Neue DSK-Orientierungshilfe für Anbieter von Telemedien in Sachen Tracking & Co.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) veröffentlichte am 26.04.2018 eine in der Praxis höchst kontrovers diskutierte Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25.05.2018.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) veröffentlichte am 26.04.2018 eine in der Praxis höchst kontrovers diskutierte Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25.05.2018. Gleichzeitig beschlossen die Datenschutzbehörden, eine Konsultation von betroffenen Wirtschaftsverbänden und Unternehmen durchzuführen. Als Ergebnis der Auswertung der Stellungnahmen im Konsultationsverfahren und zur Erläuterung und Konkretisierung der Positionsbestimmung haben die Datenschutzbehörden eine neue Orientierungshilfe für die Praxis formuliert.

Grundinhalte

Das Dokument „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ soll im Wesentlichen als Orientierungshilfe für die Umsetzung der datenschutzrechtlichen Anforderungen an die Verarbeitung der Daten von Nutzern durch Telemediendienste dienen. Die rund 20-seitige Orientierungshilfe der DSK adressiert diverse für die Praxis höchst relevante Themenfelder. Ausgehend von der im Ergebnis DSK-seitig erneut verneinten Frage eines möglichen Rückgriffs auf die datenschutzrechtlichen Bestimmungen des TMG, befasst sich die Orientierungshilfe intensiv mit Tracking-Maßnahmen, welche die DSK als „Datenverarbeitung zur – in der Regel websiteübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern“ versteht.

Abweichend von ihrer ersten Stellungnahme vom 26.04.2018 erkennt die DSK ausdrücklich an, dass die für Tracking in Frage kommenden Rechtfertigungsgründe, namentlich Einwilligung, Vertrag und berechtigte Interessen, gleichberechtigt sind. In der Vergangenheit war die Position im Wesentlichen noch, dass namentlich bei webseitenübergreifendem Tracking ein Rückgriff auf den Fall der berechtigten Interessen nicht möglich sei. Dieser Vorbehalt scheint nicht weiter aufrechterhalten zu werden.

Die DSK setzt sich vergleichsweise intensiv mit den verschiedenen Verarbeitungsgrundlagen unter der DS-GVO auseinander, namentlich einer Einwilligung sowie einer Interessenabwägung im Rahmen von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO.

Einwilligung

Im Hinblick auf die Anforderungen an eine Einwilligung führt die DSK im Ergebnis wenig überraschend die bislang schon angedeutete strenge Position fort:

„Insbesondere wenn bei der betroffenen Person erhobene Daten von dem jeweiligen Diensteanbieter (inkl. eingebundener Dienste) website-übergreifend zusammengeführt und ausgewertet werden, ist zu berücksichtigen, dass die betroffenen Personen für eine wirksame Einwilligung vorab über jegliche Form der durchgeführten Datenverarbeitung sowie sämtliche Empfänger ausführlich informiert werden und die Möglichkeit erhalten müssen, in die einzelnen Formen der Datenverarbeitung spezifisch einzuwilligen.“

Einer Einwilligung durch bislang übliche und verbreitete Cookie-Banner erteilt die DSK eine deutliche Absage:

„Auch genügt es für eine Einwilligung i. S. d. DSGVO nicht, wenn, wie bei vielen einfachen Cookie-Bannern im Web, ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt. In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen.“

Berechtigte Interessen

Die Ausführungen der DSK zum Rechtfertigungsgrund der berechtigten Interessen nach Art. 6 Abs.1 Satz 1 lit. f DS-GVO fallen vergleichsweise umfangreich aus, wobei die DSK ein mögliches Prüfungsschema an die Hand gibt:

„Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:

1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall“

Gerade die Bewertung von berechtigten Interessen bildet in der Praxis Dreh- und Angelpunkt der Anwendung von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO. Die DSK benennt in ihrer Orientierungshilfe als mögliche berechtigte Interessen:

  • „Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
  • freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z. B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Web Fonts, Kartendiensten, Social PlugIns, etc.,
  • Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von Log-Dateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
  • Reichweitenmessung und statistische Analysen,
  • Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer,
  • Wiedererkennung und Merkmalzuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten,
  • Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken) und Bot-Nutzung.“

Das Vorliegen eines solchen Interesses ist allerdings kein Freibrief. Vielmehr sieht es die DSK als höchst relevant an, dass an das Merkmal der Erforderlichkeit strenge Voraussetzungen gestellt werden:

„Allein das Vorliegen eines berechtigten Interesses reicht nicht aus, um die Datenverarbeitung zu legitimieren. Zwingend ist, dass die jeweilige Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist. Erforderlichkeit meint, dass die Verarbeitung geeignet ist, das Interesse (Motiv/Nutzen der Verarbeitung) des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung steht. Das bedeutet, dass der Verantwortliche die Verarbeitung auf das notwendige Maß zu beschränken hat.“

Auch für die Abwägung mit den Interessen des Nutzers gibt die DSK Prüfungskriterien an die Hand, die jeweils zu berücksichtigen sein sollen:

  • vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit/ Transparenz, Interventionsmöglichkeiten der betroffenen Personen,
  • Verkettung von Daten,
  • beteiligte Akteure,
  • Dauer der Beobachtung,
  • Kreis der Betroffenen,
  • Datenkategorien,
  • Umfang der Datenverarbeitung.

Anmerkung

Die Orientierungshilfe der DSK ist für die Praxis sicherlich eine hilfreiche Grundlage zur Beurteilung von Tracking-Sachverhalten im weiteren Sinne. Positiv hervorzuheben ist vor allem der Umstand, dass die DSK eine Rechtfertigung von entsprechenden Maßnahmen nicht nur über eine Einwilligung anerkennt, sondern auch den Weg über Art. 6 Abs. 1 Satz 1 lit. f DS-GVO als gangbar erachtet. Gleichwohl ist zu bedenken, dass die Hürden, welche die DSK für eine positive Interessenabwägung vorsieht, nicht zu gering sind.

Dass über Art. 6 Abs. 1 Satz 1 lit. f DS-GVO keineswegs ein Freibrief bei Vorliegen berechtigter Interessen der verantwortlichen Stelle vorliegt, wird vor allem durch ein in der Orientierungshilfe vorgesehenes Abwägungsbeispiel im Kontext des Einsatzes von sog. Zähl-Pixeln eines sozialen Netzwerks auf Drittwebseiten deutlich. Hier fällt das Ergebnis der Interessenabwägung durch die DSK klar aus:

„Eine Abwägung der o.g. Interessen im konkreten Einzelfall ergibt, dass die Interessen der betroffenen Personen die Interessen des Unternehmens überwiegen und folglich die Einbindung des Pixels nicht gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist. Als Rechtsgrundlage käme dann – wenn überhaupt – nur die Einwilligung in Betracht.“

Hinweis: Die „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ ist im Volltext abrufbar unter: https://www.datenschutzkonferenz-online.de/orientierungshilfen.html

Zurück
Dr. Sascha Vander, LL.M.

Dr. Sascha Vander, LL.M.

T: +49 221 95 190-60
ZUM PROFIL