Einwilligung

Aufsichtsbehörden: Einwilligung für Google Analytics erforderlich?

Meine zwei Cents zu einem „explosiven“ Thema:

Und es hat „Boom“ gemacht…

BOOM…das dachte ich letzte Woche, als am 14.11.2019 eine Welle von Pressemitteilungen der deutschen Datenschutz-Aufsichtsbehörden aufschlugen.

Eine kleine Explosion in Sachen Google Analytics & Datenschutz gab es letzte Woche.

13 Pressemitteilungen von Aufsichtsbehörden aus diesen Bundesländern sowie des Bundesdatenschutzbeauftragten habe ich gezählt:

Worum geht es?

Die Aufsichtsbehörden haben in einer Art von „konzertierter Aktion“ Unternehmen und auch öffentliche Stellen aufgefordert, „Google Analytics“ und andere „Tracking“-Angebote nicht ohne eine Einwilligung einzusetzen.

Die Texte der Pressemitteilungen unterscheiden sich in Nuancen. Zum Teil wird direkt gegen den Einsatz von „Google Analytics“ argumentiert; teilweise wird aber auch allgemein von „Tracking“-Angeboten gesprochen.

Ein nicht unwesentlicher Teil der Ausführungen ist in seiner Pauschalität rechtlich falsch. Das sagen die Aufsichtsbehörden aber leider nicht. Stattdessen wird hier einfach mal vollkommen undifferenziert „gepoltert“, mit der Folge, dass viele Anbieter von Internetseiten wieder einmal wie aufgeschreckte Hühner umherlaufen und nicht wissen, was sie tun sollen.

In den Pressemitteilungen ist keine Rede davon, dass Google Analytics eine Vielzahl von Konfigurationsmöglichkeiten hat und in einer Grundeinstellung m.E. sehr wohl ohne eine Einwilligung eingesetzt werden kann.

Ferner ist es rechtlich äußerst umstritten, ob bei Nutzung der demografischen Features von Google Analytics eine Einwilligung zwingend ist. Und für Unternehmen, die z.B. erweiterte Dienste von Google im Kontext mit Google Analytics nutzen, um die Wirksamkeit ihrer Werbung zu messen, kann einiges dafür sprechen, dass auch dies – insbesondere bei Unternehmen, die zwingend auf Werbung angewiesen sind – ohne eine Einwilligung zulässig sein kann.

Was ist gut und was ist schlecht an der „Aktion“ der Aufsichtsbehörden?

Die „Aktion“ der Aufsichtsbehörden hat Licht und Schatten.

Ich bin wahrlich kein Freund von Google Analytics und bevorzuge schon seit jeher Webanalyse-Tools, die ich auf meinem eigenen Server betreiben kann. Gleichwohl ist anzuerkennen, dass z.B. für viele Mandantinnen kein Weg an Google Analytics vorbeiführt. Denn dann könnten z.B. Werbeausgaben im Hinblick auf ihre Sinnhaftigkeit und vor allem aber zur Vermeidung von sinnlosen Werbeausgaben nicht mehr analysiert werden. Hier bietet ein Tool wie z.B. Matomo derzeit keine brauchbare Konkurrenz. Und bei genauer Betrachtung glaube ich nicht, dass es rechtlich nur auf Basis einer Einwilligung möglich ist, diese Tools zu betreiben, wenn ich als Unternehmen wirklich darauf angewiesen bin.

Und genauso ist es aber richtig, dass die große Mehrheit von Anbietern von Internetseiten eben gar kein Google Analytics benötigt, sondern sehr wohl und sehr gut mit weniger invasiven Tools leben könnte. Vielen Unternehmen reicht ein Blick auf die Zahl der wöchentlichen oder monatlichen „eindeutigen Besucher“ oder eine Statistik der am meisten aufgerufenen Seiten des eigenen Angebots. Und auch der Blick darauf, wo die Seite z.B. Fehler aufzeigt, weil Links in die Leere führen o.ä., lässt sich mit anderen Tools ebenso gut realisieren wie mit Google Analytics.

Es gibt sogar Tools, die ohne Cookies auskommen und gleichwohl ausreichende Statistiken zustande bringen. So kann ich z.B. Matomo auch ohne Cookies einsetzen, auch wenn in der aktuellen Version 3.12.0 ein nerviger Fehler enthalten ist, der zum Setzen eines Test-Cookies führt, wenn ich Matomo ohne Cookies einsetze. Aber das wird mit der nächsten Version angeblich behoben.

Wer sich nicht selbst um den Betrieb eines Analyse-Tools auf dem eigenen Server kümmern mag, der ist ggf. mit dem neuen kanadischen Tool Fathom1 gut aufgehoben, das ebenfalls ohne Cookies und mit netten Datenschutz-Features aufwartet.

Gut an der „Aktion“ der Aufsichtsbehörden ist also, dass sie aufrüttelt und die Unternehmen vielleicht dazu bringt, sich nach Alternativen umzusehen.

Schlecht finde ich nur, dass es nicht professionell ist, so pauschale Aussagen zu treffen, die rechtlich einfach nicht zutreffend sind. Hier würde ich mir wünschen, dass Aufsichtsbehörden einfach einmal „förmlich“ handeln, so wie es eigentlich vorgesehen ist. Nämlich indem sie z.B. ein Bußgeld wegen eines vermeintlich rechtswidrigen Einsatzes von Google Analytics verhängen und/oder anordnen, den Einsatz von Google Analytics bei einem Unternehmen oder eine Behörde zu untersagen. Die Wahrscheinlichkeit ist hoch, dass wir dann eine gerichtliche Klärung der Streitfragen bekommen und damit mit eben endlich mehr Rechtssicherheit.

Damit wäre allen geholfen. Mehr als durch „aufregende“ Pressemitteilungen. Vielleicht können wir das aber auch einfach so sehen, dass die Aufsichtsbehörde hier den Unternehmen noch einmal Gelegenheit zum Nachdenken geben wollten, bevor es dann sie selbst ggf. mit einem Bußgeld trifft? Das könnte sein…

Wir werden es erleben. Denn die Wahrscheinlichkeit, dass es spätestens im nächsten Jahr Bußgeldbescheide wegen des Einsatzes von Google Analytics geben wird, ist m.E. sehr hoch.

  1. Hier gibt es ggf. noch ein Detailproblem, weil es aufgrund der reinen Erhebung der IP-Adressen (ohne Speicherung) theoretisch ein Erfordernis für einen Auftragsverarbeitungsvertrag oder einen Vertrag zur gemeinsamen Verantwortlichkeit geben kann. ↩︎

Wie lange „gilt“ eine Einwilligung?

Folgende Frage kam von einem Datenschutz-Coaching-Mitglied:

Frage zur Einwilligung in die längerfristige Aufbewahrung von Bewerberdaten (Pool): für welchen Zeitraum sollte/kann die Einwilligung erfolgen? Ist eine Einwilligung in unbegrenzte Speicherung statthaft?

Meine Antwort

Ich möchte meine Antwort nicht auf die hier in Frage stehende Speicherung im „Bewerber-Pool“ beschränken, sondern eher allgemein auf die Frage eingehen, ob eine Einwilligung zeitlich „abläuft“.

