Cookies

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17).

Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen.

Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein.

Aus der Pressemitteilung lässt sich im Hinblick auf ein Erfordernis für eine Einwilligung zum Setzen von Cookies Folgendes entnehmen:

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Der BGH stellt hier zunächst fest, dass eine Einwilligung schon vor Anwendung der DSGVO nicht durch eine vorangekreuzte Checkbox erteilt werden konnte. Dies war schon mit den wesentlichen Grundgedanken von § 15 Abs. 3 TMG unvereinbar.

Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Interessant ist hier zunächst, dass der BGH bei einer zufallsgenerierten ID in einem Cookie von einem „Pseudonym“ i.S.d. § 15 Abs. 3 TMG ausgeht. Dies könnte übrigens im Gegensatz zur der Ansicht der deutschen Aufsichtsbehörden (s. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 15) gehen, die bei IDs, die der Wiedererkennung von Nutzern dienen, nicht von einer wirksamen Pseudonymisierung i.S.d. DSGVO ausgehen.

Aus den Ausführungen der Pressemitteilung des BGH lässt sich hier zunächst nur entnehmen, dass für Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ eine Einwilligung des Nutzers erforderlich ist. Das lässt durchaus etwas Spielraum für Interpretationen offen. Hier sollten wir aber die Urteilsbegründung abwarten.

In den weiteren Ausführungen der Pressmitteilung nimmt der BGH dann kurz Stellung zur ePrivacy-Richtlinie und dem TMG. Wir können das auch als Ausführungen des BGH zu seinem „Kreativ-Spagat“ der richtlinienkonformen Auslegung des TMG nennen:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das muss man sich einmal auf der Zunge zergehen lassen. Also der BGH meint, dass § 15 Abs. 3 Satz 1 TMG (noch) richtlinienkonform dahingehend ausgelegt werden kann, dass die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in nicht unbedingt erforderliche Cookies in Art. 15 Abs. 3 Satz 1 TMG „hineingelesen“ werden kann. Und zwar so, dass bei Fehlen einer Einwilligung automatisch ein Widerspruch vorliegt. Wow…das ist in der Tat ein Spagat. Aber das war ja zu erwarten.

Jedenfalls führt das im Ergebnis dazu, dass § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und der insoweit bewussten Entscheidung des deutschen Gesetzgebers wegen Art. 95 DSGVO von der DSGVO unberührt bleibt.

Schließlich macht der BGH dann noch Ausführungen dazu, dass die Definition der Einwilligung in der DSGVO im Vergleich zur vorherigen Regelung zur Einwilligung in der EG-Datenschutzrichtlinie zu demselben Ergebnis führen, so dass sich auch nach der neuen Rechtslage immer noch eine vorangehakte Checkbox keine wirksame Einwilligung darstellen könne.

Wer jetzt denkt, dass der BGH mit seinem „Kreativ-Spagat“ zu weit gegangen ist, dem möchte ich einmal die Aufzeichnung der Urteilsbegründung nahelegen. Den Start des Videos an der entsprechenden Stelle habe ich hier voreingestellt:

Die Urteilsbegründung in der gesamten Länge kannst du dir hier ansehen:

Webinaraufzeichnung „Cookies: Wann brauche ich eine Einwilligung und wann nicht?“

Am 24.10.2019 hat das Webinar zum Thema „Cookies: Wann ist eine Einwilligung erforderlich & wann nicht?“ stattgefunden.

Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier ansehen (und herunterladen):

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Was bedeutet das „Planet49“-Urteil des EuGH für deine Cookies? Nicht jedes Cookie braucht ‘nen „Daumen hoch“

Am 01.10.2019 ist eine kleine Keksbombe geplatzt. Am morgen hat der EuGH sein Urteil in der Rechtssache „Planet49“ verkündet.

Und im Ergebnis hat das für ein bisschen mehr Klarheit im Bereich der Verwendung von Cookies gesorgt. Natürlich haben jetzt viele über das Urteil geschrieben. Beispielhaft nenne ich hier mal die Beiträge von Nina Diercks, Thomas Schwenke und Stefan Hanloser.

Vorwort

Ich will mich hier gar nicht so sehr mit den Details des Urteils beschäftigen. Ehrlich gesagt lohnt sich das auch gar nicht wirklich. Wirklich überraschend war die Entscheidung nämlich nicht. Mir kam es eher so vor, dass die „Cookie-Setzenden“ sowie ihre Beratenden wie z.B. wir Anwältinnen und Anwälte die Hoffnung hatte, dass die frühere „Cookie-Praxis“ doch noch vom EuGH gerettet wird. Eine Hoffnung, die mir von vornherein so vorkam, wie die Hoffnung, dass ein Klimawandel nicht stattfindet.

Die Vorlagefragen

Aber zu Sache:

Der EuGH hatte vom BGH einige Fragen gestellt bekommen. Und die hat er beantwortet.

Es handelte sich um diese Fragen, die ich von „Jura“ zu „Deutsch“ übersetzt habe, es sind also nicht die Originalfragen:

  1. Handelt es sich um eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL), wenn die Speicherung von Informationen (durch z.B. Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es dabei einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  3. Liegt eine wirksame Einwilligung im Sinn der Datenschutz-Grundverordnung (DSGVO) vor, wenn – wie in Frage 1 beschrieben – mit einer vorangehakten Checkbox gearbeitet wird?
  4. Welche Informationen hat ein Anbieter einer Internetseite nach Art. 5 Abs. 3 ePrivacy-RL dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Um es vorwegzunehmen ist hier aber auch wichtig zu erkennen, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ i.S.d. Art. 5 Abs. 3 ePrivacy-RL ist. Gefragt wurde auch nicht danach, inwieweit ich für das Setzen des Cookies verantwortlich bin, wenn ein Dritter („3rd-Party“ das Cookie setzt. Und schließlich hat der BGH auch nicht danach gefragt, ob das Setzen von Cookies bei nicht vorhandener Umsetzung der ePrivacy-RL in Deutschland ggf. auf anderen Rechtsgrundlagen der DSGVO als Art. 6 Abs. 1 lit. a) DSGVO basieren kann.

