Opt-In Pflicht bei der Verwendung von Tracking- und Analyse-Tools
Bei der Opt-In Pflicht ist eine ausdrückliche Zustimmung der NutzerInnen erforderlich, sobald personenbezogene Daten verarbeitet werden. Speziell bei der Verwendung von Web-Analyse Systemen muss explizit eine Zustimmung erfolgen, bevor solche sensible Daten gespeichert werden dürfen. Vorher dürfen keine NutzerInnen-Daten erhoben werden.
Update: EuGH-Urteil Oktober 2019
Der Europäische Gerichtshof hat dazu im Oktober ein Cookie-Urteil veröffentlicht. Das heißt, die Einwilligung zur Datenerhebung muss von den NutzerInnen aktiv zugestimmt werden. Ein „stille“ Zustimmung oder ein Opt-out-Verfahren sind nicht mehr rechtskonform. Einwilligungspflichtig sind zum Beispiel:
- Mousetracking-Tools
- Pixel von Werbenetzwerken
- Analysetools von Drittanbieter
Als Gesetzesgrundlage gilt hier die Datenschutz-Grundverordnung (DSGVO). Websites-BetreiberInnen stehen grundsätzlich zwei Möglichkeiten offen, Nutzerdaten rechtskonform zu erfassen
- Entweder über die explizit genehmigte (Einwilligung von NutzerInnen eingeholt) oder
- über die anonymisierte Webanalyse.
Bei der anonymisierten Webanalyse wird ein Teil der IP-Adresse gekürzt und unkenntlich gemacht. Tools wie Google Analytics Universal müssen dafür entsprechend konfiguriert und angepasst werden. **In Google Analytics 4 ist keine Maskierung der IP Adresse erforderlich, da die IP Adresse weder protokolliert noch gespeichert wird.** Weitere Informationen dazu findest du hier.
Rechtliche Anforderungen der DSGVO Opt-In Pflicht & Einwilligung der NutzerInnen
Wenn du datenschutzrechtlich auf der sicheren Seite sein möchtest, dann solltest du von deinen NutzerInnen vorab eine Genehmigung für die (Weiter-)Verarbeitung der personenbezogenen Daten einholen. Es müssen bestimmte Voraussetzungen erfüllt sein, um Daten rechtskonform zu verwenden:
- Freiwillig: Eine Website muss auch ohne Einwilligung des/der NutzerIn besuchbar sein.
- Informiert: Dem/Der NutzerIn müssen alle relevanten Informationen zur Verfügung stehen, wie etwa der Zweck der Datenverarbeitung.
- Detailliert: Die Datenerhebung muss detailliert angegeben werden. Eine einfach Erklärung reicht hier nicht aus.
- Explizit: Die Zustimmung muss durch einen Klick des/der NutzerIn aktiv erfolgen. Die Einwilligung darf nicht automatisch eingeholt werden.
- Vorab: Tracking Tools und Systeme dürfen erst Daten erfassen, wenn eine Einwilligung des/der NutzerIn vorliegt.
- Widerrufbar: NutzerInnen müssen die Möglichkeit besitzen, die Einwilligung jederzeit widerrufen zu können. Wenn er/sie seine Meinung ändert und dies dem Website-Betreiber mitteilt, muss die Datenerfassung gestoppt werden.
- Dokumentiert: Der Website-Betreiber muss die Einwilligung der NutzerInnen dokumentieren und nachweisen können. Diese können auch eine nachträgliche Löschung bereits gesammelter Daten veranlassen.
Wie verwende ich Web-Analyse Systeme gemäß DSGVO richtig?
Die Lösung dafür wäre zum Beispiel die Verwendung eines Consent Management Systems (kurz CMP). Mit der Integration einer solchen Plattform wird die rechtskonforme Einholung der Einwilligung sichergestellt.
Eine Möglichkeit ist zum Beispiel ein Pop-up-Fenster, das sich bei jedem Websites-Aufruf öffnet. Wir testen und verwenden gerade das CMP von Usercentrics. Das haben wir auf der webdots Website implementiert und sieht wie folgt aus:
Das Aussehen und die Einstellungen können individuell an das CI angepasst werden. Beim Klick auf die Cookie-Einstellungen können NutzerInnen jederzeit die Auswahl und die Deaktivierung verschiedener Tracking- und Analyse-Tools vornehmen:
Alle Tracking- und Web-Analyse-Tools, die auf deiner Website in Verwendung sind, können bei Usercentrics hinterlegt werden.
Daraus ergeben sich viele Vorteile:
- Die Opt-In Pflicht wird berücksichtigt. D.h. die Einwilligung der NutzerInnen erfolgt rechtskonform und ist im Sinne der Datenschutz-Grundverordnung.
- Der Schutz vor Abmahnungen ist gegeben. Bei Verstoß gegen die DSGVO drohen Bußgelder in der Höhe von 4 % des weltweit erzielten Jahresumsatzes.
- Mehr Transparenz, hoher Trust Faktor und gesteigertes KundInnenvertrauen.
- Die CMP Plattform ist individuell anpassbar und kann auf deine Bedürfnisse abgestimmt werden.
Opt-In Pflicht beim Social Media „Like-Button“
Mit dem Like-Button möchten Website-BetreiberInnen ihre Inhalte auf den Sozialen Medien verbreiten. Auf der anderen Seite möchte Facebook mit der „Gefällt mir“-Schaltfläche Daten für Werbezwecke sammeln. Mit dem neuen EuGH-Urteil ist hier jetzt aber Vorsicht geboten.
Kürzlich hat der Europäische Gerichtshof entschieden, dass auch der „Gefällt mir“-Button nach der DSGVO mitverantwortlich ist. Unternehmen, die den „Gefällt mir Button“ auf ihrer Unternehmensseite einbinden, müssen darüber informieren, dass allein durch deren Aufruf personenbezogene Daten an Facebook übertragen werden.
Laut dem EuGH erstreckt sich die gemeinsame Verantwortlichkeit nur auf die Phase der Erhebung der Daten der Fanpage bzw. die Übermittlung dieser Daten an Facebook. Für die weitere Verarbeitung der Daten ist Facebook alleine verantwortlich.
Quelle: Webinar E-Tracker Usercentrics, EuGH-Urteil zum Like-Button