Derzeit verunsichert eine Stellungnahme der Datenschutzkonferenz Webseitenbetreiber und Marketingagenturen. Die Datenschutzkonferenz (DSK) als Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder hat eine aktuelle Positionsbestimmung veröffentlicht, in der sie zu den Voraussetzungen von Analyse- und Trackingtools Stellung bezogen hat: danach dürfen Tools wie Google Analytics, eTracker und Matomo nur noch eingesetzt werden, wenn der Besucher der Webseite vorab in das Tracking und die Analyse seines Nutzerverhaltens ausdrücklich eingewilligt hat. Damit hat die Datenschutzkonferenz knapp einen Monat vor Geltung der Datenschutzgrundverordnung (DSGVO) für Überraschung gesorgt und das Webtracking zukünftig erheblich erschwert.
Ausgangspunkt - Unklare Gesetzeslage
Foto: ra2studio - shutterstock.com
Am 25. Mai 2018 tritt die DSGVO in Kraft. Als EU-Verordnung wird sie unmittelbar geltendes Recht in Deutschland. Die Regelungen der DSGVO treten dann in Konkurrenz zu anderen deutschen Gesetzen. Der deutsche Gesetzgeber hat es nämlich versäumt, eine Reihe von nationalen Gesetzen an die DSGVO anzupassen.
Eine dieser Normen ist § 15 Abs. 3 Telemediengesetz (TMG). Diese Vorschrift regelt bislang unter welchen Voraussetzungen der Einsatz von Tracking- und Analysetools zulässig ist. Insbesondere müssen etwaige personenbezogene Daten, z.B. die IP-Adresse, als Pseudonyme verarbeitet werden. Zudem muss der Webseitenbesucher in der Datenschutzerklärung darüber informiert werden, dass solche Tools eingesetzt werden und wie er dem Einsatz widersprechen kann. In der Vergangenheit haben sich hierzu Standardtexte und Maßnahmen etabliert. Google und die zuständige Datenschutzaufsichtsbehörde haben sich sogar darüber abgestimmt, unter welchen Voraussetzungen Google Analytics datenschutzkonform eingesetzt werden darf.
Durch die DSGVO wird die Regelung des § 15 Abs. 3 TMG verdrängt, da die DSGVO als EU-Verordnung "Anwendungsvorrang" genießt, also vorrangig vor den nationalen Regelungen anzuwenden ist. In der DSGVO fehlt eine Regelung, die mit § 15 Abs. 3 TMG vergleichbar wäre. Weil es sich bei dem Tracking (wohl) um die Verarbeitung von personenbezogenen Daten handelt, ist dies nur zulässig, wenn die DSGVO hierfür eine entsprechende Erlaubnis vorsieht.
Tracking und Cookies nur noch mit vorheriger Einwilligung
Nach Ansicht der Datenschutzkonferenz bedürfe es jedenfalls nach der DSGVO einer vorherigen ausdrücklichen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.
Foto: enzozo - shutterstock.com
Dies dürfte vor allem die gängigsten Tracking Tools wie Google Analytics und Matomo (ehemals Piwik) betreffen. Bei deren Einsatz müsse sodann eine informierte Einwilligung eingeholt werden, bevor überhaupt Cookies gesetzt oder ausgelesen werden. Dies ist technisch durch eine Cookie-Wall möglich: beim ersten Besuch der Webseite erscheint ein Overlay, in dem die Einwilligung zum Einsatz von Cookies eingeholt wird. Je nachdem wie der Nutzer sich entscheidet, werden dann die jeweiligen Cookies gesetzt. Auch nach Ansicht der Datenschutzkonferenz gilt das Einwilligungserfordernis nicht für Cookies, die der technischen Bereitstellung der Website dienen, etwa solche, die für den Warenkorb eines Online-Shops eingesetzt werden. Bloße Hinweisbanner auf das Platzieren von Cookies gelten jedoch nicht als Einwilligung.
