Hier druckenDie Datenschutzkonferenz (DSK) hat ein neues Dokument zu der heiß umstrittenen Frage herausgegeben, inwieweit nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) der Einsatz von Tracking-Technologien im Internet noch möglich ist.
Das Dokument stammt von März 2019 und kann hier heruntergeladen werden.
Bereits das Positionspapier der DSK von April 2018 hatte für viel Aufsehen und zugleich auch für viel Kopfschütteln gesorgt, vgl. unsere Kanzlei-News v. 30.04.2018.
Das neue Dokument trägt den Titel "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien". Die (DSK) ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Die Äußerungen haben keinen verbindlichen Rechtscharakter, offenbaren aber, in welche Richtung die Behörden die DSGVO auslegen werden. Ob die Interpretation dann richtig oder falsch ist, werden die Gerichte entscheiden.
Inhalt des neuen Dokuments:
Nachfolgend fassen wir kurz die wesentlichen Äußerungen der DSK in dem Dokument zusammen:
1. §§ 12, 15 TMG sind außer Kraft:
Auch in ihrer neuen Stellungnahme bleibt das Gremium dabei: §§ 12 und 15 des TMG sind durch die DSGVO verdrängt und finden somit keine Anwendung mehr. Pseudonyme nach § 15 Abs. 3 TMG sollen somit nicht mehr zulässig sein. Siehe dazu ausführlich bereits unsere Kanzlei-News v. 30.04.2018.
2. Definition von Tracking:
Die DSK definiert erstmalig, was sie unter "Tracking" versteht:
"...Datenverarbeitung zur - in der Regel websiteübergreifenden - Nachverfolgung des individuellen Verhaltens von Nutzern."
3. Rechtfertigungsgründe sind gleichberechtigt:
Anders als bislang, erkennt die DSK ausdrücklich an, dass die unterschiedlichen Rechtfertigungsgründe - also Einwilligung, Vertrag und berechtigte Interessen - absolut gleichberechtigt sind. In der Vergangenheit hatte es (teilweise) noch geheißen, dass sich bei webseitenübergreifendem Tracking nicht auf den Fall der berechtigten Interessen gestützt werden könne. Dieser Vorbehalt existiert nun nicht mehr.
4. Zur Einwilligung:
Die DSK macht konkrete Vorgaben, wie eine Einwilligung ausgestaltet sein muss für das Tracking:
"Insbesondere wenn bei der betroffenen Person erhobene Daten von dem jeweiligen Diensteanbieter (inkl. eingebundener Dienste) website-übergreifend zusammengeführt und ausgewertet werden, ist zu berücksichtigen, dass die betroffenen Personen für eine wirksame Einwilligung vorab über jegliche Form der durchgeführten Datenverarbeitung sowie sämtliche Empfänger ausführlich informiert werden und die Möglichkeit erhalten müssen, in die einzelnen Formen der Datenverarbeitung spezifisch einzuwilligen.
In Fällen, in denen sich mehrere (gemeinsame) Verantwortliche auf die ersuchte Einwilligung stützen wollen, oder in denen die Daten an andere Verantwortliche übermittelt oder von anderen Verantwortlichen verarbeitet werden sollen, müssen diese Organisationen sämtlich genannt und die Verarbeitungsaktivitäten der einzelnen Organisationen hinreichend beschrieben werden."
Wichtig - nach Meinung der DSK - ist also:
- Nennung sämtlicher Empfänger,
- ausführliche Aufklärung über Inhalt und Reichweite der jeweiligen Erklärung und
- bereichsspezifische Einwilligung
Im Anschluss merkt das Gremium zu dem üblichen Cookie-Banner-Wahnsinn auf Webseiten an:
"Auch genügt es für eine Einwilligung i. S. d. DSGVO nicht, wenn, wie bei vielen einfachen Cookie-Bannern im Web, ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt.
In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen."
5. Berechtigte Interessen:
Die DSK äußert sich auch ausführlich zum Rechtfertigungsgrund der berechtigten Interessen nach Art. 6 Abs.1 f) DSGVO und gibt dabei folgendes grundsätzliches Prüfungsschema an die Hand:
"Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:
1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall"
Als berechtigte Interessen nennt die Konferenz dabei u.a.
"- Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
- Freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z. B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Web Fonts, Kartendiensten, Social-Plugins, etc.
- Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von LogDateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
- Reichweitenmessung und statistische Analysen,
- Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer,
- Wiedererkennung und Merkmalszuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten
- Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken) und Bot-Nutzung"
Wichtig sei, dass an das Merkmal der Erforderlichkeit strenge Voraussetzungen zu stellen seien:
"Allein das Vorliegen eines berechtigten Interesses reicht nicht aus, um die Datenverarbeitung zu legitimieren. Zwingend ist, dass die jeweilige Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist. Erforderlichkeit meint, dass die Verarbeitung geeignet ist, das Interesse (Motiv/Nutzen der Verarbeitung) des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung steht.