Gerne wird hier z.B. von Aufsichtsbehörden vertreten, dass eine Einwilligung zeitlich ablaufe, also dem „Verfall“ unterliegen würde:

3.5 „Verfall“ der Einwilligung, Verwirkung

Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I mit Urteil vom 8. April 2010, Az. 17 HK O 138/10, entschieden, dass eine vor 17 Monaten erteilte und bisher nicht genutzte Einwilligung zur E-Mail- Werbung „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist
Quelle: Datenschutzkonferenz (DSK), Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO), S. 10 (PDF)

Dass das nicht richtig ist, sollte eigentlich jeder Juristin schon vorher klar gewesen sein. Denn in rechtlicher Hinsicht handelt es sich bei einer Einwilligung um eine einseitige (empfangsbedürftige) Erklärung einer natürlichen Person.

Genauso wenig wie die Erklärung der Annahme eines Vertrages dem zeitlichen „Verfall“ unterliegt, kann dies bei einer Einwilligung der Fall sein. Gleichwohl habe einige Zivilgerichte dies zuvor so vertreten.

Glücklicherweise hat der BGH aber bereits mit Urteil vom 01.02.2018 (Az.: III ZR 196/17) klargestellt, dass eine erteilte Einwilligung nicht zeitlich abläuft:

Eine zeitliche Begrenzung einer einmal erteilten Einwilligung sieht weder die Richtlinie 2002/58/EG noch § 7 UWG vor. Hieraus ergibt sich, dass diese – ebenso wie eine Einwilligung nach § 183 BGB – grundsätzlich nicht allein durch Zeitablauf erlischt.

Mir persönlich ist es ein Rätsel, warum diese Entscheidung des BGH aus dem Februar 2018 (BGH, Urteil vom 1.2.2018, Az.: III ZR 196/17)nicht von der DSK in der oben zitierten „Orientierungshilfe Direktwerbung“ herangezogen worden ist. Es ist einer der „Parade-Entscheidungen“ des BGH zu den Voraussetzungen an datenschutzrechtliche Einwilligungen und sollte der DSK „eigentlich“ bekannt sein. Stattdessen zitiert die DSK in ihrer Orientierungshilfe allein eine einzige Entscheidung und behauptet, dass „die Zivilgerichte“ das so sehen würden. Eine recht krasse Fehlbewertung, die viele Verantwortliche in die Irre führt. Aber nun ja…mit dem Einräumen und der Berichtigung von Fehlern ist es bei der DSK ja auch in anderen Dingen nicht immer allzu gut bestellt.
Wenn ich als Anwalt so beraten würde, könnte ich häufiger Kontakt mit meinem Haftpflichtversicherer aufnehmen.

Hier können die Aufsichtsbehörden in jedem Fall noch besser werden – soviel können wir wohl sagen.

Um auf die Ausgangsfrage zurückzukommen, ist es also nicht nur „statthaft“, sondern „normal“, dass eine Einwilligung unbegrenzt erteilt wird.

Es gibt nun aber ein „ABER“. Denn unabhängig von der unbeschränkten Dauer der Geltung einer Einwilligung kann ich ggf. aus anderen „Prinzipien“ ggf. gebunden sein, eine Verarbeitung irgendwann einzuschränken oder zu beenden.

Ich will hier auf die „Grundsätze für die Verarbeitung personenbezogener Daten“ (Art. 5 DSGVO) hinaus. Dort gibt es das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Dieses Prinzip der Speicherbegrenzung besagt, dass personenbezogene Daten nur solange „nicht anonymisiert“ gespeichert werden dürfen, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.

Wir müssen also schon schauen, ob der Zweck der Speicherung von Daten, die auf einer Einwilligung des Betroffenen beruht, irgendwann erreicht (oder aufgehoben) ist. Wenn dies der Fall, wären die Daten unabhängig von der unbeschränkten Dauer der Einwilligung zu löschen.

Bezogen auf den Bewerber-Pool würde ich mir als Unternehmen schon die Frage stellen, ob es Sinn macht, Bewerberdaten, die älter als zwei Jahre sind, noch im Bewerber-Pool zu halten. Die Daten sind mit Blick auf die noch vorhandenen „Skills“ der Bewerber möglicherweise schon veraltet und insoweit nicht mehr für den Zweck brauchbar. Wenn das so ist, müssten sie dann wohl gelöscht werden.

Sicher sind auch längere Fristen begründbar. Und genau da kommen wir dann zu einer Anforderung an Unternehmen, die manchmal etwas zu kurz kommt. Die handelnden Personen sollten wirklich einmal konkret nachdenken, wie lange denn eine Speicherung wirklich sinnvoll ist und dies idealerweise dokumentieren. Häufig zeigt sich dann, wie lange eine Speicherung im Hinblick auf den Zweck des Bewerber-Pools erforderlich ist.

Das Schöne daran ist, dass man diese Überlegungen dann zugleich in ein hoffentlich vorhandenes „Löschkonzept“ übertragen kann.

Weitergabe von Kundendaten beim Asset Deal – Einwilligung erforderlich?

Es kommt immer wieder vor, dass Unternehmen verkauft werden. So kann z.B. bei einer GmbH ein Wechsel der Gesellschafterinnen (Genderhinweis) erfolgen, so dass das Unternehmen sozusagen in „andere Hände“ gelangt.

Dieser Umstand selbst ist datenschutzrechtlich unproblematisch, weil die „Verantwortliche“ selbst sich nicht ändert. Dort bleibt alles gleich. Der Wechsel der Gesellschafterinnen ist insoweit unbedeutend.

Häufig möchte ein Unternehmen aber nur einen Geschäftszweig veräußern, also z.B. eine bestimmte Sparte eines Produktes oder eine bestimmte Dienstleistungsabteilung. Wenn so ein „Asset“ von einem anderen Unternehmen gekauft wird, dann haben wir einen „Asset Deal“. Natürlich hat die Käuferin heute in der Regel ein großes Interesse daran, auch alle insoweit bestehenden Kundendaten dieser Sparte zu bekommen, um die Ware oder Dienstleistung weiter erfolgreich auch an bestehende Kunden anzubieten.

Rechtlich gesehen handelt es sich dabei um eine Weitergabe bzw. Offenlegung von personenbezogenen Daten. Und dazu benötigen wir eine Rechtsgrundlage. Hier stellt sich dann schnell die Frage?

Brauche ich für die Weitergabe von personenbezogenen Daten von Kunden an die Käuferin bei einem Asset Deal die Einwilligung des Kunden?

Einigkeit besteht zunächst darüber, dass eine Weitergabe der Kundendaten an die Käuferin erfolgen darf, wenn eine wirksame Einwilligung hierfür vorliegt. Besonders praktikabel ist das natürlich für die Vertragsparteien des Asset Deals nicht. Zumal die Verkäuferin die Kunden alle anschreiben und um Einwilligung bitten müsste. Denn schon die Weitergabe der Daten an die Käuferin für Zwecke der Einholung einer Einwilligung bedürfte ja einer Rechtsgrundlage. Das wird in der Praxis viel Aufwand und wenig Erfolg bereiten. Die „Conversion Rate“ für diese Einwilligungsschreiben ist praktisch sehr niedrig.

Hier sollte man daher schon beim Aushandeln des Asset Deals schon darauf achten, wie man mit diesem Szenario umgehen möchte.

Zum Teil wird vertreten, dass allein die Einwilligung die einzig mögliche Rechtsgrundlage wäre, um die Weitergabe der Kundendaten beim Asset Deal zu ermöglichen. Dem ist jedoch nicht so.

