Web-Tracking und Einwilligung

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: .


Web-Tracking und Einwilligung

von Dr. Simon Menke

Die Verarbeitung von Trackingdaten wird öffentlich wie fachlich intensiv diskutiert. In diesen Diskussionen werden häufig Datenverarbeitungen genannt, von denen bedeutende Risiken für schützenswerte Rechtsgüter von Online-Nutzern ausgehen können. Beispielhaft hierfür sind ein „umfassendes Profiling“ und das „Targeting“ zu nennen. Weitgehender Konsens ist, dass gegen ausufernde Verarbeitungen von Trackingdaten etwas unternommen werden muss. Denn in der Tat: In einigen Fällen sind Unternehmen zu weit gegangen!

Web-Tracking erfordert grds. eine Einwilligung
Dies hat der Europäische Gesetzgeber erkannt. In Bezug auf die Erhebung von Trackingdaten ist die einschlägige EU-Vorschrift in Art.5 Abs.3 der so genannten ePrivacy-Richtlinie zu finden. Nach dieser erfordert die Speicherung von Daten auf Endgeräten (z. B. durch Cookies) sowie für das Auslesen von Daten aus Endgeräten grundsätzlich eine Einwilligung des Nutzers. Hinter dieser Vorgabe steht der richtige Grundgedanke, dass Endgeräte schützenswert sind. Der Gesetzgeber geht sogar so weit, dass die Integrität von Endgeräten derart schützenswert ist, dass das grundsätzliche Einwilligungserfordernis auch dann greift, wenn die durch den Zugriff  auf das jeweilige Endgerät erhobenen Daten anonym sind. Durch die grundsätzliche  Erforderlichkeit der Einholung einer Einwilligung will der Gesetzgeber sicherstellen, dass die Nutzer vollständige Kontrolle über die sie betreffenden Verarbeitungen von Trackingdaten haben. Die Einwilligung wurde teilweise allgemein auch als der „Königsweg der Legitimierung von Datenverarbeitungen“ bezeichnet.

Im Ergebnis hat das vom Gesetzgeber normierte Einwilligungserfordernis bisher nicht die gewünschte Wirkung erzielt.

Die Vorgaben aus der ePrivacy-Richtlinie müssen durch die Mitgliedstaaten der EU mittels nationaler Vorschriften umgesetzt werden. Der deutsche Gesetzgeber berief sich diesbezüglich zum Teil auf eine Vorschrift, die besagt, dass Nutzungsprofile u. a. zum Zweck der Werbung dann von einem Websitebetreiber erstellt werden dürfen, wenn dieser auf die Erhebung von Trackingdaten zu diesem Zweck hinweist und den Nutzern ein Widerspruchsrecht in Bezug auf die Erhebung einräumt (§ 15 Abs.3 TMG). Der EuGH hat in der Rechtssache „Planet49“ festgestellt, dass diese „Opt-out-Regelung“ nicht europarechtskonform ist. Der BGH hat daraufhin entschieden, dass § 15 Abs.3 TMG entsprechend den Vorgaben aus Art. 5 Abs.3 der ePrivacy-Richtlinie auszulegen ist. Dies bedeutet: Auch nach deutschem Recht müssen Websitebetreiber für die Erhebung von Trackingdaten grundsätzlich eine Einwilligung einholen.

Einwilligung in der Praxis: Erfahrungen
Folge der genannten Entscheidungen ist, dass Nutzern beim Aufruf von Websites so genannte Opt-in-Banner angezeigt werden. Wie zuvor dargestellt wurde, sind die Grundgedanken, die hinter dem grundsätzlichen Einwilligungserfordernis für die Vornahme eines Online-Tracking stehen, nachvollziehbar. Ein Gesetz ist aber nur dann ein Gutes, wenn dieses in der Praxis die erwünschte Wirkung entfaltet. In Bezug auf die Anzeige von Opt-in-Bannern ist hingegen festzustellen, dass die Nutzer von dieser zumeist „genervt“ sind und die erteilten Informationen nicht ausreichend zur Kenntnis nehmen. Dies ist verständlich. Ich habe im Rahmen des Aufrufs von fünf bekannten Nachrichtenseiten sämtliche von diesen zur Verfügung gestellten Informationen zu den „Tracking-Einwilligungen“ durchgelesen. Ich benötigte hierfür mehr als 60 Minuten. Zeit, die der durchschnittliche Online-Nutzer nicht hat.

Vielerorts wird kritisiert, dass Einwilligungstexte zu lang, zu juristisch und dadurch für die Nutzer kaum verständlich sind. Es müssten „smarte Einwilligungssysteme“ durch die Unternehmen entwickelt werden. Diese Kritik ist nachvollziehbar. Aber auch hier muss der Gesetzgeber sich fragen, ob die von ihm in Bezug auf die von Websitebetreibern zu erteilenden Informationen geschaffenen Regelungen sinnvoll sind. Der EuGH hat in seiner Entscheidung in der Rechtssache „Planet49“ weiterhin festgestellt, dass die gesetzlichen Vorgaben zu den Informationspflichten derart auszulegen sind, dass Websitebetreiber die Nutzer auch über die Laufzeit von Cookies informieren müssen. Eine Information, mit der ich mich als Privatperson bisher nicht auseinandergesetzt habe. Warum auch – ich weiß ja, wie man Cookies löscht. Außerdem ist zu bedenken zu geben, dass Unternehmen in erster Linie darauf bedacht sind sicherzustellen, dass der Inhalt von Einwilligungserklärungen und der der Informationstexte juristisch korrekt sind. Wer will ihnen dies angesichts des von der DSGVO vorgesehenen Bußgeldrahmens verdenken? Im Ergebnis hat das vom Gesetzgeber normierte Einwilligungserfordernis bisher nicht die gewünschte Wirkung erzielt. Vielerorts wird sogar überspitzt die Ansicht vertreten, dass das „Einwilligungsdogma“ im Online-Bereich gescheitert ist.

