Die ab dem 25.Mai 2018 verbindlich geltende Datenschutzgrundverordnung (DSGVO) löst bereits schon genug hektische Betriebsamkeit aus. Nun sorgt die sog. Datenschutzkonferenz (DSK), als gemeinsames Gremium der Datenschutzbehörden, mit ihrer aktuellen Stellungnahme vom 26.04.2018 nun für noch für eine grössere Verunsicherung.
Die ab dem 25.Mai 2018 verbindlich geltende Datenschutzgrundverordnung (DSGVO) löst bereits schon genug hektische Betriebsamkeit aus. Nun sorgt die sog. Datenschutzkonferenz (DSK), als gemeinsames Gremium der Datenschutzbehörden, mit ihrer aktuellen Stellungnahme vom 26.04.2018 nun für noch für eine grössere Verunsicherung.
In der aktuellen Mitteilung, die für die datenschutzkonforme Ausgestaltung von Webseiten und Online Marketing unter der DSGVO eine grosse Bedeutung haben dürfte, formulieren die Datenschutzbehörden ihre Interpretation zu einigen elementaren Fragen.
Unter anderem wird dort Folgendes mitteilt:
Und der gravierendste Punkt:
Mit dieser letzten Feststellung lässt die Datenschutzkonferenz nur knapp einen Monat vor Wirksamwerden der DSGVO eine „Bombe platzen“, die für fast jeden Betreiber von Webseiten erhebliche Auswirkungen hätte und neu folgende Fragen aufwerfen:
Um diese Stellungnahme besser einordnen zu können, muss man sagen, dass es sich derzeit „nur“ um das Verständnis der deutschen Datenschutzbehörden handelt. Aus meiner Sicht spricht einiges dafür, dass die Aussage zum Tracking in dieser Pauschalität nicht korrekt ist. Ich halte es insofern für überwiegend wahrscheinlich, dass zukünftige Stellungnahmen der die EU beratenden Art.29 Datenschutzgruppe bzw. auch zukünftige Gerichtsurteile (z.B. des EuGH) diesbezüglich zu einem anderen Ergebnis kommen werden.
Bis zu entsprechenden Korrekturen birgt die Stellungnahme aber ein nicht unerhebliches Risiko- und Konfliktpotenzial für alle Webseitenbetreiber die Tracking (z.B. Webanalyse) oder Targeting (z.B. Retargeting oder Online Behavioural Advertising) einsetzen.
Deshalb sollten nachfolgend die rechtlichen Anforderungen der DSGVO an Tracking und Targeting beschrieben und Empfehlungen für den Umgang mit der Stellungnahme der Datenschutzkonferenz gegeben werden.
Werden über oder auf eine Webseite personenbezogene Daten verarbeitet oder erhoben, so ist dies nach dem Verbotsprinzip der DSGVO nur zulässig, wenn einer der Erlaubnistatbestände die jeweilige Datenverarbeitung legitimiert.
Die Frage, was alles als personenbezogenes Datum im Sinne der Datenschutzgrundverordnung anzusehen ist, wird in Art. 4 Ziff.1 DSGVO definiert. Neben Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden auch Betroffener) beziehen, fallen ausdrücklich auch Online-Kennungen in den Anwendungsbereich.
Entgegen einiger wilder Spekulationen in zahlreichen Internetforen und -gruppen reicht es für die Annahme eines Personenbezuges grundsätzlich schon aus, wenn die Person durch die jeweiligen Daten bestimmbar ist, weil die Information in Verbindung mit anderen Informationen eine Unterscheidung bzw. Identifizierbarkeit ermöglicht. Die Identifizierung einer Person setzt damit nicht die Kenntnis eines Namens voraus. So genügt es vielmehr schon, wenn eine Onlinekennung (z.B. eine Cookie-ID) einen Webseitenbesucher als „unique user“ identifizieren kann, der bestimmte Seiten angeschaut hat, ohne dass auch nur irgendeine tatsächlich Identifikation des Namens möglich ist. Der Anwendungsbereich ist also bewusst weit gewählt, weshalb ich meinen Mandanten zwischenzeitlich davon abrate, durch zweifelhafte Konstruktionen den Personenbezug vermeiden zu wollen.
