Was ist aktuell im Online-Marketing zulässig, was nicht?

Cookies sind kleine Textdateien zur Erkennung von Nutzern, die Webseitenbetreiber auf dem Computer des Nutzers speichern. Manche erleichtern Nutzern die Bedienung einer Webseite bzw. die Seite kann ohne sie nicht betrieben werden. Andere Cookies werden aber genutzt, um das Nutzerverhalten über mehrere Webseiten hinweg zu analysieren und personalisierte Werbeanzeigen zu platzieren. Dabei werden teilweise auch personenbezogene Daten der Nutzer erhoben.

Lange Zeit war die Rechtslage im Hinblick auf Cookies in Deutschland recht verworren. Deshalb nutzten viele Webseitenbetreiber einfach einen „ok“-Button, auf den die Besucher klicken sollten – aber keine echte Wahlmöglichkeit hatten. Das sollte nun eigentlich nach einigen Urteilen und Gesetzesänderungen passé sein – doch sind jetzt wirklich alle Fragen geklärt? Und was gilt jetzt eigentlich?

Rechtsgrundlagen für Tracking, Reichweitenmessung und Cookies

Auf welcher Rechtsgrundlage können Unternehmen überhaupt Tracking- bzw. Analysemaßnahmen durchführen und Cookies setzen? Die bereits seit längerem angekündigte ePrivacy-Verordnung, die das Thema Cookies EU-weit regeln sollte, ist immer noch nicht in Sicht. Daher kommen aktuell zwei Gesetze in Betracht:

Das TTDSG für Cookies & Co.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) setzt die ePrivacy-Richtlinie der EU um und hat diesbezüglich am 1.12.2021 das alte Telemediengesetz (TMG) abgelöst. Die Richtlinie und das auf ihr basierende Gesetz dienen allgemein dem Schutz von Endgeräten wie PCs und Smartphones vor dem Zugriff durch Dritte. Artikel 5 Abs. 3 der Richtlinie regelt den Fall, dass Informationen auf den Endgeräten Informationen gespeichert werden bzw. auf Informationen auf deren Endgeräten zugegriffen wird. Hauptanwendungsfall ist das Setzen von Cookies. Nach einem langen Hin und Her zwischen deutschen und europäischen Institutionen und Gerichten (EuGH, Urt. v. 1. Oktober 2019, C-673/17 – PLANET49; BGH, Urt. v. 28. Mai 2020, Az. I ZR 7/16 – Cookie-Einwilligung II) wird Artikel 5 Abs. 3 der ePrivacy-Richtlinie nun in § 25 des TTDSG richtig umgesetzt.

Danach ist das Setzen von Cookies grundsätzlich nur zulässig, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung ist nach dem Gesetz nur dann nicht nötig, wenn der Cookie „unbedingt erforderlich“ wäre, damit der Anbieter einen vom Nutzer „ausdrücklich gewünschten“ Dienst zur Verfügung stellen kann. Es existiert jedoch kein verbindlicher Katalog notwendiger Cookies, sondern nur verschiedene Ansichten dazu – auch von den Datenschutzbehörden. Der aktuelle Stand ist folgender:

• Technisch notwendig sind sicherlich Session- bzw. Warenkorb-Cookies, solche zum Login-Status, der Sprachauswahl oder der Sicherheit der Nutzer.
• Bei Komfortfunktionen gehen die Ansichten auseinander, ob dies technisch erforderlich ist.
• Tracking allein zu Marketing- und Werbezwecken (z.B. Konversionsmessung, personalisierte Werbung über mehrere Webseiten hinweg oder die Bildung von Nutzerprofilen) ist hingegen nicht unbedingt erforderlich. Daher bedarf es auch auf dieser Grundlage einer Einwilligung der Nutzer.
• Unsicher ist die Rechtslage bei der reinen Reichweitenmessung – dazu gleich mehr.

Allerdings gilt diese Rechtsgrundlage nur für das Setzen von Cookies bzw. das pseudonymisierte Messen etwa der Öffnungs- und Klickrate eines Newsletters – nicht aber für das Verarbeiten der personenbezogenen Daten, die mittels Tracking gesammelt werden. 