Die Antworten des EuGH

Keine Einwilligung bei vorangekreuzter „Checkbox“

Die Antworten des EuGH fielen deutlich aus. Und glücklicherweise müssen uns noch nicht einmal alle Ausführungen zu interessieren. Denn viele Ausführungen des Urteils beziehen sich auf die alte EG-Datenschutzrichtlinie, die seit Anwendung der DSGVO nicht mehr in Kraft ist. Die Antwort auf die Frage ein bzgl. der EG-Datenschutzrichtlinie möchte ich daher hier gar nicht weiter thematisieren.

Da die Vorgaben der DSGVO zur Einwilligung insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war klar, dass der EuGH in einer vorangekreuzten Checkbox keine wirksame Einwilligung erkennen kann.

Hier war nichts anderes zu erwarten, zumal Erwägungsgrund 32 der DSGVO dieses Szenario von „bereits angekreuzte“ Kästchen konkret adressiert.

Damit war die o.g. erste Frage denn auch schon klar beantwortet.

Gilt das auch, wenn die Informationen in den Cookies nicht personenbezogen sind?

Bei dieser Frage war das Ergebnis mal nicht ganz klar und insoweit spannend. Jetzt könnte man sagen, dass das doch eigentlich egal wäre, da Art. 5 Abs. 3 ePrivacy-RL ja nicht von personenbezogenen Daten spricht, sondern es hier nur darum geht, das in das Recht auf Privatheit i.S.d. Art. 7 GRCh eingegriffen wird.

Das könnte man allerdings mit Blick auf die unklaren Schutzgüter und die Wechselwirkung mit der DSGVO und dem Recht auf den Schutz personenbezogener Daten i.S.d. Art. 8 GRCh ggf. auch anders sehen.

Der EuGH spricht sich hier aber mit Blick auf die Erwägungsgründer der ePrivacy-RL klar dafür aus, dass das Einwilligungserfordernis auch dann gelte, wenn die Informationen im Endgeräte des Nutzers (wie z.B. in Cookies) nicht personenbezogen sind.

Wenn der EuGH das hier anders gesehen hätte, dann hätten viele größere Internetseiten mehr Spielraum gehabt. Denn die Cookies werden in der Regel nicht von ihnen selbst, sondern von den Werbepartnern gesetzt, die wiederum für die Datenverarbeitung für Werbezwecke selbst Verantwortliche sind. Nur für die Phase der Erhebung könnte man ggf. eine gemeinsame Verantwortlichkeit annehmen. Nur dann wäre die Frage für den Internetseitenanbieter gewesen, ob er denn nun die Einwilligung einholen muss oder ob diese Phase der Datenverarbeitung insoweit vielleicht unbedingt erforderlich wäre. Egal…das wären jedenfalls tiefergehende juristische Probleme gewesen, die wir jetzt einfach nicht haben, weil der EuGH hier klare Worte gefunden hat.

Welche Cookie-Infos sind dem Nutzer zu erteilen?

Auch hier muss sich der EuGH zunächst mit der alten EG-Datenschutzrichtlinie befassen, die uns nicht mehr interessiert. Hier führt er aber zunächst grundlegend aus, dass folgende Informationen zum „Verantwortlichen“ für eine Verarbeitung nach Treu und Glauben (vgl. Art. 5 Abs. 1 lit. a) DSGVO) erforderlich sind:

  • Identität des Verantwortlichen
  • Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
  • weitere Informationen beispielsweise zu Empfängern oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Dann biegt der EuGH zur DSGVO ab und bestätigt nur kurz, dass sich das nach Art. 13 DSGVO auch ergebe.

Im Ergebnis sind daher Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.

Soweit so gut oder schlecht. Nur…

Was passiert als Nächstes?

Nun der Ball liegt jetzt wieder im Spielfeld des BGH. Der BGH muss nun entscheiden, wie das Ganze im deutschen Recht zu bewerten ist.

Problem ist, dass der BGH wohl vorhatte, den noch geltenden § 15 Abs. 3 TMG richtlinienkonform, d.h. europarechtskonform auszulegen. Nur…wenn wir uns den Wortlaut ansehen, wird das kaum gehen. Er ist schlichtweg nicht europarechtskonform.

Da die ePrivacy-RL nach der Rechtsprechung des EuGH zur unmittelbaren Wirkung von nicht umgesetzten EU-Richtlinien nicht unmittelbar für nicht-staatliche Internetseitenanbieter gilt, liegt nicht zwingend ein Rechtsverstoß vor. Der BGH wird hier wohl am ehesten § 15 TMG für nicht anwendbar erklären und dann zu Art. 6 DSGVO herüberspringen.

Nach den Ausführungen des EuGH würde ich meinen, dass der BGH dann nur Art. 6 Abs. 1 lit. a) DSGVO – also eine Einwilligung – als einschlägige Rechtsgrundlage für nicht unbedingt erforderliche Cookies in Deutschland halten wird.

Letztlich müssen wir aber noch abwarten.

Wie geht es weiter? Wird es neue Gesetze geben?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen angekündigt, dass sie eine Änderung des TMG vornehmen wollen, wenn der EuGH in der Rechtssache „Planet49“ entschieden hat.

Ich gehe davon aus, dass dann in Deutschland eine Umsetzung von „Cookie Law“ in Deutschland durch das TMG erfolgen wird. Das wird aber noch ein wenig dauern.

Wegen der Entscheidung des EuGH kann es gut sein, dass nun wieder Dynamik des stockenden Gesetzgebungsprozesses um die ePrivacy-Verordnung kommen wird. Deswegen, weil das eine Chance wäre, die nun in der EU schon länger bestehenden „Cookie-Klickorgien“ mal zu beenden und durch vernünftige (technische) Verfahren zu ersetzen. Aber das wird ebenfalls noch dauern.

