Die DSK hat eine neue Orientierungshilfe zum Webtracking veröffentlicht. Wir fassen die wesentlichen Ansichten der Aufsichtsbehörden zum Thema Webtracking für Websitebetreiber zusammen.
Der Inhalt im Überblick
- Nachgereichte Begründung
- Rechtlicher Hintergrund
- Der Trackingbegriff nach der Orientierungshilfe
- Wie müssen Tracking-Einwilligungen ausgestaltet sein?
- Berechtigte Interessen nicht ausgeschlossen…
- …jedoch hoher juristischer Begründungsaufwand
- Unhaltbare Ausführungen zur Pseudonymisierung
- Update vom 29.04.2019
Nachgereichte Begründung
Das Gremium der deutschen Datenschutzaufsichtsbehörden, die sogenannte Datenschutzkonferenz (DSK), verunsicherte mit einer Stellungnahme im April 2018 die deutsche Wirtschaft mit der Feststellung eines Einwilligungserfordernisses für Webtracking ohne nähere Begründung (wir berichteten hierzu kritisch). Diese wurde nunmehr mit der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ nachgereicht.
In der Orientierungshilfe beschreibt die DSK, weshalb nach Ihrer Ansicht in der Vielzahl der Fälle das Webtracking im Internet einwilligungsbedürftig sein wird, was von Websitebetreibern, die Webtracking betreiben, erwartet wird, und welche rechtlichen Erwägungen hinter diesen Erwartungen stehen. In der Summe schaffen die Aufsichtsbehörden hiermit begrüßenswerte Klarheit, versäumen es jedoch leider, an wichtigen Stellen für weitere Klarheit zu sorgen und schaffen mit Ihren fragwürdigen Äußerungen zur Pseudonymisierung sogar neue Rechtsunsicherheit.
Rechtlicher Hintergrund
In § 15 Abs. 3 TMG wird das Nutzertracking in Telemedien erlaubt, wenn eine Widerspruchsmöglichkeit vorgesehen wird. Es ist somit nach dem Telemediengesetz (TMG) nicht erforderlich, für Nutzertracking Einwilligungen einzuholen (sog. Widerspruchslösung). Zum Verständnis:
- Widerspruchslösung: Tracking darf zunächst stattfinden, bis Widerspruch des Nutzers erfolgt.
- Einwilligungslösung: Tracking darf erst stattfinden, wenn Nutzer hierzu vorher einwilligt.
Problematisch war, dass die dem TMG zugrundeliegende ePrivacy-Richtlinie für Nutzertracking ein Einwilligungserfordernis vorsah. Da § 15 Abs. 3 TMG dieses Einwilligungserfordernis nicht umgesetzt hatte und die Kollisionsregel in Art. 95 DSGVO vorsieht, dass die DSGVO hinsichtlich solcher Rechtsnormen zurücktreten muss, welche die ePrivacy-RL umsetzen, entstand hierdurch große Unsicherheit: Welcher Rechtssatz gilt nun bei Webtracking – die DSGVO oder das TMG?
Hier räumt die Orientierungshilfe endlich auf: § 15 Abs. 3 TMG ist nach Ansicht der DSK als Rechtsgrundlage für Webtracking Geschichte. Und damit es keine Missverständnisse gibt, wird auf vier Seiten ausführlich begründet, warum dies so sein soll. Für die Ansicht, dass § 15 Abs. 3 TMG die ePrivacy-Richtlinie nicht umsetzt, sprechen auch die Ausführungen des europäischen Generalanwalts in jüngster Vergangenheit zur Rechtssache Planet49.
Der Trackingbegriff nach der Orientierungshilfe
Dreh- und Angelpunkt für die rechtliche Bewertung ist, welche Vorgänge unter den Begriff „Tracking“ überhaupt zu fassen sind. In der Orientierungshilfe definieren die Aufsichtsbehörden den Begriff wie folgt:
„Bei Tracking handelt es sich um Datenverarbeitungen zur – in der Regel website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern.“ (S. 6 f.)
Werbetracker dürften damit unzweifelhaft unter diesen Begriff fallen, da hier regelmäßig das Nutzerverhalten eines Individuums (in der Regel auch website-übergreifend) erfasst wird, um individuelle Werbung an diesen auszuspielen.
Bei Website-Analyse-Tools werden sich Abgrenzungsprobleme nicht vermeiden lassen:
- Werden für einzelne Nutzer „unique IDs“ vergeben und Nutzerprofile erstellt, ist über diese eine Nachverfolgbarkeit des Nutzerverhaltens möglich (unabhängig ob geräteübergreifend oder nicht):
Hier wird ein Tracking und damit wohl auch ein Einwilligungserfordernis vorliegen. - Anders der Fall, wenn mit dem Analyse-Tool nur die Websitenutzung allgemein erfasst wird (z.B. Besucherzahlmessung, Missbrauchsschutz, wie hoch ist die Abbruchquote während des Bestellvorgangs?):
Hier dürfte kein Tracking vorliegen und damit eine Berufung auf das berechtigte Interessse gem. Art. 6 Abs. 1 lit. f) DSGVO eher möglich sein.
Wie müssen Tracking-Einwilligungen ausgestaltet sein?