Denn die DSGVO sieht verschiedene Zulässigkeitstatbestände für die Weitergabe von Daten in Art. 6 DSGVO vor. Die Einwilligung ist nur eine davon. Und auch wenn ich es immer wieder betonen muss. Die Einwilligung ist mitnichten „die Königin“ der Rechtsgrundlagen. Ehrlich gesagt ist sie eher sehr häufig der Notgroschen, den ich nehme, wenn nichts anderes mehr geht und/oder Art. 9 DSGVO im Raum steht. Tatsache ist, dass alle Zulässigkeitstatbestände in Art. 6 DSGVO gleichrangig nebeneinander stehen.

Neben der Einwilligung ist die weitere mögliche und einschlägige Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Bei dieser Datenverarbeitung auf Basis einer Interessenabwägung ist eine Weitergabe der Kundendaten bei einem Asset Deal zulässig, wenn die Verkäuferin ein rechtlich legitimes Interesse an der Weitergabe hat und entgegenstehende Interessen der Betroffenen nicht überwiegen.

Dass die Verkäuferin bei einem Asset Deal ein Interesse an der Weitergabe der Daten hat, liegt auf der Hand. Die Daten der Kunden sind häufig ein wesentlicher Bestandteil dieser Verträge. Dieses Interesse ist auch rechtlich legitim, also von der Rechtsordnung gebilligt. Die Krux liegt also jetzt in der Frage, ob das Interesse der Kundin an einer Nicht-Weitergabe das Interesse der Verkäuferin überwiegt.

Bei dieser Interessenabwägung sind insbesondere die Grundrechte und Grundfreiheiten der Kundin zu berücksichtigen und dazu gehört z.B. das Grundrecht auf Datenschutz nach Art. 8 der EU-Grundrechte-Charta (GRCh) oder auch das Recht auf Privatheit nach Art. 7 GRCh.

Diese Interessenabwägung ist meist wackelig und birgt einige Unwägbarkeiten. Diese werden höher, wenn z.B. die Käuferin ihren Sitz in einem Drittstaat, also außerhalb der EU hat. Dann kann schon ein Zweifel am Datenschutzniveau dazu führen, dass entgegenstehende Interessen der Kundin überwiegen und die Weitergabe der Daten unzulässig ist.

Insgesamt ist der Bereich auch in der rechtswissenschaftlichen Literatur extrem umstritten. Zum Teil wird vertreten, dass nur die Zweckänderungsklausel nach Art 6 Abs. 4 DSGVO einschlägig sei. Andere vertreten wiederum ein Opt-Out-Modell, bei dem die Kunden vor der Weitergabe der Daten über die Umstände des Verkaufs und die geplante Datenweitergabe informiert und dieser binnen einer angemessenen Frist (z.B. drei Wochen) widersprechen können. Erfolgt dann kein Widerspruch, kann die Datenübermittlung erfolgen. Ich denke, dass dieser Weg eine ausgewogene und für beide Seiten interessenwahrende Möglichkeit ist, Kundendaten im Kontext mit einem Asset Deal zu übergeben. Also eine gute Idee.

Das Ganze ließe sich aber noch weiter optimieren. So empfehle ich Mandantinnen, die schon im Vorwege in Erwägung ziehen, eine Sparte eines Unternehmens zu veräußern, diese Möglichkeit in ihren AGB anzusprechen. Wenn sich aus den AGB ergibt, dass es durchaus sein kann, dass das Unternehmen Teile des Unternehmens veräußert und in dem Kontext eine Datenweitergabe auf Basis der o.g. Widerspruchslösung erfolgt, dann lässt sich recht gut argumentieren, dass die „reasonable expectations“ der Betroffenen, also die vernünftigen Erwartungen hier schon durch die AGB so vorgestaltet waren, dass ein Verkauf beim Vertragsschluss bzw. im Laufe der Kundenbeziehung für die Kundin erwartbar war.

In diesen Fällen wird man schwerlich zu dem Ergebnis kommen können, dass die Interessen der Betroffenen gegen die Weitergabe prinzipiell überwiegen und kein Widerspruchsmodell zulassen.

So lässt sich also eine für die Vertragsparteien günstige Interessenabwägung weiter optimieren.

Fazit: Die Weitergabe von Kundendaten bei einem Asset Deal ist unter bestimmten Voraussetzungen sehr wohl ohne eine Einwilligung zulässig. Zumindest bis der BGH oder der EuGH das einmal anders entschieden hat.

Wahr ist allerdings auch, dass wir bei jedem Asset Deal genau hinschauen dürfen, um die Möglichkeiten und Risiken bei der Auswahl der passenden Rechtsgrundlage und der Gestaltung gut abzuwägen.

Umsetzung von Datenschutz in Apotheke & Arztpraxis

Gerade in Arztpraxen und auch Apotheken herrscht immer noch Unsicherheit im Hinblick auf die Änderungen, die die DSGVO mit sich gebracht hat. Das äußert sich in teils verqueren Halbweisheiten, nach denen z.B. für die Behandlung eines Patienten jetzt immer eine Einwilligung erforderlich sei. Oder besser noch ohne Einwilligung eine Behandlung des Patienten verweigert (was übrigens wirklich in die Kategorie „grober Unfug“ gehört).

Wann ich nun eine Einwilligung des Patienten, wann und inwieweit die Schweigepflicht des § 203 StGB für Ärzte und Apotheker gilt und was es sonst noch für praktische Tipps gibt, erfahren Datenschutz-Coaching-Mitglieder in der Aufzeichnung des Webinars „Umsetzung von Datenschutz in Apotheke & Arztpraxis“:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten

Eine Besprechung der „Positionsbestimmung“ der Datenschutzkonferenz (DSK) zur „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“.

Die DSK hat eine bemerkenswerte und handwerklich schlechte „Positionsbestimmung“ zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 veröffentlicht:

Ich muss leider gestehen, dass ich die Empfehlungen der DSK immer weniger ernst nehmen kann, wenn diese gerade in kritisch und viel diskutierten Punkten Behauptungen aufstellen, die eine erhebliche Trageweite haben, ohne diese zumindest hinreichend zu begründen oder zu erläutern.

Im Hinblick auf Ziff. 9 der hier besprochenen „Positionsbestimmung“ bin ich – ehrlich gesagt – fassungslos über die derart schlechte Qualität und ein offensichtlich nicht vorhandenes Verständnis über die Folgen von nicht bzw. schlecht begründeten Äußerungen. Bevor wir zu dem kritischen Punkt kommen, gehen wir aber mal die einzelnen Punkte der „Positionsbestimmung“ durch:

Das Grundproblem, dem sich die „Positionsbestimmung“ der DSK widmet, ist die unklare Frage, was nun mit den Datenschutzbestimmungen im Telemediengesetz (TMG) passiert, wenn die DSGVO ab 25.05.2018 angewendet wird. Es ist daher zunächst einmal zu begrüßen, dass sich die DSK der Frage angenommen hat, ob die §§ 12-15 TMG ab der DSGVO anzuwenden sind oder nicht. Die DSK vertritt hier folgende Positionen:

Nr. 1
Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung, es sei denn nationale Vorschriften sind aufgrund einer Kollisionsregel, eines Umsetzungsauftrages oder einer Öffnungsklausel der DSGVO vorrangig anwendbar.

Ja, da dürften wir uns alle einig sein, dass das zutreffend ist.

