist ein ganz wichtiger Punkt. Da hat man eine Stichprobe der Nutzer, weil natürlich gar nicht groß die Möglichkeit besteht auf der Startseite gleich abzulehnen, sondern nur über die Datenschutzerklärung, von über 99 Prozent. Geht man hingegen hin und macht das, was der Anwalt vorgeschrieben hat, dann wird man sicherlich eher bei einer Stichprobe landen, die kleiner ist als ein Prozent. Es gibt noch eine dritte Alternative: Einfach nichts machen, weiter wie bisher. Wir bringen einfach unten einen Banner an: "Wenn du hier weitersurfst, dann hast du schon eingewilligt.". Das ist auch gar kein Problem. Da kriegt man echt gute Zahlen, weiterhin 99 Prozent und mehr aller Nutzer. Die Frage ist: Welche Konsequenzen drohen da?

Jetzt wissen wir alle, in der Vergangenheit waren die Aufsichtsbehörden nicht besonders stark tätig im Bereich der Webanalyse, aber sie werden jetzt tätig. Denn seit August haben die Aufsichtsbehörden auf Grund dieser neuen Urteile angefangen bereits Fragebögen an die Medienbranche zu verschicken. Sie erhoffen sich damit einen Ausstrahlungseffekt an alle anderen Branchen. Dass man jetzt natürlich die großen Teilnehmer, die viele Daten verarbeiten, sanktioniert und zumindest sicherstellt, dass dort alles richtiggemacht wird. Ich habe hier mal diesen Fragebogen mitgebracht. Das sind insgesamt elf Seiten, sehr, sehr detailliert. Das könnt ihr euch auch unter dem Link angucken.

Die Aufsichtsbehörden haben weiterhin angekündigt und die Bayern haben das in der Vergangenheit auch schon getan, dass sie automatisierte Websiteprüfungen vornehmen werden. Das heißt durch ein Programm, das die Website quasi durchsucht, können die erkennen, welches Tool da drauf ist. Beispielsweise Google Analytics, werden von diesem Tool Cookies gesetzt, oder eine Einwilligung. Dann kann es eben passieren, dass auch automatisch und die Bayern machen das automatisiert, Verwarnungen und bei fortgesetzten Verstößen auch gegebenenfalls Bußgelder drohen.

Frau Smoltczyk, das ist die Berliner Datenschutzbeauftragte, die hat noch einen ganz wichtigen Hinweis zum EuGH Urteil gegeben, das nämlich jetzt auch Verbraucherklagen drohen können. Verbrauchern steht nämlich ein Schadensersatzanspruch zu, wenn Daten illegaler Weise in ein Drittland exportiert werden. Sie weist nochmal darauf hin, dass diese immateriellen Schäden, im Volksmund auch Schmerzensgeld genannt werden, auch eine Abschreckende Höhe haben müssen und auch das Thema Abmahnung. Wie ihr vielleicht wisst unter der DSGVO können nur Verbraucherschutzverbände abmahnen, aber unter diesen neuen Urteilen sind auch Wettbewerbsklagen tatsächlich möglich. Das ein Wettbewerber auf eure Seite schaut und euch im Zweifelsfall auf die Finger haut. Auch das neue Gesetz zum fairen Wettbewerb ändert daran nichts, die Abmahnungen können jetzt folgen. Deswegen ganz zum Schluss meine Empfehlung an euch, vermeidet Bußgelder Abmahnungen oder Verbraucherklagen und handelt jetzt. Denn jetzt ist noch Zeit diese Sachen gerade zu rücken, bevor die Behörden vor eurer Tür stehen.

An der Stelle bin ich mit meinem Teil und dem Rechtsteil am Ende. Und freue mich auf eure Fragen, die ich gleich im Chat beantworte. Und ich darf an Olaf Brandt übergeben.

Alles Wissenswerte zum Tracking ohne Einwilligung

Jetzt kommt der entspannte Teil. Das war jetzt alles sehr viel und zeigt eben wie das rechtliche Mienenfeld aussieht, mit US Datentransfer, mit Cookies und eben der Gefahr von Dateneinbrüchen, wenn man alles richtigmacht. Deswegen jetzt der Entspannungsteil. Es geht auch ohne diesen Stress mit Cookie Bannern und all diesen Problembereichen. Und das erkläre ich jetzt.

Was ist mit Cookie-losem Session Tracking möglich?

