Anforderungen an Telemedienanbieter

Telemedien unter der DSGVO – Datenschutzbehörden vertreten restriktive Meinung

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat im März 2019 die Rahmenbedingungen für die Verarbeitung personenbezogener Daten durch Telemedienanbieter – insbesondere Webseiten- oder App-Anbieter – konkretisiert. Danach dürfte das Tracking von Nutzern von Telemedien in vielen Fällen nur noch mit einer expliziten Einwilligung zulässig sein. Die dafür in der Praxis verwendeten Cookie-Banner werden bei Zugrundelegung der Meinung der DSK häufig nicht ausreichen.

Mit ihrer Orientierungshilfe konkretisiert und vertieft die DSK eine Positionsbestimmung aus dem April 2018. Damals hatte die DSK noch kategorisch eine Einwilligung für das Tracking – also das Nachfolgen des Nutzerverhaltens – gefordert. Von dieser strikten Ansicht rückt die DSK nun insofern ab, als dass sie alle Erlaubnisgründe aus der Datenschutz-Grundverordnung (DS-GVO) für grundsätzlich anwendbar erklärt. Beispielsweise kann also auch eine Interessenabwägung (Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO) dazu führen, dass die Verarbeitung personenbezogener Daten der Nutzer erlaubt ist.

Kein Rückgriff soll nach der DSK dagegen mehr möglich sein auf die Erlaubnistatbestände des bisherigen Telemediengesetzes (TMG).

Keine Anwendbarkeit des TMG

Wie bereits in der Positionsbestimmung aus dem April 2018 sieht die DSK die Vorschriften des TMG durch die DS-GVO verdrängt. Der Grund: Deutschland habe mit dem TMG die Anforderungen der e-Privacy-Richtlinie – Richtlinie 2002/58 in der Fassung der Richtlinie 2009/136 – nicht umgesetzt, sondern vielmehr lediglich diejenigen der alten Datenschutzrichtlinie 95/46. Damit aber komme die Kollisionsregel des Art. 95 DS-GVO mit Blick auf das TMG nicht zum Zuge; vielmehr verdränge die DS-GVO das TMG aufgrund ihres Anwendungsvorrangs.

Alle Erlaubnistatbestände der DS-GVO grundsätzlich anwendbar – insbesondere die Interessenabwägung…

Zwar wird das TMG verdrängt, allerdings kommen im Gegenzug grundsätzlich alle Erlaubnistatbestände der DS-GVO in Betracht, um die Datenverarbeitung durch Telemedienanbieter zu rechtfertigen. So können sich Telemedienanbieter z.B. darauf berufen, die Datenverarbeitung sei für die Erfüllung eines Vertrags mit Nutzern erforderlich (Art. 6 Abs. 1 Uabs. 1 lit. b DS-GVO). Auch eine Abwägung der Interessen des Telemedienanbieters und des betroffenen Nutzers kann dazu führen, dass die Datenverarbeitung erlaubt ist (Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO). Bei beiden Konstellationen ist notwendig, dass die Verarbeitung personenbezogener Daten erforderlich ist: Daran fehlt es etwa, wenn – wie im Fall einer Reichweitenmessung für eine Webseite – auch die Verarbeitung weniger oder gar keiner personenbezogenen Daten ausreichend ist.

Kriterien der Interessenabwägung

Für die Interessenabwägung sind laut DSK eine Reihe von Kriterien in den Blick zu nehmen. Diese erinnern an die bereits durch die Artikel 29-Datenschutzgruppe (jetzt Europäischer Datenschutzausschuss) in ihrem WP 217 aufgestellten Kriterien. Unter anderem sind relevant:

  • Die vernünftigen Erwartungen der betroffenen Personen (Vorhersehbarkeit);
  • Interventionsmöglichkeiten der betroffenen Personen, etwa Widerspruchsrecht;
  • Verkettung von Daten (d.h. die Schlüsse, die auseiner Verknüpfung verschiedener Daten gezogen werden können).

Auch beteiligte Akteure, Dauer der Beobachtung, Kreis der Betroffenen, Datenkategorien oder Umfang der Datenverarbeitung können eine Rolle spielen.

 

Pseudonymisierung wohl kein Faktor in der Abwägung

Die Pseudonymisierung personenbezogener Daten kann nach der DSK nicht zugunsten des Verantwortlichen im Rahmen der Interessenabwägung berücksichtigt werden, da es sich um eine ohnehin nach der DS-GVO bestehende Pflicht handele (S. 14). An anderer Stelle der Orientierungshilfe weist die DSK allerdings darauf hin, dass die Verarbeitung pseudonymer Daten grundsätzlich weniger belastend wirke, misst der Pseudonymisierung damit also anscheinend doch eine Auswirkung in der Interessenabwägung bei.

…aber in vielen Fällen bleibt dennoch nur die Einwilligung.