Nr. 2
Die DSGVO enthält in Artikel 95 eine Kollisionsregel zum Verhältnis der DSGVO zur ePrivacy-Richtlinie, wonach natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union durch die DSGVO keine zusätzlichen Pflichten auferlegt werden, soweit sie besonderen in der ePrivacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Auch da sind wir uns einig, denn das steht so in Art. 95 der DSGVO.

Nr. 3
Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen – da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen – demgemäß dem Anwendungsvorrang der DSGVO. Hiervon betroffen sind damit auch etwaige unvollständige Umsetzungen der ePrivacy- Richtlinie in diesem Abschnitt, welche jedenfalls isoliert nicht mehr bestehen bleiben können.

Das ist eine vertretbare Auffassung, die ich ebenfalls teile. Auch wenn die damalige Bundesregierung vertreten hat, dass die ePrivacy-Richtlinie in Deutschland durch das TMG umgesetzt sei, wird das wohl in der rechtswissenschaftlichen Literatur nach ganz h.M. anders gesehen. In Deutschland gibt es derzeit keine Umsetzung der Vorgaben der ePrivacy-Richtlinie – jedenfalls nicht im Hinblick auf die durch die EU-Richtlinie 2009/136/EG eingeführten Änderungen (speziell: „Cookie-Law“).

Nr. 4
Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.

Das ist die notwendige Konsequenz der Auslegung von Ziff. 3 der „Positionsbestimmung“, bei der ich entsprechend „mitgehe“.

Nr. 5
Eine unmittelbare Anwendung der ePrivacy-Richtlinie für die unter Ziffer 4 genannten Verarbeitungsvorgänge kommt nicht in Betracht (keine horizontale unmittelbare Wirkung von Richtlinien).

Ja, auch das dürfte wohl herrschende Meinung sein, die ich ebenfalls teile.

Nr. 6
Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO, sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO einzuhalten.

Korrekt. Genau so sehe ich das auch. Art. 6 DSGVO wird die maßgebliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten durch Internetseitenbetreiber in Deutschland sein.

Nr. 7
Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.

Auch diese Ansicht teile ich. Gut ist zudem, dass die DSK hier in einer Fußnote auf das insoweit einschlägige Arbeitspapier der Art. 29 Gruppe hinweist:

Ich verlinke hier die englische Fassung, da die DSK in seiner „Positionsbestimmung“ ausdrücklich darauf hinweist, dass die englische Sprachfassung deutlicher sei (sic!).

Nr. 8
Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.

Auch hier gehe ich mit und halte dies für zutreffend.

Aber dann kommt das große OMG (Oh my god). Das ist ein Hammer, den man sich auf der Zunge zergehen lassen muss:

Nr. 9
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking- Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Wow! Was für ein Statement. Ich bin beeindruckt und fassungslos zugleich. Denn dieses Statement ist zwar eine vertretbare Auffassung, hat aber gleichwohl eine Auswirkung für die rechtliche Praxis.

Während in vielen Dokument der DSK die Auffassungen der DSK einfach ohne Begründung so „dahingestellt“ werden, hat man sich zumindest im Hinblick auf diesen Punkt zu einer „halbgaren“ Begründung durchgerungen. So führt die DSK zu diesem Punkt aus:

Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein „Opt-in“ entsprechend Artikel 5 Absatz 3 der Richtlinie. Da die Verweise in der ePrivacy-Richtlinie auf die Datenschutzrichtlinie gemäß Artikel 94 Absatz 2 DSGVO als Verweise auf die DSGVO gelten, muss eine Einwilligung i. S. d. ePrivacy- Richtlinie europaweit ab dem 25.05.2018 den Anforderungen an eine Einwilligung nach der DSGVO genügen. Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.

Diese Ausführungen sind meiner ganz bescheidenen Meinung nach einfach schlecht.

Und sie sind sehr gefährlich. Denn die Aufsichtsbehörden dienen hier ungewollt aber ggf. mit Eventualvorsatz den künftigen „Abmahnern“ von vermeintlich fehlerhaften Datenschutzhinweisen für Internetseiten. Den Aufsichtsbehörden sollte bekannt sein (falls nicht: hätte bekannt sein müssen), dass fehlerhafte Datenschutzhinweise auf Internetseiten sog. Markverhaltensregeln i.S.d. § 3a UWG darstellen. Das bedeutet, dass Verstöße gegen Informationspflichten zur Datenverarbeitungen auf Internetseiten kostenpflichtig abgemahnt werden können.

Die Aufsichtsbehörden nehmen daher m.E. billigend in Kauf, dass ihre in Ziff. 9 dieser Positionsbestimmung aufgeführte „Behauptung“ genutzt wird, um Verstöße gegen diese Behauptung abzumahnen.

Ganz ehrlich: Wenn die Behauptung, dass ein „Tracking“ und/oder die Erstellung von Nutzerprofilen einer vorherigen Einwilligung in Deutschland bedarf, ganz klar wäre, dann hätte ich damit ja kein Problem. Es ist aber mitnichten klar, ob diese Rechtsauffassung zutrifft. Das ist der DSK hoffentlich bekannt. Und wenn es ihr nicht bekannt wäre, wäre es ein Skandal.

Egal wie es nun ist…der DSK muss klar gewesen sein, dass diese Behauptung in dieser Absolutheit ohne Hinweis darauf, dass es auch andere Auffassungen gibt, praktisch dazu führt, dass die „Abmahn-Maschinen“ beginnen zu rotieren.

Die betreffenden Unterlassungsklagenverbände und auf diesen Bereich spezialisierten Kanzleien dürften sich gerade die Hände reiben und die Sektkorken (nein die Champagnerkorken) knallen lassen und die Datenschutzkonferenz „hoch leben lassen“. Ich stelle mir das gerade sehr bildhaft vor. Das kommt nicht alle Tage vor. Aber diesen Vorwurf muss sich die DSK machen lassen.

Zur rechtlichen Bewertung:

Die DSK bezieht sich bei der Ziff. 9 auf den Einsatz von „Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und auf die „Erstellung von Nutzerprofilen“.

Bei diesen Datenverarbeitung sei immer vor der Datenverarbeitung eine Einwilligung i.S.d. DSGVO einzuholen.

In der Begründung bezieht sich dann die DSK auf Art. 5 Abs. 3 der EU-Richtlinie 2002/58/EG – die „ePrivacy-Richtlinie“.

Dann schauen wir uns aber mal Art. 5 Abs. 3 der ePrivacy-Richtlinie an. Dort steht:

(3) Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann

Der Hintergrund für diese Regelung lässt sich den Erwägungsgründen 24 und 25 der ePrivacy-Richtlinie entnehmen:

(24) Die Endgeräte von Nutzern elektronischer Kommunikationsnetze und in diesen Geräten gespeicherte Informationen sind Teil der Privatsphäre der Nutzer, die dem Schutz aufgrund der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten unterliegt. So genannte "Spyware", "Web-Bugs", "Hidden Identifiers" und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen, um Zugang zu Informationen zu erlangen, oder die Nutzeraktivität zurückzuverfolgen und können eine ernsthafte Verletzung der Privatsphäre dieser Nutzer darstellen. Die Verwendung solcher Instrumente sollte nur für rechtmäßige Zwecke mit dem Wissen der betreffenden Nutzer gestattet sein.

Der Richtliniengeber hat also eine Gefahr für die Privatsphäre der Nutzer gesehen, wenn Technologien in das Endgerät des Nutzers „eindringen“, um Nutzeraktivitäten „zurückzuverfolgen“.

