Anforderungen an Telemedienanbieter
Telemedien unter der DSGVO – Datenschutzbehörden vertreten restriktive Meinung
Mit ihrer Orientierungshilfe konkretisiert und vertieft die DSK eine Positionsbestimmung aus dem April 2018. Damals hatte die DSK noch kategorisch eine Einwilligung für das Tracking – also das Nachfolgen des Nutzerverhaltens – gefordert. Von dieser strikten Ansicht rückt die DSK nun insofern ab, als dass sie alle Erlaubnisgründe aus der Datenschutz-Grundverordnung (DS-GVO) für grundsätzlich anwendbar erklärt. Beispielsweise kann also auch eine Interessenabwägung (Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO) dazu führen, dass die Verarbeitung personenbezogener Daten der Nutzer erlaubt ist.
Kein Rückgriff soll nach der DSK dagegen mehr möglich sein auf die Erlaubnistatbestände des bisherigen Telemediengesetzes (TMG).
Keine Anwendbarkeit des TMG
Alle Erlaubnistatbestände der DS-GVO grundsätzlich anwendbar – insbesondere die Interessenabwägung…
Zwar wird das TMG verdrängt, allerdings kommen im Gegenzug grundsätzlich alle Erlaubnistatbestände der DS-GVO in Betracht, um die Datenverarbeitung durch Telemedienanbieter zu rechtfertigen. So können sich Telemedienanbieter z.B. darauf berufen, die Datenverarbeitung sei für die Erfüllung eines Vertrags mit Nutzern erforderlich (Art. 6 Abs. 1 Uabs. 1 lit. b DS-GVO). Auch eine Abwägung der Interessen des Telemedienanbieters und des betroffenen Nutzers kann dazu führen, dass die Datenverarbeitung erlaubt ist (Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO). Bei beiden Konstellationen ist notwendig, dass die Verarbeitung personenbezogener Daten erforderlich ist: Daran fehlt es etwa, wenn – wie im Fall einer Reichweitenmessung für eine Webseite – auch die Verarbeitung weniger oder gar keiner personenbezogenen Daten ausreichend ist.Kriterien der Interessenabwägung
Für die Interessenabwägung sind laut DSK eine Reihe von Kriterien in den Blick zu nehmen. Diese erinnern an die bereits durch die Artikel 29-Datenschutzgruppe (jetzt Europäischer Datenschutzausschuss) in ihrem WP 217 aufgestellten Kriterien. Unter anderem sind relevant:
- Die vernünftigen Erwartungen der betroffenen Personen (Vorhersehbarkeit);
- Interventionsmöglichkeiten der betroffenen Personen, etwa Widerspruchsrecht;
- Verkettung von Daten (d.h. die Schlüsse, die auseiner Verknüpfung verschiedener Daten gezogen werden können).
Auch beteiligte Akteure, Dauer der Beobachtung, Kreis der Betroffenen, Datenkategorien oder Umfang der Datenverarbeitung können eine Rolle spielen.
Pseudonymisierung wohl kein Faktor in der Abwägung
…aber in vielen Fällen bleibt dennoch nur die Einwilligung.
Trotz der Eröffnung aller Erlaubnistatbestände der DS-GVO: In vielen Fällen wird – bei Zugrundelegung der Maßstäbe der DSK – nur eine vorherige Einwilligung als Rechtsgrundlage in Betracht kommen (Art. 6 Abs. 1 Uabs. 1 lit. a DS-GVO). Dies liegt vor allem daran, dass die DSK für das webseitenübergreifende Tracking nicht die Interessenabwägung nach Art. 6 Abs. 1 Uabs. 1 lit. f DS-GVO durchgreifen lässt: Nutzer erwarteten nicht, dass ihr Verhalten auf Webseiten beobachtet werde, damit Informationen daraus an Dritte (z.B. Fanpagebetreiber bei sozialen Netzwerken) weitergegeben würden. In der Praxis sind solche Fälle überaus häufig, die webseitenübergreifende Einblendung von Werbung knüpft beispielsweise daran an. In die gleiche Richtung geht eine Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (FAQ zu Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps).