Das Ganze läuft unter diesem Thema Cookie lose Session Tracking. Das erkläre ich gleich, was das ist, was ist möglich. Aber dann auch noch weitere Aspekte, ob ich mich zwischen Cookie losen und Cookie aktiviertem Tracking entscheiden muss, wie ein Umstieg aussieht und was ich dabei beachten sollte, wenn ich mich dafür entscheide und eine Lösung auswähle. Schauen wir uns mal eine typische Website an. Ein Shop für bunte Haarfarben, die uns netterweise erlauben ihre Website zu zeigen.

Was ist möglich, natürlich kann ich erfassen, was sind die Top Seiten, was sind die Top Navigationsbereiche. Genauso wie Klicks, Interaktionen auf der Seite selber, als Beispiel welche Bilder werden angeschaut, wo wird hin gescrollt. Ganz wichtig natürlich auch, es werden Konversionen getätigt, also es werden Artikel in den Warenkorb gelegt, auf eine Merkliste gesetzt, gegebenfalls aber auch stehen gelassen. All das kann erfasst werden, dafür braucht es keine Cookies. Auch wie lange wird auf der Seite verweilt oder bis wohin wird gescrollt, wird nur der obere Teil angeschaut und dann weiter navigiert, wird die Seite verlassen. Oder wird auch der untere Bereich angeschaut.

Jetzt interessiert natürlich nicht nur die einzelne Seite, wie wird damit interagiert, sondern ich will ja die komplette Session betrachten. Auf der einen Seite heißt das, woher kommen die Nutzer, über welche Kampagnen, wie beispielsweise Shopping Ads. Dann eben aber auch, wie navigieren sie über die Website, wo brechen sie gegeben falls ab und am Ende des Tages wird konvertiert, ob eine Anmeldung oder eine Anfrage getätigt wird oder in diesem Fall eine Bestellung. Und natürlich auch welchen Inhalt, welchen Wert hat diese Bestellung. Und was haben diejenigen auf der Website getan, die bestellt haben. Selbst das geht ohne Cookies.

Also natürlich auch die Differenzierung nach Gerätetypen, habe ich irgendwelche Auffälligkeiten im Hinblick auf diejenigen die mit dem Smartphone auf die Website kommen versus diejenigen die einen Desktop einsetzen. Und auch gibt es irgendwelche Probleme mit bestimmten Browsern oder Browser Versionen, habe ich da Themen im Hinblick auf Kompatibilität. Genauso woher kommen die Besucher, also die geographische Herkunft auf Landesebene, Bundeslandebene, also Regionsebene bis zur Stadtebene. Das kann ich in den einzelnen Tagen oder in unterschiedlichen Sessions machen, das geht alles.

Das kann ich hier alles ohne Einbußen erfassen und analysieren. Nur wenn ich wissen will, die Person die an Tag 2 gekommen ist, ist das dieselbe Person die auch an Tag 1 unterwegs war, das geht eben nur mit Cookies. Das erfordert dann die Einwilligung. Wenn man das ertragen kann, dann kann man komplett mit Cookie losem Tracking unterwegs sein.

Man muss ja auch sagen, die Cookie Technologie ist in Bedrängnis auf Basis der Aktivitäten die die Browser unternehmen um hier diesen Einsatz zu beschränken. Insofern selbst wenn ich ein Cookie setze, ist damit noch lange nicht gewährleistet das es auch Bestand hat und am nächsten Tag auch noch vorhanden ist. Es kann ja trotzdem sein, dass mich das wahnsinnig interessiert oder ich eben auch andere technisch nicht erforderliche Cookies einsetze, beispielsweise für Remarketing, also Retargeting Zwecke. Da gehe ich jetzt drauf ein.

Wie kann ich dennoch Cookies einsetzen?

Die Frage ist, muss ich mich dann entscheiden entweder mit Cookies oder ohne Cookies? Die gute Nachricht ist das ganze lässt sich auch kombinieren. Ich kann eben Cookie los als Standard loslegen und dann Cookies aktivieren, wenn eine entsprechende Zustimmung erfolgt. Das zeige ich jetzt, wie das in der Praxis aussieht.

