Kurz vor Wirksamwerden der Datenschutzgrundverordnung haben sich die deutschen Aufsichtsbehörden in einer gemeinsamen Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes ab dem 25. Mai 2018 geäußert.
In der Praxis hat dies nach unserem Verständnis erhebliche Auswirkungen für deutsche Websitebetreiber, die Besuche Ihrer Website mit Hilfe von Analysetools wie z. B. Google Analytics oder Matomo (vormals Piwik) messen. Denn in der Vergangenheit konnte eine solche Messung auf Grundlage von § 15 Abs. 3 Telemediengesetz (TMG) erfolgen, sofern einige Voraussetzungen eingehalten wurden:
- Tracking nur anhand von Pseudonymen,
- Anonymisierung der IP-Adresse,
- Aufnahme eines Hinweistextes in der Datenschutzerklärung mit wirksamer Opt-Out-Möglichkeit,
- ggf. Abschluss eines Vertrags zur Auftragsverarbeitung.
Hielten sich Websitebetreiber in der Vergangenheit an diese Vorgaben, vertraten selbst Aufsichtsbehörden, dass ein beanstandungsfreier Betrieb möglich sei.
Die jetzige Positionsbestimmung der Aufsichtsbehörden entzieht diesem Vorgehen nun die Grundlage und stellt fest, dass die
“§§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden“
können.
Bereits diese Ansicht kann rechtlich durchaus kritisiert werden. Allerdings konnte bislang davon ausgegangen werden, dass sich selbst bei Wegfall der Regelungen des TMG in der Praxis nicht wirklich etwas ändern würde. Denn es sprach viel dafür, dass eine reine Besuchermessung des Websitebetreibers, welche die bisherigen Vorgaben erfüllte, auch künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ohne Einwilligung des Websitebesuchers zulässig wäre. Nähere Details zu beiden Rechtsfragen haben wir in diesem frei zugänglichen Fachartikel in der Zeitschrift DuD Anfang des Jahres dargestellt und sind davon ausgegangen, dass sich für die Nutzer von Google Analytics und Matomo auch nach dem 25. Mai 2018 nichts ändert.
Dieser Ansicht schieben die Aufsichtsbehörden nun mit folgender Aussage einen Riegel vor:
„Ob und inwieweit […] Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Die Ansicht der deutschen Aufsichtsbehörden muss an dieser Stelle kritisch hinterfragt werden. Denn sowohl die EU-Kommission als auch das Europäische Parlament sowie die Artikel 29-Datenschutzgruppe haben in der Vergangenheit gänzlich andere Positionen zu dieser Frage vertreten.
Bisherige Position der EU-Kommission
So sieht der aktuelle Entwurf der EU-Kommission zur künftigen E-Privacy-Verordnung in Bezug auf die Messung des Webpublikums in Art. 8 Abs. 1 lit. d des Entwurfs vor:
„Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer […] sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.“
Der Kommissionsentwurf sieht somit eine Privilegierung für die Messung von Websitebesuchern vor, die sogar weit über die bisherigen Regelungen des § 15 Abs. 3 TMG hinausgeht. Von einer Einwilligung ist hier nicht die Rede.
Bisherige Position des Europäischen Parlaments
Ähnliches gilt für den Entwurf des Europäischen Parlaments:
„Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer […] sie ist für die Messung der Reichweite des vom Nutzer angeforderten Dienstes der Informationsgesellschaft technisch nötig, sofern diese Messung vom Betreiber oder in seinem Namen […] durchgeführt wird […], sofern die Daten aggregiert sind und der Nutzer die Möglichkeit hat, der Nutzung zu widersprechen, und sofern personenbezogene Daten keinem Dritten zugänglich gemacht und die Grundrechte des Nutzers durch diese Messung nicht beeinträchtigt werden, und falls eine Publikumsmessung im Namen eines Betreibers von Diensten der Informationsgesellschaft durchgeführt wird, dürfen die erhobenen Daten nur von diesem Betreiber verarbeitet werden und müssen getrennt von den Daten aufbewahrt werden, die bei Publikumsmessungen erhoben wurden, die im Namen anderer Betreiber durchgeführt werden […]“.
Im Klartext privilegiert auch diese Entwurfsfassung ein Tracking mittels Google Analytics und Matomo. Dabei geht diese Regelung sogar über die bisherige Privilegierung des § 15 Abs. 3 TMG hinaus, da der Entwurf des Parlaments im Gegensatz zu § 15 Abs. 3 TMG nicht ausdrücklich fordert, dass die Besuchermessung nur anhand von Pseudonymen erfolgen darf. Eine Einwilligung wird auch vom Parlament nicht gefordert.