Die Datenschutzgrundverordnung (DSGVO) für personenbezogene Daten

Alles, was nach dem Speichern bzw. Abrufen von Informationen auf den Endgeräten passiert, ist an der DSGVO zu messen – zumindest, soweit die gesammelten Informationen personenbezogene Daten sind. Nach Artikel 4 Abs. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bereits bei der IP-Adresse handelt es sich um ein personenbezogenes Datum. Dies gilt erst Recht für individualisierte Nutzungsprofile. Wer personenbezogene Daten verarbeitet, muss sich dafür auf eine Rechtsgrundlage der DSGVO stützen können.   

Richtet sich die konkrete Tätigkeit nach der DSGVO, so bestehen bei der Reichweitenanalyse und beim Tracking folgende Herausforderungen:

Problem: Datenübermittlung in die USA

Lange Zeit nahm man es als sicheren Weg an, das am häufigsten genutzt Analysetool Google Analytics über die IP-Adresse zu anonymisieren, um so aus dem Anwendungsbereich der DSGVO herauszufallen. Doch hierzu sagte jüngst die österreichische Datenschutzbehörde (DSB), dass das Tool so viele Daten übermittle, dass die DSGVO wohl dennoch anwendbar sei.

Die DSB bewertete das Tool des US-Anbieters außerdem als nicht legal in Europa, weil personenbezogene Daten in die USA übermittelt würden. Das Hauptproblem dabei betrifft alle US-Unternehmen, nicht nur Google Analytics. Seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C‑311/18) können sich EU-Unternehmen bei der Datenübermittlung aus der EU nicht mehr auf das transatlantische „Privacy Shield“ berufen. Denn die Luxemburger Richter urteilten, dass es US-Überwachungsgesetze amerikanischen Sicherheitsbehörden ermöglichen, auch auf Daten von EU-Bürgern zuzugreifen. Damit entspreche der Datenschutzstandard in den USA nicht dem in der EU.

Seitdem setzen europäische und US-Unternehmen beim transatlantischen Datenaustausch auf die sog. Standardvertragsklauseln der EU-Kommission. Die österreichische und mittlerweile auch die französische Datenschutzbehörde sahen diese aus demselben Grund als nicht ausreichende Grundlage für die Datenübermittlung an wie der EuGH bei Privacy Shield. Da der Kläger Max Schrems weitere 99 Verfahren in verschiedenen EU-Ländern am Laufen hat, darunter u.a. auch in Deutschland, könnte es gut sein, dass auch hierzulande Datenschutzbehörden ähnlich entscheiden werden. Damit steht die Nutzung aller US-Dienste auf langfristig wackeligem Boden.

Eine Alternative wäre eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a DSGVO. Allerdings könnte auch diese an den Zugriffsmöglichkeiten der US-Behörden scheitern. Darauf weist auch die Datenschutzkonferenz in ihren Hinweisen von Dezember 2021 hin. Daher ist es aktuell schwierig, auf einen US-Dienst zu setzen, sofern dieser personenbezogene Daten in die USA übermittelt.

Problem: Einwilligung in die Verarbeitung personenbezogener Daten

Doch selbst, wenn man auf einen Dienst mit Sitz in der EU setzt, gilt: Werden beim Tracking personenbezogene Daten erhoben und zur Bildung von Nutzerprofilen, zur Verfolgung über mehrere Webseiten hinweg oder für personalisierte Werbung genutzt, so bedarf dies immer einer DSGVO-konformen Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Die Berufung auf ein überwiegendes „berechtigte Interesse“ ist hier nicht möglich.

Allerdings versuchen manche Anbieter – z.B. Zeitungen – einen Sonderweg, der rechtlich aktuell noch nicht völlig abgesichert ist: Sie koppeln die Nutzung ihrer kostenlosen Website an die Einwilligung in das Setzen von Analyse-Cookies, nach dem Motto: Die Messung deiner Daten ist der Preis dafür, dass du die Website umsonst nutzen darfst. So z.B. der Spiegel:

Es ist aber derzeit nicht ganz klar, ob das rechtlich Bestand haben kann, weil die „Einwilligung“ dann nicht ganz freiwillig erfolgt. Denkbar ist das aber, sofern auch eine Alternative angeboten wird, die nicht viel kostet, die Nutzer transparent über die Verarbeitung der Daten aufgeklärt werden und die Nutzung der Website nicht notwendig ist (anders wäre das z.B. bei Banken, Versicherern oder Behörden). Die niedersächsische oder österreichische Datenschutzaufsicht etwa halten diese Variante tatsächlich für zulässig. Ein gewisses Restrisiko bleibt aber.

