“Do-Not-Track“ – das Aus für Consent-Manager?

Haben Sie sich schon mal durch die Einstellungen Ihres Internet-Browsers geklickt? Vielleicht ist Ihnen dabei ja diese verheißend klingende „Do-Not-Track“-Einstellung aufgefallen, die man anklicken kann. Welche rechtliche Bedeutung kommt dieser „Do-Not-Track“-Einstellung zu, die Nutzer*innen in ihrem Browser aktivieren können? Mit dieser Frage hatte sich im Kern das LG Berlin (Az.: 16 O 420/19) zu befassen, dem eine Unterlassungsklage des Verbraucherzentrale Bundesverbands eine Unterlassungsklage gegen die Microsoft-Tochter LinkedIn vorlag.

Worum geht es eigentlich bei „Do-Not-Track“?

Wer im Internet surfen möchte und dabei nicht getrackt, also digital verfolgt werden will, findet in den Einstellungen der gängigen Browser die Möglichkeit „Do-Not-Track“ einzustellen. Ist dies passiert und wird eine Internetseite aufgerufen, wird an den Webserver im Zuge der notwendigen Kommunikation ein entsprechendes Signal gesendet, welches den Willen der Nutzer*innen mitteilt. Die Nutzer*innen können dadurch zum Ausdruck bringen, dass ihr Nutzungsverhalten nicht verfolgt und analysiert werden soll (beispielsweise zur Erstellung von Profilen). Es ist wichtig zu wissen, dass es sich hierbei nicht um einen automatisierten Prozess handelt, der technisch sicherstellt, dass kein Tracking stattfindet. Es handelt sich lediglich um eine Mitteilung an den Webserver, dass man nicht getrackt werden möchte. Diese Mitteilung kann vom Webserver ausgelesen werden oder auch nicht. Ebenso kann diese Willensbekundung beachtet werden oder eben auch nicht. Eine Sicherheit gibt es für die Nutzer*innen nicht. Selbst eine Rückmeldung, ob denn der Webserver der gerade besuchten Webseite die „Do-Not-Track“-Anforderung berücksichtigt oder nicht, erhält man nicht. In der Praxis dürfte die Anforderung daher in vielen Fällen unbeachtet bleiben.

Insofern stellt sich die Frage, welcher rechtliche Status der „Do-Not-Track“-Anforderung zukommt. Muss „Do-Not-Track“ beachtet werden? Handelt es sich gar um einen rechtswirksamen Widerspruch gemäß Art. 21 DSGVO, der auch präventive Wirkung entfaltet?

Zurück zu unserem Beispiel

LinkedIn erklärte in seinen Datenschutzhinweisen, dass es sich nicht an etwaige „Do-Not-Track“-Anweisungen halte und tat dies in der Praxis auch nicht. Das rief den Verbraucherzentrale Bundesverband auf den Plan, der hierin eine Missachtung des Willens der Nutzer*innen witterte: „Wenn Verbraucher:innen die ‚Do-Not-Track‘-Funktion ihres Browsers aktivieren, ist das eine klare Botschaft: Sie wollen nicht, dass ihr Surfverhalten für Werbe- und andere Zwecke ausgespäht wird“, so eine Sprecherin des Verbraucherzentrale Bundesverbands.

Zur Einordnung: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und nur dann zulässig, wenn diese zu einem legitimen Zweck auf Basis einer gültigen Rechtsgrundlage erfolgt. Die Verarbeitung personenbezogener Surfer*innendaten zu Analyse- und/oder Werbezwecken bedarf regelmäßig einer Einwilligung der betroffenen Person. Deshalb empfangen ja zunehmend mehr Webseiten ihre Besucher*innen mit einem Consent-Manager. Es kommt also wesentlich auf den Willen der betroffenen Person an.

Das LG Berlin schloss sich der Rechtsmeinung des Verbraucherzentrale-Bundesverband an und entschied zu Gunsten der betroffenen Person: LinkedIn darf nicht mehr mitteilen, dass es nicht auf die „Do-Not-Track“-Signale reagiert, denn diese Aussage suggeriere, dass die Verwendung des Do-Not-Track-Signals in rechtlicher Hinsicht irrelevant sei.

Was heißt das jetzt über den Einzelfall hinaus?