Was solltest du jetzt tun, wenn du eine Internetseite hast?

Hier die Handlungsempfehlungen in Kürze:

  1. Don’t panic! Es bringt jetzt nicht, hastig zu reagieren. Lieber das Gehirn noch einmal mit Sauerstoff belüften, durchatmen und dann überlegen, was sinnvoll ist. Hilfreich können die nachfolgenden Schritte sein.
  2. Analysiere, ob und welche Cookies (und für welchen Zweck) beim Aufruf deiner Website im Browser gesetzt werden.
  3. Unterscheide die Cookies zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.
  4. Bei den Session-Cookies schaust du dir an, ob du die wirklich benötigst. Viele Spracheinstellungs-Session-Cookies sind z.B. sehr „90er“ – also altmodisch – und werden heute meist nicht mehr benötigt.
    Es gilt immer, wenn du das nicht wirklich brauchst: Schmeiß’ weg!

    Session-Cookies, die du z.B. für die Warenkorb-Steuerung brauchst, können als unbedingt erforderlich gelten. Für die brauchst du keine Einwilligung.

    Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können i.d.R. als „vom Nutzer verlangt“ gelten und daher ohne Einwilligung verwendet werden.

  5. Bei den Persistent-Cookies wird es dann schwieriger. Hier solltest du genau schauen, was du davon brauchst und ob es unbedingt erforderlich ist. Hier ist die Rechtslage extrem unklar.

    Grundsätzlich gilt: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und du daher eine Einwilligung benötigst.

    Der Gegensatz gilt aber auch: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.

  6. Wenn du eine Einwilligung als Rechtsgrundlage für Cookies benötigst, musst du sicherstellen, dass das jeweilige Cookie gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.
  7. Vor einer Einwilligung müssen Nutzer über Zweck des Cookies und Empfänger von Daten informiert werden.

    Außerdem muss die Dauer der Speicherung dargelegt sein. Und es muss Angaben dazu geben, wer „Verantwortlicher“ für die Verarbeitung der Cookie-Daten ist.
    ACHTUNG: Das bist du häufig nicht alleine, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam mit dir verantwortlich. Hier ist auch noch vieles unklar.

    Empfehlen würde ich aber, mit den jeweiligen Anbietern jetzt dringend über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen. Ich gehe davon aus, dass das noch wichtig werden wird.

  8. Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen „conditio sine qua non“. D.h., dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werde würden. Dagegen sprechen aber natürlich auch Argumente.
    Das Ganze ist also extrem „wackelig“. Ich würde hier aktuell raten, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.

FAQ zu Cookies & Tracking der Aufsichtsbehörde Baden-Württemberg

Ich mache da keinen Hehl daraus. Ich finde, dass die Aufsichtsbehörde in Baden-Württemberg momentan im Hinblick auf den öffentlichen „Output“ einen sehr guten Job macht.

So auch jetzt mit den neuen FAQ zu Cookies & Tracking, die auf der Website der Aufsichtsbehörde verfügbar sind (übrigens auch als PDF).

Dass ich finde, dass die Aufsichtsbehörde um den Landesdatenschutzbeauftragten Dr. Stefan Brink einen guten Job macht, heißt aber natürlich nicht, dass wir in allen Dingen einer Meinung sind. So auch mit den FAQ zu Cookies & Tracking.

Update, 06.05.2019: Da ich mehrere Rückmeldung dazu bekommen habe, dass bei einer Webanalyse ja gar kein „Dritter eingebunden werde, weil eine Auftragsverarbeitung vorliege und ein Auftragsverarbeiter kein „Dritter“ sei, möchte ich hier dazu kurz Stellung nehmen.
Richtig ist, dass der Begriff des „Dritten“ in Art. 4 Nr. 10 DSGVO definiert ist und sich aus der Definition ergibt, dass ein Auftragsverarbeiter eben kein Dritter ist.
Ich denke, dass die Aufsichtsbehörde bei ihren FAQ nicht differenziert hat (und ich entsprechend auch nicht) hat zwei Gründe. Erstens: Die FAQ sind nicht primär an Rechtskundige adressiert, und diese Personengruppe wird sehr häufig nicht zwischen Auftragsverarbeitung und „Dritten“ unterscheiden können. Letztlich bekommt hier ein „anderer“ Zugriff auf personenbezogene Daten von „mir“.
Zweitens: Bei vielen der Webanalyse-Anbieter könnte faktisch eine gemeinsame Verantwortlichkeit und keine Auftragsverarbeitung vorliegen, wenn diese nämlich die Daten kundenübergreifend nutzen. Im Falle von Google Analytics habe ich jedenfalls durchaus Zweifel daran, dass das als reine Auftragsverarbeitung daherkommt. Darüber ließe sich trefflich streiten.

Meinen „Senf“ dazu, kannst du in dieser Podcast-Episode nachhören.

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten

Eine Besprechung der „Positionsbestimmung“ der Datenschutzkonferenz (DSK) zur „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“.

Die DSK hat eine bemerkenswerte und handwerklich schlechte „Positionsbestimmung“ zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 veröffentlicht:

Ich muss leider gestehen, dass ich die Empfehlungen der DSK immer weniger ernst nehmen kann, wenn diese gerade in kritisch und viel diskutierten Punkten Behauptungen aufstellen, die eine erhebliche Trageweite haben, ohne diese zumindest hinreichend zu begründen oder zu erläutern.

