Im Zuge der kommenden Datenschutzgrundverordnung werden auch viele andere Rechtsvorschriften angepasst. Ab dem 25. Mai 2018 gilt nicht nur die Datenschutzgrundverordnung, sondern ebenfalls ein neues Bundesdatenschutzgesetz und ein neues Sozialgesetzbuch X (Sozialdatenschutzrecht).

Auch die Landesgesetzgeber arbeiten auf Hochtouren, um rechtzeitig zum 25. Mai 2018 geänderte Landesdatenschutzgesetze zu verabschieden. Hier deutet sich jedoch bereits an, dass einige Länder nicht die komplette Umstellung der Landesdatenschutzgesetze zum Stichtag schaffen werden.

Und auch auf Ebene der EU werden weitere Rechtsvorschriften angepasst. Zu nennen ist hier insbesondere die ePrivacy-Richtline, die Gegenstand dieses Blogbeitrags ist.

Ein Blick auf die ePrivacy-Richtlinie ist deshalb so spannend, weil diese u.a. die Voraussetzungen für das Tracking im Internet regelt und somit einen hohen Einfluss auf das Ausspielen von Online-Werbung hat. Es steht bereits fest, dass die ePrivacy-Richtlinie künftig in den Rang einer Verordnung gehoben werden soll, damit sie – wie die Datenschutzgrundverordnung – unmittelbar in den einzelnen Mitgliedstaaten gilt und nicht erst in nationales Recht umgesetzt werden muss. Allerdings zeichnet sich ab, dass die Anpassung der ePrivacy-Richtlinie bis zum 25. Mai 2018 nicht glücken wird.

Was bedeutet das für die Voraussetzungen des Trackings im Internet?

Es ist davon auszugehen, dass am 25. Mai 2018 weiterhin die unveränderte ePrivacy-Richtlinie gelten wird. Das dies zu einer komplexen Rechtslage führen wird, deutet bereits Erwägungsgrund 173 der Datenschutzgrundverordnung (DSGVO) an:

„Um das Verhältnis zwischen der [DSGVO] und der [ePrivacy-Richtlinie] klarzustellen, sollte die [ePrivacy-Richtlinie] entsprechend geändert werden. Sobald die [DSGVO] angenommen ist, sollte die [ePrivacy-Richtlinie] einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit [der DSGVO] zu gewährleisten.“

Und auch eine im Auftrag der EU-Kommission durchgeführte Studie wies bereits im Jahr 2015 auf die komplexe Situation hin, die entstehen würde, wenn auf der einen Seite eine Verordnung wie die DSGVO (mit unmittelbarer Wirkung) einer Richtlinie wie der ePrivacy-Richtlinie (ohne unmittelbare Wirkung) gegenüberstehen würde:

“In our view, the Commission should consider transforming the Directive into a regulation for three reasons. First of all, the relationship between the provisions of the two legislative instruments would be considerably less complex if they are at the same level. This would make the announced revision of the ePrivacy Directive a lot easier …”

Zwei Szenarien

Genau dieses komplexe Zusammenspiel zwischen Verordnung und Richtlinie wird nun aber aller Voraussicht nach ab dem 25. Mai 2018 eintreten – und Juristen können sich nun trefflich streiten, welche Rechtslage dann eigentlich gelten wird und welche Spielregeln für das Tracking im Internet zu beachten sind.

Szenario 1 (es gilt weiterhin das Telemediengesetz):

Sofern die ePrivacy-Richtlinie bis zum 25. Mai 2018 nicht angepasst wurde, spricht viel dafür, dass weiterhin die Regelungen des Telemediengesetzes gelten und es insbesondere bei der Privilegierung des pseudonymen Trackings nach § 15 Abs. 3 TMG bleibt. Denn die Datenschutzgrundverordnung regelt in Art. 95:

„Diese Verordnung [DSGVO] erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der [ePrivacy-Richtlinie] festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.“

Zwar wird an dieser Stelle in keinem Wort das deutsche Telemediengesetz erwähnt. Es ist jedoch davon auszugehen, dass die ePrivacy-Richtlinie in Deutschland durch die §§ 12 ff. TMG umgesetzt ist.

Allerdings muss an dieser Stelle auch deutlich darauf hingewiesen werden, dass die Umsetzung der ePrivacy-Richtlinie in Deutschland bislang sehr kontrovers diskutiert wurde. So gab es in der Vergangenheit mehrere Versuche, dass TMG zu ändern, um die ePrivacy-Richtlinie umzusetzen. Entsprechende Änderungsversuche scheiterten jedoch mit dem (nicht ganz nachvollziehbaren) Verweis, dass die Richtlinie bereits umgesetzt sei und die Bundesregierung die geltende Fassung des TMG als Umsetzung der ePrivacy Richtlinie nach Brüssel gemeldet habe (wer sich näher hierfür interessiert, dem sei das Plenarprotokoll 17/155 des Deutschen Bundestags ans Herz gelegt, dort die Seiten 18700 bis 18706).