Das wird dann in Erwägungsgrund 25 noch einmal weiter konkretisiert:

(25) Solche Instrumente, z. B. so genannte "Cookies", können ein legitimes und nützliches Hilfsmittel sein, um die Wirksamkeit von Website-Gestaltung und Werbung zu untersuchen und die Identität der an Online-Transaktionen beteiligten Nutzer zu überprüfen. Dienen solche Instrumente, z. B. "Cookies", einem rechtmäßigen Zweck, z. B. der Erleichterung der Bereitstellung von Diensten der Informationsgesellschaft, so sollte deren Einsatz unter der Bedingung zugelassen werden, dass die Nutzer gemäß der Richtlinie 95/46/EG klare und genaue Informationen über den Zweck von Cookies oder ähnlichen Instrumenten erhalten, d. h., der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden. Die Nutzer sollten die Gelegenheit haben, die Speicherung eines Cookies oder eines ähnlichen Instruments in ihrem Endgerät abzulehnen. Dies ist besonders bedeutsam, wenn auch andere Nutzer Zugang zu dem betreffenden Endgerät haben und damit auch zu dort gespeicherten Daten, die sensible Informationen privater Natur beinhalten. Die Auskunft und das Ablehnungsrecht können einmalig für die Nutzung verschiedener in dem Endgerät des Nutzers während derselben Verbindung zu installierender Instrumente angeboten werden und auch die künftige Verwendung derartiger Instrumente umfassen, die während nachfolgender Verbindungen vorgenommen werden können. Die Modalitäten für die Erteilung der Informationen oder für den Hinweis auf das Verweigerungsrecht und die Einholung der Zustimmung sollten so benutzerfreundlich wie möglich sein. Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.

Hinzu kommen noch die Ausführungen in Erwägungsgrund 66 der Richtlinie 2009/136/EG, mit der die Einwilligungsregelung in Art. 5 Abs. 3 ePrivacy-Richtlinie eingeführt wurde.

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z. B. über Spähsoftware oder Viren) reichen. Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte. Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen. Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Okay. Das ist eine Menge Text, den wir jetzt erst einmal einordnen müssen. Klar ist also, dass Technologien, die auf Informationen in „Endgeräten“ des Nutzers zugreifen, nicht per se verboten sind. Wenn diese einem „rechtmäßigen Zweck“ dienen, dürfen sie also eingesetzt werden, wenn der Nutzer hierüber klar und genau über die Datenverarbeitung in diesem Zusammenhang informiert wird und die Gelegenheit hat, die Speicherung eines Cookies oder eines ähnlichen Instruments in seinem Endgerät abzulehnen.

Aus den Erwägungsgründen ergibt sich also keine generelle Pflicht zur Einholung von Einwilligungen für diese Technologien. Und auch der Wortlaut von Art. 5 Abs. 3 der ePrivacy-Richtlinie sieht keine generelle Pflicht für die Verwendung von Einwilligungen vor. Im Gegenteil: Art. 5 Abs. 3 der ePrivacy-Richtlinie verlangt in den Fällen keine Einwilligung, „wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Entsprechend haben die europäischen Aufsichtsbehörden mit ihrer Art. 29 Arbeitsgruppe in der „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht v. 07.06.2012“ (WP 194) zu den Ausnahmemöglichkeiten des Art. 5 Abs. 3 der ePrivacy-Richtlinie Stellung genommen. Dabei haben sie zu den beiden Kriterien Stellung genommen:

  • Kriterium A: Der Cookie wird verwendet, „wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“.
  • Kriterium B: Der Cookie wird verwendet, „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann“.

Das Kriterium A ist im Hinblick auf das „Tracking“ oder das Erstellen von Nutzerprofilen erst einmal nicht relevant. Es geht also entscheidend um die Ausführungen zu „Kriterium B“. In ihrer neuen „Positionsbestimmung“ beziehen sich die Aufsichtsbehörden allerdings auf die englische Fassung (PDF).

In dem Arbeitspapier WP 194 führt die Art. 29 Gruppe zunächst aus, dass bei „Kriterium B“ erforderlich ist, dass die Anforderungen „für den Dienst unbedingt erforderlich“ und „vom Nutzer ausdrücklich gewünscht“ beide – also kumulativ – vorliegen müssen, wird dann das Ergebnis dieser Ausführungen wie folgt zusammen gefasst:

Eine Einwilligung für Cookies (oder vergleichbare Technologien) sei nicht erforderlich, wenn

  1. den Nutzer mit dem Cookie eine bestimmte Funktion zur Verfügung gestellt wird und dies ohne Cookie nicht möglich wäre und
  2. die Funktion vom Nutzer ausdrücklich angefordert.

Das ist die Sichtweise der europäischen Aufsichtsbehörden. Andere Sichtweisen sind da durchaus aus Art. 5 Abs. 3 der ePrivacy-Richtlinie abzuleiten. Aber für die DSK wäre jetzt zumindest diese Stellungnahme der Art. 29 Gruppe zu berücksichtigen.

Die DSK ist in ihrer neuen „Positionsbestimmung“ aber deutlich über die Stellungnahme der Art. 29 Gruppe hinausgegangen. Und das ganz ohne Grund. Und m.E. auch mit rechtlich falschem Ergebnis. Warum?

Darum: Die DSK scheitert schon daran, den Begriff von Tracking oder die Erstellung von Nutzerprofilen so zu konkretisieren, dass klar wäre, welche Fälle betroffen sind. Das lässt sich nämlich schon so ganz klar gar nicht beantworten.

So kann ich z.B. ein Webanalyse-Tool ganz ohne Cookies verwenden. Mit Matomo (vormals: Piwik) ist das z.B. recht gut möglich (Umsetzung | Folgen für die Qualität des Trackings). Gleichwohl müsste ich nach Ziff. 9 der „Positionsbestimmung“ der DSK dann eine Einwilligung einholen. Und das natürlich rechtlich falsch. Hier sollte die DSK dringend nachbessern.

Viel entscheidender aber: Ich kann sehr wohl auch ohne Einwilligung ein „Tracking“ durchführen oder „Nutzerprofile erstellen“, weil ich eine Rechtsgrundlage dafür habe. Und zwar ergibt ich diese (derzeit noch aus § 15 Abs. 3 TMG) künftig aus Art. 6 Abs. 1 DSGVO. Darauf weist die DSK ja insoweit noch zurecht selbst hin.

Die DSK verschweigt uns aber, warum sie nur auf Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung) und nicht auf die anderen Alternativen wie die „Erfüllung von Verträgen“ oder die „Interessenabwägung“ zu sprechen kommt. Sehr merkwürdig.

Wie sieht es denn mit der DSGVO nun künftig rechtlich aus?

Tatsache ist, dass wir in Deutschland keine wirkliche Umsetzung von Art. 5 Abs. 3 der ePrivacy-Richtlinie haben. Fakt ist weiter, dass die ePrivacy-Richtlinie für die Internetseitenbetreiber nicht direkt gilt. Das heißt, die Regelungen sind nicht anwendbar. Soweit ist noch alles klar.

Und dann wird es kompliziert.

Klar können noch die Fälle sein, bei denen ich mit den Nutzern meiner Internetseite ein Vertragsverhältnis habe. Das ist z.B. der Fall, wenn sich der Nutzer auf einer Internetseite registriert hat und dann z.B. Nutzungsbedingungen oder AGB wirksamer Vertragsbestandteil geworden sind.