Für all die Verarbeitungsvorgänge, die auf der einen Webseite solche eindeutige Onlinekennungen einsetzen, ist zu prüfen, ob diese nach Art. 6 Abs.1 DSGVO rechtmässig eingesetzt werden können.
Damit ist die Erhebung und Verarbeitung von
nur zulässig, wenn einer der Erlaubnistatbestände des Art. 6 Abs.1 DSGVO die konkrete Datenverarbeitung legitimiert.
Wie die DSK in ihrer Stellungnahme richtig ausführt, kommen bei der Webseite bzw. für Onlinemarketing bezüglich der Verarbeitung der Daten der Webseitenbesucher in der Regel nur die Legitimationstatbestände
in Betracht.
Neben der Einwilligung (Opt-In) lässt Art.6 Abs.1 lit.f DSGVO aber eben auch ausdrücklich eine Legitimation über berechtigte Interessen (also ohne Opt-In) zu. Erwägungsgrund (47) DSGVO, welcher Direktmarketing ausdrücklich als mögliches berechtigtes Interesse nennt und Art. 21 Abs.1 Satz 1 DSGVO, der ein Widerspruchsrecht für Werbeprofiling vorsieht, sind eindeutige Argumente dafür, dass auch Tracking und Targeting – je nach „Eingriffsintensität“ und Erwartbarkeit– auch über berechtigte Interessen legitimiert werden können sollen.
Die aktuelle Aussage der Datenschutzkonferenz, dass Tracking grundsätzlich immer einer Einwilligung (Opt-In) bedarf, widerspricht damit den Regelungen und den Erwägungsgründen der DSGVO.
Ob Tracking oder Targeting über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden kann oder einer Einwilligung (Opt-In) im Sinne des Art. 6 Abs.1 lit.f DSGVO bedarf, hängt von einer Abwägung der Interessen des Webseitenbetreibers mit denen der Besucher und deren berechtigten Nutzererwartung ab.
Während Argumente wie
bei Tracking und Targetingmassnahmen Kriterien sind, die im Zusammenwirken eher dafür sprechen, dass diese Datenverarbeitung über berechtigte Interessen legitimiert werden kann, dürften Verarbeitungsvorgänge
nicht mehr über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden können. Wer entsprechende Massnahmen einsetzen will, die der Nutzer vernünftigerweise nicht erwarten muss, sollte sich tatsächlich vorher eine Einwilligung (Opt-In) von den Betroffenen einholen.
Zusammenfassend muss man der Stellungnahme bezüglich der zwingenden Notwendigkeit einer Einwilligung bei Tracking und Targeting entschieden widersprechen. Sehr lesenswert sind hierzu auch die Beiträge der Kollegen/in Stephan Hansen-Oest, Martin Schirmbacher und Nina Diercks, die im Wesentlichen zu dem selben Ergebnis kommen.
Webseiten-Betreiber sollten sämtliche verwendeten Tracking und Targetingwerkzeuge nach den oben stehenden Massstäben (neu) bewerten.
Bei Analysewerkzeugen wie Google Analytics (mit IP-Masking) oder Matomo (früher Piwik) lässt sich eine Legitimation über berechtigte Interessen aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings mit guten Argumenten begründen. Wer dem Art.13 DSGVO entsprechend dann noch in der Datenschutzerklärung über diese Datenverarbeitung aufklärt und eine Widerspruchsmöglichkeit anbietet, dürfte auch in datenschutzrechtlicher Hinsicht gut aufgestellt sein.
Die Zulässigkeit anderer Werkzeuge (wie Online Behavioural Advertising, Retargeting) hängt sehr von der konkreten Ausgestaltung ab, insbesondere welche Daten (pseudonyme Daten oder nicht) erhoben werden, ob diese mit anderen Daten zusammengeführt werden und wie diese genutzt werden. Je nach „Eingriffsintensität“ und Erwartbarkeit lassen sich manche Tracking- und Targetingmaßnahmen also wohl noch über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO argumentieren, andere bedürfen dann tatsächlich eine Einwilligung, um sie datenschutzkonform einsetzen zu können. Im letzteren Fall sollte vor der Datenverarbeitung (z.B. über ein Cookieoverlay) eine wirksame Einwilligung eingeholt werden.
Diese Ausführungen und die Stellungnahme der Datenschutzkonferenz zeigen, dass hier einiges vertreten werden kann. Die Rechtsprechung wird zeigen, wo genau die Grenze verläuft.