Die reine Reichweitenmessung

Die reine Reichweitenmessung ohne das Setzen von Cookies und ohne die Möglichkeit, die Nutzer zu identifizieren, kann hingegen unter bestimmten Umständen rechtlich zulässig sein.

So behelfen sich manche Dienste wie die Open-Source-Software „Mamoto“ für die Reichweitenmessung mit dem „Digitaler Fingerprint-System“, bei dem keine personenbezogenen Daten verarbeitet und keine Cookies gesetzt werden. Hier werden Nutzer nur anhand von nicht personenbezogenen Informationen wiedererkannt, die beim Zugriff auf z.B. eine Website vom Endgerät der Nutzer direkt an den Server gesendet werden. Das können z.B. Informationen sein zum System, dem Browser, den Einstellungen, den installierten Plugins oder der anhand der IP-Adresse erkannte Ort. Diese werden zu einem individuellen “Fingerprint” des Endgeräts zusammengefügt, der aber nur kurz, meist 24 Stunden auf dem eigenen Server gespeichert wird. Es wird dabei – anders als beim Setzen von Cookies – nicht auf das Endgerät zugegriffen.

Auch die deutschen Aufsichtsbehörden sehen diese Variante der Reichweitenmessung unter Einhaltung strenger Regeln in ihrer Orientierungshilfe vom 1. Dezember 2021 wohl als zulässig an.

Danach dürfte die Reichweitenmessung wohl generell zulässig sein, solange:

1. keine Cookies gesetzt werden,  
2. keine personenbezogenen Daten ausgelesen werden,
3. ein Fingerprint nur so lange gespeichert wird, wie es für die konkrete Funktion des Dienstes erforderlich ist,
4. die gesammelten Informationen nur zu Zwecken der Darstellungs- und Inhaltsoptimierung und nicht zu Marketingzwecken genutzt werden,
5. grds. nur der Anbieter der Website die Daten ausliest bzw. wenn ein Drittanbietertool verwendet wird, muss der Webseitenanbieter überprüfen, dass dieser die Daten nicht zu eigenen Zwecken verwendet und
6. die Nutzer zumindest in der Datenschutzerklärung über die Nutzung des Dienstes aufgeklärt werden.

Wer hingegen Google Analytics nutzen möchte, muss vermutlich mit Rückfragen der Behörden und im ungünstigsten Fall mit rechtlichen Problemen rechnen. Das liegt daran, dass es (zumindest nach Ansicht der österreichischen Datenschutzbehörde) kaum möglich ist, den Dienst so zu nutzen, dass wirklich keine personenbezogenen Daten erhoben werden und die DSGVO keine Anwendung findet. Dann besteht aber wieder (mindestens) das Problem der Übermittlung von Daten in die USA. Wer dieses Risiko eingehen möchte, sollte den Dienst aber nur so nutzen, dass lediglich anonymisierte Daten erhoben und keine Cookies gesetzt werden. Gegenüber den Behörden dürfte aber schwer nachzuweisen sein, dass Google keine Daten zu eigenen Zwecken sammelt. Der US-Dienst ist also aus verschiedenen Gründen risikobehaftet.  

Tracking in Newslettern

Auch Mailingdienste bieten ihren Kunden bereits seit vielen Jahren die Möglichkeit, das Öffnungs- und Klickverhalten von Newsletter-Empfänger zu tracken und Nutzerprofile zu bilden. Newsletter können zu verschiedenen Zwecken getrackt werden: Interessant für Unternehmen ist zum einen die Messung der Öffnungs- und Klickrate. Die Öffnungsrate zeigt, wie viele Adressaten den Newsletter tatsächlich geöffnet haben. Bei der Klickrate können die Versender nachvollziehen, welche Links im Newsletter die Empfänger wie oft angeklickt haben. Das „Profiling“ dient dazu, alle möglichen Informationen zu den Nutzern zu sammeln und individuelle Profile von ihnen zu speichern. Teilweise werden hierzu auch externe Dienste wie Google Analytics eingebunden. In extremen Fällen tracken die Dienste sogar die Scroll- und Mausbewegungen mit so genannten “Heat-Maps”.Mit all diesen individualisierten Methoden können Unternehmen z.B. erkennen, an welchen Produkten der Empfänger ein Interesse hat und an welchen nicht. Das macht es z.B. möglich, die Nutzer gezielt mit für sie interessanten Produkten anzusprechen.

