DSGVO & Tracking, Targeting & Co. DSK vs. DSGVO

Die verbindlich geltende Datenschutzgrundverordnung (DSGVO) löst schon genug hektische Betriebsamkeit aus. Jetzt sorgt die sog. Datenschutzkonferenz (DSK), als gemeinsames Gremium der Datenschutzbehörden nun für noch größere Verunsicherung.

In der Mitteilung, die für die datenschutzkonforme Ausgestaltung von Webseiten und Onlinemarketing unter der DSGVO eine erhebliche Bedeutung haben dürfte, formulieren die Datenschutzbehörden ihre Interpretation zu einigen elementaren Fragen.

Mitteillung der DSK zum Tracking, Targeting & Co unter der DSGVO:

 In dem Positionspapier der DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) – Mitteilung – wird die Position klar genannt:

Ein Besucher ist vor (!) dem Tracking zu fragen, wenn er eine Webseite besucht, ob er getrackt werden will… – nur:

Seit Inkrafttreten der DSGVO im Mai 2018 kann man feststellen, dass diese Abfrage kaum jemand macht – man könnte sagen fast niemand – zumindest nicht so, wie es gefordert ist. Beispielsweise FOCUS online, WELT, BILD, selbst auf einer Seite wie NIKE.

Das System „gaukelt“ dem Besucher diese Abfrage vor, allerdings wird man diesem Moment schon mit 4 Trackern „befeuert“ worden… also 4 verschiedene Tracker haben nun die Daten von dem Besucher… und das obwohl er noch gar nicht zugestimmt hat…

Dieses Verfahren der Abfrage nennt sich: „Opt-in“ – macht halt nur keiner, bzw. machen schon, aber „gefakt“ weil in dem moment schon getrackt wurde…

 

Inhalt der Mitteilung der DSK

In der aktuellen Stellungnahme vom 26.04.2018 formulierten die Datenschutzbehörden ihre Interpretation zu einigen offenen wichtigen Fragen:

 

  • Das TMG kann so nicht mehr angewendet werden.  Betroffen die §§ 121315 TMG, die bisher die Grundlage für die Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen waren.
  • Die ePrivacy-Richtlinie (auch Cookie-Richtlinie genannt), die bis zum Wirksamwerden der ePrivacy-Verordnung (geplant 2019) die Anforderungen an Cookies formuliert, ist in Deutschland NICHT DIREKT anwendbar.
  • Werden personenbezogene Daten auf einer Webseite erhoben, kommt seit 25.Mai 2018 folglich entscheidend darauf an, welcher Erlaubnistatbestand des Art. 6 Abs.1 DSGVO die Verarbeitung legitimiert.
  • Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.

Und vorallem:

  • Der Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und/oder Nutzerprofile erstellen, bedarf immer einer vorherigen informierten Einwilligung (Opt-In)

Mit der letzten Feststellung lässt die DSK Datenschutzkonferenz eine „Mitteilung raus“, die für fast jeden Webseitenbetreiber erhebliche Auswirkungen hat und einige Fragen aufwerfen. Sehr wahrscheinlich ist zu erwarten, dass zukünftige Stellungnahmen der die EU beratenden Art.29 Datenschutzgruppe bzw. auch zukünftige Gerichtsurteile diesbezüglich zu einem anderen Ergebnis kommen können.

Bis zu entsprechenden Korrekturen birgt diese Stellungnahme aber ein nicht unerhebliches Konflikt- und Risikopotenzial für alle Webseitenbetreiber, welche Tracking (z.B. Webanalyse) oder Targeting (z.B. Retargeting oder Online Behavioural Advertising) einsetzen.

Nachfolgend sollen deshalb die rechtlichen Anforderungen der DSGVO an Tracking und Targeting beschrieben und Empfehlungen für den Umgang mit der Stellungnahme der Datenschutzkonferenz gegeben werden.

 

 

Warum hält sich fast keiner an diese Vorgabe?

 

1.     Personenbezogene Daten durch Online-Tracking

Unter „personenbezogenen Daten“ versteht die EU-DSGVO all jene Daten, die sich auf identifizierte oder identifizierbare (natürliche) Personen beziehen. Online-Kennungen sind in dieser Definition explizit genannt, weswegen man im Allgemeinen heute davon ausgeht, dass Online-Tracking und -Targeting Technologien hier miteingeschlossen sind.

Zugleich muss jedoch auch festgestellt werden, dass der Datenschutz im Sinne der DSGVO anonyme Daten sowie rein statistische Daten nicht miteinschließt, was in der Praxis unter Umständen einen gewissen Verhandlungsspielraum zulässt. So ist unter Umständen zu prüfen, inwiefern durch die jeweils verwendete Technologie ein Personenbezug auch nur theoretisch hergestellt werden kann: Bei z.B. Cookie-IDs, die Seitenbesucher als Unique User identifizieren können, dürfte dies wahrscheinlich der Fall sein – bei pseudonymisierten IP Adressen vielleicht nicht.

