(Nichts) Neues zum Online-Tracking und ePrivacy – Die Orientierungshilfe der DSK

Allerdings waren sie in ihrer Pauschalität schnell widerlegbar, so dass der Paukenschlag ausblieb und die Onlinemarketing-Branche schnell zum Tagesgeschäft überging. Nun – die Zukunft einer ePrivacy Verordnung nach wie vor völlig ungewiss – scheint die Diskussion jedoch Fahrt aufzunehmen: Im ersten Quartal 2019 äußerten sich nationale wie europäische Datenschutz-Institutionen vermehrt zum umstrittenen Verhältnis zwischen ePrivacy Richtlinie und DSGVO. Was sind die wesentlichen Aussagen, wie sind diese zu bewerten und worauf müssen Verantwortliche Website-Betreiber und Ad-Tech-Anbieter jetzt achten?

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

Von Vertretern der Aufsichtsbehörden oft angekündigt, ist sie nun endlich da: Am 3. April 2019 veröffentlichte die DSK ihre Orientierungshilfe für Anbieter von Telemedien. Darin korrigiert die DSK – soweit erfreulich – ihre vormals ohne Begründung gebliebene Annahme, wonach jede Erstellung von Nutzerprofilen und jeder „Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“, einer vorherigen ausdrücklichen Einwilligung bedürfen. Gleichzeitig hält sie aber dennoch – mit bloß oberflächlicher und wenig überzeugender Begründung – an einem grundsätzlichen Einwilligungserfordernis für in die Website eingebundene Elemente fest, wenn diese zur Zusammenfassung des Nutzerverhaltens, insbesondere über Website- oder Geräte-Grenzen hinweg verwendet werden, fest.

Keine Anwendbarkeit des TMG

Wie schon für die Positionsbestimmung vom 26. April 2018 bildet den Ausgangspunkt für die Orientierungshilfe die Feststellung der DSK, dass die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) – insbesondere die Regelungen der §§ 12, 15 Abs. 1 und 15 Abs. 3 TMG – unter der Geltung der DSGVO nicht mehr anwendbar seien und eine Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie in Deutschland nicht erfolgt sei. Damit befindet sich die DSK auf einer Linie mit dem Generalanwalt zum EuGH, der in seinen kürzlich veröffentlichten Schlussanträgen in der Rechtssache C-673/17 – Planet49 GmbH Deutschland eine unzureichende Umsetzung der Anforderungen aus Art. 5 Abs. 3 der ePrivacy-Richtlinie attestiert hat.

Ob ein Urteil des EuGH noch vor Verabschiedung einer ePrivacy-Verordnung zu erwarten ist, lässt sich derzeit nur schwer absehen, ist aber zu vermuten.

Konsequenz: Keine generelle Einwilligungspflicht beim Einsatz von Tracking-Tools

Ihre schon im Positionspapier vom 26. April 2018 konstatierte Annahme, dass bei der Verarbeitung personenbezogener Daten bei der Erbringung von Telemediendiensten grundsätzlich die Erlaubnistatbestände der Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), des Vertrags (Art. 6 Abs. 1 S. 1 lit. b DSGVO) und der Interessenabwägung (Art. 6 Abs. 1 S. 1 lit. f DSGVO) in Betracht zu ziehen seien, weitet die DSK in der Konsequenz auf das Tracking mit Cookies aus.

Unter Tracking versteht die DSK eine „Datenverarbeitung zur – in der Regel websiteübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern“. Dabei kommt es der DSK zunächst nicht auf die eingesetzten Technologien an. Das ist insofern bemerkenswert, als dass der Europäische Datenschutzausschuss (EDSA) in einer fast zeitgleich veröffentlichten Stellungnahme zum Verhältnis der ePrivacy-Richtlinie zur DSGVO hier sehr wohl unterschieden wissen will: In Bezug auf das Setzen bzw. Auslesen von Cookies sei Art. 5 Abs. 3 ePrivacy Richtlinie als konkretere Norm vorrangig, weshalb dies nur mit Einwilligung des Betroffenen zulässig sei. Der Website-Betreiber könne sich daher lediglich für „nachfolgende Datenverarbeitungen im Zusammenhang mit Cookies auf den weiter gefassten Katalog der Erlaubnistatbestände nach Art. 6 DGSVO“ berufen.

