Knapp vier Wochen vor Geltung der DSGVO sind Datenschutzpraktiker und Websitebetreiber in heller Aufregung. Der Grund ist eine aktuelle Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: DSK). Diese stellt die Anbieter von Onlineangeboten vor technische Herausforderungen, die bis zum 25.05. kaum zu lösen sind.

 

Worum geht es nun genau?

Die Behörden sind der Meinung, dass der Einsatz von Tracking und die Erstellung von Nutzerprofilen nach der DSGVO nur mit Einwilligung der Websitenutzer zulässig ist. Dies bedeutet eine gegenteilige Handhabung zur geltenden Rechtslage in Deutschland, wonach das pseudonyme Tracking grundsätzlich ohne Einwilligung möglich ist, wenn den Nutzern ein Widerspruchsrecht (Opt-Out) eingeräumt wird. So steht es bisher in § 15 Absatz 3 Telemediengesetzes (TMG). In Deutschland haben sich Websitebetreiber auf diese Widerspruchslösung seither eingestellt. Kurz vor Geltung der DSGVO steht diese Praxis nun auf der Kippe.

In der datenschutzrechtlichen Diskussion ist das Verhältnis des TMG und der DSGVO schon länger umstritten. Die DSK hat hierzu mit ihrer Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 nun erstmals Stellung bezogen. Danach fallen mit Geltung der DSGVO die Regelungen des §§ 12, 13 und 15 TMG weg. Die Zulässigkeit von Datenverarbeitungen auf Websites richtet sich damit allein nach Vorgaben der DSGVO, namentlich denen des Art. 6 Abs. 1 DSGVO. Diese Positionierung ist gut vertretbar und erhöht zunächst die Rechtssicherheit. Die Auflösung der Konkurrenz zwischen TMG und DSGVO durch die DSK ist insoweit zu begrüßen.

Leider hat sich die DSK nicht auf diese Feststellung beschränkt. Stattdessen setzt sie sich im Anschluss mit der Frage auseinander, auf welche konkreten Erlaubnistatbestände die Anbieter denn nun zukünftig ihre Verarbeitung stützen sollen. Hier schlägt die Positionsbestimmung zunächst ebenfalls einen vertretbaren Weg ein, indem es heißt:

„7. Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.”

und

„8. Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.“

Soweit wieder gut nachvollziehbar. Die DSK stellt in ihren Ausführungen klar, dass die Datenverarbeitung auf Websites sowohl zur Durchführung eines Vertragsverhältnisses als auch auf Grundlage einer Interessenabwägung erfolgen kann.

Tracking nur mit Einwilligung

In einem nächsten Schritt verlässt die DSK allerdings diese vertretbare und praktikable Richtung und leistet der Rechtssicherheit im Ergebnis einen Bärendienst:

„9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Diese so pauschale wie praxisferne Bewertung der DSK stellt die Anbieter vor ein großes Problem. Entweder gelingt es, technisch die geforderte Möglichkeit zur Einwilligungserklärung zu implementieren oder aber es muss ab dem 25. Mai 2018 auf jedwedes Tracking verzichtet werden. Die Konsequenz lautet in beiden Fällen: Folgt man der Ansicht der DSK, könnten Onlineangebote in ihrer bisherigen Form nicht mehr rechtmäßig eingesetzt werden. Damit werden unzählige Angebote unter das Verdikt der Rechtswidrigkeit fallen. Jede wirtschaftliche Nutzung von Websites, ob nun als Verlag, Onlineshop oder Software as a Service, steht daher vor enormen Herausforderungen.

Unser Kollege Hansen Oest zeigt dabei auf, mit welch schmaler Begründung die DSK diesen Schritt rechtfertigt. Grundsätzlich geht die DSK davon aus, dass die Datenverarbeitung eines Anbieters auf Grundlage des Art. 6 Abs. 1 S. 1 Buchstabe f DSGVO, also mit Hilfe einer Interessenabwägung, erfolgen kann. Dies gelte aber nicht für das Tracking und die Erstellung von Nutzerprofilen. Diese Mechanismen sollen zukünftig allein mit Einwilligung, also auf Grundlage von Art. 6 Abs. 1 S. 1 Buchstabe a DSGVO zulässig sein. Eine Verarbeitung auf Grundlage einer Interessenabwägung wird demnach grundsätzlich ausgeschlossen. Denn nach der Bewertung der DSK sei es irrelevant, zu welchem Zweck diese Mechanismen eingesetzt werden. Im Ergebnis überwiegen bei jeder Abwägung die Betroffeneninteressen.