Im Hinblick auf Ziff. 9 der hier besprochenen „Positionsbestimmung“ bin ich – ehrlich gesagt – fassungslos über die derart schlechte Qualität und ein offensichtlich nicht vorhandenes Verständnis über die Folgen von nicht bzw. schlecht begründeten Äußerungen. Bevor wir zu dem kritischen Punkt kommen, gehen wir aber mal die einzelnen Punkte der „Positionsbestimmung“ durch:

Das Grundproblem, dem sich die „Positionsbestimmung“ der DSK widmet, ist die unklare Frage, was nun mit den Datenschutzbestimmungen im Telemediengesetz (TMG) passiert, wenn die DSGVO ab 25.05.2018 angewendet wird. Es ist daher zunächst einmal zu begrüßen, dass sich die DSK der Frage angenommen hat, ob die §§ 12-15 TMG ab der DSGVO anzuwenden sind oder nicht. Die DSK vertritt hier folgende Positionen:

Nr. 1
Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung, es sei denn nationale Vorschriften sind aufgrund einer Kollisionsregel, eines Umsetzungsauftrages oder einer Öffnungsklausel der DSGVO vorrangig anwendbar.

Ja, da dürften wir uns alle einig sein, dass das zutreffend ist.

Nr. 2
Die DSGVO enthält in Artikel 95 eine Kollisionsregel zum Verhältnis der DSGVO zur ePrivacy-Richtlinie, wonach natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union durch die DSGVO keine zusätzlichen Pflichten auferlegt werden, soweit sie besonderen in der ePrivacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Auch da sind wir uns einig, denn das steht so in Art. 95 der DSGVO.

Nr. 3
Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen – da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen – demgemäß dem Anwendungsvorrang der DSGVO. Hiervon betroffen sind damit auch etwaige unvollständige Umsetzungen der ePrivacy- Richtlinie in diesem Abschnitt, welche jedenfalls isoliert nicht mehr bestehen bleiben können.

Das ist eine vertretbare Auffassung, die ich ebenfalls teile. Auch wenn die damalige Bundesregierung vertreten hat, dass die ePrivacy-Richtlinie in Deutschland durch das TMG umgesetzt sei, wird das wohl in der rechtswissenschaftlichen Literatur nach ganz h.M. anders gesehen. In Deutschland gibt es derzeit keine Umsetzung der Vorgaben der ePrivacy-Richtlinie – jedenfalls nicht im Hinblick auf die durch die EU-Richtlinie 2009/136/EG eingeführten Änderungen (speziell: „Cookie-Law“).

Nr. 4
Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.

Das ist die notwendige Konsequenz der Auslegung von Ziff. 3 der „Positionsbestimmung“, bei der ich entsprechend „mitgehe“.

Nr. 5
Eine unmittelbare Anwendung der ePrivacy-Richtlinie für die unter Ziffer 4 genannten Verarbeitungsvorgänge kommt nicht in Betracht (keine horizontale unmittelbare Wirkung von Richtlinien).

Ja, auch das dürfte wohl herrschende Meinung sein, die ich ebenfalls teile.

Nr. 6
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO, sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO einzuhalten.

Korrekt. Genau so sehe ich das auch. Art. 6 DSGVO wird die maßgebliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten durch Internetseitenbetreiber in Deutschland sein.

Nr. 7
Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.

Auch diese Ansicht teile ich. Gut ist zudem, dass die DSK hier in einer Fußnote auf das insoweit einschlägige Arbeitspapier der Art. 29 Gruppe hinweist:

Ich verlinke hier die englische Fassung, da die DSK in seiner „Positionsbestimmung“ ausdrücklich darauf hinweist, dass die englische Sprachfassung deutlicher sei (sic!).

Nr. 8
Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.

Auch hier gehe ich mit und halte dies für zutreffend.

Aber dann kommt das große OMG (Oh my god). Das ist ein Hammer, den man sich auf der Zunge zergehen lassen muss:

Nr. 9
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking- Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Wow! Was für ein Statement. Ich bin beeindruckt und fassungslos zugleich. Denn dieses Statement ist zwar eine vertretbare Auffassung, hat aber gleichwohl eine Auswirkung für die rechtliche Praxis.

Während in vielen Dokument der DSK die Auffassungen der DSK einfach ohne Begründung so „dahingestellt“ werden, hat man sich zumindest im Hinblick auf diesen Punkt zu einer „halbgaren“ Begründung durchgerungen. So führt die DSK zu diesem Punkt aus:

Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein „Opt-in“ entsprechend Artikel 5 Absatz 3 der Richtlinie. Da die Verweise in der ePrivacy-Richtlinie auf die Datenschutzrichtlinie gemäß Artikel 94 Absatz 2 DSGVO als Verweise auf die DSGVO gelten, muss eine Einwilligung i. S. d. ePrivacy- Richtlinie europaweit ab dem 25.05.2018 den Anforderungen an eine Einwilligung nach der DSGVO genügen. Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.

Diese Ausführungen sind meiner ganz bescheidenen Meinung nach einfach schlecht.

Und sie sind sehr gefährlich. Denn die Aufsichtsbehörden dienen hier ungewollt aber ggf. mit Eventualvorsatz den künftigen „Abmahnern“ von vermeintlich fehlerhaften Datenschutzhinweisen für Internetseiten. Den Aufsichtsbehörden sollte bekannt sein (falls nicht: hätte bekannt sein müssen), dass fehlerhafte Datenschutzhinweise auf Internetseiten sog. Markverhaltensregeln i.S.d. § 3a UWG darstellen. Das bedeutet, dass Verstöße gegen Informationspflichten zur Datenverarbeitungen auf Internetseiten kostenpflichtig abgemahnt werden können.

Die Aufsichtsbehörden nehmen daher m.E. billigend in Kauf, dass ihre in Ziff. 9 dieser Positionsbestimmung aufgeführte „Behauptung“ genutzt wird, um Verstöße gegen diese Behauptung abzumahnen.

Ganz ehrlich: Wenn die Behauptung, dass ein „Tracking“ und/oder die Erstellung von Nutzerprofilen einer vorherigen Einwilligung in Deutschland bedarf, ganz klar wäre, dann hätte ich damit ja kein Problem. Es ist aber mitnichten klar, ob diese Rechtsauffassung zutrifft. Das ist der DSK hoffentlich bekannt. Und wenn es ihr nicht bekannt wäre, wäre es ein Skandal.

