Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz?

Kein Thema hält AdTech- und E-Commerce-Branche derzeit so in Atem, wie die DSGVO. Zu den vielen ungeklärten Fragen gehört, unter welchen Voraussetzungen das neue Datenschutzrecht das Besuchertracking zulässt und ob es eines Cookie-opt-in bedarf.

Vier Wochen bevor die DSGVO wirksam wird, haben sich nun die deutschen Aufsichtsbehörden aus der Deckung gewagt und eine gemeinsame Stellungnahme abgegeben. Danach sollen alle Tracking-Verfahren einer vorherigen Einwilligung des Nutzers bedürfen.

Dazu ein paar FAQ:

Was ist die Datenschutzkonferenz?
Die Datenschutzkonferenz ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, also ein informeller Kreis der deutschen Datenschutzaufsichtsbehörden.

Was ist dieser Beschluss?
Die DSK erlässt häufiger Beschlüsse; in der jüngeren Vergangenheit natürlich häufig zur Auslegung der DSGVO. Diese Beschlüsse sind in der Regel nur knapp begründet. Sie sind eine Auslegung der Datenschutzgesetze durch eine staatliche Behörde, in etwa so, wie die Finanzämter Steuervorschriften interpretieren oder die Polizei einen Bußgeldkatalog. Der Beschluss bindet natürlich kein Gericht.

Der Beschluss zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 ist, als was er auch bezeichnet ist: eine Position der Datenschutzbehörden. Wie die DSGVO in Bezug auf das Tracking auszulegen ist, werden die Gerichte entscheiden, vor allem der Europäische Gerichtshof.

Was sagt die DSK in dem Beschluss zum Tracking genau?
Die Behörden führen aus: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.“ Insbesondere müsse eine informierte Einwilligung eingeholt werden, bevor Cookies gesetzt oder ausgelesen werden (Ziff. 9 des Beschlusses).

Allerdings, so heißt es zwei Absätze zuvor (Ziff. 7 des Beschlusses): können „Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, … ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.“ Ist eine Datenverarbeitung erforderlich, um einen Leistung zu erbringen, kann dies also unter Umständen auf ein bestehenden Vertragsverhältnis oder berechtigte Unternehmerinteressen gestützt werden. Hiermit sind offenbar insbesondere Cookies gemeint, die im Rahmen einer Session des Nutzers gesetzt und ausgelesen werden, etwa um eine sinnvolle Warenkorbfunktion in einem Online-Shop anbieten zu können.

Ist eine Einwilligung erforderlich, dürfen Cookies erst gesetzt und ein Tracking begonnen werden, wenn eine DSGVO-konforme informierte Einwilligung in Form einer Erklärung abgegeben oder eine sonstigen eindeutig bestätigenden Handlung durch den Nutzer vorgenommen wurde.

Ist die Positionsbestimmung der Behörden überraschend?
Dass es eine solche Äußerung der Behörden geben würde, hatte sich angedeutet. Dass sie so dürftig begründet sein würde, eher nicht. Jedenfalls ist diese Äußerung kein Paukenschlag und nicht das Ende des Usertracking im Internet.

Wie kommt die DSK zu diesem Ergebnis?
Die Fragen sind komplex, weil sie das Zusammenspiel von DSGVO, ePrivacy-Richtlinie und TMG betreffen. Wenig überraschend gehen die Behörden davon aus, dass insbesondere § 15 Abs. 3 TMG, der die Bildung pseudonymer Nutzerprofile zulässt, neben der DSGVO nicht mehr anwendbar sein wird. Der Einsatz von Tracking-Tools sei ausschließlich an der DSGVO zu messen.

Ohne Begründung bleibt dann aber der Satz, dass jede Erstellung von Nutzerprofilen und jeder „Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ einer vorherigen ausdrücklichen Einwilligung bedürfe.

Ist das Ergebnis zutreffend?
Nein. Es ist offensichtlich falsch, dass sich nach der DSGVO eine „Erstellung von Nutzerprofilen“ ausschließlich auf eine Einwilligung des Nutzers stützen lässt.

Nach dem DSK-Beschluss ist jeder personalisierte Link in einer E-Mail unzulässig, weil damit ein Nutzerprofil verbunden ist. Auch ein Wiedererkennen von Besuchern auf der Website wäre nur noch mit expliziter Einwilligung der Nutzer zulässig, weil darin natürlich ein (pseudonymes) Nutzerprofil liegt.

Die DSGVO lässt aber anders als das BDSG auch für Werbung und Tracking eine Rechtfertigung mit berechtigten Unternehmerinteressen zu. Maßgeblich ist eine Interessenabwägung. Dass ungeachtet der Interessen der Websitebetreiber die Interessen der Nutzer stets überwiegen sollen, ist eine Behauptung, die sich nicht halten lässt.

