Bereits seit einiger Zeit kündigt sich auf europäischer Ebene eine Überarbeitung der sog. ePrivacy-Richtlinie an, welche die Spielregeln für das Tracking im Internet regelt. Die EU Kommission hat nun den ersten Entwurf einer neuen ePrivacy-Verordnung vorgelegt, der in Zukunft für erhebliche Veränderungen im Alltag europäischer Internetnutzer sorgen könnte.
Was wird aus Analysetools wie Google Analytics und Piwik?
Regelungen für die klassische Webanalyse finden sich in Art. 8 Abs. 1 lit. d des Verordnungsentwurfs:
„Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer … sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.“
Im Klartext bedeutet dies, dass jede Form des Webtrackings, unabhängig davon, ob es auf Cookies, Fingerprints oder ähnlichen Technologien basiert, von der ePrivacy-Verordnung umfasst ist. Sofern der Diensteanbieter, also der Websitebetreiber selbst, dieses Tracking zur Besuchermessung durchführt, wird es privilegiert und ist grundsätzlich zulässig.
Diese Privilegierung dürfte in Zukunft ohne weiteres Websitebetreiber betreffen, die selbst Webanalysetools auf eigenen Webservern betreiben – wie dies z. B. bei Piwik möglich ist.
Aber auch die Nutzung von Google Analytics wird weiterhin möglich sein, sofern Websitebetreiber mit Google einen Vertag zur Auftragsdatenverarbeitung abgeschlossen haben. Denn das Webtracking wird dann dem Websitebetreiber zugeordnet. Der Abschluss eines solchen Vertrags ist zumindest in Deutschland schon heute eine Grundvoraussetzung für den zulässigen Einsatz von Google Analytics. In der Praxis ändert sich an dieser Stelle somit nichts.
Die durch den Verordnungsentwurf vorgesehene Regelung unterscheidet sich – zumindest auf den ersten Blick – jedoch an anderer Stelle erheblich von der bisherigen Rechtslage in Deutschland. Denn bisher durften Websitebetreiber zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile zwar erstellen, allerdings nur bei Verwendung von Pseudonymen und nur sofern der Nutzer dem nicht widerspricht. Eine solche Regelung findet sich in Art. 8 Abs. 1 lit. d nicht mehr. Hier wird die Frage spannend werden, ob
- dies ein Versehen des EU-Verordnungsgebers ist,
- sich die Pflicht zur Pseudonymisierung und zur Widerspruchsmöglichkeit aus der Datenschutzgrundverordnung ergeben soll (etwa dadurch, dass sich die Zulässigkeit der Erstellung von Profilen erst aus Art. 6 Abs. 1 lit. f DSGVO ergibt und somit auch ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO sowie eine Pseudonymisierung nach Art. 5 Abs. 1 lit. c DSGVO erforderlich ist) oder
- künftig ein Tracking der Besucher (insbesondere der sog. „unique Visitors“) auch ohne Pseudonym und ohne Möglichkeit zum Widerspruch zulässig sein soll.
Festzustellen bleibt insoweit, dass Art. 8 Abs. 1 lit. d noch erhebliche Fragen offen lässt. Websitebetreiber können jedoch davon ausgehen, dass der bisherige Einsatz von Webanalysetools wie Google Analytics und Piwik auf jeden Fall zulässig bleibt.
Sonstige Trackingformen im Internet und Werbenetzwerke
Sofern ein Websitebetreiber Trackingtechnologien über den Zweck der eigenen Besuchermessung hinaus einsetzt (etwa um an Werbenetzwerken teilzunehmen), kommt Art. 8 Abs. 1 lit. b des Verordnungsentwurfs ins Spiel. Das Tracking ist demnach zulässig, sofern
„der Endnutzer … seine Einwilligung gegeben [hat].“
Vom Einwilligungserfordernis dürfte in Zukunft z. B. die Teilnahme am Google DoubleClick-Netzwerk umfasst sein und jedes Tracking, welches Werbezwecken Dritter dient oder von Dritten durchgeführt wird.
Websitebetreiber, die ein solches Tracking bislang über § 15 Abs. 3 TMG rechtfertigen (was heute schon unzulässig sein dürfte), müssen sich daher umstellen.