Wettbewerbskomponenten
Der Europäische Gesetzgeber möchte die gesetzlichen Regelungen zur Verarbeitung von Trackingdaten modernisieren. Die modernisierten Regelungen sollen Bestandteil einer zu schaffenden ePrivacy-Verordnung (ePVO) sein. Ein ursprünglicher Entwurf der ePVO sah vor, dass das Einwilligungsmanagement über Einstellungen in den Browser-Settings erfolgen kann. Dies halte ich für einen wettbewerbspolitisch fragwürdigen Vorschlag. Da die Browser-Anbieter z. T. heute bereits eine „Gatekeeperstellung“ im Online-Bereich einnehmen, wäre es eine falsche Maßnahme, ihnen eine weitere „Torwächterstellung“ einzuräumen. Man darf diesbezüglich aber nicht darüber hinweg schauen, dass einzelne Browser-Anbieter bereits jetzt dazu übergegangen sind, so genannte 3rd-Party-Cookies zu blockieren. Dieses Vorgehen wurde unter dem Gesichtspunkt des Datenschutzes verständlicherweise vielerorts begrüßt. Es muss in diesem Zusammenhang aber erlaubt sein, darauf hinzuweisen, dass das beschriebene Vorgehen der Browser-Anbieter solche Dienste „privilegiert“, für deren Nutzung ein Log-in in einen Nutzeraccount erforderlich ist. Der Einsatz von 3rd-Party-Cookies ist häufig dafür notwendig, Nutzer auf Websites Dritter zu wiederzuerkennen, um z. B. individualisierte Werbung auszuspielen. Insofern ein Log-in vorliegt, ist der Einsatz von 3rd-Party-Cookies für eine Wiedererkennung nicht erforderlich. Dies hat zur Folge, dass die Marktposition von Diensten, die zum großen Teil von amerikanischen Unternehmen angeboten werden und die Unmengen an Daten sammeln, weiter gestärkt worden ist.

Die europäischen Tochtergesellschaften dieser amerikanischen Unternehmen haben zumeist ihren Sitz in Irland. Einzelne Vertreter des Europäischen Datenschutzausschusses haben mittlerweile darauf hingewiesen, dass in Irland die Vorgaben der DSGVO nicht ausreichend durchgesetzt würden. Der in der DSGVO implementierte „Kohärenzmechanismus“, der die Schaffung eines „Level-Playingfield“ im Datenschutz in Europa sicherstellen soll, funktioniert scheinbar nicht ausreichend. Im Gegenteil: Vielerorts werden Wettbewerbsverzerrungen beklagt. Hier besteht Handlungsbedarf. Dass ein Gesetz in der Praxis auch durchgesetzt wird, ist eine Grundvoraussetzung für eine funktionierende Rechtsordnung.

Lösungsansatz
Was ist denn nun aber die sinnvollste Lösung für die beschriebene Problematik? Die Bundesregierung verfolgt im Rahmen ihrer „Datenstrategie“ meines Erachtens den richtigen Ansatz: Nach den bisher zu der Strategie vorliegenden Informationen gedenkt die Bundesregierung, die Verarbeitung pseudonymer/anonymer Daten und die Implementierung von Datentreuhändern zu fördern. Durch die Vornahme sehr guter Pseudonymisierungen können die Grundrechte und Grundfreiheiten von Online-Nutzern sehr gut geschützt werden. Es besteht z. B. die Möglichkeit, rein pseudonyme Daten bei Datentreuhändern zu speichern und die Daten hierdurch zu anonymisieren. Aber auch den Interessen der Unternehmen wäre damit gedient. Ein solches Vorgehen ist sicherlich sinnvoller, als die Betreiber von Websites zu verpflichten, Einwilligungen einzuholen, deren Inhalte von den Nutzern häufig gar nicht zur Kenntnis genommen werden. Im Hinblick auf die Verarbeitung von Trackingdaten greift das Ansinnen der Bundesregierung aber dann nicht, wenn der EU-Gesetzgeber weiterhin vorgibt, dass für die Erhebung von Trackingdaten auch dann die Einholung einer Einwilligung erforderlich ist, wenn die erhobenen Daten anonym sind oder nach deren Erhebung anonymisiert/stark pseudonymisiert werden. Die Vorgaben der ePVO sollen nach deren Entwürfen, die weiterhin ein grundsätzliches Einwilligungserfordernis vorsehen, aber auch für anonyme Daten gelten. Dieser Grundsatz, der sich durch die Entwürfe der ePVO „zieht“, muss weiterhin zur Diskussion gestellt werden.

Dass die EU sich dazu entschieden hat, personenbezogene Daten ihrer Bürger weitreichend zu schützen, ist absolut richtig. Der Schutz von Daten ist auch im ureigensten Interesse wertegetriebener Unternehmen. Im Bereich der Online-Datenverarbeitung muss aber um den richtigen Weg gerungen werden – es stehen potenziell nicht weniger als der Schutz wichtiger Rechtsgüter von EU-Bürgern, aber auch die Zukunft einer wettbewerbsfähigen europäischen Digitalwirtschaft auf dem Spiel.

Ich habe beim Aufruf von fünf bekannten Nachrichtenseiten sämtliche Informationen zu den „Tracking-Einwilligungen“ durchgelesen und hierfür mehr als 60 Minuten benötigt.

Dr. Simon Menke
Leiter Group IP and Data Protection
Otto Group

Das aktuelle Handelsblatt Journal

Mehr erfahren