2.     Wichtige Details in der Datenschutzgrundverordnung

Für die Verarbeitung personenbezogener Daten fordert die DSGVO immer eine so genannte Rechtsgrundlage. Der Gesetzestext listet daraufhin eine Reihe zulässiger Arten von Rechtsgrundlagen auf. Nur wenn eine dieser Rechtsgrundlagen auf die jeweilige Datenverarbeitung anwendbar ist, dürfen die Daten verarbeitet werden.

Für die Verarbeitung von Daten basierend auf Internet-Targeting-Technologien sind insbesondere zwei rechtliche Grundlagen denkbar:

  • Einwilligung bzw. Opt-In (Art. 6 Abs. 1 Buchstabe a): Eine explizite Zustimmung zur jeweiligen Datenverarbeitung, die allerdings auch wieder zurückgenommen werden kann.
  • Berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f): Der Gesetzestext nennt berechtigte Interessen, die eine Datenverarbeitung legitimieren. Dazu gehört grundsätzlich auch die Direktwerbung.

Die aktuelle Aussage der Datenschutzkonferenz, dass Tracking grundsätzlich immer einer Einwilligung (Opt-In) bedarf, widerspricht damit den Regelungen und den Erwägungsgründen der DSGVO.

Ob Tracking oder Targeting über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden kann oder einer Einwilligung (Opt-In) im Sinne des Art. 6 Abs.1 lit.f DSGVO bedarf, hängt von einer Abwägung der Interessen des Webseitenbetreibers mit denen der Besucher und deren berechtigten Nutzererwartung ab.

 

3.     Stellungnahme-DSK    vs.  Erwägunsgrund-DSGVO:

Die Datenschutzkonferenz (DSK), geht in der Stellungnahme vom 26. April 2018 davon aus, dass der “Einsatz von Tracking Mechanismen” immer einer “vorherigen informierten Einwilligung” bedarf. Juristen debattieren jedoch noch darüber, ob diese pauschale Auslegung tatsächlich korrekt ist.

Es ist der Erwägungsgrund 47 (“überwiegend berechtigte Interessen”) der die “Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung” namentlich legitimiert. In diesem Zusammenhang ist zu Beachten:

  • Webseiten sind Werbemittel
  • Daten im Bereich Web-Analyse sind häufig rein statistisch bzw. pseudonymisiert
  • Die Verarbeitung ist für den Besucher, der die Webseite selbst aufruft vernünftigerweise erwartbar
  • Es gibt Möglichkeiten, ein einfaches Opt-Out Verfahren in die Webseite zu integrieren

Diese Faktoren könnten allesamt begünstigtend dafür interpretiert werden, dass die rechtliche Grundlage des berechtigten Interesses in solchen Fällen greifen könnte. Dennoch gibt es bestimmte Fälle, in denen eine solche Rechtsgrundlage sehr wahrscheinlich ausgeschlossen werden kann, z.B.:

wenn…

  • ein umfassendes Profiling betrieben wird
  • genaue Standortdaten mit erfasst werden
  • Daten besonderer Kategorien (sensible Daten) mit erfasst werden

In derartigen Fällen wäre eine Einwilligung im Voraus grundsätzlich notwendig, nicht zuletzt auch weil ein Seitenbesucher vernünftigerweise diese Datenerfassung nicht ohne vorherige Information erwarten würde.

 

Weitere relevante Gesetze: TMG, ePrivacy Verordnung, Cookie-Richtlinie

Die Datenschutz-Grundverordnung beinhaltet eine Reihe von Öffnungsklauseln, welche jeder Mitgliedsstaat individuell regeln kann. Es gilt also hier diese spezifischen Umsetzungen der Bundesregierung, sowie der Bundesregierungen anderer europäischer Staaten, in denen man aktiv ist, zu beachten.

Neben der EU-DSGVO sind zum Thema Onlinetracking insbesondere auch noch zu beachten:

  • Das Telemediengesetz, TMG, welches in Deutschland Rahmenbedingungen für so genannte “Telemedien” (ein Überbegriff für elektronische Informations- und Kommunikationsdienste) definiert
  • Die EU ePrivacy Richtlinie (Richtlinie 2002/58/EG) mit ihrer Ergänzung, der “Cookie-Richtlinie”, Richtlinie 2009/136/EG. Laut der eingangs erwähnten Stellungnahme der Datenschutzkonferenz ist diese jedoch in Deutschland nicht direkt anwendbar.
  • Demnächst die ePrivacy Verordnung, welche voraussichtlich 2019 in Kraft treten und weitere Regeln für digitale Medien und elektronische Kommunikationsdienste festschreiben wird. Die ePrivacy-Verordnung soll die ePrivacy-Richtlinie ablösen.

