Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Bereits in früheren Artikeln (siehe beispielsweise hier) hatten wir darauf hingewiesen, dass das Telemediengesetz (TMG) eventuell nicht vollumfänglich den Anforderungen der ePrivacy-Richtlinie (Achtung, bitte nicht verwechseln mit der ePrivacy-Verordnung, die aktuell gerade in den Gremien der EU verhandelt wird) entspricht.

Diese Situation wurde nun dadurch weiter verschärft, dass die EU Datenschutz-Grundverordnung (DS-GVO) Anwendungsvorrang gegenüber anderen Regelungen entfaltet, sofern diese im Widerspruch zu Regelungen der DS-GVO stehen. Insbesondere die §§ 13 und 15 TMG widersprechen nach derzeit herrschender Meinung den Regelungen der DSGVO. Diese wären dann künftig nicht mehr anwendbar.

Die DSK hat sich positioniert

Die Aufsichtsbehörden, genauer die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder haben in einem Positionspapier unter anderen folgende Position klargestellt:

Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Die DSK hat damit zwei eindeutige Positionen bezogen:

  1. Die Regelungen der §§ 13 und 15 TMG sind künftig aufgrund des Anwendungsvorrangs der DS-GVO nicht mehr anwendbar. Techniken wie Tracking oder der Einsatz von Cookies können also künftig nicht mehr auf diese recht großzügigen Regelungen gestützt werden. Die dort geregelte Opt-Out-Lösung ist nach Ansicht der Aufsichtsbehörden künftig nicht mehr zulässig.
  2. Die Aufsichtsbehörden sehen in den Regelungen der DS-GVO keine mögliche Rechtsgrundlage zur Verwendung dieser Techniken außer der vorherigen Einwilligung. Der Möglichkeit, die Verwendung dieser Techniken auf das sogenannte berechtigte Interesse des Verantwortlichen (Art. 6 Abs. lit. f DS-GVO)zu stützen, erteilen die Behörden eine Absage.

Kein Tracking ohne Einwilligung

Die Aufsichtsbehörden erwarten zukünftig, dass für jegliches Tracking bereits im Vorfeld eine der DS-GVO gemäß  Art. 6 Abs. 1 lit. a DS-GVO) genügende Einwilligungserklärung eingeholt wird.

Weiter wird ausgeführt:

Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.

Wir lesen hier die unterschwellige Drohung heraus, dass man sich nicht nur positionieren möchte, sondern auch gewillt ist, zu sanktionieren.

Schlechter Zeitpunkt

So kurz vor Anwendbarkeit der DS-GVO (das Positionspapier wurde am 26.04.2018 veröffentlicht, ab 25.05.2018 ist die DS-GVO anzuwenden) erscheint das Timing der Aufsichtsbehörden zumindest nicht optimal.

Bitte handeln Sie… JETZT

Auf jeden Fall ist nun kurzfristig Aktion gefragt: Mindestens muss entschieden werden, ob auf die neuen Entwicklungen kurzfristig Rücksicht genommen werden soll. Eine Entscheidung dagegen birgt hauptsächlich das Risiko, sich Ärger mit den Aufsichtsbehörden einzuhandeln, welcher auch in einem Rechtsstreit enden könnte. Die Gefahr von Abmahnungen ist derzeit schwer einschätzbar, da noch nicht abschließend geklärt ist, ob und ggf. welche Datenschutzverstöße sogenannte Marktverhaltensregeln i.S.d. § 3a UWG darstellen.

Abschalten oder ändern?

Bei einer Entscheidung, kurzfristig handeln zu wollen, gibt es unseres Erachtens drei Optionen:

  1. Abschalten jeglicher Tracking-Funktionalität bis zur endgültigen Klärung des Sachverhalts durch Gerichte bzw. bis zu einer Relativierung des Positionspapiers durch die Aufsichtsbehörden. Unserer Meinung nach ist diese Option insbesondere für kleinere Unternehmen ohne eigene Marketingabteilung die Option der Wahl. Wir kennen zahlreiche Unternehmen, die Tracking-Tools wie Google Analytics oder Matomo einsetzen,  aber die gewonnenen Daten nicht wirklich nutzen. Hier sollte über eine Abschaltung nachgedacht werden;
  2. Anpassung der Funktionalität: Implementierung von Opt-In-Lösungen inkl. Dokumentation der Opt-Ins in Datenbanken. Diese Lösung ist mit Programmieraufwand verbunden und dürfte relativ aufwändig werden, sofern kein Standard-CMS eingesetzt wird.
  3. Die Risiko-Variante: Es gibt auch Stimmen, die der Auffassung der DSK widersprechen. Beispielsweise wird hier durchaus emotional aber dennoch sehr sachlich ausgeführt, dass der Einsatz von Technologien zum Tracking oder der Einsatz von Cookies durchaus auch auf andere Rechtsgrundlagen aus der DS-GVO gestützt werden kann (z.B. der Art. 6 Abs. 1 lit. f).

Und was ist mit Sammel-Opt-Ins?

Wir stellen uns außerdem die Frage, inwiefern zukünftig ein Sammel-Opt-In für alle Trackingverfahren eingeholt werden kann. Letztlich verlangt Art. 25 DS-GVO ein datenschutzfreundliches Design und datenschutzfreundliche Voreinstellungen. Hierzu gehört unseres Erachtens auch, dass es möglich sein muss, der Verwendung einzelner Trackingverfahren zuzustimmen, ohne gleich alle akzeptieren zu müssen. Direkte Folge wäre, dass die Einwilligungserklärungen auf Seiten mit mehreren Trackingverfahren oder mehreren Cookies zukünftig sehr lang ausfallen müssten.

Es gilt, die Entwicklungen zu dieser Fragestellung weiter zu beobachten. Wir werden das selbstverständlich tun und uns bei passender Gelegenheit wieder zu Wort melden.

Bis dahin empfehlen wir Ihnen, Ihre Situation zu analysieren und angemessen zu reagieren. Sofern Sie sich nicht für die Risiko-Variante entscheiden, kann das Vorgehen auch mehrstufig erfolgen. Beginnend mit einem temporären Abschalten von Trackingfunktionalität, um Zeit zu gewinnen, können die notwendigen Anpassungen vorgenommen werden.