Demgegenüber stellt die DSK ausdrücklich klar, dass der Einsatz von Cookies nicht per se einwilligungsbedürftig sei. Damit behält Deutschland – zumindest vorerst – seine Sonderrolle, wenn es um das einwilligungslose Setzen von Tracking-Cookies geht.

Anforderungen an eine Einwilligung – Hinweise zu Cookies und Consent-Tools

Ungeachtet dessen, beginnt auch die DSK mit Ausführungen zu den Anforderungen an eine DSGVO-konforme Einwilligung und betont, dass eine Verarbeitung personenbezogener Daten ohne ausreichende Kenntnis der betroffenen Personen von den jeweiligen Datenverarbeitungsvorgängen sowie den dabei jeweils einbezogenen Dritten zur Unwirksamkeit der Einwilligung führe und daher ohne Rechtsgrund erfolge.

Mit Blick auf die Anforderungen an die Einwilligungserklärung nimmt die DSK auch zu den derzeit vor dem EuGH anhängigen Fragen der Zulässigkeit vorangekreuzter Kästchen Stellung und verneint (ebenso wie der Generalanwalt Szpunar) die Wirksamkeit einer in dieser Form eingeholten Einwilligung. Auf S. 8 der Orientierungshilfe legt sie in einem „Hinweis: „Cookie-Banner“ und „Consent-Tools“ weitere Anforderungen an Cookie-Banner dar, die nach Ansicht der DSK jedoch überhaupt nur eingesetzt werden sollten, wenn das Setzen von Cookies im konkreten Fall auch tatsächlich einer Einwilligung bedürfe. Versteht man den Nutzen von Cookie-Banner nur so, fordert die DSK dann richtig, dass Cookies auch erst nach Erteilung einer wirksamen Einwilligung über ein Cookie-Banner gesetzt werden. Während das Banner zur Einholung der Einwilligung angezeigt werde, müssten alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, daher blockiert sein. Gleichzeitig dürfe der Zugriff auf Impressum und Datenschutzerklärung dadurch nicht verhindert werden. Auch müsse die betroffene Person die Möglichkeit der gesonderten Zustimmung haben.

Auf die Möglichkeit, das Banner einzusetzen, um betroffene Personen transparent über Datenverarbeitungen im Zusammenhang mit Tracking-Tools zu informieren und ihr mit einem Link auf die Datenschutzerklärung oder eine Cookie-Richtlinie das Ausüben ihrer Widerspruchsrechte zu erleichtern, geht die DSK nicht ein. Bereits hieran zeigt sich, dass die DSK an der Annahme eines grundsätzlichen Einwilligungserfordernisses festhalten will.

Hinsichtlich der Freiwilligkeit der Einwilligung befasst sich die DSK unter anderem mit der Frage, ob der Besuch der Website von einer Zustimmung zum Setzen von Cookies abhängig gemacht werden könne. Dem erteilt die DSK eine Absage und fordert eine Möglichkeit des Zugangs auch ohne entsprechende Zustimmung. Das steht nicht nur in klarem Widerspruch zu Erwägungsgrund (25) der ePrivacy-Richtlinie, sondern lässt nicht zuletzt Online-Nachrichtendienste mit zahlreichen Fragen zur zukünftigen Finanzierung ihres Angebots zurück.

Zu Art. 6 Abs. 1 S. 1 lit. b DSGVO – Neue Leitlinie des EDSA

Die DSK verzichtet in ihrer Orientierungshilfe gänzlich auf Ausführungen zu Art. 6 Abs. 1 S. 1 lit. b DSGVO. Dies darf wohl nicht so verstanden werden, dass sie die Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. b DSGVO für jegliche Einsatzgebiete von Tracking-Cookies in Abrede stellen will.  So führt der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einem FAQ zu der Orientierungshilfe aus, dass die Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, häufig als (vor-)vertragliche Maßnahmen auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden können. Dies sei etwa bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter erfolge.