Es besteht allerdings Hoffnung, dass die Ansicht der DSK einer gerichtlichen Prüfung nicht standhalten wird (so auch die Einschätzungen der Kollegen Dr. Haag und Dr. Schirrmbacher). Da die einseitige Festlegung der DSK keinen Spielraum für eine Interessenabwägung zulässt, ist sie aus rechtlicher Sicht angreifbar. Denn neben der Einwilligung kommen auch beim Tracking eine Interessenabwägung oder die Vertragserfüllung in Betracht. Zudem steht die Positionierung der DSK im offenen Widerspruch zur bisherigen Rechtslage und damit dem erkennbaren Willen des deutschen Gesetzgebers.

Vergleich rechtlicher Wertung des TMG

Nach dem noch geltenden § 15 Abs. 1 S. 1 TMG dürfen Diensteanbieter pseudonymisierte Nutzungsprofile für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erstellen, sofern ein Nutzer dem nicht widerspricht. Diese Widerspruchslösung ist insbesondere bei Analysetools wie Google Analytics gängige Praxis. Ein Nutzer wird auf das Tracking hingewiesen und kann diesem durch ein Opt-Out für die Zukunft entgehen. Der deutsche Gesetzgeber sieht in dieser Vorgehensweise die Wahrung der Nutzerinteressen ausreichend geschützt und hält eine ausdrückliche Einwilligung für nicht notwendig. Die DSK verlässt diesen Weg, begründet diese Aussage aber mit keinem Wort. Eine solche Begründung wäre aber sehr sinnvoll, wenn nicht notwendig gewesen.

Widerspruch zum Entwurf der E-Privacy-Verordnung

Ein weiterer Widerspruch tut sich mit Blick auf den Gesetzgebungsprozess zur geplanten E-Privacy-Verordnung auf. Der europäische Gesetzgeber will mit dieser Verordnung unter anderem den Einsatz von Cookies regeln, da laut Gesetzgeber die Verwendung solcher Techniken eine ernste Bedrohung der Privatsphäre der Endnutzer darstellen kann. Denn solche Techniken greifen unmittelbar auf das Endgerät des Nutzers zu. Gleichzeitig erkennt der europäische Gesetzgeber aber an, dass Cookies auch ein legitimes und nützliches Hilfsmittel sein können, um den Datenverkehr zu einer Website zu messen. In Art. 8 Abs. 1 des Entwurfs der E-Privacy-Verordnung will der Gesetzgeber daher einen Ausgleich dieser Interessen herbeizuführen:

„Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

(…)

d) sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.“

Selbst mit der viel geschmähten E-Privacy-Verordnung kann die Verwendung von Cookies zur Websiteanalyse somit auch ohne Einwilligung zulässig sein. Wenn aber schon der Eingriff in das Endgerät eines Nutzers mittels Cookies zu rechtfertigen ist, kann sich im Rahmen einer Interessenabwägung des Art. 6 Abs. 1 S. 1 Buchstabe f DSGVO bei einer regulären Datenverarbeitung auf Websites nichts anderes ergeben. So könnte eine Websiteanalyse grundsätzlich auch ohne Cookies erfolgen (z.B. mittels Matamo, vormals Piwik). Laut DSK wäre aber selbst die Art des Tracking nur mit Einwilligung der betroffenen Nutzer zulässig. Begründung? Fehlanzeige.

Fazit

Es zeigt sich also, dass auch der Einsatz von Tracking-Technologien im Rahmen einer Interessenabwägung nach der DSGVO gerechtfertigt sein kann. Dies gilt insbesondere für Trackingtechniken, die ohne den Einsatz von Cookies auskommen. Gleichwohl besteht mit der Aussage der DSK die Gefahr, dass sich Abmahner auf das Papier der DSK stützen. Zudem gibt es zugegebenermaßen viele undurchsichtige Trackingtechnologien, die es in Zukunft noch schwerer haben werden. Wer das Risiko einer kostenpflichtigen Abmahnung oder einer aufsichtsbehördlichen Maßnahme daher vollständig ausschließen möchte, kann nur auf die wenig praktikable Einwilligungslösung setzen. Aus unserer Sicht besteht aber auch eine begründete Hoffnung, dass die Argumentation der DSK gerichtlich, zumindest im Einzelfall, keinen Bestand haben wird. Es bleibt zu hoffen, dass auch die DSK selbst dies erkennt und hier argumentativ nachbessert.


Verfasser: RA Marinus Stehmeier, RA David Oberbeck