Eine Besprechung der „Positionsbestimmung“ der Datenschutzkonferenz (DSK) zur „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“.
Die DSK hat eine bemerkenswerte und handwerklich schlechte „Positionsbestimmung“ zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 veröffentlicht:
Ich muss leider gestehen, dass ich die Empfehlungen der DSK immer weniger ernst nehmen kann, wenn diese gerade in kritisch und viel diskutierten Punkten Behauptungen aufstellen, die eine erhebliche Trageweite haben, ohne diese zumindest hinreichend zu begründen oder zu erläutern.
Im Hinblick auf Ziff. 9 der hier besprochenen „Positionsbestimmung“ bin ich – ehrlich gesagt – fassungslos über die derart schlechte Qualität und ein offensichtlich nicht vorhandenes Verständnis über die Folgen von nicht bzw. schlecht begründeten Äußerungen. Bevor wir zu dem kritischen Punkt kommen, gehen wir aber mal die einzelnen Punkte der „Positionsbestimmung“ durch:
Das Grundproblem, dem sich die „Positionsbestimmung“ der DSK widmet, ist die unklare Frage, was nun mit den Datenschutzbestimmungen im Telemediengesetz (TMG) passiert, wenn die DSGVO ab 25.05.2018 angewendet wird. Es ist daher zunächst einmal zu begrüßen, dass sich die DSK der Frage angenommen hat, ob die §§ 12-15 TMG ab der DSGVO anzuwenden sind oder nicht. Die DSK vertritt hier folgende Positionen:
Nr. 1
Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung, es sei denn nationale Vorschriften sind aufgrund einer Kollisionsregel, eines Umsetzungsauftrages oder einer Öffnungsklausel der DSGVO vorrangig anwendbar.
Ja, da dürften wir uns alle einig sein, dass das zutreffend ist.
Nr. 2
Die DSGVO enthält in Artikel 95 eine Kollisionsregel zum Verhältnis der DSGVO zur ePrivacy-Richtlinie, wonach natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union durch die DSGVO keine zusätzlichen Pflichten auferlegt werden, soweit sie besonderen in der ePrivacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
Auch da sind wir uns einig, denn das steht so in Art. 95 der DSGVO.
Nr. 3
Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen – da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen – demgemäß dem Anwendungsvorrang der DSGVO. Hiervon betroffen sind damit auch etwaige unvollständige Umsetzungen der ePrivacy- Richtlinie in diesem Abschnitt, welche jedenfalls isoliert nicht mehr bestehen bleiben können.
Das ist eine vertretbare Auffassung, die ich ebenfalls teile. Auch wenn die damalige Bundesregierung vertreten hat, dass die ePrivacy-Richtlinie in Deutschland durch das TMG umgesetzt sei, wird das wohl in der rechtswissenschaftlichen Literatur nach ganz h.M. anders gesehen. In Deutschland gibt es derzeit keine Umsetzung der Vorgaben der ePrivacy-Richtlinie – jedenfalls nicht im Hinblick auf die durch die EU-Richtlinie 2009/136/EG eingeführten Änderungen (speziell: „Cookie-Law“).
Nr. 4
Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.
Das ist die notwendige Konsequenz der Auslegung von Ziff. 3 der „Positionsbestimmung“, bei der ich entsprechend „mitgehe“.
Nr. 5
Eine unmittelbare Anwendung der ePrivacy-Richtlinie für die unter Ziffer 4 genannten Verarbeitungsvorgänge kommt nicht in Betracht (keine horizontale unmittelbare Wirkung von Richtlinien).
Ja, auch das dürfte wohl herrschende Meinung sein, die ich ebenfalls teile.
Nr. 6
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO, sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO einzuhalten.
Korrekt. Genau so sehe ich das auch. Art. 6 DSGVO wird die maßgebliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten durch Internetseitenbetreiber in Deutschland sein.
Nr. 7
Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.
Auch diese Ansicht teile ich. Gut ist zudem, dass die DSK hier in einer Fußnote auf das insoweit einschlägige Arbeitspapier der Art. 29 Gruppe hinweist:
Ich verlinke hier die englische Fassung, da die DSK in seiner „Positionsbestimmung“ ausdrücklich darauf hinweist, dass die englische Sprachfassung deutlicher sei (sic!).
Nr. 8
Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.