Egal wie es nun ist…der DSK muss klar gewesen sein, dass diese Behauptung in dieser Absolutheit ohne Hinweis darauf, dass es auch andere Auffassungen gibt, praktisch dazu führt, dass die „Abmahn-Maschinen“ beginnen zu rotieren.

Die betreffenden Unterlassungsklagenverbände und auf diesen Bereich spezialisierten Kanzleien dürften sich gerade die Hände reiben und die Sektkorken (nein die Champagnerkorken) knallen lassen und die Datenschutzkonferenz „hoch leben lassen“. Ich stelle mir das gerade sehr bildhaft vor. Das kommt nicht alle Tage vor. Aber diesen Vorwurf muss sich die DSK machen lassen.

Zur rechtlichen Bewertung:

Die DSK bezieht sich bei der Ziff. 9 auf den Einsatz von „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und auf die „Erstellung von Nutzerprofilen“.

Bei diesen Datenverarbeitung sei immer vor der Datenverarbeitung eine Einwilligung i.S.d. DSGVO einzuholen.

In der Begründung bezieht sich dann die DSK auf Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG – die „ePrivacy-Richtlinie“.

Dann schauen wir uns aber mal Art. 5 Abs. 3 der ePrivacy-Richtlinie an. Dort steht:

(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann

Der Hintergrund für diese Regelung lässt sich den Erwägungsgründen 24 und 25 der ePrivacy-Richtlinie entnehmen:

(24) Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte "Spyware", "Web-Bugs", "Hidden Identifiers" und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückzuverfolgen und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.

Der Richtliniengeber hat also eine Gefahr für die Privatsphäre der Nutzer gesehen, wenn Technologien in das Endgerät des Nutzers „eindringen“, um Nutzeraktivitäten „zurückzuverfolgen“.

Das wird dann in Erwägungsgrund 25 noch einmal weiter konkretisiert:

(25) Solche Instrumente, z. B. so genannte "Cookies", können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. "Cookies", einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie 95/46/EG klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen. Dies ist besonders bedeutsam, wenn auch andere Nutzer Zugang zu dem betreffenden Endgerät haben und damit auch zu dort gespeicherten Daten, die sensible Informationen privater Natur beinhalten. Die Auskunft und das Ablehnungsrecht können einmalig für die Nutzung verschiedener in dem Endgerät des Nutzers während derselben Verbindung zu installierender Instrumente angeboten werden und auch die künftige Verwendung derartiger Instrumente umfassen, die während nachfolgender Verbindungen vorgenommen werden können. Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.

Hinzu kommen noch die Ausführungen in Erwägungsgrund 66 der Richtlinie 2009/136/EG, mit der die Einwilligungsregelung in Art. 5 Abs. 3 ePrivacy-Richtlinie eingeführt wurde.

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Okay. Das ist eine Menge Text, den wir jetzt erst einmal einordnen müssen. Klar ist also, dass Technologien, die auf Informationen in „Endgeräten“ des Nutzers zugreifen, nicht per se verboten sind. Wenn diese einem „rechtmäßigen Zweck“ dienen, dürfen sie also eingesetzt werden, wenn der Nutzer hierüber klar und genau über die Datenverarbeitung in diesem Zusammenhang informiert wird und die Gelegenheit hat, die Speicherung eines Cookies oder eines ähnlichen Instruments in seinem Endgerät abzulehnen.

Aus den Erwägungsgründen ergibt sich also keine generelle Pflicht zur Einholung von Einwilligungen für diese Technologien. Und auch der Wortlaut von Art. 5 Abs. 3 der ePrivacy-Richtlinie sieht keine generelle Pflicht für die Verwendung von Einwilligungen vor. Im Gegenteil: Art. 5 Abs. 3 der ePrivacy-Richtlinie verlangt in den Fällen keine Einwilligung, „wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Entsprechend haben die europäischen Aufsichtsbehörden mit ihrer Art. 29 Arbeitsgruppe in der „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht v. 07.06.2012“ (WP 194) zu den Ausnahmemöglichkeiten des Art. 5 Abs. 3 der ePrivacy-Richtlinie Stellung genommen. Dabei haben sie zu den beiden Kriterien Stellung genommen:

  • Kriterium A: Der Cookie wird verwendet, „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“.
  • Kriterium B: Der Cookie wird verwendet, „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Das Kriterium A ist im Hinblick auf das „Tracking“ oder das Erstellen von Nutzerprofilen erst einmal nicht relevant. Es geht also entscheidend um die Ausführungen zu „Kriterium B“. In ihrer neuen „Positionsbestimmung“ beziehen sich die Aufsichtsbehörden allerdings auf die englische Fassung (PDF).

In dem Arbeitspapier WP 194 führt die Art. 29 Gruppe zunächst aus, dass bei „Kriterium B“ erforderlich ist, dass die Anforderungen „für den Dienst unbedingt erforderlich“ und „vom Nutzer ausdrücklich gewünscht“ beide – also kumulativ – vorliegen müssen, wird dann das Ergebnis dieser Ausführungen wie folgt zusammen gefasst:

Eine Einwilligung für Cookies (oder vergleichbare Technologien) sei nicht erforderlich, wenn

  1. den Nutzer mit dem Cookie eine bestimmte Funktion zur Verfügung gestellt wird und dies ohne Cookie nicht möglich wäre und
  2. die Funktion vom Nutzer ausdrücklich angefordert.

Das ist die Sichtweise der europäischen Aufsichtsbehörden. Andere Sichtweisen sind da durchaus aus Art. 5 Abs. 3 der ePrivacy-Richtlinie abzuleiten. Aber für die DSK wäre jetzt zumindest diese Stellungnahme der Art. 29 Gruppe zu berücksichtigen.

