Aktuelles

Urteile, Vorfälle, Kommentierungen...
112/18 Tracking nur noch mit Einwilligung?

112/18 Tracking nur noch mit Einwilligung?

by 2. Mai 2018

So manche Unternehmen sind schon in der Vorbereitung für den Start der Datenschutz-Grundverordnung am 25. Mai. Nun haben die obersten Datenschützer in Deutschland kurz vor knapp eine „Bombe“ platziert:

Cookies im Einsatz?

Es geht dabei u.a. um die Cookies. Für Webseitenbetreiber wird es bis auf weiteres gefährlich, wenn sie

  • selbst Cookies einsetzen,
  • oder Tools/Plugins einsetzen, die ihrerseits mit Cookies arbeiten.

Denn:

Die Datenschutzkonferenz (DSK), eine Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, hat am 26.04.2018 ein aktuelles Positionspapier veröffentlicht zur „Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25 Mai 2018“.

Bisher regelt das Telemediengesetz (TMG) die Thematik der Cookies, der deutsche Gesetzgeber hatte insoweit dem TMG den Vorrang vor dem Bundesdatenschutzgesetz (BDSG) eingeräumt.

So sehen das die Datenschützer

Nach Auffassung der DSK ist damit ab 25. Mai nun Schluss:

Eigentlich hätte zeitgleich mit der DSGVO auch die ePrivacy-Verordnung gelten sollen. Die Politik war aber nicht in der Lage, die ePrivacy-Verordnung rechtzeitig an den Start zu bringen – sie befindet sich noch mitten im Gesetzgebungsverfahren. Auch der deutsche Gesetzgeber hat nicht aufgepasst – absichtlich oder unabsichtlich. Denn: Das bisherige TMG hat der Gesetzgeber nicht an die DSGVO angepasst.

Vor diesem Hintergrund vertritt die DSK nun u.a. die Auffassung, dass

4. (…) die §§ 12, 13 und 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden“ können.

Außerdem:

6. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht.

und:

9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen (…). Das bedeutet, dass eine (…) Einwilligung (…) vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden (…).

Zack.

Das heißt auf deutsch, dass nach Ansicht der DSK der bisherige Kompromiss, die Zustimmung per Opt-Out zu beschaffen (= der Nutzer muss aktiv die Cookies ablehnen), nicht mehr möglich ist. Vielmehr ist ein „opt-in“ notwendig.

Das Aus für Cookies und Tracking?

Folgt man dieser Ansicht, würde das bedeuten:

  • Bevor der Nutzer auf der Webseite Tracking-Maßnahmen auslöst, muss er aktiv „ja“ sagen und einwilligen.
  • Bis zu der aktiven ausdrücklichen Einwilligung darf es keinerlei Tracking-Maßnahmen geben.
  • Setzt die Webseite (der Betreiber selbst oder seine Tools oder Plugins) Cookies ein, dann darf der Nutzer die Webseite nicht nutzen können, solange er nicht ausdrücklich eingewilligt hat.
  • Der Nutzer, der nicht einwilligt, darf eine Cookies-infizierte Seite also nicht besuchen können dürfen.
  • Der Webseitenbetreiber muss prüfen,
    • ob er Cookies einsetzt.
    • ob eines seiner Tools oder Plugins Cookies einsetzen.
  • Kann der Webseitenbetreiber durch technische Maßnahmen nicht sicherstellen, dass vor einer Einwilligung tatsächlich kein Tool-Cookie aktiv wird, dann muss er entweder den Besuch der Webseite verhindern oder sich von dem Tool/Plugin verabschieden.

Die drohende ePrivacy-Verordnung liegt vielen Unternehmen schon schwer im Magen: Für das Tracking soll eine Einwilligung eingeholt werden, aber der Zugriff auf den Webinhalt soll nicht von dieser Einwilligung abhängig sein dürfen… das würde viele Webseitenbetreiber, die nicht generell einen Loginbereich vorschalten (wie z.B. Facebook) vor große technische Probleme stellen.