Wenn also angenommen werden kann (bzw. muss), dass die geltende Fassung der §§ 12 ff. TMG die Umsetzung der ePrivacy-Richtlinie in Deutschland darstellt, kann gut vertreten werden, dass es auch nach dem 25. Mai 2018 weiterhin bei den Regelungen des deutschen Telemediengesetzes bleibt, solange es keine neue ePrivacy-Verordnung gibt.

Die Rechtslage würde dann zwar immer noch etwas unklar bleiben, da insbesondere über den Anwendungsbereich des § 15 Abs. 3 TMG für Retargeting-Technologien diskutiert werden könnte (fällt Retargeting durch Werbenetzwerke noch unter die Privilegierung des § 15 Abs. 3 TMG oder ist eine Einwilligung der Nutzer erforderlich? – vgl. hier Ziffer 2.1). Unklar wäre zudem, ob im Hinblick auf die Datenschutzerklärung zusätzlich die Informationspflichten des Art. 13 DSGVO entstehen (wofür einiges spricht). Alles in allem würde sich jedoch kaum etwas ändern.

Szenario 2 (es gilt nur die DSGVO):

Teilweise wird jedoch auch vertreten, dass am 25. Mai 2018 das Telemediengesetz durch die DSGVO verdrängt wird. Sofern es an dieser Stelle noch keine angepasste ePrivacy-Verordnung gäbe, wären die Spielregeln des Trackings im Internet durch die DSGVO zu beantworten. Wie könnte dies aussehen?

Nach Art. 13 DSGVO bestünden Informationspflichten gegenüber den Nutzern, die in einer Datenschutzerklärung abgebildet werden könnten bzw. müssten.

Das Tracking von Nutzern zur Messung der Reichweite der eigenen Seite könne vermutlich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden (Interessenabwägung). Dabei wäre im Rahmen der Interessenabwägung und gem. Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) sowie Art. 32 Abs. 1 lit. a Alt. 1 DSGVO (Pseudonymisierung personenbezogener Daten) ein Tracking mit pseudonymisierten Daten durchzuführen. Zudem müsste den Nutzern nach Art. 21 Abs. 1 DSGVO ein Widerspruchsrecht eingeräumt werden. Der Widerspruch müsste gem. Art. 21 Abs. 5 DSGVO auch mittels automatisierter Verfahren ausgeübt werden können, was darauf schließen lässt, dass der Widerspruch auch unabhängig von der konkreten Situation des Betroffenen stets umzusetzen ist.

Was heißt das nun im Klartext? Eigentlich nur, dass es auch in diesem Szenario im Ergebnis bei der bisherigen Regelung des § 15 Abs. 3 TMG bleibt, bzw. sich die gleichen Anforderungen aus dem Zusammenspiel der unterschiedlichen DSGVO-Normen ergeben.

Und was bedeutet dies für das Retargeting? Hier ließe sich (wie bisher auch) trefflich darüber streiten, ob eine Einwilligung für Retargeting-Technologien notwendig ist oder nicht. Keine Einwilligung wäre notwendig, sofern Retargeting im Rahmen der Interessenabwägung des Art. 6 Abs. 1 lif. f DSGVO für zulässig erachtet werden würde. Da aber gerade beim Retargeting ein Werbenetzwerkbetreiber in der Lage ist, einen Nutzer über die verschiedensten Websites hinweg wiederzuerkennen und Profile zu bilden, kann auch die Ansicht vertreten werden, dass dies nur mit einer Einwilligung zulässig ist (so sehen es übrigens bereits die Nutzungsbedingungen von Facebook und Google für die Verwendung von Retargeting-Technologien vor – vgl. hier Ziffer 2.2). Im Ergebnis würde sich also auch in diesem Bereich nur wenig ändern.

Fazit

Es wäre tatsächlich wünschenswert, wenn bereits zum 25. Mai 2018 eine angepasste ePrivacy-Verordnung in Kraft treten würde. Doch auch ohne eine solche Verordnung wird sich die Rechtslage im Internet am 25. Mai 2018 nicht auf den Kopf stellen. Nutzer von Google Analytics in der Standardimplementierung oder Nutzer von Piwik haben nichts zu befürchten, wenn sie die bisherigen Empfehlungen der Aufsichtsbehörden (hier zu Google und hier zu Piwik) auch weiterhin einhalten. Für Nutzer von Retargeting-Technologien bleibt die Rechtslage auch weiterhin nicht ganz klar, sofern nicht bereits wirksame Einwilligungserklärungen der Nutzer (z. B. über gut gestaltete Cookie-Banner – vgl. hier Ziffer 2.3) eingeholt werden.