 

Empfehlung für die Praxis

Für typische Anwendungsfälle des Online-Trackings lassen sich trotz aller Spekulation einige allgemeine Empfehlungen aussprechen. Wer eine reguläre Besucherstatistik-Software wie etwas Google Analytics, Open Web Analytics oder Matomo einsetzt, sollte beispielsweise unbedingt die verfügbaren Möglichkeiten zur IP-Anonymisierung nutzen. Im Sinne der Datenschutzgrundverordnung sollte die Daten dann zumindest als pseudonymisiert gelten, was bereits Vorteile bringt.

Zusätzlich dazu sollte die Webseite eine Datenschutzerklärung aufweisen, welche über die eingesetzte Besucherstatistik-Software und damit zusammenhängende Datenverarbeitung informiert. Eine entsprechende Einblendung, sollte den Webseitenbesucher gleich beim Aufruf der Webseite informieren, und auf Wunsch zur Datenschutzerklärung weiterleiten. Idealerweise kann man dem Besucher der Webseite hier auch gleich eine Möglichkeit zum Opt-Out anbieten.

Dies sind die Maßnahmen, die heute die meisten Webseitenbetreiber ergreifen, bzw. bereits ergriffen haben, um mit den neuen Datenschutzregelungen konform zu sein. Allerdings gibt es derzeit noch keine Präzedenzfälle die es erlauben würden, die Rechtssicherheit dieser Vorgehensweise nachzuprüfen, somit bleibt auch bei Umsetzung dieser Maßnahmen ein gewisses Restrisiko.

 

Potentielle Risiken

Die Datenschutz-Grundverordnung ist erst wenige Monate in Kraft, und ihr Gesetzestext scheint durchaus unterschiedliche Auslegungen zu erlauben. Aufgrund der Komplexität des Themas, und auch weil es noch keine Gerichtsurteile gibt an denen man sich konkret orientieren könnte, gibt es hierbei zurzeit keine wirkliche Rechtssicherheit.

Die Datenschutzbehörde kann Bußgelder verhängen, die “wirksam, verhältnismäßig und abschreckend” sein sollen (Art. 83 “Allgemeine Bedingungen für das Verhängen von Bußgeldern”). Wenn man jedoch nachweisen kann, dass man sich als Webseitenbetreiber intensiv mit dem Thema Datenschutz auseinandergesetzt und Schutzmaßnahmen bestmöglich umgesetzt hat, wird dies im Streitfall sicherlich von Vorteil sein.

Ein weiteres potentielles Risiko sind Abmahnungen. Datenschutzverstöße können auch als Wettbewerbsverstöße gewertet werden, somit können Webseitenbetreiber von ihren Mitbewerbern abgemahnt werden. Der Abmahner riskiert in diesem Fall jedoch auch selbst eine gerichtliche Klärung des Streitfalls, welche naturgemäß auch zu seinen Ungunsten ausgehen kann.

 

Zusammenfassung

Die seit 25. Mai geltenden Bestimmungen haben dem Thema “Datenschutz” eindeutig eine neue, höhere Priorität gegeben. Gleichzeitig ist das Themengebiet jedoch auch komplexer geworden, weswegen manche Dinge bis dato noch nicht ausreichend geklärt sind.

Betreiber von Webseiten sollten das Thema weiterverfolgen, und insbesondere weitere Stellungnahmen der Datenschutzbehörde sowie die ersten Gerichtsfälle beobachten. Beim Einsatz von Webanalyse Tools zur Aufstellung von Besucherstatistiken empfiehlt sich der Einsatz von Anonymisierungs- bzw. Pseudonymisierungsfunktionen, eine Datenschutzerklärung auf der Webseite sowie eine entsprechende Einblendung unmittelbar beim Besuch der Webseite (idealerweise mit Opt-Out Möglichkeit).

Sollte dieser Service über einen externen Dienstleister stattfinden, braucht es wie gewohnt eine Auftragsverarbeitervereinbarung. Bei US-Unternehmen sollten diese “Privacy Shield” zertifiziert sein.

Unternehmen sollten eine sachliche, gut informierte Argumentation über ihre Datenverarbeitung (einschließlich derer auf der Webseite) ausarbeiten und in ihrem Verarbeitungsverzeichnis eintragen. Sofern das Unternehmen keine eigenen Datenschutzexperten beschäftigt, sollte es sich durch externe Berater aus den Bereichen IT und Recht unterstützen lassen.

 

Hinweis: Dieser Artikel wurde nach besten Wissen und Gewissen recherchiert und verfasst. Aufgrund der Komplexität des Themas sowie der häufigen Neuerungen wird keine Haftung für die Richtigkeit, Aktualität und Vollständigkeit übernommen.