Ein Positionspapier der Datenschutzbeauftragten der L\u00e4nder kurz vor Wirksamwerden der DSGVO sorgt f\u00fcr Unsicherheit bei Websitebetreibern. Sie fordern abweichend von der bisherigen Rechtslage f\u00fcr den Einsatz von Tracking-Tools immer eine vorherige Einwilligung des Nutzers. Die Stellungnahme wird von vielen Seiten\u00a0kritisiert.<\/p>\n
Bislang, d.h. vor Anwendbarkeit der DSGVO, hat sich der Einsatz von Tools zum Tracking\/Retracking bemessen an den Datenschutzbestimmungen aus dem alten Bundesdatenschutzgesetz (BDSG, teils in Umsetzung der Datenschutz-Richtlinie 95\/46\/EG von 1995) und dem Telemediengesetz (TMG) als Spezialgesetz f\u00fcr Internet-Sachverhalte. \u00a7\u00a015 Abs.\u00a03 TMG hat die Erstellung von Nutzerprofilen gestattet, wenn diese pseudonymisiert erstellt wurden, der Betroffene davon unterrichtet wurde und eine Widerspruchsm\u00f6glichkeit (Opt-out) bestand. Dies ist daher so auch lange g\u00e4ngige Praxis.<\/p>\n
Anders als das BDSG-alt ist das TMG nicht au\u00dfer Kraft getreten oder abgel\u00f6st worden; es besteht fort, wenn auch die DSGVO grunds\u00e4tzlich Vorrang haben soll. Eine dem \u00a7 15 Abs. 3 TMG vergleichbare Regelung findet sich in der DSGVO nicht, auch nicht im BDSG-neu. Gleichwohl hatte die ganz herrschende Meinung angenommen, dass man bei Anwendung vergleichbarer Ma\u00dfst\u00e4be (Pseudonymisierung, Unterrichtung, Opt-out) die Verwendung solcher Tracking-Tools auch unter den von der DSGVO festgesetzten Erlaubnistatbest\u00e4nden fassen k\u00f6nne.<\/p>\n
Rechtsgrund f\u00fcr die entsprechende Datenverarbeitung w\u00e4re Art. 6 Abs. 1 lit. f) DSGVO: Der Verantwortliche m\u00fcsste ein berechtigtes Interesse an der Verwendung der Tools haben und dem kein \u00fcberwiegendes Schutzinteresse der Betroffenen entgegenstehen. Dass Werbung und Marketing ein solches berechtigtes Interesse darstellen k\u00f6nnen, beschreibt die DSGVO selbst, nicht zuletzt in Erw\u00e4gungsgrund 47 f\u00fcr den Fall der Direktwerbung. Entscheidend sind danach die \u201evern\u00fcnftigen Erwartungen\u201c des oder der Betroffenen, also ob er oder sie mit solchen Ma\u00dfnahmen (Direktwerbung, Tracking) rechnet. Das wiederum kann der Verantwortliche durch entsprechende Informationen gegen\u00fcber dem Nutzer ma\u00dfgeblich selber lenken.<\/p>\n
Am 26. April 2018, also einen Monat vor Wirksamwerden der DSGVO, hat nun die Konferenz der Datenschutzbeauftragten der L\u00e4nder (DSK) ein Positionspapier ver\u00f6ffentlicht zum Anwendungsbereich des TMG nach der DSGVO. Dieses hat f\u00fcr nicht unerhebliche Unruhe gesorgt. Denn danach sollen die Bestimmungen der \u00a7\u00a7 12 \u2013 15 TMG nicht mehr anwendbar sein \u2013 es g\u00e4lte danach also nurmehr die DSGVO. Zudem fordert die DSK ausdr\u00fccklich die vorherige Einwilligung der Betroffenen \u201ebeim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen\u201c.<\/p>\n
Die oben dargestellten Erw\u00e4gungen zur Erlaubnis aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f) DSGVO) spielten danach keine Rolle mehr \u2013 was in den letzten Wochen aufgrund der in der DSGVO enthaltenen Wertungen, Grunds\u00e4tze und Erw\u00e4gungen zu zahlreicher und meines Erachtens berechtigter Kritik gef\u00fchrt hat, etwa durch den Bitkom oder die GDD. Die Direktwerbung, die ja eigentlich sogar st\u00e4rker die Rechte der Betroffenen zu beeintr\u00e4chtigen geeignet ist als das Tracking, soll auf ein legitimes Interesse (Art. 6 Abs.\u00a01 lit.\u00a0f) DSGVO, EWG\u00a047) gest\u00fctzt werden k\u00f6nnen, entsprechende Transparenz vorausgesetzt. Selbst Art. 21 Abs. 1 und 2 DSGVO bspw. sieht f\u00fcr das Profiling ein Widerspruchsrecht (Opt-out) vor, was darauf hindeutet, dass ein Webtracking unter den bisher anwendbaren Voraussetzungen des \u00a7 15 Abs. 3 TMG nach wie vor zu rechtfertigen w\u00e4re. Es gibt weitere Gegenargumente.<\/p>\n
