Tracking: Notwendiges Übel oder übler Datenschutzverstoß?

Zahlreiche Datenschutzbeauftragte der Länder und des Bundes haben vor einigen Tagen Unternehmen und auch öffentliche Stellen aufgefordert, „Google Analytics“ und andere „Tracking“-Angebote nicht ohne Einwilligung einzusetzen. So heißt es: „Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.“ Dies funktioniere nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen. Dazu empfehlen die Datenschutzbeauftragten ihre im Frühjahr 2019 aktualisierte „Orientierungshilfe für Anbieter von Telemedien“.

Diese Aktion bedarf einer gewissen Einordnung: So hat Google Analytics eine Vielzahl von Konfigurationsmöglichkeiten und kann in seiner Grundeinstellung nach Ansicht von Experten ohne Einwilligung eingesetzt werden. Darüber hinaus ist es rechtlich äußerst umstritten, ob bei Nutzung der demografischen Features von Google Analytics eine Einwilligung zwingend ist. Und für Unternehmen, die z.B. erweiterte Dienste von Google im Kontext mit Google Analytics nutzen, um die Wirksamkeit ihrer Werbung zu messen, kann einiges dafür sprechen, dass auch dies – insbesondere bei Unternehmen, die zwingend auf Werbung angewiesen sind – ohne eine Einwilligung zulässig sein kann.

Fürs Tracking benötigen die meisten Unternehmen zwar kein Google Analytics, weil sie nur wissen wollen, wie viele Unique User (einmalige Besucher) ihre Seite besuchen oder wo auf ihrer Seite tote Links schlummern. Von daher ist die „Aktion“ der Aufsichtsbehörden zwar insofern gut, als dass sie Alternativen zu Google Analytics aufzeigen möchte. Allerdings sind die Aussagen gegen Google wiederum viel zu pauschal und unprofessionell. Vielleicht sollten die Behörden einfach mal ein Bußgeld in der Sache verhängen, um ein Exempel zu statuieren bzw. gerichtsfest für Klarheit zu sorgen.

Schränkt der Datenschutz die Pressefreiheit ein?

Datenschutz-Guru Stephan Hansen-Oest weist z.B. zu recht darauf hin, dass, wenn man die Tracking-Anweisungen weiter denkt, der „Datenschutz“ zur Gefahr für die Pressefreiheit wird. Das Abfordern einer Einwilligung kann auf Verlagsseiten von Online-Zeitungen ein ganzes Demokratieproblem auslösen. Denn – kurz gesagt – Verlage sind auf Online-Werbung angewiesen, um ihre Artikel für die Nutzer kostenfrei ins Netz zu stellen. Online-Werbung macht sich dabei nur bezahlbar, wenn sie personenbezogen ausgespielt wird: Jeder Nutzer soll möglichst das sehen, was ihn am ehesten interessieren könnte.

Nun sind Nachrichten kein Luxusgut, sondern jeder sollte in einer Form Zugriff darauf haben. Der Staat muss die Pressefreiheit garantieren. Aufgrund des Datenschutzes muss aber eigentlich immer erst die Einwilligung zum Tracking des einzelnen Users eingeholt werden. Regelkonform müsste sich wohl vor dem Aufrufen jeder Webseite, die externe Werbung schaltet, also erstmal ein Fenster öffnen, in dem wir dem Datenschutz zustimmen. Seit einer Weile kann man ja auch vielerorts auch auswählen, ob man z.B. alle oder nur ausgewählte Daten teilen möchte. All das kostet jedenfalls Zeit und viele Leute könnten sich genervt abwenden. Traditionell sind die Menschen in Deutschland ja auch wirklich auf den Schutz ihrer Daten bedacht und wollen deshalb Tracking nicht einwilligen.

Nun der Clou: Wenn alle seriösen journalistischen Webseiten dieses abschreckende Datenschutz-Prozedere einführen (müssen), werden dann die Benutzer nicht zu solchen Seiten abwandern, die zwar nicht tracken, aber dafür einfach unseriös sind und womöglich Fake News in die Welt posaunen? Schließlich wollen die keine Nutzerdaten und man muss auch nicht erst drei Mal irgendwelchen Datenschutzbestimmungen zustimmen… ein echt heikles Thema, zu dem es im Moment wohl noch keine Lösung gibt.

