Die Datenschutzkonferenz (DSK) hat ein neues Dokument* herausgegeben, welches sich mit der Frage beschäftigt, inwieweit der Einsatz von Tracking-Technologien im Rahmen der DSGVO noch möglich ist
Im Folgenden soll knapp auf den Inhalt des Dokuments eingegangen werden.
Vorschriften des TMG werden durch den Anwendungsvorrang der DSGVO verdrängt.
Die DSK vertritt die Ansicht, dass Art. 5 Abs. 3 ePrivacy-Richtlinie in Deutschland nicht umgesetzt wurde. Die speziellen datenschutzrechtlichen Vorgaben in den §§ 11 ff. TMG können nur dann neben der DSGVO zur Anwendung kommen, wenn es sich dabei um Umsetzungen der ePrivacy-Richtline (2009/136/EG) handeln und damit der Kollisionsregel des Art. 95 DSGVO unterfallen würden. Der Art. 95 DSGVO umfasst die in Umsetzung der ePrivacy-Richtlinie erlassenen mitgliedsstaatlichen Vorschriften. Der DSK ist der Meinung, dass Art. 95 DSGVO für § 12 und § 15 Abs. 1 TMG nicht greift. Durch diese Regelungen des TMG würde die ePrivacy-Richtlinie nicht umgesetzt werden. Dies gilt auch für § 15 Abs. 3 TMG, der dem Dienstanbieter gestattet, zu Zwecken der Werbung, der Marktforschung oder zu bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile unter Verwendung eines Pseudonyms zu erstellen, sofern die Nutzer nicht widersprechen. Die in § 15 Abs. 3 TMG genannten Zwecke würden aber nicht den Ausnahmetatbeständen des Art. 5 Abs. 3 S. 2 der ePrivacy-Richtlinie entsprechen.
„Tracking“ nach dem Verständnis der Aufsichtsbehörden und Auslegung der Erlaubnistatbestände des Art. 6 Abs. 1 lit. a) u. f) DSGVO – Einwilligung und Interessenabwägung.
Bei „Tracking“ handle es sich nach dem Verständnis der DSK um Datenverarbeitung zur – in der Regel websiteübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern.
Die Datenverarbeitung sei nur dann rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 DSGVO vorliegen würde. Diese sind insbesondere Einwilligung, Vertrag oder Interessenabwägung. Allerdings seien die Erlaubnistatbestände des Art 6 Abs. 1 DSGVO als gleichrangig und gleichwertig zu betrachten.
Für eine wirksame Einwilligung i.S.d. Art. 6 Abs. 1 lit. a) DSGVO werde vorausgesetzt, dass jegliche Datenverarbeitungen transparent und nachvollziehbar sein müssen. Eine Verarbeitung personenbezogener Daten ohne ausreichende Kenntnis der betroffenen Personen über die jeweiligen Datenverarbeitungsvorgänge und die jeweils einbezogenen Dritten sowie eine fehlende Möglichkeit der gesonderten Zustimmung führe zur Unwirksamkeit der Einwilligung. Bezüglich der Verwendung von Cookies reiche für eine (freiwillige) Einwilligung i.S.d. DSGVO nicht aus, wenn ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolge. Den betroffenen Personen fehle es dann an der Möglichkeit, das Setzen von Cookies abzulehnen ohne dass sie dadurch Nachteile erleiden würden. Zudem müssen nach Ansicht der DSK bei Websites, bei denen durch vorgeschaltete Abfragen Einwilligungen eingeholt werden, die einzelnen Verarbeitungsvorgänge gesondert abwählbar sein.
Hinsichtlich der Interessenabwägung i.S.d. Art. 6 Abs. 1 lit. f) DSGVO stellt die DSK klar, dass diese keinen Auffangtatbestand darstelle. Ob die Voraussetzungen erfüllt werden, sei anhand einer dreistufigen Prüfung zu ermitteln:
1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechte und Grundfreiheiten der betroffenen Person im konkreten Einzelfall.
Dieser Prüfungsanbau orientiere sich sowohl an der Rechtsprechung des EuGHs als auch an der Auffassung der europäischen Aufsichtsbehörden.
Ein berechtigtes Interesse könne wirtschaftlicher, ideeller oder rechtlicher Natur sein. Weitere Interessen seien:
– Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
– Freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z. B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery
– Networks (CDN), Web Fonts, Kartendiensten, Social-Plugins, etc.
– Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von LogDateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und
– abwehren zu können,
– Reichweitenmessung und statistische Analysen,
– Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots
– abgestimmt auf die jeweiligen Nutzer,
– Wiedererkennung und Merkmalszuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten
– Betrugsprävention, Abwehr von dem Dienst überlastenden Anfragen (Denial of Service-Attacken)
– und Bot-Nutzung
Erforderlich sei die Verarbeitung dann, wenn sie geeignet ist, das Interesse (Motiv/Nutzen der Verarbeitung) des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektiveres Mittel zur Verfügung stehen dürfe. Der Verantwortliche hat dabei die Verarbeitung auf das notwendige Maß zu beschränken.
Im Rahmen der Interessenabwägung sind sämtliche, sich gegenüberstehende Interessen zu gewichten. Verantwortliche können sich an folgende Grundsätze orientieren:
– Ein spezifisch, verfassungsrechtlich anerkanntes Interesse, z.B. Recht auf Schutz personenbezogener Daten gem. Art. 8 GRCh, hat ein höheres Gewicht, als ein Interesse, dass nur einfachgesetzlich in der Rechtsordnung anerkannt ist.
– Ein Interesse ist gewichtiger, wenn es nicht nur dem Verantwortlichen dient, sondern gleichzeitig auch der Allgemeinheit, z.B. bei Forschungstätigkeiten, deren Erkenntnisse für medizinische Vorsorge genutzt werden sollen.
Dabei sei zu beachten, dass die Pflichten der DSGVO gesetzliche Anforderungen darstellen und diese in jedem Fall zu erfüllen seien. Erwägungsgründe der DSGVO würden allerdings im Rahmen der Interessenabwägung unterstützend herangezogen werden können. Sollte der Verantwortliche zum Ergebnis kommen, dass die auf den konkreten Einzelfall bezogene Interessenabwägung zugunsten der betroffenen Person ausfällt und keine andere Rechtsgrundlage in Betracht kommt, wäre die Datenverarbeitung nur nach voriger wirksamer Einwilligung rechtmäßig.
Die Äußerungen der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder haben zwar keinen rechtsverbindlichen Charakter, allerdings geben sie zu erkennen, wie die Behörden die Regelungen der DSGVO auslegen. Ob die Auslegung dann zutreffend ist, muss dann ggf. vor Gericht ausgetragen werden.
* https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf
Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien
Autorin: Isabelle Haaf