Auch hier gehe ich mit und halte dies für zutreffend.
Aber dann kommt das große OMG (Oh my god). Das ist ein Hammer, den man sich auf der Zunge zergehen lassen muss:
Nr. 9
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking- Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
Wow! Was für ein Statement. Ich bin beeindruckt und fassungslos zugleich. Denn dieses Statement ist zwar eine vertretbare Auffassung, hat aber gleichwohl eine Auswirkung für die rechtliche Praxis.
Während in vielen Dokument der DSK die Auffassungen der DSK einfach ohne Begründung so „dahingestellt“ werden, hat man sich zumindest im Hinblick auf diesen Punkt zu einer „halbgaren“ Begründung durchgerungen. So führt die DSK zu diesem Punkt aus:
Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein „Opt-in“ entsprechend Artikel 5 Absatz 3 der Richtlinie. Da die Verweise in der ePrivacy-Richtlinie auf die Datenschutzrichtlinie gemäß Artikel 94 Absatz 2 DSGVO als Verweise auf die DSGVO gelten, muss eine Einwilligung i. S. d. ePrivacy- Richtlinie europaweit ab dem 25.05.2018 den Anforderungen an eine Einwilligung nach der DSGVO genügen. Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.
Diese Ausführungen sind meiner ganz bescheidenen Meinung nach einfach schlecht.
Und sie sind sehr gefährlich. Denn die Aufsichtsbehörden dienen hier ungewollt aber ggf. mit Eventualvorsatz den künftigen „Abmahnern“ von vermeintlich fehlerhaften Datenschutzhinweisen für Internetseiten. Den Aufsichtsbehörden sollte bekannt sein (falls nicht: hätte bekannt sein müssen), dass fehlerhafte Datenschutzhinweise auf Internetseiten sog. Markverhaltensregeln i.S.d. § 3a UWG darstellen. Das bedeutet, dass Verstöße gegen Informationspflichten zur Datenverarbeitungen auf Internetseiten kostenpflichtig abgemahnt werden können.
Die Aufsichtsbehörden nehmen daher m.E. billigend in Kauf, dass ihre in Ziff. 9 dieser Positionsbestimmung aufgeführte „Behauptung“ genutzt wird, um Verstöße gegen diese Behauptung abzumahnen.
Ganz ehrlich: Wenn die Behauptung, dass ein „Tracking“ und/oder die Erstellung von Nutzerprofilen einer vorherigen Einwilligung in Deutschland bedarf, ganz klar wäre, dann hätte ich damit ja kein Problem. Es ist aber mitnichten klar, ob diese Rechtsauffassung zutrifft. Das ist der DSK hoffentlich bekannt. Und wenn es ihr nicht bekannt wäre, wäre es ein Skandal.
Egal wie es nun ist…der DSK muss klar gewesen sein, dass diese Behauptung in dieser Absolutheit ohne Hinweis darauf, dass es auch andere Auffassungen gibt, praktisch dazu führt, dass die „Abmahn-Maschinen“ beginnen zu rotieren.
Die betreffenden Unterlassungsklagenverbände und auf diesen Bereich spezialisierten Kanzleien dürften sich gerade die Hände reiben und die Sektkorken (nein die Champagnerkorken) knallen lassen und die Datenschutzkonferenz „hoch leben lassen“. Ich stelle mir das gerade sehr bildhaft vor. Das kommt nicht alle Tage vor. Aber diesen Vorwurf muss sich die DSK machen lassen.
Zur rechtlichen Bewertung:
Die DSK bezieht sich bei der Ziff. 9 auf den Einsatz von „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und auf die „Erstellung von Nutzerprofilen“.
Bei diesen Datenverarbeitung sei immer vor der Datenverarbeitung eine Einwilligung i.S.d. DSGVO einzuholen.
In der Begründung bezieht sich dann die DSK auf Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG – die „ePrivacy-Richtlinie“.
Dann schauen wir uns aber mal Art. 5 Abs. 3 der ePrivacy-Richtlinie an. Dort steht:
(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann
Der Hintergrund für diese Regelung lässt sich den Erwägungsgründen 24 und 25 der ePrivacy-Richtlinie entnehmen:
(24) Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte "Spyware", "Web-Bugs", "Hidden Identifiers" und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückzuverfolgen und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.