Bisherige Position der Artikel 29-Datenschutzgruppe
Selbst die Artikel 29-Datenschutzgruppe hat in der Vergangenheit eine dem § 15 Abs. 3 TMG entsprechende Messung des Websitebetreibers als kaum riskant bezeichnet – so etwa im Jahr 2012 in der „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“, dort Ziffer 4.3:
“Ein auf First-PartyCookies gestütztes Analysesystem des Erstanbieters beinhaltet fraglos andere Risiken als ein auf Third-Party-Cookies gestütztes externes Analysesystem. Ferner gibt es Tools, die FirstParty-Cookies verwenden, während die Analysen von einem Dritten durchgeführt werden. Dieser Dritte gilt je nachdem, ob er die Daten für eigene Zwecke oder – wenn dies unzulässig ist – aufgrund technischer oder vertraglicher Regelungen nutzt, als gemeinsam für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter […] Allerdings stellen First-Party-Analysecookies nach Ansicht der Datenschutzgruppe kaum ein Datenschutzrisiko dar, wenn sie ausschließlich für die aggregierten Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über diese Cookies informieren und ausreichende Datenschutzgarantien bieten. Diese Garantien sollten unter anderem eine benutzerfreundliche Möglichkeit zur Abwahl jedweder Datenerfassung sowie umfassende Anonymisierungsmechanismen für sonstige gesammelte Informationen wie etwa IP-Adressen, anhand derer Personen identifiziert werden können, beinhalten. In diesem Zusammenhang könnte der europäische Gesetzgeber im Falle einer künftigen Überarbeitung von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG in geeigneter Weise ein drittes Kriterium für die Ausnahme von der Einwilligungspflicht für Cookies aufnehmen, die ausschließlich der Erstellung anonymisierter und aggregierter Statistiken des Erstanbieters dienen. Analysen des Erstanbieters sind klar von externen Analysen zu unterscheiden, weil letztere gängige Third-Party-Cookies verwenden, um Navigationsdaten von Nutzern über verschiedene Websites hinweg zu sammeln, und somit ein wesentlich größeres Datenschutzrisiko darstellen.“
Eine Einwilligung wird auch hier nicht erwähnt. Vielmehr kann diese Aussage der Artikel 29-Datenschutzgruppe als Wegbereiter für eine zulässige Besuchermessung im Rahmen einer (nach der Position der Aufsichtsbehörden) jetzt durch Art. 6 Abs. 1 lit. f DSGVO möglichen Interessenabwägung verstanden werden. Im Ergebnis schließt die gemeinsame Position der Aufsichtsbehörden eine für Websitebetreiber positive Interessenabwägung aber aus und fordert statt dessen die Einwilligung.
Fazit
Die deutschen Aufsichtsbehörden scheinen kurz vor Wirksamwerden der DSGVO einen nationalen Sonderweg einschlagen zu wollen, indem Sie § 15 Abs. 3 TMG für unanwendbar erklären und einer Besuchermessung – entgegen aller Anzeichen auf europäischer Ebene – auch im Rahmen einer Interessenabwägung keinen Raum mehr lassen wollen. Deutsche Websitebetreiber sehen sich daher nun mit einer Situation konfrontiert, die sie nicht nur rechtlichen Unsicherheiten sowie Abmahnrisiken aussetzt, sondern ihnen innerhalb Europas auf Grund der strengen Auffassung der deutschen Aufsichtsbehörden ggf. auch Wettbewerbsnachteile bescheren könnte. Eine Harmonisierung des Datenschutzes innerhalb Europas wird hierdurch nicht erreicht.
Es bleibt zu hoffen, dass entweder der Gesetzgeber oder die Gerichte schnell korrigierend eingreifen bzw. die Aufsichtsbehörden ihre Position relativieren und das Einwilligungserfordernis z. B. nur auf den Einsatz von websiteübergreifenden Remarketing-Technologien beziehen. Solange dies nicht der Fall ist, kann vorsichtigen Websitebetreibern leider nur geraten werden, entsprechende Einwilligungen einzuholen, was praktisch die weitere Zunahme von „Cookie-Bannern“ bedeuten würde, deren Wirksamkeit allerdings ebenfalls häufig fraglich ist. Ggf. muss das Webtracking auch vollständig eingestellt werden, wodurch Websitebtreiber dann wichtige Informationen zur Reichweite der eigenen Website verlieren würden.
Nutzer von Matomo können ggf. auch auf eine Besuchermessung ohne Cookies umstellen (vgl. hier), wobei die Rechtmäßigkeit anhand der Position der Aufsichtsbehörden dann noch zu prüfen wäre.
Kommentare aus der Praxis
Auch aus der Praxis werden nur wenige Tage nach der Veröffentlichung der gemeinsamen Position der Aufsichtsbehörden ungewohnt kritische Töne laut, wie eine Auswahl folgender Beiträge zeigt:
- Stellungnahme bitkom
- Stellungnahme GDD
- Tracking nur noch mit Opt-In? Kritische Anmerkungen zum DSK-Papier
- Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten
- Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz?
- DSGVO: Bewertung der Stellungnahme der Datenschutzbehörden zu Tracking, Targeting & Co unter der DSGVO – ist Tracking nach dem 25. Mai 2018 nur noch mit Einwilligung erlaubt?
- DSK-Aussagen zur DSGVO: Tracking nur noch bei Einwilligung zulässig?!
