Ein wegweisendes Urteil des Gerichtshofs der Europäischen Union (EuGH) im Fall Bundeskartellamt hat festgestellt, dass Web-Analytics-Cookies sensible personenbezogene Daten im Sinne der DSGVO erheben können und dies häufig auch tun. Diese Entscheidung hat tiefgreifende Auswirkungen auf jede Organisation, die Cookie-basierte Analytics- oder Marketing-Tools nutzt.

Hintergrund des Falls

Der Fall geht auf eine Feststellung der deutschen Wettbewerbsbehörde von 2019 zurück, wonach ein großes Social-Media-Unternehmen seine marktbeherrschende Stellung missbrauchte. Die Behörde ordnete Änderungen an den Nutzungsbedingungen des Unternehmens an und urteilte insbesondere, dass die Off-Platform-Datenerhebung durch Cookies und Tracker die Einwilligung der Nutzer erfordere. Als der Fall den EuGH erreichte, traf das Gericht Entscheidungen, die weit über den ursprünglichen Umfang hinausgingen.

Die Feststellung zu sensiblen Daten

Das Gericht stellte fest, dass Tracking-Technologien sensible Daten erheben, wenn Nutzer bestimmte Kategorien von Websites besuchen oder bestimmte Anwendungen nutzen. Entscheidend ist: Das Gericht bestimmte, dass ein gesamter Datensatz als sensible Daten behandelt werden muss, wenn er irgendwelche sensiblen Informationen enthält. Wenn auch nur ein einziger Besucher von Tausenden gesundheitsbezogene Inhalte aufruft oder Websites besucht, die mit sexueller Orientierung, politischen Überzeugungen oder religiöser Zugehörigkeit zusammenhängen, müssen alle erhobenen Browsing-Daten den erhöhten Schutz erhalten, den die DSGVO für sensible Daten verlangt.

Diese Argumentation gilt nicht nur für Social-Media-Tracking, sondern für jeden Cookie-basierten Analytics-Dienst, da die zugrunde liegenden Tracking-Mechanismen identisch funktionieren.

Sensible Daten dürfen nur auf sehr spezifischen Rechtsgrundlagen verarbeitet werden, und für Web-Analytics ist die einzig realistische Option die ausdrückliche Einwilligung -- ein höherer Standard als die gewöhnliche Einwilligung. Das aktuelle Werbe-Ökosystem hat bereits Schwierigkeiten, grundlegende gültige Einwilligungen über Cookie-Banner einzuholen. Die Hürde für eine ausdrückliche Einwilligung zu nehmen, ist für die meisten Implementierungen praktisch unmöglich.

Zusätzlich löst die großflächige Verarbeitung sensibler Daten nach Artikel 35 der DSGVO verpflichtende Datenschutz-Folgenabschätzungen (DSFAs) aus. Viele Websites, die Cookie-basierte Analytics nutzen, müssten die Datenschutzrisiken der Einspeisung von Besucher-Browsing-Daten in Werbenetzwerke formal bewerten und rechtfertigen.

Die weiterreichenden Auswirkungen

Dieses Urteil macht die Compliance-Position von Cookie-basierten Analytics-Tools deutlich prekärer. Organisationen, die Websites zu Gesundheit, Politik, Religion oder anderen sensiblen Themen betreiben, sind am unmittelbarsten gefährdet. Da jedoch praktisch jede Website von Nutzern besucht werden kann, deren Surfmuster sensible Informationen offenbaren, gilt das Urteil faktisch für alle. Die norwegische Datenschutzbehörde hat bereits Leitlinien herausgegeben, die diese Auslegung widerspiegeln.

Cookielose Analytics-Ansätze, die gar keine personenbezogenen Daten erheben, umgehen dieses Problem vollständig, da sie keine Datensätze erzeugen, die sensible Informationen enthalten könnten.