Was ändert die Orientierungshilfe der unabhängigen Datenschutzbehörde?

Die Konferenz der unabhängigen Datenschutzbehörde des Bundes und der Länder (DSK) veröffentlichte eine „Orientierungshilfe für die Umsetzung datenschutzrechtlicher Anforderungen an die Verarbeitung der Daten von Nutzer*innen durch Telemediendienste.“

In der Orientierungshilfe beschreibt die DSK, u.a. weshalb nach ihrer Ansicht viele Fälle des Webtrackings im Internet einwilligungsbedürftig sein wird. Hierbei sind vor allem die Websitebetreiber gefragt, Änderungen an ihren Einstellungen umzusetzen, um das Tracking auf ihren Webseiten zu vermeiden.

Als Websitebetreiber ist es wichtig, dass stets eine Interessenabwägung im Rahmen der DSGVO stattfinden muss. Dies bedeutet, dass man sich mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten, also der Nutzer, auseinander setzten muss. Sollte der Verantwortliche zum Ergebnis kommen, dass die Interessenabwägung zugunsten der betroffenen Person ausfällt und keine andere Rechtsgrundlage in Betracht kommt, ist die Datenverarbeitung – falls überhaupt – nur nach voriger informierter Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) rechtmäßig.

Rechtliche Grundlagen

Wie der Begriff schon sagt, dient die Orientierungshilfe als Unterstützung und Wegweiser für Websitebetreiber. Rechtliche Basis bildet das TMG (Telemediengesetz), welches in allen seinen Bestandteilen in Kraft ist. In § 15 Abs. 3 TMG wird das Nutzertracking in Telemedien erlaubt, wenn es eine Widerspruchsmöglichkeit gibt. Dies bedeutet, dass es nach dem TMG nur eine Widerspruchs- (Opt-Out) und keine Einwilligungslösung (Opt-In) gibt. Zum besseren Verständnis: Bei einer Opt-Out Lösung dürfen Nutzerdaten automatisch getrackt werden, bis der Nutzer diese Möglichkeit von selbst abwählt bzw. ein Widerspruch erfolgt. Bei einer Einwilligungslösung darf das Tracking erst stattfinden, wenn der Nutzer vorher einwilligt. Dies steht in vielen Punkten im Widerspruch mit der DSGVO und somit mit dem Schutz der Nutzungsrechte und führte zu großer Unsicherheit – welcher Rechtsatz gilt nun beim Thema Webtracking – die DSGVO oder das TMG?

Die Orientierungshilfe des DSK legt hierbei dar, dass das TMG als Rechtsgrundlage für das Webtracking Geschichte ist und die allgemeine DSGVO und die Kollisionsregel in Art. 95 DSGVO Anwendungsvorrang besitzt.

Rechtmäßigkeit der Verarbeitung

Entscheidend für die Bestimmung der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten ist die Art und Weise des Trackings und die Daten, die beim Tracking gespeichert werden. Die Orientierungshilfe definiert Tracking wie folgt: „Bei Tracking handelt es sich um Datenverarbeitungen zur – in der Regel website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern.“ 

Basierend auf dieser Definition fällt das Werbetracking auf Websites definitiv darunter, da hierbei regelmäßig Nutzerdaten erfasst werden, um individuelle Werbung zu gestalten. Es ist somit fast unmöglich, dass Website-Analyse-Tools ohne Opt-In Verfahren auskommen.

Als Rechtsgrundlagen bei der Verarbeitung nach der DSGVO sind somit folgende Absätze von Interesse:

a) Art. 6 Abs. 1 lit. a) DSGVO – Einwilligung

b) Art. 6 Abs. 1 lit. b) DSGVO – Vertrag

c) Art. 6 Abs. 1 lit. f) DSGVO – Interessenabwägung

Für Anbieter von Telemedien, also auch Betreiber von Websites, die personenbezogene Daten verarbeiten wollen, müssen Sie für die verwendeten Tracking-Tools, die Formulare, die Portallösungen etc. eine dieser genannten Rechtsgrundlagen auswählen, der dazugehörigen Informationspflicht nachkommen und den kompletten Prozess angemessen dokumentieren.

Schauen wir uns die einzelnen Erlaubnistatbestände näher an:

DSGVO – Einwilligung

Nach Art. 4 Nr. 11 und Art. 7 DSGVO wird eine selbstbestimmte und informierte Einwilligung der betroffenen Personen in die jeweilige Datenverarbeitung gefordert. Hierbei muss der jeweilige Datenverarbeitungsprozess transparent und nachvollziehbar sein.