Diese Raten werden mit verschiedenen Technologien gemessen. Etwa mit sog. Web-Beacons oder auch Zählpixeln, welche in den Newsletter integriert werden. Wenn der Nutzer dann die E-Mail öffnet, wird eine Datei vom Server nachgeladen, welche die individuelle Messung ermöglicht. Auch die klickbaren Links können personalisiert werden.

Je nach Messung werden dabei entweder pseudonymisierte Daten erfasst, die keinen Rückschluss auf einzelne Nutzer zulassen – etwa die Angabe, wie häufig der Newsletter überhaupt geöffnet wurde. Erfüllt die Reichweitenmessung hier die Kriterien der Datenschutzkonferenz, wäre sie auch ohne Einwilligung der Nutzer möglich.

Meist werden aber auch personenbezogene Daten wie die dazugehörige IP-Adresse erhoben. Beim Profiling sammeln Unternehmen Informationen und ordnen sie einer konkreten Person samt dazugehöriger (E-Mail-)Adresse zu. Zudem erfolgt die Analyse des Newsletter-Erfolgs meist zu dem Zweck, den Interessenten personalisierte Werbung auszuspielen. Diese Tracking-Verfahren bedürfen daher dann ebenfalls einer Einwilligung der Nutzer.

Custom Audiences von Facebook

Eine weitere Möglichkeit des Online-Marketings ist die Funktion Custom Audiences von Facebook. Sie kann auf verschiedene Weisen eingesetzt werden:

Custom Audiences durch Webseiten funktioniert, indem auf dem eigenen Facebook-Werbekonto ein Tracking-Pixel – das sogenannte Facebook-Pixel – generiert und dieses dann auf der eigenen Website eingebunden wird. Da jeder Facebook-Nutzer über eine unabhängige Facebook-ID verfügt, kann mit diesem Pixel beispielsweise jeder Besucher Ihrer Seite markiert und einem Facebook-Profil zugeordnet werden. Entsprechende Personen können Marketing-Treibende dann über eine Facebook-Anzeige erneut gezielt zu Werbezwecken ansprechen. Die Pixel-Variante ist sowohl nach dem TTDSG als auch nach der DSGVO einwilligungsbedürftig, da es mit Cookies und ähnlichen Technologien arbeitet und mit dem Tracking vergleichbar ist. So sah es auch die Datenschutzkonferenz 2019. 

Bei Facebook kann man aber auch Email-Listen seiner Käufer hochladen. Diese Kundenliste wird verschlüsselt bei Facebook hochgeladen, und anschließend verwendet Facebook die verschlüsselten Daten aus der Liste, um die Personen auf der Liste auf Facebook zu identifizieren. Facebook schaut dann, welcher der Mailadressen bei Facebook einen Account haben. Der Umstand, dass die personenbezogenen Daten vor der Übermittlung an Facebook verschlüsselt werden, stellt allerdings keine „Anonymisierung“ im Sinne des deutschen Datenschutzrechts dar – es sind immer noch personenbezogene Daten. Diese werden dann gescreent auf demografische Daten, Interessen etc. Auf dieser Basis erstellt Facebook dann eine sogenannte “Look-Alike” Audience. Also Leute, die den hochgeladenen sehr ähnlich sind. Diesen kann man dann seine Werbung ausspielen. Zu Listenvariante schreib das bayerische Landesamt für Datenschutzaufsicht (BayLDA) schrieb 2017, dass dieses Verfahren auch nach der DSGVO nicht ohne Einwilligung zulässig sein würde. Dies bestätigte später der Bayerische Verwaltungsgerichtshof (Urt. v. 26. September 2018, Az. 5 CS 18.1157) damals allerdings noch zur alten Rechtslage, dürfte aber auch auf die DSGVO übertragbar sein.   