Webseitenbetreiber sollten sich auf der Grundlage einer Risikoabwägung entscheiden, welche Werkzeuge eingesetzt werden sollen und welche nicht. Während das Risiko bei einigen Werkzeugen (z.B. pseudonyme Webanalyse) eher überschaubar ist, verbleibt bei einigen anderen ein eher grössere Rechtsunsicherheit.
Ein mögliches Risiko ist die Verhängung von Bussgelder durch die Datenschutzbehörde. Entgegen der weit verbreiteten Befürchtung, dass es für Webseitenbetreiber nun haufenweise Millionenbussgelder geben könnte, sei darauf hingewiesen, dass Bussgelder zwar abschreckend wirken sollen, nach Art. 83 DSGVO aber auch im Verhältnis zur Schwere des Verstosses und den weiteren Umständen stehen müssen. Danach wird sich jeweilige Bussgeld wohl auch von der Größe eines Unternehmens orientieren.
Auch kommt es darauf an, ob der Verstoss vorsätzlich oder fahrlässig begangen worden ist. Dabei wird es wohl auch eine Rolle spiele (müssen), ob ein Verstoss eindeutig oder (wie oben ausgeführt) durchaus diskutiert werden kann.
Wer sich also hier vorbereitet und mit vertretbarer Argumentation zur Zulässigkeit eines Targeting- oder Trackingmechanismus kommt, der braucht auch keine unverhältnismässigen Bussgelder zu fürchten.
Als weiteres potentielles Risiko werden häufig Abmahnungen genannt. Tatsächlich werten einige Gerichte Datenschutzverstösse (auch) als Wettbewerbsverstösse, mit der Folge dass die eigenen Wettbewerber gegen das Unternehmen vorgehen könnten, das eine Webseite betreibt. Da die meisten Unternehmen zwischenzeitlich entsprechende Tracking- und Targetingmassnahmen einsetzen, erscheint das Risiko (ausser systematischen Massenabmahnern) eher unwahrscheinlich. Zudem „riskiert“ der Abmahner eine gerichtliche Klärung, die aufgrund der oben stehender Argumentation bei sachkundigem Vortrag bei Gericht, auch gegen Abmahner ausgehen kann.
Zusammenfassend muss man also sagen, dass die tatsächlichen Risiken davon abhängen, welche Tools man einsetzt und wie gut man diese über berechtigte Interessen legitimieren kann.
Bei Einsatz entsprechender Tools sollte – unabhängig von den oben stehenden Fragestellungen – stets darauf geachtet werden, dass die Webseitenbesucher gemäß Art. 13 DSGVO über die Datenverarbeitung und bestehende Widerspruchsrechte informiert werden.
Schlussendlich wird dann die weitere Entwicklung in Form von zukünftige Stellungnahmen und Gerichtsentscheidungen zeigen, welche Tracking- und Targetingmaßnahmen (noch) über berechtigte Interessen legitimiert werden können, weil der Nutzer sie vernünftigerweise erwarten muss und welche Werkzeuge zwingend einer Einwilligung bedürfen. Schlussendlich wird hier nicht die deutsche Rechtsauffassung, sondern eine einheitliche europäische Auslegung zugrunde zu legen sein.
Bis dahin bleibt es eine Frage der konkreten Argumentation und einer Risikoabwägung, welche Werkzeuge eingesetzt werden. Ob man also nur die einsetzt, die relativ eindeutig zulässig sind oder ob man auch andere Tracking- und Targetingmassnahmen einsetzt. Im letzteren Fall sollte man die der eigenen Argumentation zugrundeliegende Interessenabwägung, die zur Zulässigkeit über berechtigte Interessen führt, der Rechenschaftspflicht des Art.5 Abs.2 DSGVO entsprechend schriftlich dokumentieren.
Comments are closed.
Vielen Dank für diese Einschätzung!
Rumd um das Thema Tracking gibt es auch noch andere Social Media wie z.B. Facebook Bewertungen und Google Rezensionen. Wie sehen Sie die Einbettung solcher Inhalte – wie muss man solche, eingebetteten, externen Daten in der eigenen Datenschutzerklärung behandeln? Darf man solche Daten in eigener Datenbank fachen, oder müssen sie immer von Facebook und Google geladenn werden?
Vielen lieben Dank schon im voraus!