Das Positionspapier der DSK hat nun keine Gesetzeskraft oder Verbindlichkeit einer Verwaltungsvorschrift. Andererseits sind die Datenschutzbeauftragten der L\u00e4nder die Aufsichtsbeh\u00f6rden f\u00fcr den Datenschutz gem. DSGVO. G\u00e4nzlich unbeachtet kann man deren Auslegung der Verordnung also nicht lassen, ganz im Gegenteil. Letztlich wird es wom\u00f6glich einer gerichtlichen oder legislativen Kl\u00e4rung bed\u00fcrfen \u2013 bis dahin herrscht jedoch vorerst Verunsicherung.<\/p>\n
Diese k\u00f6nnte sogar noch verst\u00e4rkt werden durch die ePrivacy-Richtlinie 2009\/136\/EG (nach ihrer letzten \u00c4nderung auch bekannt als sog. Cookie-Richtlinie) bzw. deren avisierte Nachfolgerin, die ePrivacy-Verordnung. Die Cookie-Richtlinie wurde nie in deutsches Recht umgesetzt, jedoch hielt die Bundesregierung dies f\u00fcr entbehrlich, die o.g. \u00a7\u00a7 12\u00a0ff. TMG seien wirkungsgleich zu deren Bestimmungen. Die \u00a7\u00a7 12 \u2013 15 TMG sollen aber laut DSK nun nicht mehr anwendbar sein, ebenso wenig komme die direkte Anwendung der Cookie-Richtlinie in Betracht. Es g\u00e4lte laut DSK wie oben beschrieben allein die DSGVO.<\/p>\n
Die ePrivacy-Richtline soll jedoch \u2013 dies sei zu guter Letzt angef\u00fchrt \u2013 ihrerseits ersetzt werden durch eine ePrivacy-Verordnung, die wie die DSGVO direkt anwendbar sein soll und urspr\u00fcnglich parallel mit der DSGVO wirksam werden sollte. Die Verordnung existiert aber derzeit nur als Entwurf und steckt im Gesetzgebungsverfahren der EU fest. Aus der Cookie-Richtlinie und deren Beurteilung durch die Art.-29-Datenschutzgruppe (jetzt Europ\u00e4ische Datenschutzausschuss, EDSA, genannt) stammt die Unterscheidung zwischen Cookies, die f\u00fcr den Dienst erforderlich sind (keine Einwilligung erforderlich) und jenen, die nicht erforderlich sind, z.B. Tracking-Cookies, f\u00fcr welche eine Einwilligung ebenfalls ben\u00f6tigt wird. Ob diese Differenzierung auch in der f\u00fcr 2019 erwarteten ePrivacy-Verordnung weiter fortgef\u00fchrt wird und also auch darunter f\u00fcr Tracking-Cookies eine Einwilligung gefordert ist, bleibt abzuwarten. Dies aber h\u00e4tte dann (in 2019) gewiss wiederum Einfluss auf die Beurteilung von Tracking-Tools.<\/p>\n
Im Ergebnis besteht eine gewisse Rechtsunsicherheit f\u00fcr den Einsatz von Tracking-Methoden nach bisherigem Muster, jedenfalls soweit sie tats\u00e4chlich personenbezogene Daten verarbeiten, etwa IP-Adressen. Ausgenschlossen w\u00fcrde dies nur durch wirkliche Anonymisierung oder durch die Einholung einer Einwilligung des oder der Betreffenden. An deren Wirksamkeit wiederum stellt die DSGVO allerdings erh\u00f6hte Anforderungen.<\/p>\n
Die weitere Rechtsentwicklung und Diskussion muss also abgewartet und genau beobachtet werden. Die besseren Argumente sprechen meiner Meinung nach f\u00fcr die Gestattung pseudonymisierter Anwendungen unter umfassender Information der Betroffenen und einem einfach auszu\u00fcbenden Opt-out. Aktuell aber ist eine L\u00f6sung, die ohne vorherige ausdr\u00fcckliche Einwilligung auskommt, rechtlich unsicher.<\/p>\n
Ich halte Sie informiert!<\/p>\n","protected":false},"excerpt":{"rendered":"
Ein Positionspapier der Datenschutzbeauftragten der L\u00e4nder kurz vor Wirksamwerden der DSGVO sorgt f\u00fcr Unsicherheit bei Websitebetreibern. Sie fordern abweichend von …<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[23,21,24,22,20,25],"class_list":["post-729","post","type-post","status-publish","format-standard","hentry","category-aktuelles","tag-datenschutz","tag-dsgvo","tag-einwilligung","tag-nutzerprofile","tag-tracking","tag-website"],"_links":{"self":[{"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/posts\/729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/comments?post=729"}],"version-history":[{"count":3,"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/posts\/729\/revisions"}],"predecessor-version":[{"id":995,"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/posts\/729\/revisions\/995"}],"wp:attachment":[{"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/media?parent=729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/categories?post=729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/datalawcounsel.com\/en\/wp-json\/wp\/v2\/tags?post=729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}