Richtige Rechtsgrundlage für Tracking zur Produktverbesserung

Durch den Einsatz von Tracking-Tools erheben Online-Dienste häufig detaillierte Informationen über ihre Nutzer. Diese Daten können dann unter anderem zum Zwecke der Verbesserung des Dienstes oder Produkts verarbeitet werden. Was ist die Rechtsgrundlage für diese Verarbeitung der Daten? Diese Frage wird in diesem Artikel beantwortet.

Was versteht man unter Tracking

Mit dem Begriff „Tracking“ kommen wir online sehr schnell und in unterschiedlichster Weise in Berührung. Die europäischen Aufsichtsbehörden beziehen sich in ihrem Working Paper zur ePrivacy-Richtlinie dabei auf die Definition des World Wide Web Consortium (W3C):

„Tracking is the collection of data regarding a particular user’s activity across multiple distinct contexts and the retention, use, or sharing of data derived from that activity outside the context in which it occurred. A context is a set of resources that are controlled by the same party or jointly controlled by a set of parties. “

Technisch erfolgt das Tracking klassisch durch Abspeichern eines Cookies, es können aber auch Fingerprinting, Pixel, JavaScript oder andere Methoden zum Einsatz kommen. Mithilfe von einigen Tracking-Tools kann nicht nur das Nutzerverhalten im Internet aufgezeichnet und ausgewertet werden; es ermöglicht auch, dass die Online-Dienste wertvolle Daten sammeln, mit denen sie ihre Produkte an die Vorlieben ihrer tatsächlichen Besucher anpassen können.

Rechtsgrundlage: Zwei Schritte zu unterscheiden

Unabhängig von der technischen Ausgestaltung oder den verfolgten Zwecken wird die Erhebung und weitere Verarbeitung dieser Informationen meist als ein einheitlicher Lebenssachverhalt wahrgenommen. Rechtlich sind hier jedoch zwei Schritte zu unterscheiden. Erstens die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung, wobei das TTDSG Anwendung findet. Zweitens die Verarbeitung personenbezogener Daten, die oftmals mit dem Einsatz von Tracking-Tools (Cookies und ähnlichen Technologien) bezweckt wird. Die Rechtsmäßigkeit dieser (Folge-)Datenverarbeitung (zur Verbesserung des Produkts oder Dienstes) richtet sich nach den Anforderungen der DSGVO.

Erster Schritt: Zugriff auf das Endgerät zu Tracking-Zwecken

Das TTDSG regelt unter anderem den Schutz der Privatsphäre von Endeinrichtungen und den darin befindenden Informationen, unabhängig davon, ob diese ein Personenbezug aufweisen oder nicht. § 25 TTDSG weist eine andere Systematik als Art. 6 Abs. 1 DSGVO auf und sieht nur zwei Legitimationsmöglichkeiten vor. Entweder liegt eine wirksame Einwilligung der Endnutzer vor oder es sind die Voraussetzungen einer der beiden in Absatz 2 geregelten Ausnahmen erfüllt.

Rechtmäßigkeit des Eingriffs gemäß TTDSG

In § 25 Abs. 1 Satz 1 TTDSG ist ein Einwilligungserfordernis geregelt, nach dem die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer zulässig sind.

In § 25 Abs. 2 formuliert das TTDSG begrenzte Ausnahmen von der Einwilligungsbedürftigkeit:

1. „Wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

    

§ 25 Abs. 2 TTDSG oder Art. 6 Abs. 1 lit. f) DSGVO?

Die Ausnahmen gemäß § 25 Abs. 2 TTDSG unterscheiden sich zudem wesentlich von dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO. Während das TTDSG starre Kriterien benennt, die erfüllt sein müssen, eröffnet die DSGVO eine gewisse Abwägungsflexibilität. Keinesfalls ist eine Interessenabwägung, die zu Art. 6 Abs. 1 lit. f) DSGVO vorgenommen wurde, geeignet, automatisch die Voraussetzungen von § 25 Abs. 2 Nr. 2 TTDSG zu begründen (DSK, OH Telemedien 2021).

Zugriff auf das Endgerät zu Trackingzwecken: Unbedingt erforderlich nach § 25 TTDSG?

Bei dem Merkmal „unbedingt erforderlich“ wird von den Behörden von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Das heißt, dass der Zugriff auf das Endgerät durch das Tools unbedingt erforderlich sein muss, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.

Ein wichtiges Beispiel für einen solchen ausdrücklich gewünschten Dienst ist der Abruf einer Webseite. Nötig ist dazu u.a. die Übertragung der URL und der IP-Adresse. Erforderlich ist häufig auch die Verarbeitung einer Session-ID und ihre temporäre Speicherung durch den Browser, etwa i.R.e. mehrseitigen Dateneingabe, einer Warenbestellung, oder generell für Anmeldungen.