Aktuell dürfte der Einsatz beider Varianten also nur auf Basis einer Einwilligung erlaubt sein.  

Die Einwilligung rechtssicher einholen

Mit der Änderung der Rechtslage mussten sehr viele Seiten-Betreiber ihre Cookie-Banner ändern. Nutzer müssen nun also die Möglichkeit haben, aktiv in „nicht notwendige“ Cookies und das Sammeln personenbezogener Daten zu Marketingzwecken einzuwilligen.

Wer eine Einwilligung für Tracking-Maßnahmen einholen möchte, muss darauf achten, dass die Einwilligung die Anforderungen von § 25 TTDSG und Art. 6 Abs. 1 S. 1 lit a., 7 DSGVO erfüllt. Konkret bedeutet das:

Der Einwilligungstext muss beim ersten Aufruf der Seite eingeblendet werden. Erst, wenn der Nutzer aktiv eingewilligt hat, dürfen nicht technisch notwendige Cookies gesetzt und ggf. personenbezogene Daten erhoben werden. Dabei sind nach der DSGVO folgende Voraussetzungen zu beachten (wer diese Voraussetzungen einhält, handelt auch im Einklang mit dem TTDSG):

• Die Einwilligung muss sich auf die konkreten Tracking-Maßnahmen und ihre konkrete Art der Verarbeitungszwecke beziehen. Der User muss also ausreichend über die Reichweite der Einwilligung und darüber informiert werden, welche Cookies gesetzt und welche Daten gesammelt werden
• Ist ein Drittanbieter beteiligt, gehört dies ebenfalls zu den wichtigen Informationen. Lediglich zu den Details können Unternehmen auf ihre Datenschutzerklärung verlinken. Dementsprechend ist es wichtig, in der Datenschutzerklärung genaue Informationen über Tracking und Profiling mit aufzunehmen.
• Die Einwilligung muss freiwillig erteilt werden. Der Einwilligende muss eine echte und freie Wahl haben und in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Aufgrund des sog. „Kopplungsverbots“ nach Art. 7 Abs. 4 DSGVO darf eine Vertragserfüllung nicht mehr von einer Einwilligung in die Datenverarbeitung zu Marketingzwecken abhängig gemacht werden.
• Der Einwilligungstext muss klar formuliert sein.
• Der Text muss gut zugänglich sein.
• Die Nutzer müssen deutlich auf die Widerrufsmöglichkeit hingewiesen werden.
• Das versendende Unternehmen muss die Einwilligung später nachweisen können. Daher ist hier auf das Double-Opt-In-Verfahren zu achten.

Nach dem EuGH zur ePrivacy-Richtlinie und dem darauf folgenden BGH-Urteil ist außerdem klar, dass der Nutzer selbst aktiv werden und z.B. ein Kontrollkästchen anklicken muss, um den Empfang des Newsletters inklusive aller Tracking-Maßnahmen zu bestätigen. Voreingestellte Kästchen sind hingegen nicht zulässig.  

Fazit: Viele Fragen offen

Viele Rechtsfragen sind derzeit aber weiterhin ungeklärt: Wie steht die deutsche Datenschutzbehörde zu Google Analytics? Wie müssen bzw. dürfen solche Cookie-Banner aussehen? Müssen die Schaltflächen „einwilligen“ und „ablehnen“ gleichberechtigt nebeneinander stehen? Oder ist es zulässig, dass der Nutzer erst auf „weitere Informationen“ klicken muss, um seine Ablehnung kundzutun – so wie es derzeit die meisten Webseitenbetreiber handhaben? Darf die Nutzung einer Webseite an die Einwilligung in das Setzen von Cookies gekoppelt sein – so wie das aktuell einige Online-Zeitungen machen? Zu den Fragen der Ausgestaltung von Cookie Bannern hat der Datenschutzaktivist ebenfalls zahlreiche DSGVO-Beschwerden eingereicht.  

Die Abmahnungen in Bezug auf Cookie-Banner sind zahlreich, die Rechtslage ändert sich ständig und es ist bald mit neuen Urteilen zu rechnen. Daher ist es auch hier wichtig, sich rechtlichen Rat zum aktuellen Stand der rechtlichen Lage einzuholen, bevor man auf das falsche, abmahnanfällige „Consent-Management-Tool“ setzt.

ahe