Webtracking vs. Consent: Kein Kinderspiel
Verunsicherung macht sich breit im Digital Marketing, wenn es um die Frage geht, ob der Einsatz eines Trackingtools oder die damit verbundene Datenbearbeitung eine Einwilligung des Users verlangt.
Bild: DatenschutzStockfoto
Dieser Beitrag soll in einfacher Manier helfen zu verstehen, dass es auf die Consent-Frage keine allgemeingültige Standardantwort gibt und es wie so oft «drauf ankommt», wie sich der Sachverhalt präsentiert. Fragen wie die folgenden verunsichern aktuell:
Hat die Schweiz mit dem neuen DSG die Pflicht zur Einwilligung aus dem europäischen Recht übernommen?
Kann ein Schweizer Website-Betreiber EU-Datenschutzrecht unterliegen?
Kommen Cookie- und Datenschutzregeln bei einem serverseitigen Tracking überhaupt zum Tragen?
Ist die USA nun sicher oder nicht und kann ein Datentransfer dorthin eine Einwilligung voraussetzen?
In der Schweiz gilt nach wie vor: Für das Setzen von Cookies und anderen clientseitigen Trackingtechnologien sowie für das Bearbeiten von Personendaten braucht es keine Einwilligung. Pflicht ist aber, den Nutzer transparent zu informieren und jederzeit eine Opt-Out-Möglichkeit anzubieten. Die rechtlichen Grundlagen dafür sind das Fernmeldegesetz und das Datenschutzgesetz. Die Information kann in der immer benötigten Datenschutzerklärung, aber auch über einen Info-Banner erfolgen.
Trotz des schweizerischen «No Consent»-Konzepts kann es zu Konstellationen kommen, die eine Einwilligung erfordern. Konkrete Einzelfälle sollten mit einer Fachperson abgeklärt werden. Als Inspiration können folgende exemplarischen Tracking-Szenarien dienen:
Ein Schweizer Website-Betreiber ohne EU-Traffic verwendet ein Cookie-Tracking. Die Tracking-Daten werden direkt auf einen Server in der EU transferiert.
Kein Consent ist erforderlich. Weder fürs Cookie-Setting, noch fürs Bearbeiten allfälliger Personendaten, noch für den Transfer in die sicheren EU-Staaten.
Identisch, aber mit Transfer von Personendaten in eine Cloud in die USA, der keine Standarddatenschutzklauseln oder andere Garantien anbietet.
Die USA gelten aus Schweizer Sicht aktuell als unsicherer Drittstaat. Ein Transfer in die USA zu einem Anbieter, der keine Standarddatenschutzklauseln oder andere Garantien liefert, stellt grundsätzlich einen Verstoss gegen das Datenschutzgesetz dar. Die Einholung des ausdrücklichen Consents wäre erforderlich. Mit dem neuen Data Privacy Framework (DPF) sind in Kürze Erleichterungen mit Blick auf die USA zu erwarten.
Eine Schweizer Hotel-Kette bietet auf ihrer Website mit Cookie-Tracking spezielle Angebote für Kunden aus dem Europäischen Wirtschaftraum (EWR) an.
Ein Consent ist erforderlich (nur für den EWR-Traffic), da durch den qualifizierten Bezug zum EWR die nationalen Umsetzungen der europäischen ePrivacy-Richtlinie sind. Dazu zählt das deutsche Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Eine Schweizer Bank mit Filialen in der EU installiert auf ihrer Website ein serverseitiges «cookieless» Tracking.
Bei diesem Tracking findet kein Zugriff auf das Endgerät statt. Es braucht keine Zustimmung, weder nach CH- noch nach EU-Recht.
Um Datenschutzrisiken im Griff zu haben, lohnt es sich, die Services lokaler, etablierter Trackinganbieter zu berücksichtigen, welche auf europäische Hosting-Lösungen setzen. Diese Anbieter sind auch im Stande, den Traffic je nach Consent-Erfordernis zu filtern. Denn: Unnötige Consent-Banner bedeuten Verlust wertvoller Analytics-Daten!