Mit Urteil vom 1. Oktober 2019 (EuGH, Urteil vom 1.10.2019 – C-673/17 – „Planet49“) hat der EuGH entschieden, dass nicht zwingend erforderliche Cookies einer informierten und aktiven Einwilligung bedürfen. Danach ist eine Einwilligung unabhängig davon erforderlich, ob es sich bei den erhobenen Informationen um personenbezogene Daten handelt oder nicht. Zusätzlich ist über die Funktionsdauer der Cookies und die Zugriffsberechtigten zu informieren.
Einbindung von Google Analytics nur mit Einwilligung zulässig
In einer kürzlich veröffentlichten Pressemitteilung haben verschiedene deutsche Datenschutzbehörden klargestellt, dass Website-Betreiber eine Einwilligung der Website-Nutzer benötigen, sofern sie Dritt-Dienste einbinden wollen, bei denen der Dritt-Anbieter personenbezogene Daten auch zu eigenen Zwecken nutzt. Ausdrücklich genannt wurde dabei das Produkt Google Analytics. Bei Google Analytics handelt es sich um ein Trackingtool des US-amerikanischen Unternehmens Google, welches der Datenverkehrsanalyse von Webseiten dient. Nach Einschätzung der Aufsichtsbehörden stellt dies keine sogenannte Auftragsverarbeitung dar, da Google die erhobenen personenbezogenen Daten nicht lediglich für die Webseitenanbieter verarbeitet, sondern darüber hinaus auch zu eigenen Zwecken nutzt. Daher erfordert die Einbindung von Google Analytics und ähnlichen Diensten eine wirksame Einwilligung.
Eine Einwilligung ist grundsätzlich auch dann erforderlich, wenn das Nutzungsverhalten der Website-Nutzer durch Erhebung von Tastatureingaben, Maus- oder Wischbewegungen detailliert nachvollzogen werden kann. Eine bloße Reichweitenerfassung durch Erfassen der Abrufanzahlen, Geräte- sowie Spracheinstellungen kann auch ohne vorherige Einwilligung rechtmäßig sein, sofern ein Dritt-Anbieter die Daten nicht zu eigenen Zwecken nutzt.
Konkrete Anforderungen der Einwilligung in Cookie-Bannern
Eine Einwilligung ist nur dann wirksam, wenn die Website-Nutzer der Datenverarbeitung eindeutig und informiert zustimmen. Um den Anforderungen der DS-GVO an eine Einwilligung gerecht zu werden, ist nach der DSK und dem EuGH insbesondere Folgendes anzumerken:
- Das Klicken eines „OK“-Buttons im Zusammenhang mit einem Cookie-Hinweis ist keine wirksame Einwilligung, wenn dem Nutzer keine Möglichkeit bleibt, das Setzen von Cookies auch abzulehnen. Notwendig wäre also auch ein „Ablehnen“- oder ein „Nein“-Button.
- Jeder Verarbeitungsvorgang muss einzeln wählbar sein. Der DSK schwebt eine Art „Auswahlmenü“ vor, das zu Beginn der Nutzung des Telemediums eingeblendet wird.
- Bereits angekreuzte Kästchen bei Untätigkeit des Betroffenen stellen keine wirksame Einwilligung dar.
Wichtig ist die Feststellung, dass Cookie-Banner nur eingesetzt werden sollten, wenn tatsächlich eine Einwilligung erforderlich ist – also nicht bei Bestehen eines anderen Erlaubnistatbestands. Sinnvoll ist es also,
- zunächst zu analysieren, ob überhaupt einwilligungsbedürftige Verarbeitungsvorgänge vorgenommen werden (etwa das Tracking von Nutzern zur Übermittlung der Daten an Dritte); und
- möglichst spezifische Banner vorzusehen – der Wortlaut „Ich erkläre mich mit dem Setzen von Cookies einverstanden“ ohne weitere Erläuterung reicht nicht.
Ausblick:
Die E-Privacy-Verordnung wird voraussichtlich ebenfalls relevante Regelungen für die Datenverarbeitung durch Telemedienanbieter enthalten. Aus diesem Grund sollte der weitere Gesetzgebungsprozess der E-Privacy-Verordnung im Blick behalten werden.