In Erwägungsgrund (47) DSGVO ist festgehalten, dass das Direktmarketing mit berechtigten Interessen des werbenden Unternehmens gerechtfertigt sein kann. Ist dies aus Sicht der Verordnung grundsätzlich vorstellbar, muss auch das Tracking von Nutzerverhalten als dessen Vorstufe grundsätzlich zulässig sein. Dieses greift deutlich weniger in das Persönlichkeitsrecht des Nutzers ein, als Direktmarketingmaßnahmen. Zudem liegt ein zielgerichtetes Marketing im Unterschied zum Marketing mit der Gießkanne im Regelfall sogar im Interesse der Kunden. In Art. 21 Abs. 1 S. 1 DSGVO wir dem Kunden ein Widerspruchsrecht bei der Verarbeitung von Daten aufgrund berechtigter Interessen eingeräumt und ausdrücklich festgehalten: „dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“ Einer solchen Klausel bedürfte es nicht, wenn jede Profilbildung nur mit Einwilligung zulässig wäre.

Entscheidend für die Interessenabwägung sind die berechtigten Nutzererwartungen. Es dürfte jeder Nutzererwartung entsprechen, dass man auf Drittwebsites Werbung für Produkte angezeigt bekommt, die man in einem anderen Shop angesehen (aber nicht gekauft) hat. Es ist nicht erkennbar, warum diese Nutzererwartung nach der DSGVO anders sein sollte. Ein einfaches Re-Targeting ist zulässig.

Dementsprechend lässt sich die Ansicht, dass das Tracking von Besucherverhalten mit berechtigten Interessen des Websitebetreibers gerechtfertigt ist, deutlich besser begründen, als ein generelles Verbot, wie es die DSK vorsieht.

Was ist denn richtig?
Die Schwierigkeit mit der DSGVO (und der zusätzlichen Gemengelage mit TMG und ePrivacy) ist, dass das Gesetz an vielen Stellen unklar ist und Spielräume lässt. Was richtig ist, wird irgendwann einmal der EuGH entscheiden.

Richtig sollte jedenfalls sein, dass ein pseudonymes Tracking zulässig ist, solange nicht gänzlich andere Daten zur Anreicherung des Profils verwendet werden. Mit einem einfachen Tracking (und Targeting) rechnet der Nutzer. Die Grenze zur Einwilligungsbedürftigkeit ist etwa erreicht, wenn Daten mit Klardaten von Nutzern zusammengeführt werden oder Daten über ein großes Werbenetzwerk hinweg erhoben werden. Den gläsernen Kunden möchte die DSGVO verhindern. Davon ist man aber bei einem einfachen Tracking weit entfernt.

Was heißt das alles für Cookies?
Der DSK-Beschluss ist in Bezug auf Cookies unklar. Offenbar soll eine Einwilligung vor dem Setzen oder Auslesen von Tracking-Cookies erhoben werden. Session-Cookies können wohl gesetzt werden.

Sinnvoll ist wohl, auf den Zweck des Cookies abzustellen. Ist der mit dem Cookie verbundene Zweck (z.B. Tracking) ohne Einwilligung zulässig, braucht es auch kein gesondertes Opt-in für das Cookie. Eine transparente Information kann aber ein zusätzliches Argument für eine entsprechende Nutzererwartung sein.

Wie sollen Unternehmen jetzt damit umgehen?
Das hängt von der Risikoaffinität des Unternehmens (und wohl auch der Abhängigkeit von dem Erfolg der Website) ab. Wichtig ist die Erkenntnis, dass der Beschluss der DSK ein Positionspapier einer Behörde ist, das ganz oder teilweise richtig oder falsch sein kann.

Wer ganz sicher gehen möchte, muss für alle nicht streng notwendigen Tracking- und Targeting-Maßnahmen und auch Cookies ein Opt-in vorsehen. Das entsprechende Cookie-Banner sollte dann eine echte Wahlmöglichkeit zulassen. Cookies dürften erst gesetzt werden, wenn der Kunde explizit „Ja“ geklickt hat.

Erforderlich erscheint das nicht. Unternehmen sollten unterscheiden zwischen ohne Einwilligung zulässigen Tracking- und Targeting-Maßnahmen und solchen, die eines Opt-in bedürfen. Die Einwilligung für letztere kann über ein Cookie-Banner eingeholt werden, wobei die Cookies erst nach einer bestätigenden Handlung des Nutzers gesetzt werden dürfen. Über alle anderen Cookies oder Trackingverfahren kann in der Datenschutzerklärung informiert werden. Mit Blick auf die ePrivacy-Richtlinie (und auch die vernünftigen Nutzererwartungen) kann zusätzlich Sicherheit gewinnen, wer auch auf andere Cookies in einem Cookie-Banner hinweist.

