Einsatz von Tag-Management-Tools und der Datenschutz

/von

Wer eine Webseite betreibt, hat vielleicht schon einmal etwas vom Google Tag Manager gehört. Diesbezüglich gibt es gerade Neuigkeiten. Es geht um ein aktuelles Urteil (Az. 10 A 5385/2) des Verwaltungsgerichts Hannover.

Funktionsweise des Google Tag Managers

Der Google Tag Manager (GTM) ist ein kostenloses Verwaltungstool, eine Art Schaltzentrale für Tracking- und andere Skripte. Er lädt jene Tracking- und Marketing-Tags nach, die im Backend definiert wurden und je nach Nutzer*innenaktion (z. B. Seitenaufruf, Klick, Absenden eines Formulars, Erteilen einer Einwilligung) freigegeben wurden. Einzelne Skripte müssen nicht mehr hart in den Quellcode integriert werden, Änderungen an den Mechanismen lassen sich zentral, schnell und ohne großen Programmieraufwand umsetzen. Ein Komforttool für Webseitenentwickler*innen sozusagen.

Relevanter Tatbestand des Urteils

Die ehemalige Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hatte gegenüber einem Websitebetreiber nach einer Beschwerde gegen den Einsatz von zahlreichen Cookies auf einer Website eine Anordnung erlassen. Es wurde angeordnet, dass der Websitebetreiber für den auf der Website eingebundenen Dienst GTM eine wirksame Einwilligung gemäß § 25 Abs. 1 TTDSG (heute TDDDG) und Art. 6 Abs. 1 lit. a DSGVO einzuholen oder den Dienst von der Website zu entfernen habe.

Gegen diese Anordnung der LfD Niedersachsen erhob der Websitebetreiber Klage. Das Verfahren wurde eingestellt, sodass die Anordnung bestandkräftig wurde. Dagegen hat sich der Websitebetreiber erneut mit einer Klage zur Wehr gesetzt.

Die technische Prüfung in einem IT-Labor ergab, dass bei Erstaufruf der Website weiterhin ohne vorherige Einwilligung der GTM geladen wurde. Dies geschah, indem eine ID an Google übermittelt und dabei eine Verbindung zum US-Server www.googletagmanager.com aufgebaut wurde. Dabei wurden auch Daten des Endgeräts der Nutzer*innen, insbesondere die IP-Adresse, die Gerätekonfiguration, das Land und die Referrer-URL an den US-Server des GTM übermittelt. Anschließend wurde nach Ansicht des Gerichts von Google ein Java-Skript namens gtm.js auf dem Endgerät der Nutzer*innen gespeichert, welches dazu führe, dass von den Endgeräten der Nutzer*innen durch den Drittdienstleister aktiv mehr Informationen abgefragt würden, als es bei einem Standard-http-Request der Fall sei.

Auch die Umsetzung des Consent-Managers war nach Ansicht der beklagten Aufsichtsbehörde mangelhaft. Auf der ersten Ebene waren Buttons wie „Alle akzeptieren“ und „Akzeptieren & schließen“ vorhanden, aber keine Möglichkeit, die Einwilligung genauso einfach zu verweigern. Nutzer*innen konnten nicht direkt auswählen, dass keine Einwilligung erteilt werden soll oder den Consent-Manager einfach schließen. Dadurch wurde es nach Ansicht der Aufsicht für Nutzer*innen unnötig erschwert, die Einwilligung zu verweigern. Solche Umsetzungen zur Einholung von Einwilligungen gelten nicht als freiwillig, weil Nutzer*innen sie oft nur wegklicken, um weiteren Aufwand bei der Konfiguration bzw. Auswahl der akzeptierten Dienste zu vermeiden.

Es fanden sich Hinweise auf das Widerrufsrecht der getroffenen Auswahl und auf die Nutzung technisch notwendiger Cookies sowie die Information, dass die Einwilligung auch zur Verarbeitung von Daten in Drittstaaten, insbesondere den USA, nach Art. 49 Abs. 1 lit. a DSGVO ermächtige. Dies war aber nur ersichtlich, wenn an das Ende der Seite gescrollt wurde.

Neubeurteilung der „technischen Erforderlichkeit“ und „berechtigten Interessen“

Bislang gingen viele Website-Betreiber und Dienstleister davon aus, dass der Einsatz von Tag-Managern technisch erforderlich (§ 25 Abs. 2 TTDSG, heute TDDDG) und, sofern bei deren Betrieb personenbezogene Daten verarbeitet werden, diese Verarbeitung auf berechtigte Interessen (Art.6 Abs.1 lit. f DSGVO) gestützt werden kann. Das Verwaltungsgericht Hannover hat diese Annahme nun ausdrücklich zurückgewiesen und folgendes klargestellt:

Der GTM (und vergleichbare Tools) gelten nicht als technisch notwendig für den Betrieb der Website. Er dient lediglich der technischen Verwaltung, nicht aber der Auslieferung für die Nutzer*innen zwingend notwendiger Dienste. Es gibt (siehe auch Art. 25 Abs. 1 DSGVO) nach Ansicht des Gerichts die Möglichkeit, die Einbindung weiterer Dienste selbst zu programmieren oder auf weniger „datenhungrige“ Dienste auszuweichen.