Die DSK ist in ihrer neuen „Positionsbestimmung“ aber deutlich über die Stellungnahme der Art. 29 Gruppe hinausgegangen. Und das ganz ohne Grund. Und m.E. auch mit rechtlich falschem Ergebnis. Warum?

Darum: Die DSK scheitert schon daran, den Begriff von Tracking oder die Erstellung von Nutzerprofilen so zu konkretisieren, dass klar wäre, welche Fälle betroffen sind. Das lässt sich nämlich schon so ganz klar gar nicht beantworten.

So kann ich z.B. ein Webanalyse-Tool ganz ohne Cookies verwenden. Mit Matomo (vormals: Piwik) ist das z.B. recht gut möglich (Umsetzung | Folgen für die Qualität des Trackings). Gleichwohl müsste ich nach Ziff. 9 der „Positionsbestimmung“ der DSK dann eine Einwilligung einholen. Und das natürlich rechtlich falsch. Hier sollte die DSK dringend nachbessern.

Viel entscheidender aber: Ich kann sehr wohl auch ohne Einwilligung ein „Tracking“ durchführen oder „Nutzerprofile erstellen“, weil ich eine Rechtsgrundlage dafür habe. Und zwar ergibt ich diese (derzeit noch aus § 15 Abs. 3 TMG) künftig aus Art. 6 Abs. 1 DSGVO. Darauf weist die DSK ja insoweit noch zurecht selbst hin.

Die DSK verschweigt uns aber, warum sie nur auf Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung) und nicht auf die anderen Alternativen wie die „Erfüllung von Verträgen“ oder die „Interessenabwägung“ zu sprechen kommt. Sehr merkwürdig.

Wie sieht es denn mit der DSGVO nun künftig rechtlich aus?

Tatsache ist, dass wir in Deutschland keine wirkliche Umsetzung von Art. 5 Abs. 3 der ePrivacy-Richtlinie haben. Fakt ist weiter, dass die ePrivacy-Richtlinie für die Internetseitenbetreiber nicht direkt gilt. Das heißt, die Regelungen sind nicht anwendbar. Soweit ist noch alles klar.

Und dann wird es kompliziert.

Klar können noch die Fälle sein, bei denen ich mit den Nutzern meiner Internetseite ein Vertragsverhältnis habe. Das ist z.B. der Fall, wenn sich der Nutzer auf einer Internetseite registriert hat und dann z.B. Nutzungsbedingungen oder AGB wirksamer Vertragsbestandteil geworden sind.

Da mit der DSGVO noch nicht einmal für Werbung eine Einwilligung zwingend erforderlich ist, wäre es also durchaus denkbar, die Verwendung von Tracking- und/oder Webanalyse-Verfahren in AGB zu regeln. Im Rahmen der Vorgaben der AGB-Kontrolle. Das heißt insbesondere, dass die Klauseln nicht überraschend sind oder eine unangemessene Benachteiligung der Nutzer beinhalten. Das bekommt man AGB-rechtlich aber m.E. durch eine gute Klauselgestaltung durchaus hin.

Das bedeutet, dass die Internetseiten, die die Möglichkeit haben, hier über AGB eine Regelung mit den Nutzern zu treffen, deutlich im Vorteil sind.

Schwieriger ist hingegen der häufiger vorkommende Fall, dass der Besucher einer Internetseite keinerlei Vertragsverhältnis i.S.d. Art. 6 Abs. 1 lit. b) DSGVO hat. Denn der reine Besuch einer Internetseite wird in der Regel noch nicht als Durchführung vorvertraglicher Maßnahmen anzusehen sein. Das bedeutet, dass wir noch nicht in den Anwendungsbereich von Art. 6 Abs. 1 lit. b) DSGVO kommen.

Anders könnte es aber z.B. schon sein, wenn ein User z.B. im Online-Shop-Bereich einen Artikel in den Warenkorb legt. Da wäre man m.E. durchaus schon im Bereich der Durchführung vorvertraglicher Maßnahmen, so dass man ggf. darüber nachdenken könnte, ob man ein Tracking auf den Online-Shop-Bereich beschränkt und diesen nur dann „trackt“, wenn bereits ein Artikel in den Warenkorb gelegt wurde. Das ist aber ganz schön „tricky“ (oder „tracky“ – haha).

Wenn wir also mit Art. 6 Abs. 1 lit. b) DSGVO nichts werden, dann bleibt als nächstes Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder „Grundrechte und Grundfreiheiten der betroffenen Person“, die den Schutz personenbezogener Daten erfordern, überwiegen.

Im Ergebnis ist hier also ein Abwägung der Interessen des Internetseitenanbieters mit den „Datenschutz“-Interessen des Betroffenen abzuwägen. Bei dieser Auslegung geht aber nicht grundsätzlich ein Datenschutz-Interesse des Betroffenen vor. Im Rahmen der vorzunehmenden Auslegung sind auch die Interessen des Anbieters gebührend zu berücksichtigen. Die Grundrechte-Charta der Europäischen Union (GRCh) beinhaltet nämlich nicht nur ein Recht auf Datenschutz (Art. 8 GRCh) und ein Recht auf Achtung des Privat- und Familienlebens (inkl. der „Kommunikation“ – Art. 7 GRCh), sondern mit Art. 16 GRCh auch die unternehmerische Freiheit. Es ist eine Gesamtabwägung vorzunehmen. Hinzu kommt, dass nach Erwägungsgrund 47 die Direktwerbung als eine „einem berechtigten Interesse dienende Verarbeitung betrachtet werden“ kann.

Der Großteil der Internetseiten von Unternehmen setzt heute Webanalyse-Verfahren wie z.B. Google Analytics ein. Das dürfte unbestritten sein. Und jeder Nutzer weiß das auch. Da die Profilerstellung in aller Regel ohne ein Vertragsverhältnis auf pseudonymer oder anonymer Basis erfolgt, kann insoweit in der Regel nicht zwingend auf ein überwiegendes, schutzbedürftiges Interesse des Betroffenen angenommen werden. Im Gegenteil. Jeder Nutzer kann durch seine Browsereinstellungen ein „Tracking“ bzw. die Profilerstellung unterbinden. Zumindest im Hinblick auf den ganz wesentlichen Teil, der derzeit im Bereich des Trackings bzw. der Webanalyse erfolgt.

Nach Erwägungsgrund 47 der DSGVO darf der Internetseitenanbieter bei der von ihm vorzunehmenden Interessenabwägung dabei die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“ berücksichtigen. Und da wären wir genau bei einem wichtigen Punkt. Jeder Nutzer weiß heute, dass in der Regel Messverfahren zur Webanalyse bei Internetseiten zum Einsatz kommen. Das darf und kann der Seitenbetreiber daher berücksichtigen. Anhaltspunkte dafür, dass hier das Interesse der Betroffenen am Unterbleiben eines Trackings überwiegen, sind nicht zwingend gegeben.

Aber: Wir können natürlich bei dieser Interessenabwägung vielleicht gehalten sein, die Vorgaben des EU-Gesetzgebers zu berücksichtigen, der eben durch Art. 5 Abs. 3 der ePrivacy-Richtlinie eine entsprechende Gewichtung vorgegeben hat. Und das hat vielleicht auch die DSK dazu bewogen, dass Art. 6 Abs. lit. f) DSGVO hier nicht als Rechtsgrundlage taugt. Nur wäre es halt schon schön (und auch erforderlich) gewesen, dass in dem Positionspapier auch zu erwähnen. Das ist jedoch nicht erfolgt.

Und es gibt auch gewichtige Gründe dafür, dass die Regelungen der ePrivacy-Richtlinie im Rahmen der Interessenabwägung nicht das entscheidende Kriterium sein können. So hat Hanloser es in seinem Beitrag in der Zeitschrift für Datenschutz1 unter Bezugnahme auf die Entscheidung des EuGH in der Rechtssache Breyer2 passend auf den Punkt gebracht:

Eine mitgliedstaatliche Norm und damit auch eine aufsichtsbehördliche Auslegung, die kategorisch und ganz allgemein die Verarbeitung von Nutzungsdaten ausschließt bzw. einem Einwilligungsvorbehalt unterstellt, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen, ist europarechtswidrig.

Im Ergebnis ist es eben doch vertretbar, ein „Tracking“ oder das Erstellen von Nutzerprofilen auf Basis von Art. 6 Abs. 1 lit. f) DSGVO durchzuführen. Es kommt aber eben auf die Details des jeweiligen Falles an.

Leider erwähnt die DSK dies mit keinem Wort. Nicht einmal in einer Fußnote. Dabei hätte die DSK es besser wissen müssen.

Dadurch, dass dieser Umstand nicht erwähnt wird, leisten die deutschen Aufsichtsbehörden künftigen Abmahnungen wegen einer Verletzung von Datenschutzverstößen unmittelbaren Vorschub.

„Abmahner“ könnten nicht nur im Hinblick auf eine Verletzung von Informationspflichten Unterlassung fordern. Da auch die Verarbeitung von Daten im Zusammenhang mit Werbung „marktverhaltensregelnden“ Inhalt hat, werden die „Abmahner“ künftig ihre Abmahnung wegen z.B. der Verwendung von Google Analytics genau mit dem Wortlaut von Ziff. 9 der „Positionsbestimmung“ der DSK begründen können. Wie bequem.

Und da die DSK sich hier dann entsprechend festgelegt hat, wäre z.B. auch bei einer Anhörung der Datenschutzbehörden nach § 12a UKlaG von der Aufsichtsbehörde zu erwarten, dass den Abmahnenden beigepflichtet wird.

Ich weiß wirklich nicht, ob die DSK das nicht gesehen hat oder einfach zu naiv war, um diesen Weitblick zu entwickeln. Beides ist nicht gut. Und es wirkt schlichtweg unprofessionell.

Apropos unprofessionell: Mir werden von Nutzern meiner Internetseite in der letzten Zeit recht viele Antworten, die Nutzer auf Anfragen bei Aufsichtsbehörden zu Anwendungsfragen der DSGVO erhalten haben, „zugespielt“. Und ich muss leider sagen, dass ich teilweise erschüttert über die zuweilen schlechte und manchmal katastrophale Qualität der Aussagen von Mitarbeitern von Aufsichtsbehörden bin. Hier wäre eine Qualitätsinitiative seitens der Behörden dringend geboten. Mitarbeiter müssten viel besser ausgebildet werden und vor allem auch einmal echte „Praxiserfahrung“ überliefert bekommen oder idealerweise mal erfahren haben. Es sind nicht nur Einzelfälle, in denen Behördenmitarbeiter kein Fachwissen oder fehlerhaftes Wissen über verwendete Technologien haben. Dann muss man sich nur m.E. entweder heraushalten, bis man der Sache auf den Grund gegangen ist, oder eben zurückhaltend formulieren. Beides ist nicht immer der Fall.

Auch in eigener Sache kann ich berichten, dass auf konkrete Fragen zu DSGVO-Thematiken, zu der sich eine Aufsichtsbehörde sich zumindest schon mal ein Bild gemacht haben sollte, schon mal nur ein Schulterzucken kommt. Oder auch einmal die Aussage: „Wir wussten gar nicht, dass das in der Praxis ein Problem ist“.

Und da wären wir genau beim dem Eindruck, der sich hier immer mal wieder aufzeigt. Viele Mitarbeiter in Aufsichtsbehörden haben keine oder nur wenig Praxiserfahrung. Dafür kann keiner etwas. Das ist auch kein Vorwurf. Die Aufsichtsbehörden würden nur gut daran tun, dann eben entweder zurückhaltend zu sein oder eben offen darzulegen, dass sie mit der Frage derzeit überfordert sind. Das ist nicht schlimm, sondern ehrlich. Und zur Rettung der Aufsichtsbehörden kann ich auch sagen, dass es rühmliche Ausnahmen gibt. Ja, es gibt auch viele gute Mitarbeiter bei Aufsichtsbehörden. Das darf auch gesagt werden. Mitarbeiter, die auch den Mut haben, zuzugeben, dass sie es auch einfach nicht wissen. Ich mag das. Ich weiß eben auch nicht alles. Mitnichten. Nicht ansatzweise. Und dann gebe ich das auch gerne zu. Das ist ein Zeichen von Stärke.