Bei einer Einwilligung muss die betroffene Person somit über folgende Punkte vorab informiert sein, bevor die personenbezogenen Daten verarbeitet werden:

  • Über die jeweiligen Datenverarbeitungsvorgänge,
  • Über die genutzten Daten,
  • Über die jeweils einbezogenen Dritten.

Anders als zuvor, muss die betroffene Person vorab der Verarbeitung zustimmen (Opt-In). Dies kann durch das Anklicken eines Kästchens beim Besuch der Website folgen, durch die Auswahl technischer Einstellungen oder durch eine andere Erklärung bzw. aktiver Verhaltensweise geschehen. Wichtig ist, dass die betroffene Person eindeutig ihr Einverständnis für die angekündigte Datenverarbeitung gibt.

Folgen für den Website-Betreiber

Durch die benötigte Einwilligung ist ein Widerspruchsverfahren (Opt-Out-Verfahren) nicht mehr ausreichend. Das vorab oft umgesetzte „Stillschweigen oder Untätigkeit der betroffenen Person“ reicht nach dieser Einschätzung nicht mehr aus um datenschutzkonform zu handeln. Die Betreiber müssen ihre verwendeten cookiebasierten Tracking Tools somit (neu) bewerten. Hierbei sind folgende Punkte grundlegend zu beachten:

  • Der Cookie-Banner muss beim erstmaligen Öffnen eine Zustimmung der Nutzer voraussetzen. Dies bedeutet, dass die Auswahl „aktiviert“ nicht voreingestellt sein muss, sodass der Nutzer aktiv den einwilligungsbedürftigen Verarbeitungsvorgängen zustimmen muss.
  • Die Einwilligung muss freiwillig sein und auch ablehnbar, ohne dass dadurch Nachteile für den Nutzer entstehen.
  • Der Banner darf den Zugriff auf Impressum und Datenschutzerklärung nicht verhindern. Alle Tracking-Prozesse müssen allerdings bis zur Zustimmung gestoppt sein.
  • Das Tracking darf erst durchgeführt werden, wenn der Nutzer aktiv seine Einwilligung(en) gegeben hat. Dies kann durch das aktivieren eines Kästchens oder durch den Klick auf eine Schaltfläche geschehen.
  • Um die Nachweispflicht zu erfüllen zu können, müssen die Nutzer nicht direkt identifiziert werden. Eine indirekte Identifizierung ist hierbei ausreichend. Die Entscheidung des Nutzers für oder gegen die Einwilligung kann als Ergebnis auf dem Endgerät des Nutzers gespeichert werden. Dies sollte ohne die Speicherung der User-ID geschehen und nur zu dem Zweck, den Cookie-Banner bei erneutem Besuch nicht wieder anzuzeigen.
  • Technisch und organisatorisch dürfen nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck auch benötigt werden.
  • Der Widerruf der Einwilligung muss gegeben sein und so einfach wie möglich umzusetzen sein.

 

In den nächsten Wochen schauen wir uns auch die Möglichkeit einer Verarbeitung mit einem Vertrag und im letzten Schritt mit einer Interessenabwägung an.

Natürlich können Betreiber von Websites auch abwarten und auf anderslautende Vorschriften durch den Europäischen Datenschutzausschuss (EDSA) oder durch die überarbeitete Richtlinie 2002/58/EG (ePrivacy-Verordnung) hoffen.

Diejenigen, die nicht abwarten wollen, können gerne mit mir gemeinsam ihre Opt-In Verfahren prüfen lassen.

Weiterführende Quellen: 

Papier der DSK

Onlinehändler – Einhaltung für die Cookie Zustimmung?

Rechtzweinull – Opt-In oder Opt-Out

Datenschutzbeauftragter-info.de – Konkrete Vorgaben zu Webtracking

 

Haben Sie noch Fragen zum datenschutzrechtlichen Betrieb Ihrer Website? Benötigen Sie Unterstützung bei der Umsetzung des Opt-In-Verfahrens in Ihrem Unternehmen? Ich berate Sie gerne und gehe mit Ihnen gemeinsam die Möglichkeiten durch, sodass auch Ihre Website datenschutztechnisch gut aufgestellt ist. Schreiben Sie mir eine Email: info@litc.de