Kurz vor Wirksamwerden der Datenschutzgrundverordnung haben sich die deutschen Aufsichtsbehörden in einer gemeinsamen Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes ab dem 25. Mai 2018 geäußert.

In der Praxis hat dies nach unserem Verständnis erhebliche Auswirkungen für deutsche Websitebetreiber, die Besuche Ihrer Website mit Hilfe von Analysetools wie z. B. Google Analytics oder Matomo (vormals Piwik) messen. Denn in der Vergangenheit konnte eine solche Messung auf Grundlage von § 15 Abs. 3 Telemediengesetz (TMG) erfolgen, sofern einige Voraussetzungen eingehalten wurden:

  • Tracking nur anhand von Pseudonymen,
  • Anonymisierung der IP-Adresse,
  • Aufnahme eines Hinweistextes in der Datenschutzerklärung mit wirksamer Opt-Out-Möglichkeit,
  • ggf. Abschluss eines Vertrags zur Auftragsverarbeitung.

Hielten sich Websitebetreiber in der Vergangenheit an diese Vorgaben, vertraten selbst Aufsichtsbehörden, dass ein beanstandungsfreier Betrieb möglich sei.

Die jetzige Positionsbestimmung der Aufsichtsbehörden entzieht diesem Vorgehen nun die Grundlage und stellt fest, dass die

“§§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden“

können.

Bereits diese Ansicht kann rechtlich durchaus kritisiert werden. Allerdings konnte bislang davon ausgegangen werden, dass sich selbst bei Wegfall der Regelungen des TMG in der Praxis nicht wirklich etwas ändern würde. Denn es sprach viel dafür, dass eine reine Besuchermessung des Websitebetreibers, welche die bisherigen Vorgaben erfüllte, auch künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO ohne Einwilligung des Websitebesuchers zulässig wäre. Nähere Details zu beiden Rechtsfragen haben wir in diesem frei zugänglichen Fachartikel in der Zeitschrift DuD Anfang des Jahres dargestellt und sind davon ausgegangen, dass sich für die Nutzer von Google Analytics und Matomo auch nach dem 25. Mai 2018 nichts ändert.

Dieser Ansicht schieben die Aufsichtsbehörden nun mit folgender Aussage einen Riegel vor:

„Ob und inwieweit […] Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Die Ansicht der deutschen Aufsichtsbehörden muss an dieser Stelle kritisch hinterfragt werden. Denn sowohl die EU-Kommission als auch das Europäische Parlament sowie die Artikel 29-Datenschutzgruppe haben in der Vergangenheit gänzlich andere Positionen zu dieser Frage vertreten.

Bisherige Position der EU-Kommission

So sieht der aktuelle Entwurf der EU-Kommission zur künftigen E-Privacy-Verordnung in Bezug auf die Messung des Webpublikums in Art. 8 Abs. 1 lit. d des Entwurfs vor:

„Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer […] sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.“

Der Kommissionsentwurf sieht somit eine Privilegierung für die Messung von Websitebesuchern vor, die sogar weit über die bisherigen Regelungen des § 15 Abs. 3 TMG hinausgeht. Von einer Einwilligung ist hier nicht die Rede.

Bisherige Position des Europäischen Parlaments

Ähnliches gilt für den Entwurf des Europäischen Parlaments:

„Jede vom jeweiligen Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer […] sie ist für die Messung der Reichweite des vom Nutzer angeforderten Dienstes der Informationsgesellschaft technisch nötig, sofern diese Messung vom Betreiber oder in seinem Namen […]  durchgeführt wird […], sofern die Daten aggregiert sind und der Nutzer die Möglichkeit hat, der Nutzung zu widersprechen, und sofern personenbezogene Daten keinem Dritten zugänglich gemacht und die Grundrechte des Nutzers durch diese Messung nicht beeinträchtigt werden, und falls eine Publikumsmessung im Namen eines Betreibers von Diensten der Informationsgesellschaft durchgeführt wird, dürfen die erhobenen Daten nur von diesem Betreiber verarbeitet werden und müssen getrennt von den Daten aufbewahrt werden, die bei Publikumsmessungen erhoben wurden, die im Namen anderer Betreiber durchgeführt werden […]“.

Im Klartext privilegiert auch diese Entwurfsfassung ein Tracking mittels Google Analytics und Matomo. Dabei geht diese Regelung sogar über die bisherige Privilegierung des § 15 Abs. 3 TMG hinaus, da der Entwurf des Parlaments im Gegensatz zu § 15 Abs. 3 TMG nicht ausdrücklich fordert, dass die Besuchermessung nur anhand von Pseudonymen erfolgen darf. Eine Einwilligung wird auch vom Parlament nicht gefordert.

