Inkonsequenz beim Bayerischen LDA: Matomo trotz Cookies ohne Einwilligung einsetzbar?

In seinem Grundsatzurteil vom 01.10.2019 (Az. C-673/17) bestätigte der EuGH, dass der Einsatz von technisch nicht notwendigen Cookies grundsätzlich von der Nutzereinwilligung abhängig gemacht werden muss. Betroffen von der Einwilligungspflicht sind vor allem Analysedienste. Ob und inwieweit hierbei personenbezogene Daten verarbeitet werden, ist nach Ansicht des Gerichts irrelevant. In Bezug auf den cookie-basierten Analysedienst Matomo geht das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) dennoch mit haarsträubender Begründung vom Genügen eines Opt-Outs aus und vertritt so eine nicht mehr haltbare Rechtsauffassung.

Seit dem Grundsatzurteil des EuGH vom 01.10.2019 (Az. C-673/17) steht fest, dass der Einsatz von technisch nicht notwendigen Cookies nur zulässig ist, wenn der jeweilige Nutzer hierfür seine entsprechende Einwilligung erteilt hat.

Weil die Cookie-Einwilligungspflicht nicht auf der DSGVO, sondern auf Art. 5 Abs. 3 der EU-Cookie-Richtlinie 2002/58/EG (in der Fassung der Richtlinie 2009/136/EG) fußt, ist nach zutreffender Ansicht des EuGH unerheblich, ob durch die Cookies personenbezogene Daten verarbeitet werden oder nicht.

Anknüpfungspunkt für die Einwilligungspflicht ist allein, dass technisch nicht notwendige Cookies als Informationen auf Nutzerendgeräten gespeichert werden.

Betroffen von der Cookie-Einwilligungspflicht sind vor allem cookie-basierte Tracking- und Analysedienste und zwar unabhängig davon, ob und in welchem Umfang sie personenbezogene Daten verarbeiten.

Die eindeutigen Grundsätze des Europäischen Gerichtshofs scheinen bislang beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) nicht auf das notwendige Gehör gestoßen zu sein.

In Bezug auf den cookie-basierten Analysedienst Matomo äußerte sich die Behörde in einer der IT-Recht Kanzlei vorliegenden Stellungnahme kürzlich wie folgt:

Sehr geehrter Herr …,
wir nehmen auf Ihre datenschutzrechtliche Anfrage vom 20.02.2020 Bezug, in der Sie nachfragen, ob für „Matomo“ eine Einwilligung über ein Cookie-Consent-Tool erforderlich ist.
Sofern der Zweck der Datenverarbeitung lediglich eine Reichweitenmessung ist, d.h. eine statistische Analyse des Nutzungsverhaltens auf der entsprechenden Website, benötigt der Einsatz von Matomo keine Einwilligung über ein Cookie-Consent-Tool. Insofern kann Ihnen die Verwendung von Matomo auf unserer Webseite unter www.lda.bayern.de als Referenz dienen.

Tatsächlich ist festzustellen, dass das BayLDA Matomo für die Reichweitenmessung selbst auch ohne das Einholen von Cookie-Einwilligungen betreibt und in der eigenen Datenschutzerklärung in Ziffer 7 anstatt einer Einwilligung nur die Opt-Out-Möglichkeit vorsieht.

In seiner oben wiedergegebenen Stellungnahme stützt sich das BayLDA zur Beurteilung der Einwilligungspflicht maßgeblich auf den Umfang der Datenverarbeitung und erkennt das Einwilligungserfordernis für Matomo ab, weil „lediglich eine Reichweitenmessung“ erfolge.

Auf den Umfang und die Art der Datenverarbeitung durch Analysetools kommt es für die Einwilligungspflicht aber gerade nicht an. Maßgeblich ist nur der Einsatz von technisch nicht notwendigen Cookies.

Zur fehlgeleiteten Rechtsauffassung des BayLDA gesellt sich aber noch eine behördeninterne Inkonsequenz hinzu: für Google Analytics, das auf Cookie-Basis operiert und funktional dem Analysedienst „Matomo“ ähnelt, soll nach Ansicht der bayerischen Datenschützer eine Einwilligungspflicht bestehen.

Diese Differenzierung ist nach den geltenden rechtlichen Grundsätzen nicht haltbar und willkürlich. Sie lässt sogar Raum für die Vermutung zu, dass das BayLDA nur deswegen eine Cookie-Einwilligungspflicht für Matomo ablehnt, weil diese die Behörde wegen der eigenen Verwendung zur Implementierung eines Cookie-Consent-Tools zwingen könnte. Die Webseite des BayLDA hüllt sich bezüglich Cookies derzeit allerdings noch in völliges Schweigen – nicht einmal ein Cookie-Hinweis ist zu finden.

Die IT-Recht Kanzlei rät aus Gründen der Rechtssicherheit dazu, sich von der Ansicht des BayLDA bezüglich Matomo nicht beirren zu lassen und Matomo auf Cookie-Basis nur mit eingerichteter rechtskonformer Cookie-Consent-Lösung zu betreiben.

Alternativ besteht die Möglichkeit, Matomo durch lokales Hosting ohne den Einsatz von Cookies zu betreiben. Über diese Möglichkeit und die Restrisiken informieren wir hier.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.