Da mit der DSGVO noch nicht einmal für Werbung eine Einwilligung zwingend erforderlich ist, wäre es also durchaus denkbar, die Verwendung von Tracking- und/oder Webanalyse-Verfahren in AGB zu regeln. Im Rahmen der Vorgaben der AGB-Kontrolle. Das heißt insbesondere, dass die Klauseln nicht überraschend sind oder eine unangemessene Benachteiligung der Nutzer beinhalten. Das bekommt man AGB-rechtlich aber m.E. durch eine gute Klauselgestaltung durchaus hin.

Das bedeutet, dass die Internetseiten, die die Möglichkeit haben, hier über AGB eine Regelung mit den Nutzern zu treffen, deutlich im Vorteil sind.

Schwieriger ist hingegen der häufiger vorkommende Fall, dass der Besucher einer Internetseite keinerlei Vertragsverhältnis i.S.d. Art. 6 Abs. 1 lit. b) DSGVO hat. Denn der reine Besuch einer Internetseite wird in der Regel noch nicht als Durchführung vorvertraglicher Maßnahmen anzusehen sein. Das bedeutet, dass wir noch nicht in den Anwendungsbereich von Art. 6 Abs. 1 lit. b) DSGVO kommen.

Anders könnte es aber z.B. schon sein, wenn ein User z.B. im Online-Shop-Bereich einen Artikel in den Warenkorb legt. Da wäre man m.E. durchaus schon im Bereich der Durchführung vorvertraglicher Maßnahmen, so dass man ggf. darüber nachdenken könnte, ob man ein Tracking auf den Online-Shop-Bereich beschränkt und diesen nur dann „trackt“, wenn bereits ein Artikel in den Warenkorb gelegt wurde. Das ist aber ganz schön „tricky“ (oder „tracky“ – haha).

Wenn wir also mit Art. 6 Abs. 1 lit. b) DSGVO nichts werden, dann bleibt als nächstes Art. 6 Abs. 1 lit. f) DSGVO. Danach ist eine Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder „Grundrechte und Grundfreiheiten der betroffenen Person“, die den Schutz personenbezogener Daten erfordern, überwiegen.

Im Ergebnis ist hier also ein Abwägung der Interessen des Internetseitenanbieters mit den „Datenschutz“-Interessen des Betroffenen abzuwägen. Bei dieser Auslegung geht aber nicht grundsätzlich ein Datenschutz-Interesse des Betroffenen vor. Im Rahmen der vorzunehmenden Auslegung sind auch die Interessen des Anbieters gebührend zu berücksichtigen. Die Grundrechte-Charta der Europäischen Union (GRCh) beinhaltet nämlich nicht nur ein Recht auf Datenschutz (Art. 8 GRCh) und ein Recht auf Achtung des Privat- und Familienlebens (inkl. der „Kommunikation“ – Art. 7 GRCh), sondern mit Art. 16 GRCh auch die unternehmerische Freiheit. Es ist eine Gesamtabwägung vorzunehmen. Hinzu kommt, dass nach Erwägungsgrund 47 die Direktwerbung als eine „einem berechtigten Interesse dienende Verarbeitung betrachtet werden“ kann.

Der Großteil der Internetseiten von Unternehmen setzt heute Webanalyse-Verfahren wie z.B. Google Analytics ein. Das dürfte unbestritten sein. Und jeder Nutzer weiß das auch. Da die Profilerstellung in aller Regel ohne ein Vertragsverhältnis auf pseudonymer oder anonymer Basis erfolgt, kann insoweit in der Regel nicht zwingend auf ein überwiegendes, schutzbedürftiges Interesse des Betroffenen angenommen werden. Im Gegenteil. Jeder Nutzer kann durch seine Browsereinstellungen ein „Tracking“ bzw. die Profilerstellung unterbinden. Zumindest im Hinblick auf den ganz wesentlichen Teil, der derzeit im Bereich des Trackings bzw. der Webanalyse erfolgt.

Nach Erwägungsgrund 47 der DSGVO darf der Internetseitenanbieter bei der von ihm vorzunehmenden Interessenabwägung dabei die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“ berücksichtigen. Und da wären wir genau bei einem wichtigen Punkt. Jeder Nutzer weiß heute, dass in der Regel Messverfahren zur Webanalyse bei Internetseiten zum Einsatz kommen. Das darf und kann der Seitenbetreiber daher berücksichtigen. Anhaltspunkte dafür, dass hier das Interesse der Betroffenen am Unterbleiben eines Trackings überwiegen, sind nicht zwingend gegeben.

Aber: Wir können natürlich bei dieser Interessenabwägung vielleicht gehalten sein, die Vorgaben des EU-Gesetzgebers zu berücksichtigen, der eben durch Art. 5 Abs. 3 der ePrivacy-Richtlinie eine entsprechende Gewichtung vorgegeben hat. Und das hat vielleicht auch die DSK dazu bewogen, dass Art. 6 Abs. lit. f) DSGVO hier nicht als Rechtsgrundlage taugt. Nur wäre es halt schon schön (und auch erforderlich) gewesen, dass in dem Positionspapier auch zu erwähnen. Das ist jedoch nicht erfolgt.

Und es gibt auch gewichtige Gründe dafür, dass die Regelungen der ePrivacy-Richtlinie im Rahmen der Interessenabwägung nicht das entscheidende Kriterium sein können. So hat Hanloser es in seinem Beitrag in der Zeitschrift für Datenschutz1 unter Bezugnahme auf die Entscheidung des EuGH in der Rechtssache Breyer2 passend auf den Punkt gebracht:

Eine mitgliedstaatliche Norm und damit auch eine aufsichtsbehördliche Auslegung, die kategorisch und ganz allgemein die Verarbeitung von Nutzungsdaten ausschließt bzw. einem Einwilligungsvorbehalt unterstellt, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen, ist europarechtswidrig.

Im Ergebnis ist es eben doch vertretbar, ein „Tracking“ oder das Erstellen von Nutzerprofilen auf Basis von Art. 6 Abs. 1 lit. f) DSGVO durchzuführen. Es kommt aber eben auf die Details des jeweiligen Falles an.

Leider erwähnt die DSK dies mit keinem Wort. Nicht einmal in einer Fußnote. Dabei hätte die DSK es besser wissen müssen.

Dadurch, dass dieser Umstand nicht erwähnt wird, leisten die deutschen Aufsichtsbehörden künftigen Abmahnungen wegen einer Verletzung von Datenschutzverstößen unmittelbaren Vorschub.

„Abmahner“ könnten nicht nur im Hinblick auf eine Verletzung von Informationspflichten Unterlassung fordern. Da auch die Verarbeitung von Daten im Zusammenhang mit Werbung „marktverhaltensregelnden“ Inhalt hat, werden die „Abmahner“ künftig ihre Abmahnung wegen z.B. der Verwendung von Google Analytics genau mit dem Wortlaut von Ziff. 9 der „Positionsbestimmung“ der DSK begründen können. Wie bequem.

Und da die DSK sich hier dann entsprechend festgelegt hat, wäre z.B. auch bei einer Anhörung der Datenschutzbehörden nach § 12a UKlaG von der Aufsichtsbehörde zu erwarten, dass den Abmahnenden beigepflichtet wird.

Ich weiß wirklich nicht, ob die DSK das nicht gesehen hat oder einfach zu naiv war, um diesen Weitblick zu entwickeln. Beides ist nicht gut. Und es wirkt schlichtweg unprofessionell.

