Prüfung zum datenschutzkonformen Tracking auf Webseiten - die wichtigsten Ergebnisse im Überblick (November 2020)

Insgesamt wurden 22 Webseiten von 15 verantwortlichen Stellen geprüft. Das hat zu folgenden Ergebnissen geführt:

1.) Rechtmäßigkeit der Datenverarbeitung im Zusammenhang mit Cookies und Drittdiensten

Einsatz von Drittdiensten

Für 16 Webseiten (73 %) gaben die Befragten an, Dienste von Dritten eingebunden zu haben. In die Bewertung wurden alle Drittdienste einbezogen, unabhängig davon, ob die Einbindung über ein Cookie oder andere technische Mechanismen erfolgt.
Die folgenden Dienste wurden genannt:

• Analyse- und Tracking-Dienste: Google Analytics, eTracker, Wiredminds.
• Marketingdienste: Google Dynamic Remarketing, Google AdWords
• Kartendienste: Google Maps, Open-Street-Map
• Chatdienst: Chatsuite
• Consent-Tool: Cookiebot
• Weitere: Google Tag Manager, Google Fonts, YouTube, Wordpress.

Einsatz von Cookies

Die technische Prüfung hat ergeben, dass auf allen Webseiten Cookies eingesetzt wurden – allerdings insgesamt eine recht geringe Anzahl. Diese schwankte zwischen 1 bis maximal 14 Cookies. Auf sieben Webseiten wurden ausschließlich eigene Cookies und keine von Drittdienstleistern eingesetzt.

Es entstand der Eindruck, dass sich die Mehrheit der Webseitenbetreiber bewusst mit dem Einsatz von Cookies auseinandergesetzt hat. Deren datenschutzrechtliche Relevanz ist weitgehend bekannt. Zumindest auf explizite Nachfrage, hat die Mehrheit Angaben zur Rechtsgrundlage der Verarbeitung gemacht. Es wurde im Wesentlichen auf Art. 6 Abs. 1 lit. a (Einwilligung der Betroffenen), lit. b (Erfüllung eines Vertrages) oder lit. f (berechtigtes Interesse des Verantwortlichen und Interessenabwägung) DS-GVO abgestellt.

Knapp die Hälfte der Befragten (7 von 15) schätzten die Rechtsgrundlage für die eingesetzten Cookies korrekt ein. Bei fünf Verantwortlichen wies die Bewertung geringfügige Fehler auf, bei drei Befragten war die Antwort nicht korrekt. Der häufigste Wertungsfehler lag in der Abgrenzung zwischen den Anwendungsbereichen von Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse des Verantwortlichen und Interessenabwägung) und Art. 6 Abs. 1 lit. a DS-GVO (Einwilligung der betroffenen Person). Das heißt, der Einsatz von Cookies, die von den Aufsichtsbehörden als einwilligungsbedürftig eingestuft wurden, wurden von einigen Verantwortlichen auf die Wahrung ihrer berechtigten Interessen gestützt. Allerdings wurde dann nicht immer deutlich, dass eine Abwägung zwischen den Interessen der Betroffenen und denen der Verantwortlichen vorgenommen worden war. Einige Verantwortliche nahmen sehr pauschal ein eigenes berechtigtes Interesse an, ohne auf die Interessen und Rechte der betroffenen Personen einzugehen.

2.) Wirksamkeit der Einwilligung, sofern eine Einwilligung auf der Webseite für die Verarbeitung von Cookies oder die Einbindung von Drittdiensten eingeholt wird

Auf drei Webseiten wurden keine Einwilligungen eingeholt und waren auch nicht erforderlich. Auf den übrigen 19 Webseiten fand sich mindestens ein Cookie-Hinweis.

Um die Wirksamkeit der eingeholten Einwilligung zu prüfen, wurden sieben Anforderungen bewertet:

• Zeitpunkt der Einwilligung,
• Informiertheit der Einwilligung,
• Eindeutige bestätigende Handlung
• Freiwillige Einwilligung
• Kein unzulässiges Nudging,
• Nachteile bei Verweigerung der Einwilligung und
• Widerruf der Einwilligung.

Nur auf einer der 19 Webseiten, die Einwilligungen einholten, war diese wirksam. Bei zwei weiteren Seiten wurden zwar Mängel festgestellt, diese aber als leicht behebbar bewertet. Bei der überwiegenden Zahl der geprüften Webseiten war die Einwilligung aufgrund erheblicher Mängel unwirksam.

Erhebliche Defizite waren bei der Bereitstellung von Informationen im ersten Fenster des Consent-Tools festzustellen. Lediglich ein Verantwortlicher erteilte die Mindestinformationen nahezu vollständig und korrekt. Bei allen anderen Verantwortlichen wurden teils erhebliche Informationsdefizite in Bezug auf die informierte Einwilligung festgestellt.

Mehrere Verantwortliche setzten auf ihren Webseiten Nudging ein. Damit soll das Verhalten von Nutzerinnen und Nutzern durch subtile Eingriffe des Verantwortlichen im eigenen Interesse unterschwellig beeinflusst werden. Häufig ist etwa die „Zustimmen"-Option im Vergleich zur „Ablehnen"-Option farblich auffälliger. Oder der Prozess des Ablehnens ist unnötig kompliziert und erfordert mehr Klicks. Bei vier Seitenbetreibern der Prüfung ging das Nudging in der Cookie-Einwilligung so weit, dass die damit eingeholte Einwilligung als unwirksam bewertet wurde.

3.) Erfüllung der Informationspflichten gemäß Art. 13 DS-GVO

Allen 15 Befragten war die Informationspflicht bekannt, entsprechend waren auf allen Webseiten Datenschutzerklärungen verfügbar. Die formalen Anforderungen gemäß Art. 12 DS-GVO wurden von der überwiegenden Zahl der Verantwortlichen erfüllt, allerdings fanden sich in einigen Datenschutzklärungen teils widersprüchliche Aussagen.

Teils erhebliche Defizite bestanden beim gesetzlich vorgegebenen Informationsumfang. Lediglich auf drei der geprüften Webseiten wurden alle gemäß Art. 13 DS-GVO erforderlichen Informationen gegeben. Bei den restlichen Seiten fehlten insbesondere differenzierte Angaben zu den Rechtsgrundlagen sowie zur Speicherdauer von Cookies.