Ein Positionspapier der Datenschutzbeauftragten der Länder kurz vor Wirksamwerden der DSGVO sorgt für Unsicherheit bei Websitebetreibern. Sie fordern abweichend von der bisherigen Rechtslage für den Einsatz von Tracking-Tools immer eine vorherige Einwilligung des Nutzers. Die Stellungnahme wird von vielen Seiten kritisiert.
Bislang, d.h. vor Anwendbarkeit der DSGVO, hat sich der Einsatz von Tools zum Tracking/Retracking bemessen an den Datenschutzbestimmungen aus dem alten Bundesdatenschutzgesetz (BDSG, teils in Umsetzung der Datenschutz-Richtlinie 95/46/EG von 1995) und dem Telemediengesetz (TMG) als Spezialgesetz für Internet-Sachverhalte. § 15 Abs. 3 TMG hat die Erstellung von Nutzerprofilen gestattet, wenn diese pseudonymisiert erstellt wurden, der Betroffene davon unterrichtet wurde und eine Widerspruchsmöglichkeit (Opt-out) bestand. Dies ist daher so auch lange gängige Praxis.
Anders als das BDSG-alt ist das TMG nicht außer Kraft getreten oder abgelöst worden; es besteht fort, wenn auch die DSGVO grundsätzlich Vorrang haben soll. Eine dem § 15 Abs. 3 TMG vergleichbare Regelung findet sich in der DSGVO nicht, auch nicht im BDSG-neu. Gleichwohl hatte die ganz herrschende Meinung angenommen, dass man bei Anwendung vergleichbarer Maßstäbe (Pseudonymisierung, Unterrichtung, Opt-out) die Verwendung solcher Tracking-Tools auch unter den von der DSGVO festgesetzten Erlaubnistatbeständen fassen könne.
Rechtsgrund für die entsprechende Datenverarbeitung wäre Art. 6 Abs. 1 lit. f) DSGVO: Der Verantwortliche müsste ein berechtigtes Interesse an der Verwendung der Tools haben und dem kein überwiegendes Schutzinteresse der Betroffenen entgegenstehen. Dass Werbung und Marketing ein solches berechtigtes Interesse darstellen können, beschreibt die DSGVO selbst, nicht zuletzt in Erwägungsgrund 47 für den Fall der Direktwerbung. Entscheidend sind danach die „vernünftigen Erwartungen“ des oder der Betroffenen, also ob er oder sie mit solchen Maßnahmen (Direktwerbung, Tracking) rechnet. Das wiederum kann der Verantwortliche durch entsprechende Informationen gegenüber dem Nutzer maßgeblich selber lenken.
Am 26. April 2018, also einen Monat vor Wirksamwerden der DSGVO, hat nun die Konferenz der Datenschutzbeauftragten der Länder (DSK) ein Positionspapier veröffentlicht zum Anwendungsbereich des TMG nach der DSGVO. Dieses hat für nicht unerhebliche Unruhe gesorgt. Denn danach sollen die Bestimmungen der §§ 12 – 15 TMG nicht mehr anwendbar sein – es gälte danach also nurmehr die DSGVO. Zudem fordert die DSK ausdrücklich die vorherige Einwilligung der Betroffenen „beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen“.
Die oben dargestellten Erwägungen zur Erlaubnis aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO) spielten danach keine Rolle mehr – was in den letzten Wochen aufgrund der in der DSGVO enthaltenen Wertungen, Grundsätze und Erwägungen zu zahlreicher und meines Erachtens berechtigter Kritik geführt hat, etwa durch den Bitkom oder die GDD. Die Direktwerbung, die ja eigentlich sogar stärker die Rechte der Betroffenen zu beeinträchtigen geeignet ist als das Tracking, soll auf ein legitimes Interesse (Art. 6 Abs. 1 lit. f) DSGVO, EWG 47) gestützt werden können, entsprechende Transparenz vorausgesetzt. Selbst Art. 21 Abs. 1 und 2 DSGVO bspw. sieht für das Profiling ein Widerspruchsrecht (Opt-out) vor, was darauf hindeutet, dass ein Webtracking unter den bisher anwendbaren Voraussetzungen des § 15 Abs. 3 TMG nach wie vor zu rechtfertigen wäre. Es gibt weitere Gegenargumente.