Aber auch Websitebetreiber die, z. B. auf Grund der Einwilligungsrichtlinien von Google, mit Cookie-Bannern arbeiten, müssen diese sorgfältig prüfen. Denn bereits in der Vergangenheit herrschte ein heftiger Meinungsstreit darüber, wann von einer rechtswirksamen Einwilligung ausgegangen werden darf. Dabei ging es insbesondere darum, wie ausdrücklich Nutzer eine Einwilligung erteilen müssen. In der Praxis informierten viele Websitebetreiber Besucher in einem „Cookie-Banner“ darüber, dass ihre Website Trackingtechnologien verwendet und gingen davon aus, dass jede weitere Nutzung der Website eine (konkludente) Einwilligung in die Verwendung eben dieser Trackingtechnologien darstelle. Ob sich diese Lösung weiterhin halten lässt, bleibt abzuwarten. Denn die Anforderungen an eine Einwilligung werden in Art. 9 Abs. 1 des Verordnungsentwurfs näher geregelt, der insofern u.a. auf Art. 4 Nr. 11 der DSGVO verweist. Eine Einwilligung ist demnach
„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
Der Verordnungsentwurf regelt darüber hinaus eine weitere Besonderheit. So kann nach Art. 9 Abs. 2 des Verordnungsentwurfs die Einwilligung in Bezug auf Webtracking auch
„in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.“
Gemeint ist hiermit der Browser. Über eine entsprechende Einstellung sollen Nutzer also künftig die Möglichkeit haben, ihre Einwilligung zu erklären. Näheres hierzu regelt Erwägungsgrund 24 des Verordnungsentwurfs:
„Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden.“
Auf Grund von erheblichen Interessen vieler Website- und Werbenetzwerkbetreiber wird die Rechtslage aber auch in Zukunft vermutlich relativ unklar bleiben. Denn es ist zu erwarten, dass die Frage der Ausdrücklichkeit einer Einwilligung nach Art. 8 Abs. 1 lit. b i.V.m. Art. 9 Abs. 1 des Verordnungsentwurfs bei weiter Interpretation auch in Zukunft Spielräume offenhält. Und selbst wenn Browserhersteller Lösungen implementieren, die künftig Einwilligungsoptionen erlauben, stellt sich die Frage, wie in Fällen zu verfahren ist, in denen im Browser keine ausdrückliche Einwilligung erklärt wurde, der Nutzer aber über ein „Browser-Fingerprint-Banner“ um seine Einwilligung in die Verwendung von weiteren Trackingtechnologien gebeten wird.
Offline- bzw. Instore-Tracking
Weitere Spielregeln für Trackingtechnologien regelt Art. 8 Abs. 2 des Verordnungsentwurfs. Der Regelungsgegenstand dieses Absatzes ist auf den ersten Blick nur schwer verständlich. Geregelt wird
„die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können“.
Ein Blick in Erwägungsgrund 25 des Verordnungsentwurfs macht deutlich, worum es geht: Erwähnt wird u. a. die Verwendung der MAC-Adresse oder der IMEI-Nummer. Somit geht es um das Tracking von Menschen, die nicht online sind. Genutzt wird hierzu in der Praxis insbesondere die MAC-Adresse, die z. B. von einem Smartphone mit aktivierter WLAN-Funktion ausgesendet werden kann. Betreiber von Ladengeschäften nutzen diese Form des Offline-Trackings (auch Instore Tracking oder WLAN-Tracking genannt) immer häufiger. Darüber hinaus sind sogar Trackingformen denkbar, die ganze Stadtzentren abdecken. Hierfür sind nach dem bisherigen Verordnungsentwurf künftig folgende Voraussetzungen zu beachten:
„… es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.“
Betreiber von Ladengeschäften mit entsprechenden Trackingtechnologien könnten zukünftig somit verpflichtet sein, Hinweisschilder auf die Verwendung von WLAN-Trackingtechnologien anzubringen. Offen bleibt allerdings, ob alleine eine solche Information ausreicht, um mit Hilfe dieser Technologie Nutzerprofile zu erstellen. Denn nach der Auffassung deutscher Aufsichtsbehörden wäre bislang zumindest noch eine weitere Pseudonymisierung der MAC-Adressen erforderlich (durch Bildung eines Hashwerts).
Insgesamt stellt sich auch hier die Frage, ob weitere Regelungen der DSGVO, insbesondere das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO insofern zu den Anforderungen des Verordnungsentwurfs hinzutreten. Hiervon ist zumindest im Hinblick auf die weitere Verwendung der Endeinrichtungsinformationen auszugehen. Denn zu welchem Zweck diese Informationen genutzt werden (Profilbildung und Zweckbestimmung der weiteren Verwendung der Profile) und ob dies zulässig ist oder nicht, wird sich vermutlich erst aus der DSGVO ergeben müssen, dort insbesondere aus Art. 6 Abs. 1 lit f. Andernfalls wäre durch die ePrivacy-Verordnung eine Datenverarbeitung losgelöst vom Zweck legitimiert, was einen erheblichen Eingriff in die Rechte betroffener Personen bedeuten würde.
Fazit
Der aktuelle Entwurf der ePrivacy-Verordnung ist ambitioniert, lässt aber an entscheidenden Stellen viele Fragen offen – insbesondere im Hinblick auf das weitere Verhältnis zur DSGVO. Es muss nun beobachtet werden, ob und ggf. welche Änderungen der Entwurf im weiteren Verfahrensgang erfährt. Websitebetreiber, Betreiber von Werbenetzwerken und Unternehmen, die Instore-Trackingtechnologien einsetzen, müssen die weitere Entwicklung genau im Blick behalten. Dies gilt insbesondere vor dem Hintergrund, dass nach Art. 23 Abs. 2 lit. a des bisherigen Verordnungsentwurfs künftig ein Bußgeldrahmen von bis zu zehn Millionen Euro bzw. zwei Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens aufgespannt werden könnte. Die ePrivacy-Verordnung soll gleichzeitig mit der DSGVO am 25. Mai 2018 in Kraft treten. Eine Übergangsfrist ist im bisherigen Entwurf nicht vorgesehen.