Apropos unprofessionell: Mir werden von Nutzern meiner Internetseite in der letzten Zeit recht viele Antworten, die Nutzer auf Anfragen bei Aufsichtsbehörden zu Anwendungsfragen der DSGVO erhalten haben, „zugespielt“. Und ich muss leider sagen, dass ich teilweise erschüttert über die zuweilen schlechte und manchmal katastrophale Qualität der Aussagen von Mitarbeitern von Aufsichtsbehörden bin. Hier wäre eine Qualitätsinitiative seitens der Behörden dringend geboten. Mitarbeiter müssten viel besser ausgebildet werden und vor allem auch einmal echte „Praxiserfahrung“ überliefert bekommen oder idealerweise mal erfahren haben. Es sind nicht nur Einzelfälle, in denen Behördenmitarbeiter kein Fachwissen oder fehlerhaftes Wissen über verwendete Technologien haben. Dann muss man sich nur m.E. entweder heraushalten, bis man der Sache auf den Grund gegangen ist, oder eben zurückhaltend formulieren. Beides ist nicht immer der Fall.

Auch in eigener Sache kann ich berichten, dass auf konkrete Fragen zu DSGVO-Thematiken, zu der sich eine Aufsichtsbehörde sich zumindest schon mal ein Bild gemacht haben sollte, schon mal nur ein Schulterzucken kommt. Oder auch einmal die Aussage: „Wir wussten gar nicht, dass das in der Praxis ein Problem ist“.

Und da wären wir genau beim dem Eindruck, der sich hier immer mal wieder aufzeigt. Viele Mitarbeiter in Aufsichtsbehörden haben keine oder nur wenig Praxiserfahrung. Dafür kann keiner etwas. Das ist auch kein Vorwurf. Die Aufsichtsbehörden würden nur gut daran tun, dann eben entweder zurückhaltend zu sein oder eben offen darzulegen, dass sie mit der Frage derzeit überfordert sind. Das ist nicht schlimm, sondern ehrlich. Und zur Rettung der Aufsichtsbehörden kann ich auch sagen, dass es rühmliche Ausnahmen gibt. Ja, es gibt auch viele gute Mitarbeiter bei Aufsichtsbehörden. Das darf auch gesagt werden. Mitarbeiter, die auch den Mut haben, zuzugeben, dass sie es auch einfach nicht wissen. Ich mag das. Ich weiß eben auch nicht alles. Mitnichten. Nicht ansatzweise. Und dann gebe ich das auch gerne zu. Das ist ein Zeichen von Stärke.

Ich denke, dass die Aufsichtsbehörden derzeit auch ein Ressourcenproblem haben. Auch sie sind durch die DSGVO überrannt von Anfragen und haben es mit einem sperrigen, schwer anwendbaren Gesetzeswerk zu tun. Und wenn sie neue Mitarbeiter bewilligt und bekommen haben, werden diese wohl eher selten schon über hinreichendes Fachwissen verfügen.

Wenn wir dann aber zurück zur DSK kommen, dann können wir schon erwarten, dass hier eine fachkundige, bedachte Äußerung veröffentlicht wird und auch über die Folgen nachgedacht wird. Dass das im Falles der „Positionsbestimmung“ nicht der Fall ist, habe ich versucht darzulegen.

Was ich ebenfalls sehr unprofessionell am Verhalten der DSK finde, ist das „Timing“. Jetzt, nur 4 Wochen vor der Anwendung der DSGVO so einen Paukenschlag zu produzieren, ist zwar eine Entscheidung, die die DSK für sich treffen kann. Wir können aber von der DSK wohl schon erwarten, dass besonnene Entscheidungen getroffen werden. Diese „Positionsbestimmung“ ist aber eben im Hinblick auf die Ziff. 9 nicht besonnen. Das dürfte nach den Ausführungen hinreichend klar sein.

Es ist übrigens auch bezeichnend, dass die DSK zwar den Mut aufbringt, in Ziff. 9 etwas mit einer Absolutheit zu formulieren, was das Erfordernis einer Einwilligung angeht, dann aber nicht den Mut aufbringt, etwas dazu zu sagen, wie denn bitte konkret die Einwilligung eingeholt werden könnte. Es ist ein Trauerspiel.

Wir können uns das ja dann in naher Zukunft mal ansehen, wie drei Aufsichtsbehörden das konkret umsetzen. So setzt die niedersächsische Aufsichtsbehörde derzeit Matomo ein. Sie weisen darauf hin, dass Matomo eingesetzt wird, haben aber eine mit 12 Monaten eine recht lange Cookie-Lebensdauer (Erforderlichkeit???) und sie beachten nicht „Do Not Track“ (Stand der Prüfung: 29.04.2018). So viel zum Thema „Privacy by Default“. Wir lachen hart. Nicht.

Außerdem setzt z.B. die sächische Aufsichtbehörde ein Cookie (mit dem Namen „ja_edenite_tpl“, über das nicht informiert wird (es gibt nicht einmal Datenschutzhinweise) und von dem ich keinerlei Plan habe, was es bewirkt, wobei es eine Laufzeit von fast 12 Monaten hat. Update 02.05.2018: Hier habe ich die Info von der Behörde bekommen, dass der Fehler behoben wurde.

Und die Aufsichtsbehörde in Sachsen-Anhalt setzt ebenfalls Matomo ein, weist zwar in den Datenschutzhinweisen darauf hin, beachtet aber kein Do-Not-Track und nutzt noch nicht einmal die Opt-Out-Funktion von Matomo.

Ja…professionell ist da anders. Aber wir werden das dann ja wie gesagt beobachten.

Ich denke, ihr bemerkt meinen kleinen persönlichen Groll hinsichtlich dieser „Positionsbestimmung“ der DSK. Vielleicht hat das auch damit zu tun, dass ich dann morgen allen Mandanten erklären darf, dass sie wegen einer unausgegorenen, nicht hinreichend überdachten „Äußerung“ einer „Datenschutzkonferenz“ mal eben – nicht einmal 4 Wochen vor der Geltung der DSGVO –ihre gesamten Websites umschrauben müssen. Aber das macht ja nichts. Die Unternehmen haben ja im Hinblick auf die DSGVO sonst nichts zu tun…

Wenn die Aufsichtsbehörden denn jedenfalls selbst etwas befürchten müssten, wenn sie selbst schon ihre „Position“ nicht einhalten. Aber Abmahnungen und Bußgelder gegen Aufsichtsbehörden gehören nicht zum Werkzeugkasten von UWG, UKlaG, DSGVO und künftigen Landesdatenschutzgesetzen. Nun ja…wir haben ja sonst nichts zu tun.

Vielleicht gibt es aber auch noch eine Einsicht der DSK? Fehler einzuräumen ist ein Zeichen von Stärke, s.o. – Und wollten nicht so viele „starke Aufsichtsbehörden“? Es wäre zu hoffen, dass da noch etwas passiert. Ich fürchte nur, dass dem nicht so ist. Leider wird diese katastrophale „Positionsbestimmung“ dann ab dem 25.05.2018 auf dem Rücken der Betreiber von Internetseiten ausgetragen. Die hiervon Betroffenen dürfen sich dann bei ihren Aufsichtsbehörden bedanken.

  1. Hanloser, ZD 2018, 213 (217) ↩︎
  2. EuGH, Urteil vom 19.10.2016, Az.: C-582/14 – Breyer ↩︎

Braucht mein Kontaktformular jetzt eine Checkbox?