Das bedeutet, dass der Verantwortliche die Verarbeitung auf das notwendige Maß zu beschränken hat."
Dabei wird auch ein Beispiel benannt:
"Beispiel:
Die Messung der Reichweite und die sich daraus ergebenden Informationen sind geeignet, um das Webangebot anzupassen (berechtigtes Interesse). Setzt der Website-Betreiber hierfür ein Analyse-Tool ein, welches Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt (z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen), ist dies nicht mehr erforderlich.Das Ziel – Reichweitenmessung – kann auch mit milderen, gleich geeigneten Mitteln erreicht werden, die deutlich weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln (z. B. ohne Einbindung Dritter über eine lokale Implementierung einer Analysesoftware)."
Bei der Abwägung mit den Interessen des Nutzers gibt die DSK folgendes Prüfungsschema an die Hand:
a) Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
b) Interventionsmöglichkeiten der betroffenen Personen
c) Verkettung von Daten
d) Beteiligte Akteure
e) Dauer der Beobachtung
f) Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
g) Datenkategorien
h) Umfang der Datenverarbeitung
6. Keine Pseudonymisierung:
Die DSK weist darauf hin, dass keine Pseudonymisierung gegeben ist, wenn die Nutzer anderweitig identifizierbar sind.
"Im Hinblick auf die Verwendung von Pseudonymen ist generell anzumerken, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt. Zudem handelt es sich nicht um geeignete Garantien zur Einhaltung der Datenschutzgrundsätze oder zur Absicherung der Rechte betroffener Personen, wenn zur (Wieder-) Erkennung der Nutzer IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren zum Einsatz kommen.
Denn, anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stellt sich folglich nicht ein. Es handelt sich daher nicht um Pseudonymisierungen i. S. d. ErwGr 28, die die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.
Darüber hinaus ist zu berücksichtigen, dass sich Nutzer in den allermeisten Fäl- len früher oder später an irgendeiner Stelle im Web registrieren und in diesen Fällen auch eine Verknüpfung mit E-Mail-Adressen, Klarnamen oder Offline-Adressen möglich ist. Auf die Kenntnis des bürgerlichen Namens zur Identifikation von betroffenen Personen kommt es aber beim Personenbezug nicht an. Wenn die Nutzung des Webs, wie bei vielen Menschen, einen großen Teil der Lebenswirklichkeit widerspiegelt, dann ist es relevant, ob die Nutzer über ihre Online-Kennungen bestimmbar oder adressierbar sind. Die DSGVO geht davon aus, dass eine indirekte Identifizierung auch durch Aussondern erfolgen kann."
Anmerkung von RA Dr. Bahr:
Auch wenn wir es bereits regelmäßig betont haben, es ist dennoch wichtig, diese Aussage auch an dieser Stelle noch einmal zu wiederholen: Wie immer bei Stellungnahmen der DSK ist es wichtig im Hinterkopf zu behalten, dass die Aussagen keine rechtsverbindliche Wirkung haben. Vielmehr werden die im Zweifelsfall angerufenen Gerichte das letzte Wort haben. Der Ausgang eines Gerichtsverfahrens ist damit nicht selten vollkommen offen.
Jedem Webseiten-Betreiber, der Tracking-Technologien, Cookies oder Pseudonyme einsetzt, kann nur dringend angeraten werden, sich das Papier einmal näher anzuschauen. Die Äußerungen sind in mehrfacher Hinsicht sehr lesenswert.
So sind die Erwägungen zum erheblichen Teil praxisbezogen. Die DSK benennt beispielsweise ausdrücklich Fälle des berechtigten Interessens und erkennt auch an, dass die berechtigten Interessen nach Art. 6 Abs.1 f) DSGVO einen gleichberechtigten Rechtfertigungsgrund darstellen. Der positive Eindruck der Erläuterungen zeigt sich auch an dem Umstand, dass im Anhang auf 3 Seiten ein konkretes Beispiel für den Einsatz eines Tracking-Pixels dargestellt wird.
Für die meisten betroffenen Firmen dürften vor allem die Ausführungen zum berechtigten Interesse und dem vorgestellten Prüfungsschema hilfreich sein.
Insgesamt ist die Dokumentation sehr erfreulich. Auch wenn bestimmte Rechtsansichten weiterhin nicht überzeugen können, so stellt das Dokument gleichwohl eine gute und hilfreiche Einführung dar, die in der Praxis vielen Betroffenen weiterhelfen wird.