Eine Nutzung auf Basis überwiegender berechtigter Interessen des Websitebetreibers ist ebenfalls auszuschließen, da die Interessen und Grundrechte der Nutzer vorrangig sind, insbesondere im Hinblick auf die Übertragung von personenbezogenen Daten an Drittstaaten.

Jegliche Speicherung oder Auslesung von Informationen auf Endgeräten der Nutzer (Cookies, Fingerprints etc.) und die Nutzung von Tracking-Technologien bedarf einer freiwilligen, informierten und ausdrücklichen Einwilligung der Besucher*innen. Die Einbindung solcher Dienste bereits beim Laden der Website, noch bevor Nutzer eine Einwilligung geben können, ist somit unzulässig.

Was bedeutet das für Ihre Website und Ihre Datenschutzhinweise?

Der Einsatz von Tag-Management- und Tracking-Tools darf ausschließlich nach einer wirksamen Einwilligung der Nutzer erfolgen. Sorgen Sie technisch dafür, dass Tag-Manager (und alle über sie geladenen Tools) erst nach einer ausdrücklicher Einwilligung des Nutzers aktiviert werden. Und denken Sie auch darüber nach, wie sich die Webseite verhalten soll, wenn die Einwilligung für den Tag-Manager nicht erteilt wird. Unter Umständen könnte der Einsatz eines Tag-Managers durch diese Überlegungen nicht mehr sinnvoll erscheinen.

Ihre Datenschutzhinweise müssen, neben den weiteren Bestandteilen transparent und verständlich erläutern, welche Tools eingesetzt werden, zu welchem Zweck, auf welcher Rechtsgrundlage und an welche Empfänger gegebenenfalls Daten übermittelt werden. Die Rechtsgrundlage kann nunmehr ausschließlich die Einwilligung sein. Empfänger in unsicheren Drittstaaten, müssen explizit im Rahmen der Einwilligung aufgeführt werden. Sofern für die unsicheren Drittstaaten keine ausreichenden Garantien existieren und Sie, wie der Webseitenbetreiber im aktuellen Fall, die Ausnahme des Art. 49 Abs. 1 lit. a DSGVO nutzen wollen, muss die Einwilligung in den Drittstaatentransfer ausdrücklich sein. Die diesbezüglichen Informationen dürfen nicht in den letzten Zeilen der Datenschutzhinweise verschwinden, sondern auf den Drittlandtransfer muss im Zusammenhang mit der Einwilligung hingewiesen werden.

Ein Consent-Manager muss den aktuellen rechtlichen Anforderungen entsprechen:

  • alle Buttons müssen gleichwertig auf der ersten Ebene erscheinen,
  • es darf keine optische Bevorzugung der Zustimmung geben,
  • es müssen klare und verständliche Information über die Datenverarbeitung durch sämtliche eingesetzten Tools zur Verfügung gestellt werden.

Handlungsempfehlungen

Wir empfehlen Ihnen vier Schritte:

  1. Überprüfen Sie die auf Ihrer Website eingesetzten Tracking- und Tag-Management-Lösungen auf deren Einbindung und Einwilligungspflicht.
  2. Aktualisieren Sie Ihr Consent-Management-System und Ihre Datenschutzhinweise, um den Anforderungen des aktuellen Urteils zu entsprechen.
  3. Verzichten Sie auf den Einsatz datenschutzrelevanter Tools ohne vorherige, ausdrückliche Einwilligung durch den Nutzer. Setzen Sie einen Consent-Manager ein, der technisch sicherstellt, dass Tag-Manager und Tracking erst nach Einwilligung ausgeführt werden.
  4. Erwägen Sie alternative Lösungen in der Umsetzung.

Fazit:

Die frühere Praxis, Tag-Manager oder Tracking-Tools ohne Einwilligung oder aus „berechtigtem Interesse“ zu nutzen, ist nach dem aktuellen Urteil nicht mehr zulässig. Bitte stellen Sie sicher, dass Sie Ihre Website und Ihre Datenschutzhinweise an die geltenden Vorgaben anpassen.

Bei Fragen zur Umsetzung stehen wir Ihnen jederzeit gerne beratend zur Seite.

Das könnte Dich auch interessieren
private nutzung emails zugriff arbeitgeberDatenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen?
google consent mode v2Der Google ConsentMode v2
rechte- und rollenkonzept einsicht personalakte beschäftigungsverhältnisEinsicht in die Personalakte und weitere Unterlagen durch Führungskräfte
Einwilligung PIMS 26 ttdsg tdddg einwilligungsverwaltungsverordnung werbeanrufe opt-in generierungAnforderungen an Einwilligungen in Werbeanrufe
tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeitDas Dilemma mit den „technisch notwendigen“ Diensten und Cookies
berechtigungen zugriff führungskraft chefWelche Daten dürfen Führungskräfte und Kolleg*innen sehen?