Der Richtliniengeber hat also eine Gefahr für die Privatsphäre der Nutzer gesehen, wenn Technologien in das Endgerät des Nutzers „eindringen“, um Nutzeraktivitäten „zurückzuverfolgen“.
Das wird dann in Erwägungsgrund 25 noch einmal weiter konkretisiert:
(25) Solche Instrumente, z. B. so genannte "Cookies", können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. "Cookies", einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie 95/46/EG klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen. Dies ist besonders bedeutsam, wenn auch andere Nutzer Zugang zu dem betreffenden Endgerät haben und damit auch zu dort gespeicherten Daten, die sensible Informationen privater Natur beinhalten. Die Auskunft und das Ablehnungsrecht können einmalig für die Nutzung verschiedener in dem Endgerät des Nutzers während derselben Verbindung zu installierender Instrumente angeboten werden und auch die künftige Verwendung derartiger Instrumente umfassen, die während nachfolgender Verbindungen vorgenommen werden können. Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.
Hinzu kommen noch die Ausführungen in Erwägungsgrund 66 der Richtlinie 2009/136/EG, mit der die Einwilligungsregelung in Art. 5 Abs. 3 ePrivacy-Richtlinie eingeführt wurde.
Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.
Okay. Das ist eine Menge Text, den wir jetzt erst einmal einordnen müssen. Klar ist also, dass Technologien, die auf Informationen in „Endgeräten“ des Nutzers zugreifen, nicht per se verboten sind. Wenn diese einem „rechtmäßigen Zweck“ dienen, dürfen sie also eingesetzt werden, wenn der Nutzer hierüber klar und genau über die Datenverarbeitung in diesem Zusammenhang informiert wird und die Gelegenheit hat, die Speicherung eines Cookies oder eines ähnlichen Instruments in seinem Endgerät abzulehnen.
Aus den Erwägungsgründen ergibt sich also keine generelle Pflicht zur Einholung von Einwilligungen für diese Technologien. Und auch der Wortlaut von Art. 5 Abs. 3 der ePrivacy-Richtlinie sieht keine generelle Pflicht für die Verwendung von Einwilligungen vor. Im Gegenteil: Art. 5 Abs. 3 der ePrivacy-Richtlinie verlangt in den Fällen keine Einwilligung, „wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.
Entsprechend haben die europäischen Aufsichtsbehörden mit ihrer Art. 29 Arbeitsgruppe in der „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht v. 07.06.2012“ (WP 194) zu den Ausnahmemöglichkeiten des Art. 5 Abs. 3 der ePrivacy-Richtlinie Stellung genommen. Dabei haben sie zu den beiden Kriterien Stellung genommen:
- Kriterium A: Der Cookie wird verwendet, „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“.
- Kriterium B: Der Cookie wird verwendet, „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.
Das Kriterium A ist im Hinblick auf das „Tracking“ oder das Erstellen von Nutzerprofilen erst einmal nicht relevant. Es geht also entscheidend um die Ausführungen zu „Kriterium B“. In ihrer neuen „Positionsbestimmung“ beziehen sich die Aufsichtsbehörden allerdings auf die englische Fassung (PDF).
In dem Arbeitspapier WP 194 führt die Art. 29 Gruppe zunächst aus, dass bei „Kriterium B“ erforderlich ist, dass die Anforderungen „für den Dienst unbedingt erforderlich“ und „vom Nutzer ausdrücklich gewünscht“ beide – also kumulativ – vorliegen müssen, wird dann das Ergebnis dieser Ausführungen wie folgt zusammen gefasst:
Eine Einwilligung für Cookies (oder vergleichbare Technologien) sei nicht erforderlich, wenn
- den Nutzer mit dem Cookie eine bestimmte Funktion zur Verfügung gestellt wird und dies ohne Cookie nicht möglich wäre und
- die Funktion vom Nutzer ausdrücklich angefordert.
Das ist die Sichtweise der europäischen Aufsichtsbehörden. Andere Sichtweisen sind da durchaus aus Art. 5 Abs. 3 der ePrivacy-Richtlinie abzuleiten. Aber für die DSK wäre jetzt zumindest diese Stellungnahme der Art. 29 Gruppe zu berücksichtigen.