Die Orientierungshilfe macht konkrete Vorgaben zur Ausgestaltung der Einwilligungserklärung:
- Die Einwilligung muss nicht nur das Setzen von Tracking-Cookies („einwilligungsbedürftige Cookies“) erwähnen, sondern alle Tracking-Verfahren (Zählpixel, Browser-Fingerprinting u.ä.).
- Bevor eine Einwilligung abgegeben wird, müssen alle Cookies, Tools und Skripte deaktiviert sein, die Nutzerdaten erfassen.
- Das Banner darf Impressum & die Datenschutzerklärung nicht verdecken.
- Erst nach aktiver Handlung des Nutzers (Häckchen setzen etc.) darf das Tracking starten.
Berechtigte Interessen nicht ausgeschlossen…
Die DSK schließt die Möglichkeit, Webtracking auf das berechtigte Interesse des Websitebetreibers oder Dritter zu stützen, nicht grundsätzlich aus, stellt hieran jedoch hohe Anforderungen:
Die DSK äußert hierzu,
„dass die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt und auf den konkreten Einzelfall bezogen sein muss. Unzureichende oder pauschale Feststellungen, dass eine Datenverarbeitung gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig sei, erfüllen nicht die gesetzlichen Anforderungen.“
Der Hintergrund hierfür ist, dass Übermittlungen des Nutzerverhaltens an Dritte (z.B. Werbeanbieter) oftmals nicht den vernünftigen Erwartungen der Nutzer entspricht (Erwägungsgrund 47 DSGVO) und den Nutzern oft keine effektive Interventionsmöglichkeit geboten wird, sich dem Tracking zu entziehen. Dies gilt insbesondere für Tracking-Technologien wie dem Browser-Fingerprinting, dem sich der Nutzer kaum entziehen können wird. Die DSK nennt auch weitere Aspekte, die bei der Rechtsgüterabwägung zu berücksichtigen sind, wie etwa die mögliche Verkettung von Daten, die Dauer der Beobachtung, die erhobenen Datenkategorien und den Umfang der Datenverarbeitung.
…jedoch hoher juristischer Begründungsaufwand
In der Summe ist, unter Zugrundelegung der Ansichten der DSK, die Berufung auf das berechtigte Interesse für Webtracking nur mit einem hohen juristischen Begründungsaufwand möglich. Websitebetreiber müssten in Ihren Datenschutzerklärungen stichhaltig darlegen, inwieweit die Betroffenenrechte für den konkreten Webtracker hinreichend berücksichtigt wurden und geschützt werden. Bei Einsatz mehrerer Webtracker dürfte der Begründungsaufwand schnell den eingesparten technischen Implementionsaufwand überwiegen – bei gleichzeitig gesteigertem Rechtsrisiko.
Unhaltbare Ausführungen zur Pseudonymisierung
Trotz der nachvollziehbaren und vertieften Ausführungen zum Einwilligungserfordernis für Werbetracking hinterlässt die Orientierungshilfe mit den Aussagen zur Pseudonymisierung im Rahmen der Interessenabwägung einen fahlen Beigeschmack. Die DSK behauptet pauschal:
Zu beachten ist, dass im Rahmen der Abwägung ohnehin bestehende Pflichten aus der DSGVO, z.B. Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung, nicht zugunsten des Verantwortlichen berücksichtigt werden können.
Diese Ansicht wäre dann zutreffend, wenn sich aus der DSGVO eine verbindliche Pflicht zur Pseudonymisierung ergäbe. Die DSGVO kennt jedoch keine Pflicht zur Pseudonymisierung (vgl. Art. 32 Abs. 1 DSGVO: „… diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: 1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten.“).
Die Ansicht, dass die Pseudonymisierung bei der Abwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO keine Berücksichtigung finden soll, ist somit nicht haltbar. Der Rückschluss liegt hier nahe, dass die Verfasser der Orientierungshilfe durch diese Aussage verhindern wollen, dass sich Verantwortliche mit Verweis auf getroffene Pseudonymisierungsmaßnahmen weiterhin auf das berechtigte Interesse berufen.
Auch ohne diese fragwürdigen Feststellungen kann nur schwer übersehen werden, dass Websitebetreiber, die Webtracking ohne informierte Einwilligung Ihrer Nutzer durchführen, sich zunehmend auf „dünnem Eis“ bewegen.
Update vom 29.04.2019
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat in seinem FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps die Vorgaben der DSK nochmal für die Praxis konkretisiert. Darin heißt es, dass Werkzeuge zur Reichweitenanalyse nur ohne Einwilligung der Nutzer verwendet werden dürfen, wenn für diese nicht auf die Dienste externer Dritter (wie Google Analytics) zurückgegriffen wird.
Sehr geehrter Herr Friese,
vielen Dank für Ihre Ausführungen.
Eine Frage interessiert mich als Techniker daran aber noch:
Wie kann denn der Nachweis über die Einwilligung in der Umsetzung aussehen?
Theoretisch würde es ja genügen, mit der Einwilligung einen Cookie beim Nutzer anzulegen und nur im Fall, dass dieser Cookie vorhanden ist, die entsprechenden Skripte, bspw. für Google Analytics, zu laden. Aber wie weist man dann im Streitfall nach, dass der Nutzer eingewilligt hat? Muss man das überhaupt explizit belegen können oder genügt die Programmlogik als Nachweis?
Vielen Dank und beste Grüße
„Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.“ ;) Steht in der Stellungnahme der DSK