Vielmehr begründet die DSK ihr Schweigen mit einem Verweis auf die „[…] andauernde Diskussionen auf europäischer Ebene zur Frage der Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. b DSGVO im Zusammenhang mit der Bereitstellung von Online-Services […]“ und überlässt es dem Europäischen Datenschutzausschuss mit seinen zwischenzeitlich veröffentlichten Leitlinien zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 S. 1 lit. b DSGVO im Zusammenhang mit der Bereitstellung von Online-Services, sich hierzu zu äußern. Der EDSA erteilt der Annahme, die Rechtsgrundlage der Vertragserfüllung könne zumindest im Bereich von Online-Dienstleistungen durch bloße Vertragsgestaltung erreicht werden, eine Absage und stellt hinsichtlich der äußerst praxisrelavanten Frage zum Spannungsfeld von Datenschutz und Privatautonomie fest, betroffene Personen können zwar der Verarbeitung personenbezogener Daten zustimmen, dabei aber nicht auf Ihre Grundrechte verzichten.

Die Rechtsgrundlage der Vertragsgestaltung sei daher nur dann einschlägig, wenn

• ein Vertrag existiere,
• der Vertrag nach dem jeweils anwendbaren nationalen Recht wirksam sei, und
• die Datenverarbeitung objektiv erforderlich sei für die Erfüllung des Vertrages.

Letzteres sei in Fällen von Service-Verbesserungen und online-verhaltensbezogener Werbung grundsätzlich nicht und bei der Personalisierung von Inhalten nur in Ausnahmefällen zu bejahen.

Auch damit wird die werbliche Refinanzierung eines entgeltlosen Telemedienangebots weiter erschwert (s.o.).

Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f DSGVO – Grundsätzliches Festhalten am Einwilligungserfordernis

Schließlich wendet sich die DSK dem Erlaubnistatbestand der berechtigten Interessen zu. Zwar räumt sie zu Beginn der Prüfung mit der Mär auf, beim Tatbestand der berechtigten Interessen handele es sich um einen Auffangtatbestand. Auch erkennt sie ausdrücklich an, dass Website-Betreiber mit Tracking- und Targeting-Maßnahmen berechtigte Interessen verfolgen. Jedoch seien die damit im Zusammenhang stehenden Datenverarbeitung regelmäßig schon nicht erforderlich für diese berechtigten Interessen, jedenfalls falle aber die Abwägung – insbesondere in Fällen der „Zusammenfassung des Nutzerverhaltens insbesondere über Website- oder Geräte-Grenzen hinweg“ – regelmäßig zugunsten der betroffenen Personen aus, weshalb dies nur auf Grundlage einer ausdrücklichen Einwilligung zulässig sei.

Begründung der DSK

Zu diesem Abwägungsergebnis gelangt die DSK aufgrund zweier äußerst fragwürdiger Thesen: Nach Auffassung der DSK seien im Rahmen der Interessenabwägung „[…] ohnehin bestehende Pflichten aus der DSGVO, z.B. Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung […]“, nicht zugunsten des Verantwortlichen zu berücksichtigen. Nur durch „zusätzliche Schutzmaßnahmen“ – worin auch immer diese bestehen sollen – könnten die Beeinträchtigungen durch die Verarbeitung derart reduziert werden, dass die Interessenabwägung zugunsten des Verantwortlichen ausfallen kann. Daher seien weder eine jederzeit bestehende, bedingungslose Widerspruchsmöglichkeit noch eine Pseudonymisierung, als ohnehin bestehende Pflichten des Verantwortlichen, zu dessen Gunsten in die Abwägung einzustellen. Mehr noch, die DSK vertritt darüber hinaus erneut die Auffassung, dass Online-Kennungen bereits keine Pseudonyme darstellten. Das begründet sie vor allem mit der Annahme, es komme beim Tracking regelmäßig zu einer Verknüpfung von Inhalts- und Nutzerdaten, weil sich betroffene Personen früher oder später stets irgendwo registrierten.