„Datenschutzinformationen“ korrekt benennen – und von den AGB trennen

Bei dieser Gelegenheit gleich noch ein Tipp: Nennen Sie die Datenschutzabteilung auf ihrer Webseite nicht „Datenschutzerklärung“ oder „-richtlinien“ – diese erwecken nämlich leicht den Anschein, etwas Statisches bzw. Bestandteil der AGB zu sein. Vor allem wenn Nutzer diese „Datenschutzhinweise“ durch eine Checkbox akzeptieren müssen. Datenschutzinformationen sind jedoch einseitige Informationen, die ein Verantwortlicher gegenüber Betroffenen angibt. Diese können sich – anders als ein Vertrag – jederzeit ändern. Besser sind Begriffe wie „Datenschutzhinweise“, „Datenschutzinformation“, „Informationen zum Datenschutz“ oder „Informationen zur Datenverarbeitung“ – nur so kann jeder Hauch von einer zweiseitigen Vereinbarung mit dem Nutzer unterbunden werden.

Aus diesem Grund gilt es auch, Datenschutzbestimmungen und AGB immer sauber voneinander zu trennen. Denn AGB werden in der Regel wirksam in ein Vertragsverhältnis einbezogen und die kann man nur ändern, wenn der Verwender der AGB z.B. sechs Wochen vorher über die Änderungen informiert und ein Widerspruchsrecht gegen die Änderungen eingeräumt wird.

So werden DSGVO-Bußgelder berechnet

Sollte eine Aufsichtsbehörde bei Ihnen Datenschutzverstöße feststellen, gebe ich Ihnen hier die neuen Berechnungsregeln für Bußgelder bei Verstoß gegen die DSGVO an die Hand. Denn die Übergangsphase mit moderaten Bußgeldern ist nun vorbei, immer öfter werden fünf- und mehrstellige Bußgelder gegen Unternehmen verhängt. Grundsätzlich beträgt die Höchststrafe vier Prozent des Jahresumsatzes. Die Datenschutzbeauftragten der Länder wollen nun die Höhe der Bußgelder vereinheitlichen bzw. standardisieren. Die genaue Höhe berechnet sich aus dem fiktiven Tagesumsatz (Jahresumsatz geteilt durch 360) und dem Schweregrad des Datenschutzverstoßes.

Letzterer berücksichtigt die Ausmaß des verursachten Schadens, die Zahl der Betroffenen, die Dauer des Verstoßes, ihre Datenschutz-„Vorstrafen“, ob sie vorsätzlich oder fahrlässig gehandelt haben und wie sie mit dem Verstoß umgehen. Die Behörden ermitteln dann einen Wert zwischen 0 und 14,4. Der Wert 14,4 entspricht der Höchststrafe von vier Prozent des Jahresumsatzes.

Das neue Bußgeldkonzept ist noch in Arbeit, wird aber schon erprobt. Deshalb ist in Zukunft mit weiteren und höheren Bußgeldbescheiden zu rechnen. Vor kurzem wurde zum Beispiel gegen die berüchtigte „Deutsche Wohnen“ 14,5 Millionen Euro Bußgeld verhängt. Die Berliner Datenschutzbeauftragte monierte, dass das Unternehmen die Daten von Mietern bewusst in einem nicht löschbaren Archivsystem angelegt hat. Basierend auf dem Jahresumsatz von über einer Milliarde Euro hätten sogar bis zu 28 Millionen Euro Bußgeld verhängt werden können. Warum nun nur zwei und nicht vier Prozent des Jahresumsatzes gewählt wurden, bleibt ein Rätsel. Denn Missstand wurde bereits 2017 festgestellt und bis März 2019, als eine Kontrolle stattfand, kaum behoben.

Auch andere Großkonzerne gehen nicht gerade transparent mit unseren Daten um, wie Jan Böhmermann gerade schön anhand der Schufa aufgezeigt hat.