Damit Webseiten-Betreiber oder um es konkret zu nennen WordPress-Betreiber personalisierte Werbung ausspielen können, benötigen diese eine Tracking-Technologie wie zum Beispiel Google Analytics oder den Facebook-Pixel. Um einen Trackingdienst (in der Regel Third Party Cookies) auf der Webseiten konform zu integrieren, benötigt man eine vorherige Zustimmung der Webseiten-Besucher. Aber was genau steht in der Datenschutz-Grundverordnung?
Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen. Was bedeutet das? Das ist ganz einfach: Immer wenn ein Unternehmen personenbezogene Daten verarbeiten möchte, benötigt es eine Rechtsgrundlage als Erlaubnisvorbehalt. Hat ein Unternehmen keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden.
Rechtsgrundlage für Tracking auf der Webseite
In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in dem Artikel 6 geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 (1) a) DSGVO. Mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:
- die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (z.B. Checkbox auf Webseite, Cookie Hinweis)
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (z.B. Kaufvertrag, Anfrage für Angebot)
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. Meldungen an öffentliche Stellen wie Krankenkassen, Polizei)
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z.B. Arbeitsunfall)
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Für die Einbindung von Tracking-Diensten benötigen wir die in Artikel 6 (1) a) DSGVO genannte Einwilligungserklärung. Eine Interessensabwägung nach Artikel 6 (1) f) DSGVO wird in aller Regel nur begründet sein, wenn es sich um ein lokales Tracking handelt zum Beispiel WordPress Stats.
Einwilligung für Tracking-Dienste
Für die Einwilligung sind gemäß Artikel 7 DSGVO mehrere Bedingungen zu erfüllen, welche das WordPress DSGVO Plugin hellotrust erfüllt. Grundsätzlich kann man sagen, dass eine einfache Einverständnis nicht mehr ausreichend ist, um datenschutzkonform zu agieren. Denn nach der DSGVO müssen bei der Einholung der Einwilligungserklärung die betroffenen Personen über die Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten aufgeklärt werden. Klassischer Weise kann diese Information über eine Datenschutzerklärung gelöst werden. Im Folgenden zeigen wir Ihnen die Bedingungen auf:
- Beruht die Verarbeitung auf einer Einwilligung, muss der Webseiten-Betreiber nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten (Tracking) eingewilligt hat.
- Das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache so erfolgen, dass es von anderen Sachverhalten klar zu unterscheiden ist (Zwecke: Essenziell, Marketing etc.).
- Die betroffene Person (Webseiten-Besucher) hat das Recht, ihre Einwilligung jederzeit zu widerrufen, somit muss das Tracking in diesem Fall unterbunden werden (Opt-Out). Über den möglichen Opt-Out muss der Webseiten-Betreiber schon bei Einholung der Einwilligung hinweisen, ebenfalls darf der Opt-Out nicht umständlicher gestaltet sein als der Opt-In (Einwilligung Cookie Hinweis).
- Eine Einwilligungserklärung erfolgt persönlich.
- Es gibt keine Formangaben. Schriftliche Form ist jedoch zu empfehlen, aufgrund der Nachweisbarkeit
Keine Einwilligung beim Tracking vorhanden?
Eine Einwilligungserklärung auf der Webseite, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Die Datenverarbeitung kann in diesem Fall nicht auf eine andere Rechtsgrundlage gestützt werden, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a DSGVO) beachten. Jedenfalls ist ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich. Erweist sich die Einwilligungserklärung im Cookie-Hinweis als unwirksam oder kann der Webseiten-Betreiber das Vorliegen der Einwilligung nicht nachweisen, so ist die Verarbeitung der Daten auf dieser Grundlage rechtswidrig. Bei Verstößen gegen die Grundsätze der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Art. 83 Abs. 5 lit. a DS-GVO eine Geldbuße verhängt werden. Außerdem kommen je nach den Umständen des Einzelfalls auch Schadensersatzansprüche der betroffenen Person in Betracht.