In diese Nachricht platzt ein Spiegel-Online-Bericht über eine Netzaktivistin, die über den Auskunftsanspruch die sie betreffenden Daten von Amazon beschafft hat. Amazon hat sämtliche Suchbegriffe, Zugriffe, Beinahe-Käufe und Käufe seit 9 Jahren gespeichert, inklusive Logindaten…

Das Positionspapier der DSK kommt zu einem unpassenden Zeitpunkt: Viele Unternehmen sind im Endspurt der Vorbereitung. Es ist fraglich, ob Webseitenbetreiber binnen der nur noch verbleibenden 4 Wochen in der Lage sein werden, die Anforderungen der DSKO technisch und organisatorisch umsetzen zu können. Man muss zugeben: Die Auffassung der DSK ist nicht völlig absurd und ohne Weiteres von der Hand zu weisen.Allerdings gibt es in der Rechtswissenschaft gewichtige Stimmen, die das anders sehen (und weiterhin die Anwendbarkeit des TMG bejahen).

Das Positionspapier der DSK hat keine rechtsverbindlichen Wirkung. Letztlich werden das die Gerichte entscheiden müssen – leider ist der Ausgang hier völlig offen. Wer also auf Nummer sicher gehen möchte, beachtet bis auf Weiteres die Position der DSK.

Allerdings kann man mit guten Argumenten zumindest mit den gängigen Trackingtools (z.B. Matomo, früher: Piwik) sich wohl auch rechtskonform aufstellen, wenn man dies u.a. in den Datenschutzhinweisen korrekt abbildet und eine Abwägung durchführt, um sich auf das berechtigte Interesse i.S.d. Art. 6 DSGVO stützen zu können. Hier wird man auch die Eingriffsintensität und Möglichkeiten der Pseudonymisierung prüfen müssen.

UPDATE vom 07.05.2018:

Am 4. Mai hat die EU-Rats-Arbeitsgruppe den aktuellen Text des Entwurfs der ePrivacy Verordnung veröffentlicht (hier).

Der Entwurf geht auf die wichtige Frage ein, ob Webseitenbetreiber die Nutzung der Webseite von der Einwilligung der Nutzer in den Einsatz von (Tracking-)Cookies abhängig machen dürfen. Dazu lohnt ein Blick in den Erwägungsgrund 20: Der Zugang zu bestimmten Inhalten auf Webseiten soll von der Einwilligung zum Einsatz von Cookies abhängig gemacht werden dürfen.

Wenn aber für den Nutzer keine andere Möglichkeit besteht, die Dienste in Anspruch zu nehmen, dann wäre dies aufgrund des Fehlens einer wirklichen Wahlmöglichkeit (will ich die Seite anschauen oder nicht?) nicht zulässig.

Mal angenommen, es bleibt bei diesem Entwurf: Dann dürfte man die Nutzung der Website von der Einwilligung dann abhängig machen, wenn ein Zugang zur Webseite nicht aus besonderen Gründen erforderlich ist – denn nur dann wäre die Verhinderung des Weitersurfens unverhältnismäßig.

Dann müsste man nur noch herausfinden, wann das der Fall sein soll: Gilt das bspw. auch für die Webseite eines Veranstalters, wenn man nur dort Tickets für eine Veranstaltung bekommt? Gilt das auch für eventfaq, wenn nur eventfaq bestimmte Informationen bereit hält, die man anderswo nicht findet?

UPDATE vom 09.05.2018:

Auch die GDD hat nun zu dem Thema Stellung genommen: Dort sieht man das berechtigte Interesse i.S.d. Art. 6 Abs. 1 Buchstabe f DSGVO als passende Rechtsgrundlage für die Tracking-Cookies – würde sich diese Meinung (die sich am pragmatischen Ansatz orientiert) durchsetzen, würde sich das Cookie-Thema deutlich entspannen.

Ich bleibe da dran :-) Auch schon im eigenen Interesse…

Sie brauchen Hilfe bei der Umsetzung der DSGVO? Meine Kanzlei unterstützt Sie dabei.

Nehmen Sie mit mir unverbindlich Kontakt auf:  ra-waetke@schutt-waetke.de

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Cookie auf Tastatur: © Matic Štojs - Fotolia.com