Das Positionspapier der DSK hat nun keine Gesetzeskraft oder Verbindlichkeit einer Verwaltungsvorschrift. Andererseits sind die Datenschutzbeauftragten der Länder die Aufsichtsbehörden für den Datenschutz gem. DSGVO. Gänzlich unbeachtet kann man deren Auslegung der Verordnung also nicht lassen, ganz im Gegenteil. Letztlich wird es womöglich einer gerichtlichen oder legislativen Klärung bedürfen – bis dahin herrscht jedoch vorerst Verunsicherung.
Diese könnte sogar noch verstärkt werden durch die ePrivacy-Richtlinie 2009/136/EG (nach ihrer letzten Änderung auch bekannt als sog. Cookie-Richtlinie) bzw. deren avisierte Nachfolgerin, die ePrivacy-Verordnung. Die Cookie-Richtlinie wurde nie in deutsches Recht umgesetzt, jedoch hielt die Bundesregierung dies für entbehrlich, die o.g. §§ 12 ff. TMG seien wirkungsgleich zu deren Bestimmungen. Die §§ 12 – 15 TMG sollen aber laut DSK nun nicht mehr anwendbar sein, ebenso wenig komme die direkte Anwendung der Cookie-Richtlinie in Betracht. Es gälte laut DSK wie oben beschrieben allein die DSGVO.
Die ePrivacy-Richtline soll jedoch – dies sei zu guter Letzt angeführt – ihrerseits ersetzt werden durch eine ePrivacy-Verordnung, die wie die DSGVO direkt anwendbar sein soll und ursprünglich parallel mit der DSGVO wirksam werden sollte. Die Verordnung existiert aber derzeit nur als Entwurf und steckt im Gesetzgebungsverfahren der EU fest. Aus der Cookie-Richtlinie und deren Beurteilung durch die Art.-29-Datenschutzgruppe (jetzt Europäische Datenschutzausschuss, EDSA, genannt) stammt die Unterscheidung zwischen Cookies, die für den Dienst erforderlich sind (keine Einwilligung erforderlich) und jenen, die nicht erforderlich sind, z.B. Tracking-Cookies, für welche eine Einwilligung ebenfalls benötigt wird. Ob diese Differenzierung auch in der für 2019 erwarteten ePrivacy-Verordnung weiter fortgeführt wird und also auch darunter für Tracking-Cookies eine Einwilligung gefordert ist, bleibt abzuwarten. Dies aber hätte dann (in 2019) gewiss wiederum Einfluss auf die Beurteilung von Tracking-Tools.
Im Ergebnis besteht eine gewisse Rechtsunsicherheit für den Einsatz von Tracking-Methoden nach bisherigem Muster, jedenfalls soweit sie tatsächlich personenbezogene Daten verarbeiten, etwa IP-Adressen. Ausgenschlossen würde dies nur durch wirkliche Anonymisierung oder durch die Einholung einer Einwilligung des oder der Betreffenden. An deren Wirksamkeit wiederum stellt die DSGVO allerdings erhöhte Anforderungen.
Die weitere Rechtsentwicklung und Diskussion muss also abgewartet und genau beobachtet werden. Die besseren Argumente sprechen meiner Meinung nach für die Gestattung pseudonymisierter Anwendungen unter umfassender Information der Betroffenen und einem einfach auszuübenden Opt-out. Aktuell aber ist eine Lösung, die ohne vorherige ausdrückliche Einwilligung auskommt, rechtlich unsicher.
Ich halte Sie informiert!