Die DSK ist in ihrer neuen „Positionsbestimmung“ aber deutlich über die Stellungnahme der Art. 29 Gruppe hinausgegangen. Und das ganz ohne Grund. Und m.E. auch mit rechtlich falschem Ergebnis. Warum?
Darum: Die DSK scheitert schon daran, den Begriff von Tracking oder die Erstellung von Nutzerprofilen so zu konkretisieren, dass klar wäre, welche Fälle betroffen sind. Das lässt sich nämlich schon so ganz klar gar nicht beantworten.
So kann ich z.B. ein Webanalyse-Tool ganz ohne Cookies verwenden. Mit Matomo (vormals: Piwik) ist das z.B. recht gut möglich (Umsetzung | Folgen für die Qualität des Trackings). Gleichwohl müsste ich nach Ziff. 9 der „Positionsbestimmung“ der DSK dann eine Einwilligung einholen. Und das natürlich rechtlich falsch. Hier sollte die DSK dringend nachbessern.
Viel entscheidender aber: Ich kann sehr wohl auch ohne Einwilligung ein „Tracking“ durchführen oder „Nutzerprofile erstellen“, weil ich eine Rechtsgrundlage dafür habe. Und zwar ergibt ich diese (derzeit noch aus § 15 Abs. 3 TMG) künftig aus Art. 6 Abs. 1 DSGVO. Darauf weist die DSK ja insoweit noch zurecht selbst hin.
Die DSK verschweigt uns aber, warum sie nur auf Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung) und nicht auf die anderen Alternativen wie die „Erfüllung von Verträgen“ oder die „Interessenabwägung“ zu sprechen kommt. Sehr merkwürdig.
Wie sieht es denn mit der DSGVO nun künftig rechtlich aus?
Tatsache ist, dass wir in Deutschland keine wirkliche Umsetzung von Art. 5 Abs. 3 der ePrivacy-Richtlinie haben. Fakt ist weiter, dass die ePrivacy-Richtlinie für die Internetseitenbetreiber nicht direkt gilt. Das heißt, die Regelungen sind nicht anwendbar. Soweit ist noch alles klar.
Und dann wird es kompliziert.
Klar können noch die Fälle sein, bei denen ich mit den Nutzern meiner Internetseite ein Vertragsverhältnis habe. Das ist z.B. der Fall, wenn sich der Nutzer auf einer Internetseite registriert hat und dann z.B. Nutzungsbedingungen oder AGB wirksamer Vertragsbestandteil geworden sind.
Da mit der DSGVO noch nicht einmal für Werbung eine Einwilligung zwingend erforderlich ist, wäre es also durchaus denkbar, die Verwendung von Tracking- und/oder Webanalyse-Verfahren in AGB zu regeln. Im Rahmen der Vorgaben der AGB-Kontrolle. Das heißt insbesondere, dass die Klauseln nicht überraschend sind oder eine unangemessene Benachteiligung der Nutzer beinhalten. Das bekommt man AGB-rechtlich aber m.E. durch eine gute Klauselgestaltung durchaus hin.
Das bedeutet, dass die Internetseiten, die die Möglichkeit haben, hier über AGB eine Regelung mit den Nutzern zu treffen, deutlich im Vorteil sind.
Schwieriger ist hingegen der häufiger vorkommende Fall, dass der Besucher einer Internetseite keinerlei Vertragsverhältnis i.S.d. Art. 6 Abs. 1 lit. b) DSGVO hat. Denn der reine Besuch einer Internetseite wird in der Regel noch nicht als Durchführung vorvertraglicher Maßnahmen anzusehen sein. Das bedeutet, dass wir noch nicht in den Anwendungsbereich von Art. 6 Abs. 1 lit. b) DSGVO kommen.
Anders könnte es aber z.B. schon sein, wenn ein User z.B. im Online-Shop-Bereich einen Artikel in den Warenkorb legt. Da wäre man m.E. durchaus schon im Bereich der Durchführung vorvertraglicher Maßnahmen, so dass man ggf. darüber nachdenken könnte, ob man ein Tracking auf den Online-Shop-Bereich beschränkt und diesen nur dann „trackt“, wenn bereits ein Artikel in den Warenkorb gelegt wurde. Das ist aber ganz schön „tricky“ (oder „tracky“ – haha).