Ob ihr es glaubt oder nicht. Ich bekomme diese Frage jede Woche gestellt. Und ich kann sie nicht mehr hören. Wie so viele Fragen, die immer wieder gestellt werden, weil irgendwelche „Experten“ da draußen sich zu den vermeintlichen Anforderungen der DSGVO räuspern.

Ich konnte mich hier zu später Stunde nicht mehr zusammenreißen und habe daher einen etwas genervt-bösen Podcast aufgenommen. Zu einem Thema, das mir – wie einige andere – derzeit ganz schön auf den Keks geht.

Aber hört selbst…

WhatsApp-Nutzereinwilligungen unwirksam? Anmerkungen zur Entscheidung des VG Hamburg

Am 24.04.2017 konnte die Hamburger Aufsichtsbehörde für den Datenschutz einen Teilerfolg vor dem Verwaltungsgericht Hamburg (VG Hamburg) erringen.

Die Aufsichtsbehörde hatte der Facebook Ireland Limited im Wege einer Verfügung nach § 38 Abs. 5 BDSG untersagt, personenbezogene Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern, soweit und solange keine wirksame Einwilligung der jeweiligen Betroffenen vorliege.

Update und Fehlerkorrektur, 29.04.2017: Im Podcast übergehe ich das wichtige Detail, dass die Aufsichtsbehörde Facebook die Erhebung der Daten von WhatsApp-Nutzern untersagt hat. Der Dienst WhatsApp wird von der WhatsApp Inc. betrieben. Die WhatsApp Inc. „gehört“ zwar „Facebook“, ist aber eben nicht „Facebook“. Die Weitergabe der Daten von WhatsApp an Facebook stellt zugleich eine Erhebung der Daten durch Facebook dar. Diese Erhebung wurde untersagt. Da die Erhebung im Hinblick auf deutsche Nutzer zudem i.d.R. in Deutschland stattfindet, ist damit auch nach Ansicht der Aufsichtsbehörde deutsches Recht anzuwenden.

Zudem wurde die Löschung der bisher insoweit verarbeiteten Daten angeordnet. Auch wurde die sofortige Vollziehung dieser Verfügung angeordnet. Das bedeutet, dass ein Widerspruch von Facebook gegen diese Verfügung keine aufschiebende Wirkung hat. Facebook hatte im September 2016 beim VG Hamburg im Wege des sog. vorläufigen Rechtsschutzes einen Antrag auf Wiederherstellung der aufschiebenden Wirkung des Widerspruchs gestellt.

Dieser Antrag ist vom VG Hamburg nun in den wesentlichen Teilen, nämlich der Verarbeitung von personenbezogenen Daten von deutschen WhatsApp-Nutzern durch Facebook abgelehnt worden: VG Hamburg, Beschluss vom 24.04.2017, Az.: 13 E 5912/16 (PDF)

Das letzte Wort ist hier noch nicht gesprochen, denn diese Entscheidung bezieht sich nur auf den vorläufigen Rechtsschutz. Im sog. Hauptsacheverfahren wird das VG Hamburg dann noch einmal umfänglich zu den Fragen Stellung nehmen.

Das Thema hier ist sehr komplex. Ich beschäftige mich in diesem Podcast mit einem Teilbereich der Entscheidung. Nämlich den Ausführungen des VG Hamburg zu den Anforderungen an eine wirksame Einwilligung durch WhatsApp-Nutzer und zu der Frage, ob ggf. eine Verarbeitung auf Basis einer Interessenabwägung zulässig ist.

Podcast: Zwang zur Einwilligung?

Ich habe in früheren Beiträgen oder auch meinen Vorträgen behauptet, dass die Einwilligung einen schleichenden Tod sterben wird. Sie wird für Unternehmen immer uninteressanter werden. Diese Entwicklung läuft aber schon seit mehreren Jahren.

Und diese Entwicklung wird durch die Regelung zum Kopplungsverbot bzw. zum Zwang oder zur Freiwilligkeit der Einwilligung in Art. 7 Abs. 4 DSGVO forciert.

Dort heißt es:

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Diese Norm enthält Sprengstoff für viele Anbieter – gerade auch von Online-Diensten –, sofern diese den „Tod“ der Einwilligung nicht schon früher erkannt haben. Abhängig von der Auslegung dieser Norm werden nämlich bestimmte Geschäftsmodelle nicht mehr oder nicht mehr in der Form funktionieren.

Wie sieht das nun in der Kommentarliteratur aus? Um diese und weitere Fragen des „Zwangs“ der Einwilligung geht es in dieser Podcast-Episode.

Telefonisch erhaltene E-Mail-Adressen für Newsletterversand nutzen?

Aus der Reihe Fragen & Antworten hier nun eine Frage, die für viele Unternehmen in der Gastronomie relevant sein könnte:

Die Frage:

Wir betreiben ein Restaurant und bekommen viele Reservierungsanfragen per Telefon. Wir nehmen bei der Annahme der persönlichen Daten auch die Emailadresse auf. Diese Emailadresse möchten wir eigentlich auch für unseren Newsletter einsetzen. Dürfen wir dies, oder was müssen wir machen um diese nutzen zu dürfen?

Meine Antwort:

Die Antwort auf die Frage kommt hier weniger aus dem Datenschutzrecht, sondern vielmehr aus dem Wettbewerbsrecht. Denn für das Versenden von E-Mails mit „Werbung“ ist primär § 7 UWG einschlägig.

Wer keine Zeit zum Lesen hat (oder zu faul ist), hier das Ergebnis vorab:

Die Zusendung eines E-Mail-Newsletters an eine Person, die bei einem Restaurant telefonisch eine Reservierung angefragt hat, ist dann rechtlich zulässig, wenn der Anrufer konkret gefragt wurde, ob er damit einverstanden ist, den E-Mail-Newsletter des Restaurants zu erhalten und er dies bejaht.

Zu empfehlen ist diese Praxis aber nicht, denn die Beweislast für das Vorliegen einer wirksamen Einwilligung liegt beim Restaurant. Dies im Falle einer Abmahnung wegen des Versands von E-Mail-Werbung auf Basis eines Telefonanrufs zu beweisen, dürfte praktisch schwierig werden und sehr häufig scheitern. Hinzu kommt, dass das Risiko einer Abmahnung in diesen Fällen nicht als niedrig eingestuft werden kann. Meiner Meinung nach ist der Ärger hier vorprogrammiert.

Und ich bin der Überzeugung, dass es vor allem einer viel bessere Möglichkeit gibt — dazu könnt ihr mehr gegen Ende des Beitrages erfahren…aber lest das auf jeden Fall nicht, wenn ihr nicht besser werden wollt.

Und jetzt die Langfassung:

Wir könnten lange diskutieren, wann etwas Werbung ist oder nicht. Und ich höre von Mandanten immer wieder, dass der eigene Newsletter doch wohl auf gar keinen Fall Werbung sei. Er habe schließlich einen konkreten Nutzern (und Vorteil) für den Empfänger.

Aufzeichnung des Webinars „DSGVO-Coaching: Modul 3 – Die DSGVO-Einwilligung“

Willkommen zurück, liebe Coachingteilnehmer! In diesem Webinar geht es um die Regelung der Einwilligung der DSGVO. Und vor allem auch um die Unterschiede zwischen der Einwilligung im bisherigen Recht und …

Aufzeichnung des Webinars „DSGVO-Coaching: Modul 3 – Die DSGVO-Einwilligung“ Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden