Kein Thema hält AdTech- und E-Commerce-Branche derzeit so in Atem, wie die DSGVO. Zu den vielen ungeklärten Fragen gehört, unter welchen Voraussetzungen das neue Datenschutzrecht das Besuchertracking zulässt und ob es eines Cookie-opt-in bedarf.
Vier Wochen bevor die DSGVO wirksam wird, haben sich nun die deutschen Aufsichtsbehörden aus der Deckung gewagt und eine gemeinsame Stellungnahme abgegeben. Danach sollen alle Tracking-Verfahren einer vorherigen Einwilligung des Nutzers bedürfen.
Dazu ein paar FAQ:
Was ist die Datenschutzkonferenz?
Die Datenschutzkonferenz ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, also ein informeller Kreis der deutschen Datenschutzaufsichtsbehörden.
Was ist dieser Beschluss?
Die DSK erlässt häufiger Beschlüsse; in der jüngeren Vergangenheit natürlich häufig zur Auslegung der DSGVO. Diese Beschlüsse sind in der Regel nur knapp begründet. Sie sind eine Auslegung der Datenschutzgesetze durch eine staatliche Behörde, in etwa so, wie die Finanzämter Steuervorschriften interpretieren oder die Polizei einen Bußgeldkatalog. Der Beschluss bindet natürlich kein Gericht.
Der Beschluss zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 ist, als was er auch bezeichnet ist: eine Position der Datenschutzbehörden. Wie die DSGVO in Bezug auf das Tracking auszulegen ist, werden die Gerichte entscheiden, vor allem der Europäische Gerichtshof.
Was sagt die DSK in dem Beschluss zum Tracking genau?
Die Behörden führen aus: „Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.“ Insbesondere müsse eine informierte Einwilligung eingeholt werden, bevor Cookies gesetzt oder ausgelesen werden (Ziff. 9 des Beschlusses).
Allerdings, so heißt es zwei Absätze zuvor (Ziff. 7 des Beschlusses): können „Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, … ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.“ Ist eine Datenverarbeitung erforderlich, um einen Leistung zu erbringen, kann dies also unter Umständen auf ein bestehenden Vertragsverhältnis oder berechtigte Unternehmerinteressen gestützt werden. Hiermit sind offenbar insbesondere Cookies gemeint, die im Rahmen einer Session des Nutzers gesetzt und ausgelesen werden, etwa um eine sinnvolle Warenkorbfunktion in einem Online-Shop anbieten zu können.
Ist eine Einwilligung erforderlich, dürfen Cookies erst gesetzt und ein Tracking begonnen werden, wenn eine DSGVO-konforme informierte Einwilligung in Form einer Erklärung abgegeben oder eine sonstigen eindeutig bestätigenden Handlung durch den Nutzer vorgenommen wurde.
Ist die Positionsbestimmung der Behörden überraschend?
Dass es eine solche Äußerung der Behörden geben würde, hatte sich angedeutet. Dass sie so dürftig begründet sein würde, eher nicht. Jedenfalls ist diese Äußerung kein Paukenschlag und nicht das Ende des Usertracking im Internet.
Wie kommt die DSK zu diesem Ergebnis?
Die Fragen sind komplex, weil sie das Zusammenspiel von DSGVO, ePrivacy-Richtlinie und TMG betreffen. Wenig überraschend gehen die Behörden davon aus, dass insbesondere § 15 Abs. 3 TMG, der die Bildung pseudonymer Nutzerprofile zulässt, neben der DSGVO nicht mehr anwendbar sein wird. Der Einsatz von Tracking-Tools sei ausschließlich an der DSGVO zu messen.
Ohne Begründung bleibt dann aber der Satz, dass jede Erstellung von Nutzerprofilen und jeder „Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ einer vorherigen ausdrücklichen Einwilligung bedürfe.
Ist das Ergebnis zutreffend?
Nein. Es ist offensichtlich falsch, dass sich nach der DSGVO eine „Erstellung von Nutzerprofilen“ ausschließlich auf eine Einwilligung des Nutzers stützen lässt.
Nach dem DSK-Beschluss ist jeder personalisierte Link in einer E-Mail unzulässig, weil damit ein Nutzerprofil verbunden ist. Auch ein Wiedererkennen von Besuchern auf der Website wäre nur noch mit expliziter Einwilligung der Nutzer zulässig, weil darin natürlich ein (pseudonymes) Nutzerprofil liegt.
Die DSGVO lässt aber anders als das BDSG auch für Werbung und Tracking eine Rechtfertigung mit berechtigten Unternehmerinteressen zu. Maßgeblich ist eine Interessenabwägung. Dass ungeachtet der Interessen der Websitebetreiber die Interessen der Nutzer stets überwiegen sollen, ist eine Behauptung, die sich nicht halten lässt.
In Erwägungsgrund (47) DSGVO ist festgehalten, dass das Direktmarketing mit berechtigten Interessen des werbenden Unternehmens gerechtfertigt sein kann. Ist dies aus Sicht der Verordnung grundsätzlich vorstellbar, muss auch das Tracking von Nutzerverhalten als dessen Vorstufe grundsätzlich zulässig sein. Dieses greift deutlich weniger in das Persönlichkeitsrecht des Nutzers ein, als Direktmarketingmaßnahmen. Zudem liegt ein zielgerichtetes Marketing im Unterschied zum Marketing mit der Gießkanne im Regelfall sogar im Interesse der Kunden. In Art. 21 Abs. 1 S. 1 DSGVO wir dem Kunden ein Widerspruchsrecht bei der Verarbeitung von Daten aufgrund berechtigter Interessen eingeräumt und ausdrücklich festgehalten: „dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“ Einer solchen Klausel bedürfte es nicht, wenn jede Profilbildung nur mit Einwilligung zulässig wäre.
Entscheidend für die Interessenabwägung sind die berechtigten Nutzererwartungen. Es dürfte jeder Nutzererwartung entsprechen, dass man auf Drittwebsites Werbung für Produkte angezeigt bekommt, die man in einem anderen Shop angesehen (aber nicht gekauft) hat. Es ist nicht erkennbar, warum diese Nutzererwartung nach der DSGVO anders sein sollte. Ein einfaches Re-Targeting ist zulässig.
Dementsprechend lässt sich die Ansicht, dass das Tracking von Besucherverhalten mit berechtigten Interessen des Websitebetreibers gerechtfertigt ist, deutlich besser begründen, als ein generelles Verbot, wie es die DSK vorsieht.
Was ist denn richtig?
Die Schwierigkeit mit der DSGVO (und der zusätzlichen Gemengelage mit TMG und ePrivacy) ist, dass das Gesetz an vielen Stellen unklar ist und Spielräume lässt. Was richtig ist, wird irgendwann einmal der EuGH entscheiden.
Richtig sollte jedenfalls sein, dass ein pseudonymes Tracking zulässig ist, solange nicht gänzlich andere Daten zur Anreicherung des Profils verwendet werden. Mit einem einfachen Tracking (und Targeting) rechnet der Nutzer. Die Grenze zur Einwilligungsbedürftigkeit ist etwa erreicht, wenn Daten mit Klardaten von Nutzern zusammengeführt werden oder Daten über ein großes Werbenetzwerk hinweg erhoben werden. Den gläsernen Kunden möchte die DSGVO verhindern. Davon ist man aber bei einem einfachen Tracking weit entfernt.
Was heißt das alles für Cookies?
Der DSK-Beschluss ist in Bezug auf Cookies unklar. Offenbar soll eine Einwilligung vor dem Setzen oder Auslesen von Tracking-Cookies erhoben werden. Session-Cookies können wohl gesetzt werden.
Sinnvoll ist wohl, auf den Zweck des Cookies abzustellen. Ist der mit dem Cookie verbundene Zweck (z.B. Tracking) ohne Einwilligung zulässig, braucht es auch kein gesondertes Opt-in für das Cookie. Eine transparente Information kann aber ein zusätzliches Argument für eine entsprechende Nutzererwartung sein.
Wie sollen Unternehmen jetzt damit umgehen?
Das hängt von der Risikoaffinität des Unternehmens (und wohl auch der Abhängigkeit von dem Erfolg der Website) ab. Wichtig ist die Erkenntnis, dass der Beschluss der DSK ein Positionspapier einer Behörde ist, das ganz oder teilweise richtig oder falsch sein kann.
Wer ganz sicher gehen möchte, muss für alle nicht streng notwendigen Tracking- und Targeting-Maßnahmen und auch Cookies ein Opt-in vorsehen. Das entsprechende Cookie-Banner sollte dann eine echte Wahlmöglichkeit zulassen. Cookies dürften erst gesetzt werden, wenn der Kunde explizit „Ja“ geklickt hat.
Erforderlich erscheint das nicht. Unternehmen sollten unterscheiden zwischen ohne Einwilligung zulässigen Tracking- und Targeting-Maßnahmen und solchen, die eines Opt-in bedürfen. Die Einwilligung für letztere kann über ein Cookie-Banner eingeholt werden, wobei die Cookies erst nach einer bestätigenden Handlung des Nutzers gesetzt werden dürfen. Über alle anderen Cookies oder Trackingverfahren kann in der Datenschutzerklärung informiert werden. Mit Blick auf die ePrivacy-Richtlinie (und auch die vernünftigen Nutzererwartungen) kann zusätzlich Sicherheit gewinnen, wer auch auf andere Cookies in einem Cookie-Banner hinweist.
Wie geht es weiter?
Die Stellungnahme der DSK ist nicht unwidersprochen geblieben und wird weitere Kritik auf sich ziehen. Solange der EuGH nicht eindeutig entschieden hat, bleiben alle Interpretationsmöglichkeiten offen. Von (zu erwartenden) untergerichtlichen Entscheidungen über Abmahnungen sollte man sich jedenfalls nicht verunsichern lassen.