Wenn wir also mit Art. 6 Abs. 1 lit. b) DSGVO nichts werden, dann bleibt als nächstes Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder „Grundrechte und Grundfreiheiten der betroffenen Person“, die den Schutz personenbezogener Daten erfordern, überwiegen.
Im Ergebnis ist hier also ein Abwägung der Interessen des Internetseitenanbieters mit den „Datenschutz“-Interessen des Betroffenen abzuwägen. Bei dieser Auslegung geht aber nicht grundsätzlich ein Datenschutz-Interesse des Betroffenen vor. Im Rahmen der vorzunehmenden Auslegung sind auch die Interessen des Anbieters gebührend zu berücksichtigen. Die Grundrechte-Charta der Europäischen Union (GRCh) beinhaltet nämlich nicht nur ein Recht auf Datenschutz (Art. 8 GRCh) und ein Recht auf Achtung des Privat- und Familienlebens (inkl. der „Kommunikation“ – Art. 7 GRCh), sondern mit Art. 16 GRCh auch die unternehmerische Freiheit. Es ist eine Gesamtabwägung vorzunehmen. Hinzu kommt, dass nach Erwägungsgrund 47 die Direktwerbung als eine „einem berechtigten Interesse dienende Verarbeitung betrachtet werden“ kann.
Der Großteil der Internetseiten von Unternehmen setzt heute Webanalyse-Verfahren wie z.B. Google Analytics ein. Das dürfte unbestritten sein. Und jeder Nutzer weiß das auch. Da die Profilerstellung in aller Regel ohne ein Vertragsverhältnis auf pseudonymer oder anonymer Basis erfolgt, kann insoweit in der Regel nicht zwingend auf ein überwiegendes, schutzbedürftiges Interesse des Betroffenen angenommen werden. Im Gegenteil. Jeder Nutzer kann durch seine Browsereinstellungen ein „Tracking“ bzw. die Profilerstellung unterbinden. Zumindest im Hinblick auf den ganz wesentlichen Teil, der derzeit im Bereich des Trackings bzw. der Webanalyse erfolgt.
Nach Erwägungsgrund 47 der DSGVO darf der Internetseitenanbieter bei der von ihm vorzunehmenden Interessenabwägung dabei die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“ berücksichtigen. Und da wären wir genau bei einem wichtigen Punkt. Jeder Nutzer weiß heute, dass in der Regel Messverfahren zur Webanalyse bei Internetseiten zum Einsatz kommen. Das darf und kann der Seitenbetreiber daher berücksichtigen. Anhaltspunkte dafür, dass hier das Interesse der Betroffenen am Unterbleiben eines Trackings überwiegen, sind nicht zwingend gegeben.
Aber: Wir können natürlich bei dieser Interessenabwägung vielleicht gehalten sein, die Vorgaben des EU-Gesetzgebers zu berücksichtigen, der eben durch Art. 5 Abs. 3 der ePrivacy-Richtlinie eine entsprechende Gewichtung vorgegeben hat. Und das hat vielleicht auch die DSK dazu bewogen, dass Art. 6 Abs. lit. f) DSGVO hier nicht als Rechtsgrundlage taugt. Nur wäre es halt schon schön (und auch erforderlich) gewesen, dass in dem Positionspapier auch zu erwähnen. Das ist jedoch nicht erfolgt.
Und es gibt auch gewichtige Gründe dafür, dass die Regelungen der ePrivacy-Richtlinie im Rahmen der Interessenabwägung nicht das entscheidende Kriterium sein können. So hat Hanloser es in seinem Beitrag in der Zeitschrift für Datenschutz unter Bezugnahme auf die Entscheidung des EuGH in der Rechtssache Breyer passend auf den Punkt gebracht:
Eine mitgliedstaatliche Norm und damit auch eine aufsichtsbehördliche Auslegung, die kategorisch und ganz allgemein die Verarbeitung von Nutzungsdaten ausschließt bzw. einem Einwilligungsvorbehalt unterstellt, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen, ist europarechtswidrig.
Im Ergebnis ist es eben doch vertretbar, ein „Tracking“ oder das Erstellen von Nutzerprofilen auf Basis von Art. 6 Abs. 1 lit. f) DSGVO durchzuführen. Es kommt aber eben auf die Details des jeweiligen Falles an.
Leider erwähnt die DSK dies mit keinem Wort. Nicht einmal in einer Fußnote. Dabei hätte die DSK es besser wissen müssen.