- Webtracking ab 25. Mai 2018 nur noch mit Einwilligung erlaubt?
- Analyse des Positionspapiers der DSK vom 26. April 2018
[Hinweis der Redaktion: Die vorstehende Linkliste wurde am 14. Mai aktualisiert.]
Piwik PRO Marketing Suite 6.0.0 Release: Alle Neuerungen auf einen Blick
15. Mai 2018 @ 13:04
[…] Artikel zum Thema: – Tracking nur noch mit Opt-In? Kritische Anmerkungen zum DSK-Papier – Google Analytics und Matomo ab 25. Mai 2018 nur noch mit Einwilligung?! – Aufsichtsbehörden als Wegbereiter für „Abmahner“ von Internetseiten – Tracking nur noch […]
Die richtige DSGVO-Umsetzung: Alle Antworten auf die wichtigsten Fragen
11. Mai 2018 @ 11:38
[…] Informationen zum Website-Tracking unter der DSGVO: – Google Analytics und Matomo ab 25. Mai 2018 nur noch mit Einwilligung?! – Tracking nur noch mit Einwilligung! Was ist dran am Beschluss der Datenschutzkonferenz? […]
Anonym
9. Mai 2018 @ 13:41
Es ist doch erstaunlich und kaum verständlich, warum einzelne Webseiten-Betreiber in der möglichen Datenerfassung durch Cookies auf einzelnen, nicht vernetzten Datenbanken beschränkt werden, während „die Großen“ wie Google, Facebook etc. praktisch das ganze Internet überwachen, wofür diese ja nicht mal „Cookies“ benötigen.
Offensichtlich fehlt es den Gesetzesmachern an Willen oder/und Sachverstand.
Marco Uras
1. Mai 2018 @ 9:55
Ich kann diesen Schwachsinn echt nicht mehr fassen. Als hätte man mit der DSGVO nicht schon genug zu tun, kommt kurz vor Schluß noch so ein Blödsinn. Das geht doch voll am Thema vorbei. Das ist doch nur noch Korinthenkackerei und hat mit dem Schutz der Daten überhaupt nichts mehr zu tun. In Deutschland sitzen für so was die besten Spezialisten.
Thomas K.
1. Mai 2018 @ 8:10
Ich finde man regt sich hier künstlich auf… Wozu benötige ich nochmal das Tracking? Muss dem Nutzer das gefallen? Muss ich Google noch mehr Daten in den Rachen werfen? Verhaltensmessungen alller Besucher von Web-Seiten sind für den Betrieb einer Web-Seite nun mal nicht erforderlich. Hier wird gerade wieder so getan als würde die Welt untergehen, wenn ich solche Tools nicht nutzen darf, wie ich will, bzw. wie der Besucher will. Wie wollte Ihr sonst die überbordene Nutzung von Verhaltens-Trackern eindämmen?
Keiner regt sich so auf, wenn reihenweise Web-Tracker die do-not-track Einstellung des Browsers ignoriert…
Ich finde das richtig, eben gerade weil niemand die Datenschutzerklärungen versteht oder weiß, wie er sich vor Tracking schützen kann. Privacy by Default wäre Tracking aus und nur bei Einwilligung an…
Ed Ed
5. Mai 2018 @ 15:25
„Sich vor Tracking schützen“, meine Güte, so typisch deutsch. Ist schon mal irgendjemand an dem Nutzen von Cookies und Tracking gestorben? Schon mal irgendwas WIRKLICH schlimmes passiert?
Klar ist es gut mehr Kontrolle über seine eigenen Daten zu haben. Allerdings habe ich noch nie irgendwelche schlimmen Auswirkungen erlebt und ich nutze das Internet fast mein ganzes Leben. Kenne auch sonst niemanden der in irgend einer Form geschädigt wurde wegen den ach so bösen Cookies. Einfach nur stellvertretend für Deutschland das Ganze und die gesamte EU macht jetzt auch noch mit.
Naja, kann man nix machen. Let’s see how it goes.
Markus Baersch
30. April 2018 @ 18:26
Es wird immer unsinniger. Da hier nur Analytics und Matomo genannt wurden: auch die „geprüfte Rechtmäßigkeit“ beim etracker sollte damit schon wieder Makulatur sein. Was sich „Experten“ bei einem solchen Positionspapier gedacht haben, will ich mir gar nicht vorstellen. Und was die damit ausbrechende Hektik in übervorsichtig ausgerichteten Unternehmen nun wieder auf den letzten Metern an Zeit und Geld verschwenden wird, lieber auch nicht.
Sophie
30. April 2018 @ 14:32
Wahnsinn! Die Macher eines solchen Unsinns müssen zur Verantwortung gezogen werden. Alle Webseitenbetreiber sollten ihre Besucher über den Irrsinn aus der EU informieren.
Wer liest den als Nutzer die ganzen Datenschutzerklärungen der besuchten Webseiten durch? Welcher normale Nutzer kann sie dazu noch verstehen?
Es reicht! Einmal ist genug.