Einleitung
Der Einsatz von Cookies auf Webseiten ist mit Risiken verbunden. Die Datenschutzbehörden haben die Schraube angezogen. Dies gilt insbesondere für den Bereich des Online-Trackings. Der nachfolgende Artikel gibt einen Überblick über die neueste Sichtweise zur Einwilligung im Online-Tracking.
Cookies und «cookieless» Technologien
Spricht man von «Online-Tracking» so ist grundsätzlich zwischen Cookies und «cookieless» Technologien zu unterscheiden. Cookies sind kleine Dateien die Daten enthalten und auf dem Endgerät des Nutzers gespeichert werden. Dadurch können unter anderem Präferenzen des Nutzers festgestellt werden. Mit «cookieless» Technologien sind beispielsweise Fingerprinting, wo Daten über den Browser und das Endgerät beim Webseitenbesuch ähnlich einem «Fingerprint» gesammelt und so das Surfverhalten getrackt werden kann, oder Mobile Tracking, ein Verfahren zur Identifikation des Standorts eines Mobiltelefons, gemeint. Bei Cookies erfolgt ein Zugriff auf Daten im Endgerät des Nutzers. Beim Fingerprinting oder Mobile Tracking hingegen, werden die Informationen verwendet, welche das Endgerät des Nutzers ohnehin an den Server des Publishers überträgt.
Umstritten ist nach wie vor, ob die Einwilligung des Nutzers auch bei «cookieless» Technologien erforderlich ist. Die französische Datenschutzbehörde «Commission Nationale de l'Informatique et des Libertés» (CNIL) hat anfangs Oktober Leitlinien (Orientierungshilfe) sowie eine praktische Umsetzungshilfe für Publisher zum Thema «Cookies und andere Tracker» veröffentlicht. Darin hält die CNIL fest, dass für alle Arten von Tracking-Technologien eine Einwilligung erforderlich sei. Anders beurteilt es die CNIL hingegen bei Analytics-Diensten. Dort bedarf es nach Ansicht der CNIL keiner Einwilligung und dies unabhängig davon ob Cookies gesetzt werden oder nicht, vorausgesetzt, die dabei erhobenen Daten werden zweckkonform und lediglich für die strikte Messung der Besucherzahlen verwendet.
«Alles oder nichts» - Prinzip
Ein weiteres, grosses Thema in den beiden Verlautbarungen der CNIL ist der Wunsch der CNIL, dass ein «First Layer» Button mit «alle Cookies ablehnen» sogleich und ebenso sichtbar wie «alle Cookies akzeptieren» verpflichtend auf den Webseiten anzuzeigen sei. Für den Nutzer soll die Verweigerung der Einwilligung genauso einfach sein, wie die Erteilung der Einwilligung, so die CNIL und fordert zudem eine Geltungsdauer von sechs Monaten für die Abgabe oder Verweigerung der Einwilligung. Derzeit wird die Möglichkeit der Ablehnung häufig erst in einem zweiten Schritt (sog. Second Layer) ermöglicht.
Cookie Walls
Ebenfalls für eine «alles oder nichts» Situation sorgen die sogenannten Cookie Walls. Mit Cookie Walls kann der Zugriff auf eine Webseite verweigert werden, wenn die Nutzer nicht allen auf dieser Website vorhandenen Cookies und Trackern zustimmen. Die CNIL hatte Cookie Walls ursprünglich verboten, da sie zur Beeinträchtigung der Freiwilligkeit einer Einwilligung führen. Dieses Verbot wurde aber vom höchsten französischen Verwaltungsgericht (Conseil d’État) aufgehoben.
CMP, TCF und Transparenzpflichten
Mit den Consent Management Plattformen (CMPs) kann die Benutzerzustimmung auf Websites bezüglich der Sammlung und Handhabung persönlicher Informationen kontrolliert werden. In diesem Zusammenhang fordert die CNIL, dass Nutzern die Möglichkeit gegeben werden soll, ihre Einwilligung in Bezug auf einzelne Verarbeitungszwecke oder eingesetzte Dienste zu beschränken bzw. gänzlich auszuschliessen. Dies wäre nach dem Transparency and Consent Framework V2.0 (TCF 2.0) in der «Second Layer» der CMP entsprechend vorgesehen.
Auch zu den Transparenzpflichten des Publishers beim Einsatz von Tracking Technologien äussert sich die CNIL und fordert, eine vollständige Liste aller Verantwortlichen, die einwilligungspflichtige Tracker verwenden. Für Publisher, die Nutzerdaten zur Weitergabe an Dritte erheben, z.B. im Falle von Data Broker oder Data Enrichment, ist diese Forderung schwerlich umsetzbar, da der Publisher nicht oder kaum weiss, wer die Daten letztlich nutzt oder erhält. Werden zudem noch Tracking Skripte wie Facebook Pixel verwendet, so sind Publisher für den Vorgang der Datenerhebung gemeinsam verantwortlich, was zusätzlich zu weiteren Transparenzpflichten noch den Abschluss eines Joint Controller Agreements erforderlich macht. Letzteres wurde auch im sogenannten «Fashion-ID» Urteil des Europäischen Gerichtshofs bestätigt.
Situation in der Schweiz
Die schweizerischen Publisher stehen vor einer ähnlichen Herausforderung wie die Publisher in der EU. Beim Einsatz von Online-Tracking-Technologien gilt es zu prüfen, inwiefern Daten bearbeitet werden sowie sicherzustellen, dass die Datenbearbeitung rechtmässig erfolgt. Letzteres kann eine Einwilligung oder gar eine ausdrückliche Einwilligung des Nutzers erforderlich machen. Auch gesetzlich vorgegebene Informationspflichten gilt es einzuhalten. Zumal sich Webseiten kaum nur auf Schweizer Nutzerinnen und Nutzer eingrenzen lassen, sind insbesondere die geltende ePrivacy Richtlinie sowie die Datenschutzgrundverordnung der EU auch von schweizerischen Publisher zu berücksichtigen und grundsätzlich einzuhalten. Eine Nichteinhaltung kann in der EU zudem hohe Bussen zur Folge haben. So büsste beispielsweise die spanische Datenschutzbehörde 2019 die Low-cost Airline Vueling mit 30.000 Euro, da ein Cookie-Banner das spanische Datenschutzrecht verletzte.
Fazit
Das Online-Tracking, welches durch verschiedene Methoden gewollt oder ungewollt durchgeführt werden kann, birgt insbesondere für Publisher zahlreiche Stolpersteine und hinterlässt beim Nutzer häufig grossen Unmut. Es lohnt sich die Entwicklungen der EU im Auge zu behalten und den Einsatz der Tracking-Technologien auf die Vorgaben der relevanten Datenschutzgesetze zu prüfen. Wir helfen Ihnen gerne bei der Umsetzung und stehen Ihnen auch bei weiteren Fragen rund ums Thema Datenschutz zur Verfügung.
Wir danken unserem World IT Lawyers Netzwerkpartner Dr. Lukas Mezger von Unverzagt Rechtsanwälte für wertvollen Input.