Zugriffe auf das Endgerät zu Trackingzwecken können prinzipiell nicht als „technisch unbedingt erforderlich“ betrachtet werden, denn dieser Zweck steht nicht im Zusammenhang mit einem vom „Nutzer ausdrücklich gewünschten“ Telemediendienst. In diesen Fällen wäre eine Einwilligung gefordert, sowohl für den Einsatz von Cookies als auch für andere Verarbeitung wie die von Fingersprints, Tracking-Pixeln oder von Skripten für Trackingzwecke. Diese Einwilligung sollte die Anforderungen nach Art. 7 DSGVO erfüllen (§ 25 Abs.1 S. 2 TTDSG). Es handelt sich aber hier nicht um eine gebündelte Einwilligung nach TTDSG und DSGVO, sondern lediglich um eine Einwilligung nach dem TTDSG.

Zweite Schritt: Rechtsgrundlage für Datenverarbeitung zum Zweck der Verbesserung des Produkts gemäß DSGVO

Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DSGVO zu beachten. Die Aufsichtsbehörden haben die Rechtsgrundlage für die Verarbeitung zum Zweck der Verbesserung des Produkts im Rahmen der DSGVO diskutiert.

Rechtsmäßig zur Erfüllung eines Vertrags?

Der EDSA ist nicht der Auffassung, dass Art. 6 Abs. 1 lit. b) DSGVO generell eine geeignete Rechtsgrundlage für die Verarbeitung zur Verbesserung eines Dienstes oder zur Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes sein kann. Zwar können Verbesserungen und Änderungen an einem Dienst routinemäßig in die Vertragsklauseln aufgenommen werden, doch könne eine solche Verarbeitung normalerweise nicht als objektiv erforderlich für die Erfüllung des Vertrags mit dem Nutzer angesehen werden. Der Dienstanbieter könne sich für diese Verarbeitung auf alternative Rechtsgrundlagen wie ein berechtigtes Interesse oder die Einwilligung berufen.

Verarbeitung aufgrund eines überwiegenden berechtigten Interesse?

Das berechtigte Interesse ist die flexibelste der in der DSGVO genannten Rechtsgrundlagen für die Datenverarbeitung. Diese Flexibilität des berechtigten Interesses hat jedoch ihren Preis: Die Abwägung muss ausführlich begründet und dokumentiert werden. Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:

1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieses Interesses
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

Nach der Aussage der ICO (Information Commissioner’s Office) könnte das berechtigte Interesse Rechtsgrundlage für die Datenverarbeitung zum Zweck der Verbesserung des Dienstes einschlägig sein:

„The retailer will be processing personal data for different purposes and wants to use legitimate interests as their lawful basis. The purposes for processing the personal data are: … for data analytics it can improve its products and services “.

Allerdings ist die deutsche Datenschutzkonferenz (DSK) der Auffassung, dass im Kontext des Trackings in der Praxis nur in wenigen Konstellationen (vor allem wenn keine Dienste von Drittanbietern eingesetzt werden) die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind. So kam die DSK in ihrem Beispiel in der Orientierungshilfe aus dem Jahr 2019 zu folgendem Ergebnis:

„Eine Abwägung der o.g. Interessen im konkreten Einzelfall ergibt, dass die Interessen der betroffenen Personen die Interessen des Unternehmens überwiegen und folglich die Einbindung des Pixels nicht gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist. Als Rechtsgrundlage käme dann – wenn überhaupt – nur die Einwilligung in Betracht.“ (OH Telemedien, 2019, S. 25)

Obwohl diese Orientierungshilfe aus 2019 vor dem Inkrafttreten des TTDSG veröffentlicht wurde, können die Ausführungen zur Interessenabwägung darin jedoch grundsätzlich weiterhin als Prüfungsmaßstab herangezogen werden. (OH Telemedien, 2021, S. 31)

Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO

Die DSK tendiert Tracking zu gewerblichen Zwecken auf die Einwilligung zu stützen. Die formalen und inhaltlichen Anforderungen an eine wirksame Einwilligung ergeben sich (sowohl) für die datenschutzrechtlich (als auch die telemedienspezifischen) relevanten Prozesse aus Art. 4 Abs. 1 Nr. 11 i.V.m. Art. 7 und 8 DSGVO. Die betroffene Person muss darüber informiert werden, dass die personenbezogenen Daten, die über Tracking-Tools gesammelt werden, zum Zweck der Verbesserung des Produkts verarbeitet werden sollen.

Einwilligung über Cookie-Banner

Einsatz von Tracking-Tools zum Zweck der Verbesserung des Produkts sollte auf Basis der Einwilligung der Betroffenen erfolgen. Das Einholen der Einwilligungen muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und es muss erkennbar sein, dass zwei Einwilligungen erteilt werden – 1. Die Einwilligung in das Speichern und Auslesen von Informationen, die nach § 25 Abs. 1 TTDSG erforderlich ist; 2. und die Einwilligung, die als Rechtsgrundlage für eine geplante weitere Verarbeitung der ausgelesenen Daten zum Zweck der Produktverbesserung gemäß Art. 6 Abs. 1 lit. a) DSGVO erforderlich sein kann. Diese Einwilligung könnte durch dieselbe Handlung erteilt werden.