Dadurch, dass dieser Umstand nicht erwähnt wird, leisten die deutschen Aufsichtsbehörden künftigen Abmahnungen wegen einer Verletzung von Datenschutzverstößen unmittelbaren Vorschub.
„Abmahner“ könnten nicht nur im Hinblick auf eine Verletzung von Informationspflichten Unterlassung fordern. Da auch die Verarbeitung von Daten im Zusammenhang mit Werbung „marktverhaltensregelnden“ Inhalt hat, werden die „Abmahner“ künftig ihre Abmahnung wegen z.B. der Verwendung von Google Analytics genau mit dem Wortlaut von Ziff. 9 der „Positionsbestimmung“ der DSK begründen können. Wie bequem.
Und da die DSK sich hier dann entsprechend festgelegt hat, wäre z.B. auch bei einer Anhörung der Datenschutzbehörden nach § 12a UKlaG von der Aufsichtsbehörde zu erwarten, dass den Abmahnenden beigepflichtet wird.
Ich weiß wirklich nicht, ob die DSK das nicht gesehen hat oder einfach zu naiv war, um diesen Weitblick zu entwickeln. Beides ist nicht gut. Und es wirkt schlichtweg unprofessionell.
Apropos unprofessionell: Mir werden von Nutzern meiner Internetseite in der letzten Zeit recht viele Antworten, die Nutzer auf Anfragen bei Aufsichtsbehörden zu Anwendungsfragen der DSGVO erhalten haben, „zugespielt“. Und ich muss leider sagen, dass ich teilweise erschüttert über die zuweilen schlechte und manchmal katastrophale Qualität der Aussagen von Mitarbeitern von Aufsichtsbehörden bin. Hier wäre eine Qualitätsinitiative seitens der Behörden dringend geboten. Mitarbeiter müssten viel besser ausgebildet werden und vor allem auch einmal echte „Praxiserfahrung“ überliefert bekommen oder idealerweise mal erfahren haben. Es sind nicht nur Einzelfälle, in denen Behördenmitarbeiter kein Fachwissen oder fehlerhaftes Wissen über verwendete Technologien haben. Dann muss man sich nur m.E. entweder heraushalten, bis man der Sache auf den Grund gegangen ist, oder eben zurückhaltend formulieren. Beides ist nicht immer der Fall.
Auch in eigener Sache kann ich berichten, dass auf konkrete Fragen zu DSGVO-Thematiken, zu der sich eine Aufsichtsbehörde sich zumindest schon mal ein Bild gemacht haben sollte, schon mal nur ein Schulterzucken kommt. Oder auch einmal die Aussage: „Wir wussten gar nicht, dass das in der Praxis ein Problem ist“.
Und da wären wir genau beim dem Eindruck, der sich hier immer mal wieder aufzeigt. Viele Mitarbeiter in Aufsichtsbehörden haben keine oder nur wenig Praxiserfahrung. Dafür kann keiner etwas. Das ist auch kein Vorwurf. Die Aufsichtsbehörden würden nur gut daran tun, dann eben entweder zurückhaltend zu sein oder eben offen darzulegen, dass sie mit der Frage derzeit überfordert sind. Das ist nicht schlimm, sondern ehrlich. Und zur Rettung der Aufsichtsbehörden kann ich auch sagen, dass es rühmliche Ausnahmen gibt. Ja, es gibt auch viele gute Mitarbeiter bei Aufsichtsbehörden. Das darf auch gesagt werden. Mitarbeiter, die auch den Mut haben, zuzugeben, dass sie es auch einfach nicht wissen. Ich mag das. Ich weiß eben auch nicht alles. Mitnichten. Nicht ansatzweise. Und dann gebe ich das auch gerne zu. Das ist ein Zeichen von Stärke.
Ich denke, dass die Aufsichtsbehörden derzeit auch ein Ressourcenproblem haben. Auch sie sind durch die DSGVO überrannt von Anfragen und haben es mit einem sperrigen, schwer anwendbaren Gesetzeswerk zu tun. Und wenn sie neue Mitarbeiter bewilligt und bekommen haben, werden diese wohl eher selten schon über hinreichendes Fachwissen verfügen.