Wie geht es weiter?
Die Stellungnahme der DSK ist nicht unwidersprochen geblieben und wird weitere Kritik auf sich ziehen. Solange der EuGH nicht eindeutig entschieden hat, bleiben alle Interpretationsmöglichkeiten offen. Von (zu erwartenden) untergerichtlichen Entscheidungen über Abmahnungen sollte man sich jedenfalls nicht verunsichern lassen.

Kommentare

  1. Pingback: Der rechtskonforme Einsatz von Google Analytics bzw. Universal Analytics unter der DSGVO - Teil 12 zur EU-DSGVO, Cookies und Tracking | Diercks Digital Recht

  2. Pingback: Ist Tracking nach 25.Mai 2018 nur noch mit Einwilligung erlaubt ?! Bewertung der Stellungnahme der Datenschutzbehörden zu Tracking, Targeting & Co unter der DSGVO - Internet, Social Media & Recht

  3. 02.05.2018 von Jörn Erbguth:

    Tracking ist nicht gleich Tracking. Wenn man überlegt, ob ein Tracking ohne Einwilligung mit der DSGVO zulässig sein soll, sollte man nicht alle Trackingverfahren in einen Topf werfen. Weder das Festmachen an Cookies noch an dem Begriff des Profils bringt einen da wirklich weiter. Ein Vergleich von z.B. Google Analytics und einer lokalen Matomo-Installation macht aber deutlich, dass hier weder die DSK noch viele Leute, die jetzt dagegen halten ausreichend differenzieren:

    Bei Google Analytics erfolgt
    – eine Datenübermittlung in die USA
    – werden die Daten mit den Daten des Trackings auf anderen Website, sowie mit den Daten aus allen Google-Applikationen zusammengeführt – also auch die Daten z.B. aus den Inhalten der eigenen Mails im gmail-Account
    – eine Zusammenführung Device-übergreifend
    – eine Zusammenführung mit den von Google ebenfalls erfassten Standortdaten
    Daher halte ich die Argumentation mit berechtigten Interessen des Websitebetreibers bei Google Analytics für nicht mehr vertretbar. Vielmehr sehe ich durch dieses umfangreiche Zusammenführen besonders hohe Anforderungen an Einwilligung und Aufklärung. Das Kürzen der IP-Adresse sowie die Aufforderungen Namen etc. nicht an Google über das Tracking zu senden, halte ich für Nebelkerzen. Diese Informationen hat Google bereits. Es ist so, als ob man das Nummernschild eines Autos schwärzt und behauptet damit datenschutzkonform zu werden, obwohl Besitzer des Fahrzeugs und Identität der Insassen bekannt sind.

    Wird dagegen eine lokale Installation von z.B. Matomo verwendet, erfolgt all dieses nicht. Dort werden die Daten nur zur Nutzungsanalyse der einzelnen Website verwendet. Ein Datenabgleich mit anderen Nutzungen erfolgt nicht. Eine Datenübermittlung in die USA erfolgt auch nicht. Es erfolgt auch keine Verbindung mit (genauen) Standortdaten.

    Daher halte ich die Argumentation der DSK bzgl. Matomo für überzogen und wenig vertretbar. Sehr problematisch halte ich dagegen Google Analytics ohne explizite Einwilligung zu verwenden. Google Analytics macht deutlich mehr als man über „berechtigte Interessen“ des Website-Betreibers rechtfertigen kann. Wer Google Analytics einsetzt, bekommt eine „kostenlose“ Nutzungsanalyse seiner Website und „bezahlt“ dabei mit den Daten seiner Nutzer. Genau aber dies ist mit dem „berechtigen Interesse“ des Website-Betreibers sicherlich nicht gedeckt.

  4. Pingback: Datenschutz: Webtracking und EU-DSGVO | Das Datenschutz-Blog

  5. Pingback: DSGVO: Bewertung der Stellungnahme der Datenschutzbehörden zu Tracking, Targeting & Co unter der DSGVO – ist Tracking nach dem 25. Mai 2018 nur noch mit Einwilligung erlaubt? – Trudeka.com

  6. 05.05.2018 von H. Binder:

    Hier https://www.facebook.com/CompliPro/posts/1684519568335931 findet man eine Stellungnahme des LDI NRW zum Positionspapier. Im Hinblick auf Matomo scheint man zumindest zurückzurudern und sieht kein überwiegendes berechtigtes Interesse beim Nutzer. Hinreichend deutliche Kenntlichmachung Widerspruchsrecht vorausgesetzt.

  7. 07.05.2018 von Martin Schneider:

    @Jörn
    Aber macht nicht doch das Kürzen der IP-Adresse die Zuordnung der „neuen“ Daten zu bereits bekanntem weitgehen unmöglich?

  8. Pingback: Die richtige DSGVO-Umsetzung: Alle Antworten auf die wichtigsten Fragen

Kommentieren: