Tracking nur mehr mit Einwilligung?

 

Ein Positionspapier der deutschen Datenschutzkonferenz, das ist ein (informelles) Gremium, in dem sich die deutschen Landesdatenschutzbehörden und Behörden des Bundes auf gemeinsame Positionen zu datenschutzrechtlichen Fragen abstimmen, sorgt für Diskussion im Netz.

 

 

 

 

Die DSK betrachtet insbes. das Verhältnis des dTMG (TelemedienG) zur DSGVO, und erklärt, dass der DSGVO Anwendungsvorrang zukommt, sodass Regelungen des dTMG, die der DSGVO nicht entsprechen, ab 25.05.2018 nicht mehr angewendet werden können.

 

Im Positionspapier findet sich folgende Aussage:

 

4. Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.

 

Es wird von der DSK daraus der Schluss gezogen, dass für die Beurteilung der Rechtmäßigkeit eines Verarbeitungsvorganges, insbes. bei Einsatz von „Tracking-Mechanismen“ daher nur die Bestimmung des Art 6 (1) lit a bis f DSGVO herangezogen werden kann, und erklärt überdies auch das „berechtigte Interesse“ nach Art 6 (1) lit f (siehe insbes. Punkt 8. des Positionspapiers) grundsätzlich als eine Möglichkeit, diese Verarbeitungsvorgänge durchzuführen, verweist aber auf die notwendige Interessensabwägung, die in diesem Artikel statuiert ist.

 

 

 

Weiters findet sich jedoch in Punkt 9. Folgendes:

 

9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden. 

 

Die DSK geht offensichtlich davon aus, dass „Marketing“-Cookies und „Marketing“-Tracking über den Webbrowser nur mehr mit einer (vorherigen, informierten und jederzeit widerruflichen) Einwilligung zulässig ist.

 

 

 

Die Aussagen der DSK werden im Netz heftig kritisiert:

 

http://www.online-marketing-recht.de/tracking-nur-noch-mit-einwilligung-was-ist-dran-am-beschluss-der-datenschutzkonferenz/

 

 

 

Meines Erachtens ist hier klar zu unterscheiden, ob es sich um die Analyse des Nutzerverhaltens eine registrierten Users (zB in einem Webshop) handelt, oder ob der Websitebetreiber selbst die Analyse für die Verbesserung der Funktionalitäten seiner Website vornimmt, oder ob es sich um „third-party“-Cookies handelt, die das Nutzerverhalten beim Surfen auf einer Website an andere (dritte) Organisationen weiterleiten, und damit personenbezogene Daten vom Betreiber der Website an einen Dritten weitergegeben werden.

 

 

 

In Österreich findet sich die Cookie-Regelung in § 96 (3) TKG, und lautet wie folgt:

 

 

 

Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt.

 

 

 

Die erläuternden Bemerkungen zur Regierungsvorlage enthalten dazu die Erklärung, dass eine Datenschutzerklärung auf der Website und ein Hinweis auf die Browsereinstellungen ausreichen können, um eine Einwilligung zu erreichen:

 


In der Neuformulierung wird nun eine Zustimmung bzw. eine Einwilligung des Teilnehmers gefordert, die auf der Grundlage von klaren und umfassenden Informationen getroffen werden muss. Damit wird im Wesentlichen sicher gestellt, dass die allgemeinen Bestimmungen des Datenschutzgesetzes durch das Telekommunikationsgesetz 2003 nicht abgeschwächt werden. Der Informationspflicht kann für Dienste der Informationsgesellschaft etwa durch Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden. Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.

 

               

 

 

 

Um Cookies setzen zu können bzw. das Nutzerverhalten auf der Homepage „nachvollziehbar“ zu machen, und zB dem Webshopbesucher den Warenkorb nach einem (eventuellen ungewollten) Schließen des Browsers wieder anzuzeigen, ist daher eine datenschutzrechtliche Grundlagenprüfung vorzunehmen, und mE können sowohl die „Einwilligung“, die den notwendigen Voraussetzungen der DSGVO zu entsprechen hat (informiert, freiwillig und jederzeit widerrufbar) als auch das „berechtigte Interesse“ herangezogen werden, um diesen Verarbeitungsvorgang durchzuführen.

 

 

 

Es ist immer von einer Prüfungsmatrix auszugehen, die wie folgt aussieht:

 

1.       Werden personenbezogene Daten erhoben bzw. wie sieht die erhoben IP-Adresse konkret aus? – Wenn ja, dann sind die datenschutzrechtlichen Bestimmungen einzuhalten.

 

2.       Was ist der Zweck der Datenerhebung (Marketing, technische Notwendigkeit zum Schutz des Systems)? – Eine Zweckfestlegung hat zu erfolgen, und über den Zweck der Verarbeitung ist der Websitebesucher auch zu informieren.

 

3.       Gibt es ein „berechtigtes Interesse“ iSd Art 6 (1) lit f DSGVO, wobei hier der Zweck eine wesentliche Rolle spielt? - Marketing wird von der DSGVO (ErwG 47) als Interesse eines Unternehmens grundsätzlich anerkannt.

 

4.       Ist die Datenerhebung notwendig, um den Zweck zu erfüllen? – Die Erforderlichkeit der Erhebung der personenbezogenen Daten zur Erfüllung des Zweckes ist darzustellen, und nachvollziehbar zu begründen; eventuell sollte es zu einer Einschränkung der Datenerhebung kommen.         

 

5.       Gibt es überwiegende Interessen der betroffenen Personen, und werden deren Rechte und Freiheiten beeinträchtigt, sodass die Erhebung aus diesem Grund zu unterlassen ist? Gibt es technische Maßnahmen, die das Risiko bzw. die Beeinträchtigung der betroffenen Personen vermindern können, aber dennoch den Zweck erfüllen können? – Was kann das Interesse der betroffenen Person sein, dass die Daten nicht erhoben werden? Welche konkreten Interessen der betroffenen Person sind beeinträchtigt? Was geschieht, wenn die Daten an dritte Unternehmen weitergeleitet werden, mit den Daten und kann eingeschätzt werden, welches Risiko dann gegeben ist?

 

 

 

Es ist wohl davon auszugehen, wenn es eine „enge“ Beziehung zwischen dem Zweck und einem etwaigen Nutzen für den Websitebesucher hat (Wiedererkennung wegen des Warenkorbes) oder wenn die Verarbeitung nicht für Marketingzwecke sondern aufgrund einer notwendigen technischen Sicherheit erfolgt, das berechtigte Interesse zugunsten des Verantwortlichen „ausschlagen“ wird.

 

Bei der Weitergabe von Daten an dritte Unternehmen ist jedoch mE die Rechtsgrundlage des „berechtigten Interesses“ nicht nutzbar, da die Beeinträchtigung der Datenweitergabe an einen Dritten, der dann diese Daten auf eine Art und Weise nutzt, die für den Verantwortlichen nicht kontrollierbar ist, schwerer wiegen wird, als der Nutzen der für den Verantwortlichen generiert werden kann.

 

Die Frage der „Cookies“ und die Art und Weise, wie eine Einwilligung tatsächlich erfolgen kann, ist derzeit ohnehin in einem Fall vor dem EuGH relevant, sodass uns der Gesprächsstoff in diesem Fall in den nächsten Monaten nicht ausgehen wird.