Erstmal noch reines Cookie loses Tracking, das sieht so aus, dass ich ohne Consent Dialog loslegen kann und alle Nutzer erfassen kann. Jetzt kann ich mich aber auch entscheiden: "Ich möchte doch so einen tollen Consent Dialog auf die Seite packen.". Dann kann ich natürlich trotzdem Cookie los Tracken, denn dafür brauche ich keine Einwilligung. Und wenn jetzt jemand zustimmt, dann kann ich eben mit Cookies weitermachen. Aber auch die Ablehner kann ich trotzdem weiterhin Cookie los messen. Wie sieht das Ganze aber jetzt aus, wenn ich ein System wie Google Analytics einsetze, dann wäre es deutlich anders. Nämlich ohne eine Einwilligung darf ich überhaupt nicht Tracken, denn allein die Datenerfassung erfordert schon eine Zustimmung. Das heißt, nur diejenigen die eine Einwilligung geben, die kann ich tatsächlich auch erfassen und auswerten. Wenn ich hier auch nochmal Hinweise auf die Risiken des Datentransfers gebe, dürfte die Zustimmungsrate auch nochmal deutlich niedriger sein. Den Ablehner kann ich genauso wenig erfassen. Insofern muss ich mich dann eben mit einer sehr kleinen Stichprobe begnügen.

Wie einfach ist die Migration?

Dann ist die große Frage, wie einfach ist das Ganze einzubauen oder einen Wechsel zu vollziehen. Auch hier gute Nachrichten, es ist im Prinzip einfach. Ich muss den Google Tracking Code entfernen und den eTracker Tracking Code reinsetzen und dann ist eigentlich schon das meiste getan. Das geht auch besonders einfach, wenn ich solche klassischen Systeme einsetze. Da gibt es Plug-Ins und die übernehmen das dann schon automatisch, also zumindest die Integration des eTracker Tracking Codes. Und mit diesem Standard Tag kann ich schon ganz viel anstellen.

Wir können uns anschauen Herkunft, Marketing, Engagement, Konversionen. Da zeige ich hier, dass wir automatisch erfassen wo Nutzer herkommen. Wir können auch automatisch Google Kampagnen erfassen. Häufig sind ja diese Kampagnen schon irgendwo da draußen, die müssen nicht verändert werden. Man kann auch klassische Google Ads, Bing Ads, Facebook Ads natürlich automatisiert mit eTracker erfassen. Da muss man nur, wie hier dargestellt, einmal per Copy und Paste entsprechende Variablen eintragen in diesem Feld. Da muss man nur, wie hier dargestellt, einmal per Copy und Paste entsprechende Variablen eintragen in diesem Feld. Was sich da Suffix der finalen URL nennt.

Schauen wir auf das Thema Engagement, also was auf den Seiten passiert. Auch da Seitenaufrufe, die Gruppierungen nach Navigationsbereichen, das funktioniert alles automatisch. Genauso wie Standard Events, wie Downloads, Externe Link Aufrufe. Auch das Scroll-Verhalten, hier dargestellt, also um hier zu sehen das eben nur 55 Prozent diesen unteren Teil anschauen, auch das passiert automatisch. Dann habe ich möglicherweise auf den Seiten individuelle Klickelemente, die kann ich erfassen ohne in das HTML eingreifen zu müssen, in dem ich hier einfach so ein Selector per Copy und Paste bei ETracker eintrage. Zu guter Letzt der Conversion Teil, der ist auch relativ simpel. Ich habe schon die Seitenaufrufe und irgendwelche Klickinteraktionen erfasst und jetzt kann ich die in so einem Funnel eintragen.

Da gibt es einen einfachen Assistenten um das zu tun. Und das tolle ist, ich kann sogar diese Konversionen dann automatisiert zu Google Ads, als Beispiel, wieder zurückspielen. Das muss ich nur einmal anschalten. Und hat dann den Vorteil das derjenige der jetzt für Google Ads zuständig ist, der muss nicht in zwei Tools arbeiten, sondern der sieht alles wie bisher. Ich kann eben auch die Gebotsstrategien nutze, die nicht nur auf Klicks optimieren, sondern auf Basis von Conversions oder umsetzen. Es gibt aber auch ein paar Unterschiede, die will ich nicht verheimlichen. Das sind zum einen auch Vorteile - bei eTracker sehen sie auch Daten vom Aktuellen Tag, mit einem Verzug vielleicht von einer halben Stunde. Sie können auch auf die Rohdaten zugreifen, also nicht nur die aggregierten Daten. Damit kann man auch sehr fortgeschrittene Analysen, individuelle Analysen durchführen. Bei einer Einwilligung auch eine Möglichkeit auf die Profildaten zu zugreifen.

