Datenschutzaufsichtsbehörden äußern sich zu Tracking

Orientierungshilfe für Anbieter von Telemedien, April 2019

Am 5. April 2019 hat die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) eine neue Orientierungshilfe für Anbieter von Telemedien herausgegeben (Orientierungshilfe). Eine englische Übersetzung der Orientierungshilfe finden Sie hier. Die Orientierungshilfe stellt eine Ergänzung der bereits am 26. April 2018 veröffentlichten DSK-Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen dar. Die Kernaussage der Positionsbestimmung war die Forderung einer Einwilligung im Sinne des Art. 6 Abs. 1 lit. a Datenschutzgrundverordnung (DS-GVO), falls Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, eingesetzt werden. Die DSK vertrat dabei die umstrittene Ansicht, dass die Vorschriften des Telemediengesetzes (TMG) nicht anwendbar seien. Das TMG ist für Internetdienste maßgeblich und enthält datenschutzrechtliche Sonderregelungen. Nach dessen Vorschriften ist unter bestimmten Voraussetzung z. B. eine Profilbildung zu Zwecken der bedarfsgerechten Gestaltung oder Werbung auf Grundlage eines Widerspruchsrechts (Opt Out) möglich. Überwiegend wird angenommen, dass die datenschutzrechtlichen Vorschriften des TMG aufgrund der sog. ePrivacy-Richtlinie umgesetzt wurden. Die ePrivacy-Richtlinie soll durch die derzeit verhandelte ePrivacy-Verordnung ersetzt werden, welche die DS-GVO flankieren soll. Die DS-GVO regelt in Art. 95, dass sich aus ihr im Anwendungsbereich der ePrivacy-Richtlinie keine zusätzlichen Pflichten ergeben sollen. Daher gehen viele davon aus, dass die Vorschriften des TMG weiterhin gelten.

In der aktuellen Orientierungshilfe bleibt die DSK jedoch bei ihrem Standpunkt, dass die Vorschriften der DS-GVO dem TMG vorgehen. Die nationalen Bestimmungen in den §§ 11 ff. TMG seien nicht mehr anwendbar. „Tracking“ definiert die DSK als „(…) jede Datenverarbeitung zur – in der Regel Website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern ist (…)“. Hierfür müsse einer der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO vorliegen. Für sog. Telemedienanbieter kommen insbesondere die Einwilligung, die Vertragserfüllung und das berechtigte Interesse als Erlaubnistatbestände in Betracht. Im Hinblick auf den Erlaubnistatbestand „Vertragserfüllung“ verweist die DSK auf eine noch ausstehende Stellungnahme des European Data Protection Board (EDPB). Das EDPB arbeitet derzeit an einer entsprechenden Guideline für Online Services vom 12. April 2019. Dieser Entwurf wird derzeit noch diskutiert. Es besteht bis zum 24. Mai 2019 Gelegenheit zur Stellungnahme. In Bezug auf die anderen Erlaubnistatbestände trifft die DSK folgende Kernaussagen:

Einwilligung

• Wird der Betroffene im Rahmen der Einwilligung nicht im Voraus über alle Formen der Verarbeitung sowie über sämtliche Empfänger ausführlich, transparent und nachvollziehbar informiert und kann er nicht in einzelne Formen von Datenverarbeitung gesondert einwilligen, ist die Einwilligung unwirksam.
• Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person reichen für eine Einwilligung nicht aus.
• Cookie-Banner können als vorgeschaltetes HTML-Element zur Einholung der Einwilligung eingesetzt werden; die Erfassung von potentiellen Nutzerdaten müsse aber während der Anzeige des Banners blockiert werden. Ein „OK“-Button reiche hier nicht aus; die Ablehnung oder Auswahl bestimmter Cookies müsse möglich sein.