Wenn wir dann aber zurück zur DSK kommen, dann können wir schon erwarten, dass hier eine fachkundige, bedachte Äußerung veröffentlicht wird und auch über die Folgen nachgedacht wird. Dass das im Falles der „Positionsbestimmung“ nicht der Fall ist, habe ich versucht darzulegen.
Was ich ebenfalls sehr unprofessionell am Verhalten der DSK finde, ist das „Timing“. Jetzt, nur 4 Wochen vor der Anwendung der DSGVO so einen Paukenschlag zu produzieren, ist zwar eine Entscheidung, die die DSK für sich treffen kann. Wir können aber von der DSK wohl schon erwarten, dass besonnene Entscheidungen getroffen werden. Diese „Positionsbestimmung“ ist aber eben im Hinblick auf die Ziff. 9 nicht besonnen. Das dürfte nach den Ausführungen hinreichend klar sein.
Es ist übrigens auch bezeichnend, dass die DSK zwar den Mut aufbringt, in Ziff. 9 etwas mit einer Absolutheit zu formulieren, was das Erfordernis einer Einwilligung angeht, dann aber nicht den Mut aufbringt, etwas dazu zu sagen, wie denn bitte konkret die Einwilligung eingeholt werden könnte. Es ist ein Trauerspiel.
Wir können uns das ja dann in naher Zukunft mal ansehen, wie drei Aufsichtsbehörden das konkret umsetzen. So setzt die niedersächsische Aufsichtsbehörde derzeit Matomo ein. Sie weisen darauf hin, dass Matomo eingesetzt wird, haben aber eine mit 12 Monaten eine recht lange Cookie-Lebensdauer (Erforderlichkeit???) und sie beachten nicht „Do Not Track“ (Stand der Prüfung: 29.04.2018). So viel zum Thema „Privacy by Default“. Wir lachen hart. Nicht.
Außerdem setzt z.B. die sächische Aufsichtbehörde ein Cookie (mit dem Namen „ja_edenite_tpl“, über das nicht informiert wird (es gibt nicht einmal Datenschutzhinweise) und von dem ich keinerlei Plan habe, was es bewirkt, wobei es eine Laufzeit von fast 12 Monaten hat. Update 02.05.2018: Hier habe ich die Info von der Behörde bekommen, dass der Fehler behoben wurde.
Und die Aufsichtsbehörde in Sachsen-Anhalt setzt ebenfalls Matomo ein, weist zwar in den Datenschutzhinweisen darauf hin, beachtet aber kein Do-Not-Track und nutzt noch nicht einmal die Opt-Out-Funktion von Matomo.
Ja…professionell ist da anders. Aber wir werden das dann ja wie gesagt beobachten.
Ich denke, ihr bemerkt meinen kleinen persönlichen Groll hinsichtlich dieser „Positionsbestimmung“ der DSK. Vielleicht hat das auch damit zu tun, dass ich dann morgen allen Mandanten erklären darf, dass sie wegen einer unausgegorenen, nicht hinreichend überdachten „Äußerung“ einer „Datenschutzkonferenz“ mal eben – nicht einmal 4 Wochen vor der Geltung der DSGVO –ihre gesamten Websites umschrauben müssen. Aber das macht ja nichts. Die Unternehmen haben ja im Hinblick auf die DSGVO sonst nichts zu tun…
Wenn die Aufsichtsbehörden denn jedenfalls selbst etwas befürchten müssten, wenn sie selbst schon ihre „Position“ nicht einhalten. Aber Abmahnungen und Bußgelder gegen Aufsichtsbehörden gehören nicht zum Werkzeugkasten von UWG, UKlaG, DSGVO und künftigen Landesdatenschutzgesetzen. Nun ja…wir haben ja sonst nichts zu tun.
Vielleicht gibt es aber auch noch eine Einsicht der DSK? Fehler einzuräumen ist ein Zeichen von Stärke, s.o. – Und wollten nicht so viele „starke Aufsichtsbehörden“? Es wäre zu hoffen, dass da noch etwas passiert. Ich fürchte nur, dass dem nicht so ist. Leider wird diese katastrophale „Positionsbestimmung“ dann ab dem 25.05.2018 auf dem Rücken der Betreiber von Internetseiten ausgetragen. Die hiervon Betroffenen dürfen sich dann bei ihren Aufsichtsbehörden bedanken.