Trotz der Eröffnung aller Erlaubnistatbestände der DS-GVO: In vielen Fällen wird – bei Zugrundelegung der Maßstäbe der DSK – nur eine vorherige Einwilligung als Rechtsgrundlage in Betracht kommen (Art. 6 Abs. 1 Uabs. 1 lit. a DS-GVO). Dies liegt vor allem daran, dass die DSK für das webseitenübergreifende Tracking nicht die Interessenabwägung nach Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO durchgreifen lässt: Nutzer erwarteten nicht, dass ihr Verhalten auf Webseiten beobachtet werde, damit Informationen daraus an Dritte (z.B. Fanpagebetreiber bei sozialen Netzwerken) weitergegeben würden. In der Praxis sind solche Fälle überaus häufig, die webseitenübergreifende Einblendung von Werbung knüpft beispielsweise daran an. In die gleiche Richtung geht eine Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps).

Mit Urteil vom 1. Oktober 2019 (EuGH, Urteil vom 1.10.2019 – C-673/17 – „Planet49“) hat der EuGH entschieden, dass nicht zwingend erforderliche Cookies einer informierten und aktiven Einwilligung bedürfen. Danach ist eine Einwilligung unabhängig davon erforderlich, ob es sich bei den erhobenen Informationen um personenbezogene Daten handelt oder nicht. Zusätzlich ist über die Funktionsdauer der Cookies und die Zugriffsberechtigten zu informieren.

Einbindung von Google Analytics nur mit Einwilligung zulässig

In einer kürzlich veröffentlichten Pressemitteilung haben verschiedene deutsche Datenschutzbehörden klargestellt, dass Website-Betreiber eine Einwilligung der Website-Nutzer benötigen, sofern sie Dritt-Dienste einbinden wollen, bei denen der Dritt-Anbieter personenbezogene Daten auch zu eigenen Zwecken nutzt. Ausdrücklich genannt wurde dabei das Produkt Google Analytics. Bei Google Analytics handelt es sich um ein Trackingtool des US-amerikanischen Unternehmens Google, welches der Datenverkehrsanalyse von Webseiten dient. Nach Einschätzung der Aufsichtsbehörden stellt dies keine sogenannte Auftragsverarbeitung dar, da Google die erhobenen personenbezogenen Daten nicht lediglich für die Webseitenanbieter verarbeitet, sondern darüber hinaus auch zu eigenen Zwecken nutzt. Daher erfordert die Einbindung von Google Analytics und ähnlichen Diensten eine wirksame Einwilligung.

Eine Einwilligung ist grundsätzlich auch dann erforderlich, wenn das Nutzungsverhalten der Website-Nutzer durch Erhebung von Tastatureingaben, Maus- oder Wischbewegungen detailliert nachvollzogen werden kann. Eine bloße Reichweitenerfassung durch Erfassen der Abrufanzahlen, Geräte- sowie Spracheinstellungen kann auch ohne vorherige Einwilligung rechtmäßig sein, sofern ein Dritt-Anbieter die Daten nicht zu eigenen Zwecken nutzt.

Konkrete Anforderungen der Einwilligung in Cookie-Bannern

Eine Einwilligung ist nur dann wirksam, wenn die Website-Nutzer der Datenverarbeitung eindeutig und informiert zustimmen. Um den Anforderungen der DS-GVO an eine Einwilligung gerecht zu werden, ist nach der DSK und dem EuGH insbesondere Folgendes anzumerken:

  • Das Klicken eines „OK“-Buttons im Zusammenhang mit einem Cookie-Hinweis ist keine wirksame Einwilligung, wenn dem Nutzer keine Möglichkeit bleibt, das Setzen von Cookies auch abzulehnen. Notwendig wäre also auch ein „Ablehnen“- oder ein „Nein“-Button.
  • Jeder Verarbeitungsvorgang muss einzeln wählbar sein. Der DSK schwebt eine Art „Auswahlmenü“ vor, das zu Beginn der Nutzung des Telemediums eingeblendet wird.
  • Bereits angekreuzte Kästchen bei Untätigkeit des Betroffenen stellen keine wirksame Einwilligung dar.

Wichtig ist die Feststellung, dass Cookie-Banner nur eingesetzt werden sollten, wenn tatsächlich eine Einwilligung erforderlich ist – also nicht bei Bestehen eines anderen Erlaubnistatbestands. Sinnvoll ist es also,

  • zunächst zu analysieren, ob überhaupt einwilligungsbedürftige Verarbeitungsvorgänge vorgenommen werden (etwa das Tracking von Nutzern zur Übermittlung der Daten an Dritte); und
  • möglichst spezifische Banner vorzusehen – der Wortlaut „Ich erkläre mich mit dem Setzen von Cookies einverstanden“ ohne weitere Erläuterung reicht nicht.

Ausblick:

Die E-Privacy-Verordnung wird voraussichtlich ebenfalls relevante Regelungen für die Datenverarbeitung durch Telemedienanbieter enthalten. Aus diesem Grund sollte der weitere Gesetzgebungsprozess der E-Privacy-Verordnung im Blick behalten werden.