Berechtigtes Interesse

Die Aufsichtsbehörden gehen davon aus, dass das sog. berechtigte Interesse als Erlaubnistatbestand in Betracht komme. Dabei sei jedoch eine genaue Prüfung erforderlich:

• Das Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten kann z.B. in der Datenverarbeitung für ein nutzerfreundliches Online-Angebot Darunter falle auch die sog. Reichweitenmessung.
• Bei der Erforderlichkeit der Datenverarbeitung sei aber immer zu hinterfragen, ob es ggfs. ein milderes, gleich effektives Mittel Dies würde bei der Weitergabe von personenbezogenen Daten an Dritte oder bei der Zusammenführung von Nutzungsdaten über mehrere Webseiten hinweg fraglich sein.
• Schließlich bedürfe es einer Abwägung mit den Interessen der betroffenen Person im Einzelfall. Dabei überwiege das Interesse des Verantwortlichen dann, wenn es nicht nur ihm, sondern gleichzeitig der Allgemeinheit dient (z.B. bei Forschungstätigkeiten). Im Rahmen der Abwägung seien indes ohnehin bestehende Pflichten der DS-GVO, wie z. B. die Erfüllung von Informationspflichten oder die Vornahme einer Pseudonymisierung nicht in der Abwägung zu berücksichtigen.

Einschränkend hält die DSK ausdrücklich fest, dass die Orientierungshilfe, vorbehaltlich einer abweichenden Auslegung der betreffenden Vorschriften durch den EDPB, sowie einer etwaigen Rechtsänderung durch Inkrafttreten der ePrivacy-Verordnung gilt.

Bewertung

Die Orientierungshilfe ist im Hinblick auf die klare Haltung der Aufsichtsbehörden zur Anwendbarkeit des TMG fragwürdig. Die Aufsichtsbehörden setzen sich sehr detailliert damit auseinander. Sie nehmen an, dass weder eine richtlinienkonforme Auslegung der für Tracking relevanten Vorschriften noch eine unmittelbare Anwendung der ePrivacy-Richtlinie in Betracht käme. Daher bleibe es bei der generellen Anwendung der Regelungen der DS-GVO. Faktisch überschreiten die Aufsichtsbehörden damit ihre Kompetenz, da sie als Teil der Exekutive hiermit über die Unanwendbarkeit einer geltenden rechtlichen Norm entscheiden.

Ferner wirkt auch die sehr deutliche Forderung der Aufsichtsbehörden im Hinblick auf Cookie-Banner und Consent-Tools etwas unbedacht. Die Aufsichtsbehörden empfehlen damit deutschen Anbietern von Internet-Diensten etwas, was zur uneinheitlichen Ausgestaltung innerhalb der EU und daher zu einer fragmentierten Rechtslage führen könnte. Dies wiederspricht gerade der Idee der EU-weiten Harmonisierung, die der europäische Gesetzgeber mit der DS-GVO und der ePrivacy-Verordnung anstrebt. Vorzugswürdiger wäre es daher gewesen, solche Forderungen einer abgestimmten Stellungnahme der europäischen Aufsichtsbehörden auf Ebene des EDPB zu überlassen.

Schließlich sind die Aussagen zur Interessenabwägung zum Teil schwierig nachvollziehbar. Die Aufsichtsbehörden nehmen an, dass z.B. bestimmte Maßnahmen wie Pseudonymisierung oder die Erfüllung der Informationspflicht keine Rolle bei der Abwägung spielen dürften. Solche undifferenzierten Aussagen erzeugen weitere Rechtsunsicherheit. Die Aussage, dass sich zusätzliche Schutzmaßmaßnahmen positiv auswirken, gehen insoweit aber leider nicht ins Detail. Gerade dies wäre aber als Empfehlung seitens der Aufsichtsbehörden für die Anbieter von Internetdiensten hilfreich gewesen.

Insgesamt lässt sich festhalten, dass in Deutschland die Aufsichtsbehörden für den Datenschutz und die Verbraucherverbände sehr streng gegenüber der Online-Werbewirtschaft sind. Das zeigen nicht zuletzt die vielen Stellungnahmen und Verfahren gegen Facebook. In einer weiteren Stellungnahme vom 1. April 2019, „positionieren“ sich die Aufsichtsbehörden zu Facebook Fanpages: Die in Folge des EuGH-Urteils von Facebook veröffentlichte Vereinbarung (sog. „Seiten-Insights Ergänzung bezüglich des Verantwortlichen“) erfülle nicht die Anforderungen an eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO; Facebook solle nachbessern.