Ich denke, dass die Aufsichtsbehörden derzeit auch ein Ressourcenproblem haben. Auch sie sind durch die DSGVO überrannt von Anfragen und haben es mit einem sperrigen, schwer anwendbaren Gesetzeswerk zu tun. Und wenn sie neue Mitarbeiter bewilligt und bekommen haben, werden diese wohl eher selten schon über hinreichendes Fachwissen verfügen.

Wenn wir dann aber zurück zur DSK kommen, dann können wir schon erwarten, dass hier eine fachkundige, bedachte Äußerung veröffentlicht wird und auch über die Folgen nachgedacht wird. Dass das im Falles der „Positionsbestimmung“ nicht der Fall ist, habe ich versucht darzulegen.

Was ich ebenfalls sehr unprofessionell am Verhalten der DSK finde, ist das „Timing“. Jetzt, nur 4 Wochen vor der Anwendung der DSGVO so einen Paukenschlag zu produzieren, ist zwar eine Entscheidung, die die DSK für sich treffen kann. Wir können aber von der DSK wohl schon erwarten, dass besonnene Entscheidungen getroffen werden. Diese „Positionsbestimmung“ ist aber eben im Hinblick auf die Ziff. 9 nicht besonnen. Das dürfte nach den Ausführungen hinreichend klar sein.

Es ist übrigens auch bezeichnend, dass die DSK zwar den Mut aufbringt, in Ziff. 9 etwas mit einer Absolutheit zu formulieren, was das Erfordernis einer Einwilligung angeht, dann aber nicht den Mut aufbringt, etwas dazu zu sagen, wie denn bitte konkret die Einwilligung eingeholt werden könnte. Es ist ein Trauerspiel.

Wir können uns das ja dann in naher Zukunft mal ansehen, wie drei Aufsichtsbehörden das konkret umsetzen. So setzt die niedersächsische Aufsichtsbehörde derzeit Matomo ein. Sie weisen darauf hin, dass Matomo eingesetzt wird, haben aber eine mit 12 Monaten eine recht lange Cookie-Lebensdauer (Erforderlichkeit???) und sie beachten nicht „Do Not Track“ (Stand der Prüfung: 29.04.2018). So viel zum Thema „Privacy by Default“. Wir lachen hart. Nicht.

Außerdem setzt z.B. die sächische Aufsichtbehörde ein Cookie (mit dem Namen „ja_edenite_tpl“, über das nicht informiert wird (es gibt nicht einmal Datenschutzhinweise) und von dem ich keinerlei Plan habe, was es bewirkt, wobei es eine Laufzeit von fast 12 Monaten hat. Update 02.05.2018: Hier habe ich die Info von der Behörde bekommen, dass der Fehler behoben wurde.

Und die Aufsichtsbehörde in Sachsen-Anhalt setzt ebenfalls Matomo ein, weist zwar in den Datenschutzhinweisen darauf hin, beachtet aber kein Do-Not-Track und nutzt noch nicht einmal die Opt-Out-Funktion von Matomo.

Ja…professionell ist da anders. Aber wir werden das dann ja wie gesagt beobachten.

Ich denke, ihr bemerkt meinen kleinen persönlichen Groll hinsichtlich dieser „Positionsbestimmung“ der DSK. Vielleicht hat das auch damit zu tun, dass ich dann morgen allen Mandanten erklären darf, dass sie wegen einer unausgegorenen, nicht hinreichend überdachten „Äußerung“ einer „Datenschutzkonferenz“ mal eben – nicht einmal 4 Wochen vor der Geltung der DSGVO –ihre gesamten Websites umschrauben müssen. Aber das macht ja nichts. Die Unternehmen haben ja im Hinblick auf die DSGVO sonst nichts zu tun…

Wenn die Aufsichtsbehörden denn jedenfalls selbst etwas befürchten müssten, wenn sie selbst schon ihre „Position“ nicht einhalten. Aber Abmahnungen und Bußgelder gegen Aufsichtsbehörden gehören nicht zum Werkzeugkasten von UWG, UKlaG, DSGVO und künftigen Landesdatenschutzgesetzen. Nun ja…wir haben ja sonst nichts zu tun.

Vielleicht gibt es aber auch noch eine Einsicht der DSK? Fehler einzuräumen ist ein Zeichen von Stärke, s.o. – Und wollten nicht so viele „starke Aufsichtsbehörden“? Es wäre zu hoffen, dass da noch etwas passiert. Ich fürchte nur, dass dem nicht so ist. Leider wird diese katastrophale „Positionsbestimmung“ dann ab dem 25.05.2018 auf dem Rücken der Betreiber von Internetseiten ausgetragen. Die hiervon Betroffenen dürfen sich dann bei ihren Aufsichtsbehörden bedanken.

  1. Hanloser, ZD 2018, 213 (217) ↩︎
  2. EuGH, Urteil vom 19.10.2016, Az.: C-582/14 – Breyer ↩︎

Webtracking & Datenschutz auf Internetseiten von Dax Unternehmen

Ich habe innerhalb der letzten drei Wochen eine relativ ausführliche Analyse über den Einsatz von Webanalyse-Tools bei den im DAX gelisteten Unternehmen durchgeführt. Die Ergebnisse waren – wie soll man sagen – ernüchternd. Bevor in der kommenden Woche einige weitere Details der Analyse veröffentlicht werden, gibt es hier schon einmal einen kleinen Teaser: