Aufgrund aktueller Urteile des EuGH und Klarstellungen/ Pressemitteilungen durch die deutschen Datenschutzbehörden (ebd. Landesdatenschutz Niedersachen und NRW), ergibt sich die Notwendigkeit für jedes Unternehmen welches Websites und/ oder Webshops betreibt den Einsatz von sog. III Party-Cookies (Cookies die Daten an Dritte weitergeben) ggf. neu zu bewerten.
Es stellt sich die Frage unter welchen Voraussetzungen die Weitergabe von Daten an Dritte über Drittanbieter-Tools/ -Cookies für Telemedien-Betreiber (Website- und Shop-Betreiber) datenschutzrechtlich statthaft ist?
Welche Norm ist überhaupt relevant – nur die DSGVO!:
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019 auf Seite 6 fest: „Da Art. 5 Abs. 3 ePrivacy-Richtlinie in Deutschland nicht umgesetzt wurde und weder eine richtlinienkonforme Auslegung noch eine unmittelbare Wirkung des Art. 5 Abs. 3 ePrivacy-Richtlinie in Betracht kommt, entstehen hieraus für Telemediendiensteanbieter in Deutschland keine bereichsspezifischen Pflichten im Sinne des Art. 95 DSGVO, so dass dessen Voraussetzungen insoweit nicht greifen. Zudem finden sich auch keine Öffnungsklauseln in der DSGVO, die die Anwendbarkeit des § 15 TMG rechtfertigen. Es bleibt daher bei der generellen Anwendung der Regelungen der DSGVO.“
Bis zur Verabschiedung einer neuen ePrivacy-Richtlinie gilt nach den Klarstellungen/ Entscheidungen des EuGH auch in Deutschland für eine Bewertung von Drittanbieter Tracking und Marketing-Cookies unmittelbar die DSGVO als alleiniger Bewertungsmaßstab. Zudem ist mit einer neuen ePrivacy-Richtlinie nicht zeitnah zu rechnen. Bereits in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ vom März 2019 vertraten die Aufsichtsbehörden die Meinung, eine Weitergabe von Daten an Dritte (über Cookies) sei nur im Rahmen einer informierten und ausdrücklichen Einwilligung des Betroffenen (Nutzers) möglich.
Was muss die Verantwortliche Stelle tun – Alternativen
Marketing- und Tracking Cookies die Daten an Drittanbieter weitergeben, sind nicht länger ohne eine informierte und ausdrückliche Einwilligung durch einen Benutzer erlaubt. Dies bedeutet, dass vor dem Tracking Benutzer nachweislich und ausdrücklich dem Setzen eines Marketing und Tracking Cookies zustimmen müssen. Dies gilt nicht für technisch notwendige Cookies, die für den Betrieb einer Seite erforderlich sind. Ein Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeutet, ist unzureichend.
Nicht eindeutig ist die Situation bei Tools die zwar Benutzerdaten über Cookies tracken, aber diese Daten nicht an datenschutzrechtliche Dritte weitergeben, entweder weil die Daten nur lokal verarbeitet werden (z.B. Matomo) oder aber es sich um einen Auftragsverarbeiter der Verantwortlichen Stelle für eine Webseite handelt (z.B. etracker).
Sollten Sie auf Drittanbieter Tools nicht verzichten wollen, so müssen Sie die Einwilligung mit einem sog. Consel Tool, die in der Regel auch die eingesetzten Cookies auslesen können einholen. Sprechen Sie hierzu Ihre Internetagentur an. Das Tool selbst muss dann ebd. in die Datenschutzerklärung aufgenommen werden, erzeugt aber technisch notwendige Cookies, die auch ohne Zustimmung eingesetzt werden dürfen.