Bisherige Position der Artikel 29-Datenschutzgruppe

Selbst die Artikel 29-Datenschutzgruppe hat in der Vergangenheit eine dem § 15 Abs. 3 TMG entsprechende Messung des Websitebetreibers als kaum riskant bezeichnet – so etwa im Jahr 2012 in der „Stellungnahme 04/2012 zur Ausnahme von Cookies von der Einwilligungspflicht“, dort Ziffer 4.3:

Ein auf First-PartyCookies gestütztes Analysesystem des Erstanbieters beinhaltet fraglos andere Risiken als ein auf Third-Party-Cookies gestütztes externes Analysesystem. Ferner gibt es Tools, die FirstParty-Cookies verwenden, während die Analysen von einem Dritten durchgeführt werden. Dieser Dritte gilt je nachdem, ob er die Daten für eigene Zwecke oder – wenn dies unzulässig ist – aufgrund technischer oder vertraglicher Regelungen nutzt, als gemeinsam für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter […] Allerdings stellen First-Party-Analysecookies nach Ansicht der Datenschutzgruppe kaum ein Datenschutzrisiko dar, wenn sie ausschließlich für die aggregierten Statistiken des Erstanbieters genutzt und von Websites verwendet werden, die in ihrer Datenschutzrichtlinie bereits unmissverständlich über diese Cookies informieren und ausreichende Datenschutzgarantien bieten. Diese Garantien sollten unter anderem eine benutzerfreundliche Möglichkeit zur Abwahl jedweder Datenerfassung sowie umfassende Anonymisierungsmechanismen für sonstige gesammelte Informationen wie etwa IP-Adressen, anhand derer Personen identifiziert werden können, beinhalten. In diesem Zusammenhang könnte der europäische Gesetzgeber im Falle einer künftigen Überarbeitung von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG in geeigneter Weise ein drittes Kriterium für die Ausnahme von der Einwilligungspflicht für Cookies aufnehmen, die ausschließlich der Erstellung anonymisierter und aggregierter Statistiken des Erstanbieters dienen. Analysen des Erstanbieters sind klar von externen Analysen zu unterscheiden, weil letztere gängige Third-Party-Cookies verwenden, um Navigationsdaten von Nutzern über verschiedene Websites hinweg zu sammeln, und somit ein wesentlich größeres Datenschutzrisiko darstellen.

Eine Einwilligung wird auch hier nicht erwähnt. Vielmehr kann diese Aussage der Artikel 29-Datenschutzgruppe als Wegbereiter für eine zulässige Besuchermessung im Rahmen einer  (nach der Position der Aufsichtsbehörden) jetzt durch Art. 6 Abs. 1 lit. f DSGVO möglichen Interessenabwägung verstanden werden. Im Ergebnis schließt die gemeinsame Position der Aufsichtsbehörden eine für Websitebetreiber positive Interessenabwägung aber aus und fordert statt dessen die Einwilligung.

Fazit

Die deutschen Aufsichtsbehörden scheinen kurz vor Wirksamwerden der DSGVO einen nationalen Sonderweg einschlagen zu wollen, indem Sie § 15 Abs. 3 TMG für unanwendbar erklären und einer Besuchermessung – entgegen aller Anzeichen auf europäischer Ebene – auch im Rahmen einer Interessenabwägung keinen Raum mehr lassen wollen. Deutsche Websitebetreiber sehen sich daher nun mit einer Situation konfrontiert, die sie nicht nur rechtlichen Unsicherheiten sowie Abmahnrisiken aussetzt, sondern ihnen innerhalb Europas auf Grund der strengen Auffassung der deutschen Aufsichtsbehörden ggf. auch Wettbewerbsnachteile bescheren könnte. Eine Harmonisierung des Datenschutzes innerhalb Europas wird hierdurch nicht erreicht.

Es bleibt zu hoffen, dass entweder der Gesetzgeber oder die Gerichte schnell korrigierend eingreifen bzw. die Aufsichtsbehörden ihre Position relativieren und das Einwilligungserfordernis z. B. nur auf den Einsatz von websiteübergreifenden Remarketing-Technologien beziehen. Solange dies nicht der Fall ist, kann vorsichtigen Websitebetreibern leider nur geraten werden, entsprechende Einwilligungen einzuholen, was praktisch die weitere Zunahme von „Cookie-Bannern“ bedeuten würde, deren Wirksamkeit allerdings ebenfalls häufig fraglich ist. Ggf. muss das Webtracking auch vollständig eingestellt werden, wodurch Websitebtreiber dann wichtige Informationen zur Reichweite der eigenen Website verlieren würden.

Nutzer von Matomo können ggf. auch auf eine Besuchermessung ohne Cookies umstellen (vgl. hier), wobei die Rechtmäßigkeit anhand der Position der Aufsichtsbehörden dann noch zu prüfen wäre.

Kommentare aus der Praxis

Auch aus der Praxis werden nur wenige Tage nach der Veröffentlichung der gemeinsamen Position der Aufsichtsbehörden ungewohnt kritische Töne laut, wie eine Auswahl folgender Beiträge zeigt:

[Hinweis der Redaktion: Die vorstehende Linkliste wurde am 14. Mai aktualisiert.]

| | , , | , , , , , , , , , ,