Datenschutzkonferenz äußert sich zu Tracking und Cookies auf Webseiten

Vor dem Hintergrund der am 25.05.2018 in Kraft tretenden Europäischen Datenschutzgrundverordnung (DSGVO) nahm die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder Stellung zur Anwendbarkeit des Telemediengesetzes (TMG) für den Einsatz von Tracking-Mechanismen und Cookies auf Websites.

Tracking beschreibt die Analyse des digitalen Datenverkehrs auf einer Webseite und erfolgt über sogenannte „Webanalyse“-Programme. Mit diesen können dann unter anderem die Herkunft der Besucher, ihre Verweildauer auf einzelnen Seiten sowie die Nutzung von Suchmaschinen erfasst werden. Zu den bekanntesten und am häufigsten eingesetzten Programmen zählen „Google Analytics“ und „Piwik“.

Wortwörtlich heißt es in der Positionsbestimmung der DSK: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

„Informierte Einwilligung“ meint hier, dass vor Beginn des Trackings bzw. der Datenerhebung eine Einwilligung in Form der „Opt-In Lösung“ erfolgen muss. Das heißt, der Besucher der Homepage muss zunächst aufgeklärt werden, dass ein Tracking erfolgen wird. Sodann muss ihm die Möglichkeit gegeben werden, diesem zuzustimmen bzw. es abzulehnen.

Unabhängig davon, dass diese Auffassung der DSK rechtlich umstritten ist und hier in der Zukunft vermutlich noch „Nachbesserungen“ erfolgen werden, kann der IFK seinen Mitgliedern nur raten, sich mit der Thematik auseinanderzusetzen. Die einfachste Lösung wird sein, alle nicht unbedingt notwendigen Tracking Tools bis auf weiteres von der Homepage zu entfernen bzw. die beschriebene Opt-In-Lösung zu installieren. Ansonsten besteht die große Gefahr, wegen eines nicht DSGVO-konformen Datenschutzhinweises wettbewerbsrechtlich abgemahnt zu werden.

Das entsprechende Kurzpapier sowie weitere Informationen über die aktuellen Beschlüsse der DSK finden Sie online auf den Seiten der Landesdatenschutzbehörden, zum Beispiel auf der Seite des LDI NRW unter https://www.ldi.nrw.de.

Um Physiotherapeuten mehr Sicherheit im Umgang mit den neuen Datenschutzregelungen zu verschaffen, bietet der IFK am 16.05.2018 von 18:30 Uhr bis 20:30 Uhr in Bochum einen Themenabend unter dem Motto „Datenschutz in der Therapiepraxis“ an. Dabei werden vor allem datenschutzrechtliche Aspekte mit hohem physiotherapeutischem Praxisbezug vermittelt. Zur Anmeldung geht es hier.