Stellungnahme

Eine nachvollziehbare Begründung für die Aussagen der DSK lässt sich der DSGVO nicht entnehmen. Im Gegenteil widerspricht ein solches Verständnis dem Gedanken von Privacy-by-Design. Die DSGVO kennt bereits keine „Pflicht zur Pseudonymisierung“, die die DSK hier annimmt. Pseudonymisierung und Verschlüsselung von personenbezogenen Daten werden lediglich in Art. 32 Abs. 1 lit. a DSGVO als Beispiele umzusetzender Maßnahmen genannt. Die Ergreifung dieser Maßnahmen soll von der konkreten Erforderlichkeit bzw. Angemessenheit abhängig gemacht werden. Auch wenn sich dies weniger klar aus der deutschen Version des Art. 32 Abs. 1 DSGVO ergibt, ist dies jedenfalls der englischen Ausgangsversion eindeutig zu entnehmen, in der es heißt „including inter alia as appropriate“. Erwägungsgrund (29) DSGVO verweist darauf, dass für die Anwendung von Pseudonymisierungsmaßnahmen Anreize geschaffen werden sollen. In diesem Zusammenhang wird ausdrücklich die Möglichkeit von Pseudonymisierungsmaßnahmen zum Zwecke einer „allgemeinen Analyse“ bei „demselben Verantwortlichen“ benannt. Auch erkennt Erwägungsrund (28) die von einer Pseudonymisierung ausgehende, risikominimierende Wirkung explizit an.

Schließlich widerspricht die These der DSK der erst im November 2018 veröffentlichten „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der DSGVO“. Dort formulierte die DSK hinsichtlich der Interessenabwägung im Rahmen der Art. 6 Abs. 1 S. 1 lit. f DSGVO noch, dass die ohnehin geltenden allgemeinen Datenverarbeitungsgrundsätze (aus Art. 5 Abs. 1 DSGVO) bei der Abwägung zu berücksichtigen seien. Selbst wenn man also eine generelle Pflicht zur Pseudonymisierung annähme, wäre nicht nachvollziehbar, warum die Einhaltung derselben im Gegensatz zur Einhaltung der allgemeinen Datenverarbeitungsgrundsätze in der Interessenabwägung nicht zu berücksichtigen sei. Nichts Anderes gilt mit Blick auf die Widerspruchsrechte.

Insgesamt vermag die Argumentation daher nicht zu überzeugen.

Fazit

Die Orientierungshilfe der DSK sorgt vor allem in zwei Punkten für Klarheit: Erstens behält Deutschland, was den Einsatz von Cookies angeht, zumindest vorerst seine Sonderrolle; während der EDSA für das Setzen und Auslesen von Cookies Art. 5 Abs. 3 e-Privacy-Richtlinie als lex specialis versteht und daraus auf ein generelles Einwilligungserfordernis schließt, steht deutschen Werbetreibenden im Unterschied dazu der gesamte Katalog von Erlaubnistatbeständen aus Art. 6 DSGVO offen. Dabei kommt neben der Einwilligung vor allem dem Erlaubnistatbestand der berechtigten Interessen besondere Bedeutung zu. Das erkennt nun zweitens auch die DSK explizit an.

Dennoch hält die DSK dem Grunde nach weiter daran fest, dass jedenfalls websiteübergreifendes Tracking, der Einsatz von Third-Party-Cookies sowie Targeting und Cross-Device-Tracking stets einer Einwilligung bedürfen. Soll diese mithilfe eines Cookie-Banners eingeholt werden, stellt sie auch an dessen Ausgestaltung äußerst strenge Maßstäbe. Die Argumente, welche die DSK im Rahmen der Abwägung bemüht, bleiben dabei bloß oberflächlich, finden keine Stütze im Gesetz und überzeugen daher insgesamt nicht.

Der EuGH wird sich voraussichtlich noch in diesem Jahr zu den Anforderungen einer Einwilligung, die Website-Betreiber für Tracking-Cookies einholen, äußern. Insbesondere wurden diesem Fragen zu vorangekreuzten Kästchen vorgelegt.

Anbietern von Telemedien sind die Möglichkeiten, ihr Angebot mithilfe von Werbung zu refinanzieren, sowohl nach Ansicht der DSK als auch des EDSA deutlich eingeschränkt.

To Do‘s