anyaberkut - stock.adobe.com
Was der Datenschutz beim Online-Tracking verlangt
Die Aufsichtsbehörden für den Datenschutz haben dargelegt, dass die DSGVO für den Datenschutz bei Webseiten zur Anwendung kommt und nicht mehr das deutsche Telemediengesetz.
Schon seit längerem wird darüber diskutiert, wie die geplante E-Privacy-Verordnung und die Datenschutz-Grundverordnung (DSGVO/GDPR) harmonieren. Da die E-Privacy-Verordnung (ePVO) zudem noch nicht final verabschiedet ist, beziehen sich viele Webseitenbetreiber, Verbände und Organisationen in Fragen der Cookie-Verwendung und bei dem Online-Tracking noch auf das deutsche TMG (Telemediengesetz), das die E-Privacy-Richtlinie der EU umsetzen soll.
In dieser Situation haben die deutschen Aufsichtsbehörden für den Datenschutz schon mehrfach Stellung bezogen und auf die Bedeutung der DSGVO für den Datenschutz insgesamt hingewiesen. Wenn es um Cookies und Tracking bei Telemedien geht, müssen demnach die Vorgaben der DSGVO beachtet werden, die Anwendung des deutschen TMG reicht nicht.
Auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) hat kürzlich die Ansicht vertreten, dass es Bedarf für eine Einwilligung bei Cookies gibt, wenn diese zum Beispiel dem Tracking dienen. Nun haben die deutschen Aufsichtsbehörden zahlreiche Hinweise veröffentlicht, wie die DSGVO im Fall von Cookies und Tracking anzuwenden ist.
Datenschutzhinweise für Telemedien
Anbieter von Telemedien, also insbesondere Betreiber von Webseiten, sollten sich nicht mehr an den Datenschutzvorgaben orientieren, die sich aus dem deutschen Telemediengesetz ergeben, denn auch wenn es die E-Privacy-Verordnung noch nicht final gibt, muss seit Ende Mai 2018 die Datenschutz-Grundverordnung zur Anwendung kommen.
Die deutschen Aufsichtsbehörden für den Datenschutz haben dazu nun zahlreiche Hinweise gegeben, darunter diese, unter dem Vorbehalt, dass der Europäische Datenschutzausschuss (EDPB) auch zu einer anderen Meinung kommen könnte:
- In Fragen des Datenschutzes hat die DSGVO Anwendungsvorrang.
- Das deutsche TMG ist keine Umsetzung der E-Privacy-Richtlinie (§§ 12, 15 TMG), deshalb gibt es dort auch keine Kollision zwischen DSGVO und E-Privacy-Richtlinie.
- Die Widerspruchslösung (Opt-Out) bei Cookies und bei dem Tracking ist kein Ersatz für eine Einwilligung (Opt-In). So führt Erwägungsgrund 32 DSGVO aus, dass Verhaltensweisen wie „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ keine Einwilligungen darstellen.
- Die notwendige Anwendung der DSGVO bedeutet zuerst, dass die Rechtmäßigkeit der Verarbeitung bei Cookies und Tracking geklärt sein muss. Möglichkeiten sind hier Einwilligung des Betroffenen, Vertrag oder Interessenabwägung.
- Die Aufsichtsbehörden betonen: Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.
- Ein weiterer, wichtiger Hinweis: Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie zum Beispiel Verfahren zur Verfolgung der Nutzer durch Zählpixel oder diverse Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.
- Die tatsächliche Rechtsgrundlage müssen die Webseitenbetreiber prüfen und dann das Ergebnis der Prüfung dokumentieren. Es reicht also zum Beispiel nicht zu sagen, man habe eine Interessenabwägung gemacht, ohne Details dazu zu dokumentieren.
Die Aufsichtsbehörden nennen auch Beispiele, die eine Interessenabwägung zugunsten des Webseitenbetreibers möglich machen, also den Einsatz von Cookies erlauben können, wenn diese wirklich erforderlich sind und die Interessen des Betroffenen nicht überwiegen:
- Bereitstellung besonderer Funktionalitäten, zum Beispiel die Warenkorbfunktion unter Verwendung eines so genannten Session-Identifiers
- Freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen
- Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind beispielsweise das Speichern von Log-Dateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können
- Reichweitenmessung und statistische Analysen (ohne Einbeziehung Dritter)
- Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer
- Wiedererkennung und Merkmalszuordnung der Nutzer, beispielsweise bei werbefinanzierten Angeboten
- Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial-of-Service-Attacken) und Bot-Nutzung
- Ob für diese Zwecke eine Einwilligung erforderlich ist oder nicht, kommt auf die Prüfungen an:
- Besteht eine Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen?
- Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall
Kann die Nutzung von Cookies und Tracking aus keinem rechtsgültigen Vertrag abgeleitet werden und ist die Interessenabwägung nicht zugunsten des Webseitenbetreibers, dann können Cookies, die für ein Tracking eingesetzt werden sollen, nur nach vorheriger, informierter Einwilligung genutzt werden. Das Verfahren, das viele Webseitenbetreiber einsetzen, ein Opt-Out-Verfahren nach TMG, reicht dann nicht aus, so die Aufsichtsbehörden.
Es empfiehlt sich dringend, die Hinweise der Aufsichtsbehörden zu beachten, gleichzeitig sollte man auch die Entwicklungen rund um die E-Privacy-Verordnung (ePVO) sowie Entscheidungen des Europäischen Datenschutzausschusses (EDPB) im Auge behalten.