Liegt stets ein Verstoß vor, wenn das „Do-Not-Track“-Signal nicht beachtet wird? Werden gar Consent-Manager bei aktivierter „Do-Not-Track“-Einstellung unzulässig, da eine betroffene Person ja bereits ihren Widerspruch erklärt hat? Eine erneute Frage, ob man denn nun doch getrackt werden möchte, sei aufgrund der zuvor abgegebenen Willenserklärung dann nicht mehr zulässig – so zumindest die Hardliner unter den Datenschützern.

Wir meinen, dass man mit einer solch strengen Interpretation etwas über das Ziel hinausschießt. Sie stellt nach unserer Auffassung auch eine Fehlinterpretation des ergangenen Urteils dar. Das LG Berlin hat zwar entschieden, dass der Hinweis auf die Nichtbeachtung von „Do-Not-Track“ unzulässig ist. Zu der eigentlichen Praxis, die Einstellung zu ignorieren, hat sich das Gericht jedoch nicht geäußert. Es geht dem Gericht hier also eher darum, dass durch den Hinweis, „Do-Not-Track“ nicht zu beachten, den Nutzer*innen suggeriert wird, dass diese Einstellung unerheblich ist und damit versucht wird, sie davon abzuhalten, diese Funktion zu nutzen. Für datenschutzrechtliche Laien klingt das Ergebnis sicherlich sehr seltsam, denn etwas überspitzt könnte man sagen: Man darf „Do-Not-Track“-Anforderungen zwar ignorieren – aber darüber sprechen darf man nicht 🤨! Und gab es in der DSGVO nicht auch so etwas wie ein Transparenzgebot? Eigentlich kann es doch nicht besser sein, etwas heimlich zu tun, als darüber offen zu sprechen?

Insbesondere sind wir der Auffassung, dass eine „Do-Not-Track“-Anforderung nicht ausschließt, das Einholen einer Einwilligung über einen Consent-Manager ausschließt. Dazu einige Überlegungen:

  • Die Einstellung im Browser heißt recht allgemein „Do-Not-Track“. Diese Einstellung kann man entweder aktivieren oder es lassen. Eine granulare Feineinstellung ist nicht möglich. Es ist für einen Webseitenbetreiber also nicht ersichtlich, was die Nutzer*innen genau mitteilen möchten, wenn sie dieses Häkchen setzen. Dass klassische Tracking-Tools wie Google-Analytics gemeint sein werden, davon wird man wohl schon ausgehen können. Aber schon beim Meta-Pixel könnte man diskutieren ob hier Tracking oder zielgruppenorientierte Ausspielung von Werbung im Vordergrund steht. Und spätestens bei der Einbindung von YouTube-Videos geht es nicht mehr um Tracking im eigentlichen Sinn. Consent-Manager dürften also mindestens in solchen Fällen weiterhin der adäquate Weg sein, um eine Einwilligung zu ersuchen.
  • Fraglich ist auch, ob die „Do-Not-Track“-Anforderung so interpretiert werden kann, dass sie lediglich eine Bitte darstellt, auf Trackingtechniken zu verzichten, die nicht auf Basis einer Einwilligung erfolgen, sondern die auf Basis eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO durchgeführt werden (beispielsweise bei „cookieless“ Varianten).
  • Handelt es sich bei „Do-Not-Track“ eigentlich um einen technischen Standard, dessen Umsetzung für Webseitenbetreiber verpflichtend ist? Dafür spricht, dass eigentlich alle gängigen Browser über diese Möglichkeit der Einstellung verfügen. Andererseits: Warum muss ein Webseitenbetreiber, alle technischen Möglichkeiten, die ein Browser bietet, auch umsetzen?
  • Und selbst, wenn man tatsächlich zu dem Schluss kommt, dass mit „Do-Not-Track“ eine verbindliche Willensäußerung getätigt werden kann: Wo steht eigentlich, dass man nicht doch noch mal erklären darf, weshalb man ein bestimmtes Tracking gerne durchführen möchte und dafür um Zustimmung bittet?

Die Diskussionen um die Konsequenzen des Berliner Urteils haben gerade erst begonnen. Insbesondere die strengen Interpretationen des Urteils überzeugen uns nicht. Dennoch sollten hier die weitere Diskussion und insbesondere diesbezügliche Äußerungen der Aufsichtsbehörden beobachtet werden. Sollte es zu dem Thema Neuigkeiten geben, werden wir selbstverständlich wieder darüber berichten.

_____________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir zu aktuellen und interessanten Themen neue Folgen. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.