Mehrdimensionales Segmentieren ist eines der Vorteile, aber auch die Scrollmaps haben wir uns angeschaut. Renner-Penner-Matrix ist eine Art und Weise um in einem Shop darzustellen wie ist das Verhältnis zwischen wie häufig werden Artikel angesehen versus gekauft. Und dann kann ich sehen die Bestseller sind die Artikel die häufig angesehen werden und häufig bestellt werden. Dann kann ich sehen, jetzt habe ich hier Produkte die häufig angesehen werden, aber nicht so häufig bestellt werden. Was kann man da eben tun um die Performance zu optimieren. Verweildauer kriegen wir auch Sekundengenau mit. Wir können auch Remarketing anbieten im Hinblick auf sogenannte Push Nachrichten, basierend natürlich auf der Einwilligung.

Nicht mit eTracker möglich, klar keine soziodemographischen Daten, warum, weil letztlich dürfen wir die Daten nicht Website übergreifend verknüpfen und mit Fremddaten anreichern. Das würde die Einwilligung erfordern. Genauso ist Ad Remarketing, etwas was auch wiederrum nur mit Einwilligung ginge. Bei uns müssen sie mit Geld bezahlen, sie können nicht mit ihren Daten bezahlen in Anführungszeichen. Also das ist natürlich ein anderes Geschäftsmodell. Wir sind ein reiner Auftragsverarbeiter. Wir nutzen nicht ihre Daten und haben kein geartetes Datengeschäft, was wir betreiben würden mit ihren Daten.

Worauf sollte bei der Lösungsauswahl geachtet werden?

Zu guter Letzt was sollten sie beachten, wenn es darum geht eine entsprechende Datenschutzkonforme und Einwilligungsfreie Lösung auszuwählen. Hier zehn Punkte, die sie beachten sollten.

Dann sagt die DSGVO, das Prinzip Privacy bei Design oder bei Default sollte herrschen, ist das also der Standard oder muss das irgendwie kompliziert konfiguriert werden um das zu schaffen.

Die Migration oder die Implementierung ist ein großes Thema. Es hilft nichts das tollste Auswertungstool zu haben, wenn die entsprechenden Daten gar nicht richtig einlaufen. Nach dem Grundsatz Garbage in, Garbage out. Hier ist es eben ganz wichtig, dass es sehr einfach geht und möglichst viel automatisch.

Um Zukunftsfähig zu sein, selbst wenn sie sagen: "Ich bin ganz zufrieden mit ganz rudimentären Kennzahlen.", es kommt dann doch der Zeitpunkt wo es dann auch mal eine etwas kniffligere Anforderung gibt und mit Rohdaten kann man eigentlich alles analysieren und das ist eben eine sehr wichtige Option zu haben.

Natürlich auch wie sieht die Architektur aus, ist da wirklich modernste Technologie im Einsatz, die dann auch skaliert. Genauso, wenn sie darüber nachdenken eine lokale Implementierung zu wählen, das geht. Wenn sie da die entsprechenden Administratoren haben, die nichts anderes zu tun haben. Aber das muss man auch berücksichtigen, dass es hier natürlich bei SaaS oder Cloud-Diensten entsprechende Vorteile gibt, da müssen sie sich nicht drum kümmern, zum Beispiel das Backup. Das man da samstags und sonntags jemanden hat der schaut, dass das Ganze nicht abstürzt.

Support ist auch ein Thema, sollte man auch drauf achten, es gibt immer wieder Fragestellungen, die auftreten und dann ist es hilfreich, wenn da jemand deutschsprachig zugänglich ist und das Ganze nicht mit zusätzlichen Kosten verbunden ist.

Wie etabliert ist der Anbieter, nutze ich hier eine Lösung die möglicherweise nächstes Jahr dann nicht mehr zur Verfügung steht.

Und ganz wichtig wie intuitiv ist das Reporting nutzbar, brauchen sie da lange, viele Schulungen, brauchen sie einen Mitarbeiter oder kann das dann nur einer im Unternehmen nutzen, was ist, wenn der im Urlaub ist und solche Dinge. Das sollte man sich unbedingt anschauen.

Und am Ende des Tages ist natürlich der Preis auch wichtig, A ist er transparent, B ist er attraktiv.

Damit sind wir im Prinzip schon durch. Was sollten sie mitgenommen haben, es ist tatsächlich möglich diese ganzen Rechtsrisiken loszuwerden. Also ohne diese ganzen Minenfelder zu operieren. Und man muss nicht die Website einstellen und man auch nicht auf Daten verzichten. Genauso muss man keine Angst haben das Nutzer auf ablehnen drücken, denn man kann ja eben entweder komplett auf Cookie Banner verzichten oder man kann eben Tracken Cookie los unabhängig davon ob jetzt jemand Cookies erlaubt oder auch nicht erlaubt.