Am 05. April 2019 veröffentlichte das Gremium der deutschen Datenschutzaufsichtsbehörden, die sogenannte Datenschutzkonferenz („DSK“), eine Orientierungshilfe für Anbieter von Telemedien. Hintergrund ist die Positionsbestimmung vom 26. April 2018, die ein Einwilligungserfordernis für Webtracking ohne nähere Begründung vorgesehen hatte. Diese wurde nun mit der Orientierungshilfe nachgereicht.
Datenschutzrechtliche Vorschriften des TMG nicht anwendbar
Die DSK geht auf die Frage ein, inwiefern die datenschutzrechtlichen Vorschriften des Telemediengesetzes („TMG“) neben der Datenschutz-Grundverordnung („DSGVO“) Anwendung finden. In der Orientierungshilfe wird insbesondere auf die §§ 12 und 15 TMG eingegangen. Der § 15 Abs. 3 TMG erlaubt Nutzertracking, wenn eine Widerspruchsmöglichkeit (Opt-Out) vorgesehen wird. Problematisch ist jedoch, dass die dem TMG zugrundeliegende ePrivacy-Richtlinie für Nutzertracking ein Einwilligungserfordernis (Opt-In) vorsieht. Nach Auffassung der DSK wurde diese Vorgabe nicht durch § 15 Abs. 3 TMG umgesetzt. Die Kollisionsregel in Art. 95 DSGVO, die das Verhältnis zwischen der ePrivacy-Richtlinie und DSGVO regelt, scheidet demnach aus. Es bleibt somit bei den Rechtsgrundlagen der Verarbeitung nach der DSGVO.
Definition des „Tracking“
Die DSK definiert erstmalig den Begriff „Tracking“ als eine Datenverarbeitung zur (websiteübergreifenden) Nachverfolgung des individuellen Nutzerverhaltens. Darunter fallen zum einen Werbetracker, die regelmäßig das individuelle Nutzerverhalten erfassen, zum anderen Website-Analyse-Tools bei der Vergabe von „unique IDs“ an einzelne Nutzer. Nicht darunter fallen Analyse-Tools, die die Websitenutzung allgemein erfassen (z.B. Besucherzahlmessung).
Einwilligungsbedürftigkeit von Cookies
Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner bzw. Pop-up Fenster sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.
Folgende Anforderungen werden an eine wirksame Einwilligung gestellt (Auszug):
- Während das Pop-up Fenster bzw. Banner angezeigt wird, werden zunächst alle weitergehenden Skripte, die potenziell Nutzerdaten erfassen, blockiert.
- Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.
- Die Einwilligung darf nicht voreingestellt sein: Opt-in erforderlich.
- Klare, nicht irreführende Überschrift – „Weitergabe Ihrer Nutzerdaten an Dritte“; Gegenstand der Einwilligung muss deutlich gemacht werden.
- Für verschiedene Verarbeitungsvorgänge von personenbezogenen Daten muss gesondert eine Einwilligung erteilt werden können.
- Freiwilligkeit der Einwilligungserklärung muss deutlich gemacht werden; Hinweis auf das Recht auf einen jederzeitigen Widerruf.
- Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.
- Der Besuch einer Website sollte auch dann noch möglich sein, wenn betroffene Personen sich gegen das Setzen von Cookies entscheiden und nicht in die personenbezogene Datenverarbeitung einwilligen.
Datenverarbeitung aufgrund berechtigter Interessen nicht ausgeschlossen
Der Einsatz von Cookies kann auch ggf. auf die berechtigten Interessen des Websitebetreibers oder Dritter gestützt werden, so die DSK. Voraussetzung ist, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Websitebetreibers erforderlich ist und keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten des Nutzers entgegenstehen. Dabei muss die Interessenabwägung immer auf den konkreten Einzelfall bezogen werden. Als Beispiel für berechtigte Interessen des Websitebetreibers nennt die DSK u.a. die sog. Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers, Betrugsprävention, aber auch Reichweitenmessung und statistische Analysen. Für die Zulässigkeit von Datenverarbeitungen zu diesen Zwecken komme es aber noch auf die Erforderlichkeit und die Interessenabwägung an.
Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg hat in seinen „FAQ zu Cookies und Tracking“ die Vorgaben der DSK nochmals für die Praxis konkretisiert. Werkzeuge zur Reichweitenanalyse dürfen nur dann ohne Einwilligung der Nutzer verwendet werden, wenn für diese nicht auf die Dienste externer Dritter (z.B. Google Analytics) zurückgegriffen wird. Eine Hinzuziehung von solchen Diensten externer Dritter sei nicht erforderlich, da diese Funktionen auch vom Websitebetreiber selbst angeboten werden könnten
Fazit
Die Aussagen der DSK haben keine rechtsverbindliche Wirkung. Die Orientierungshilfe gilt unter Vorbehalt, bis entweder die ePrivacy-Verordnung in Kraft tritt oder der Europäische Datenschutzausschuss sich zu einer gemeinsamen Positionierung bekennt.
Zusammenfassend lässt sich festhalten, dass es bei der zu wählenden Lösung darauf ankommt, welche Cookie-basierten Werkzeuge eingesetzt werden. Es bleibt abzuwarten, wie die Gerichte über die weitere Entwicklung von Tracking-Maßnahmen entscheiden werden und darüber, welche Werkzeuge zwingend einer Einwilligung bedürfen.
Sprechen Sie uns an. Gerne begleiten und unterstützen wir Sie bei der Umsetzung der erforderlichen Maßnahmen auf Ihrer Website.