Kritik an dem Beschluss
Die Darstellung der Datenschutzkonferenz ist in weiten Teilen zutreffend, insbesondere wenn es um den Vorrang der DSGVO vor dem TMG geht. Problematisch ist aber die Schlussfolgerung der Datenschutzkonferenz, dass ein Tracking nur mit vorheriger Einwilligung zulässig sei. Erstaunlich und fragwürdig an der Aussage ist vor allem, dass sie derart pauschal und unbegründet erfolgt ist. Nach einhelliger Auffassung in der Juristenszene ist es grundsätzlich falsch, dass das Tracking und das Anlegen von Nutzerprofilen ausschließlich auf Basis der Einwilligung des Nutzers möglich sein soll.
Eine Rechtfertigung dieser Maßnahmen kann nämlich ebenso auf der Basis der berechtigten Unternehmensinteressen nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO erfolgen. Dafür bedarf es einer Interessenabwägung. Anhaltspunkte, dass hier stets die Interessen der Nutzer überwiegen, sind jedenfalls in der DSGVO nicht zu erkennen. Vielmehr gibt die DSGVO bereits innerhalb der Erwägungsgründe Hilfestellungen an die Hand, die bei der Interessenabwägung herangezogen werden können. So ist dort etwa festgehalten, dass Direktwerbung als ein berechtigtes Interesse des Unternehmen betrachtet werden kann. Damit dürfte das Tracking, als grundsätzlich weniger eingriffsintensive Maßnahme, ebenfalls vom berechtigten Interesse gedeckt sein. Hierfür spricht auch Art. 21 Abs. 2 DSGVO, der für Fälle des Profilings im Rahmen der Direktwerbung ein Widerspruchsrecht einräumt. Dies wäre nicht notwendig, wenn ein solches Profiling ausschließlich auf Grundlage einer Einwilligung zulässig wäre, denn dann bestände ohnehin kein Widerspruchsrecht. Die Entscheidung der Datenschutzkonferenz ist somit keine zwangsläufige Folge der DSGVO.
Welche Bedeutung hat der Beschluss?
Das Positionspapier ist zunächst nur die Meinung der Datenschutzbehörden zum Einsatz dieser Tools. Diese Meinung ist weder ein Gesetz, noch bindet sie die Gerichte bei ihrer Entscheidung. Allerdings hat die Meinung der Datenschutzaufsichtsbehörden einiges Gewicht. Damit dürfte die Ansicht weitreichende Folgen für die Praxis nach sich ziehen.
Die Stellungnahme der Aufsichtsbehörden könnte, ob nun bewusst oder unbewusst, unmittelbare Auswirkungen auf die wettbewerbsrechtliche Praxis haben. Die Abmahnanwälte stehen bereits in den Startlöchern, um Verstöße gegen die datenschutzrechtlichen Bestimmungen kostenpflichtig abzumahnen. Hier kommt die Ansicht der Behörden als Argumentationsgrundlage gerade rechtzeitig.
Folgen für die Praxis
Für Webseitenbetreiber stellt sich damit die Frage, wie sie sich verhalten sollen. Zunächst können Sie auf den Einsatz derartiger Tools verzichten, bis die Rechtslage geklärt ist. Sie können auch weiterhin die Tools einsetzen und im Fall einer Abmahnung oder einer Beanstandung durch die Datenschutzaufsichtsbehörden ein Gerichtsverfahren anstrengen. Damit tragen Sie aber das Risiko, dass sich das Gericht nicht der Ansicht der Datenschutzkonferenz anschließt. Schließlich können sie auch eine Cookie-Wall installieren und die notwendige Einwilligung einholen. Dann müssen sie kurzfristig die notwendigen technischen Anpassungen vornehmen. Damit geht das Risiko einher, dass die Entscheidung der Datenschutzkonferenz zukünftig revidiert wird und die Aussagen der Analysen verfälscht werden, weil nicht mehr von jedem Besucher die entsprechenden Daten zur Verfügung stehen.
E-Privacy Verordnung
Jedoch zeichnet sich bereits ab, dass auch die ePrivacy-Verordnung eher eine Einwilligungslösung vorsehen wird. Die ePrivacy-Verordnung, als Nachfolger der ePrivacy Richtlinie, die die DSGVO eigentlich zum 25. Mai 2018 um Vorschriften zur elektronischen Kommunikation ergänzen und präzisieren sollte, wird voraussichtlich nicht vor 2019 Inkrafttreten.