Die diesjährige Sommerakademie des ULD war Teil der „Digitalen Woche Kiel“ und lud zahlreiche Datenschützer und Politiker in das Atlantic Hotel in Kiel ein. Insgesamt standen rund 20 Vorträge und Podiumsdiskussionen mit prominenten Rednern wie Marit Hansen, der Landesbeauftragen für Datenschutz in Schleswig-Holstein, dem ehemaligen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Peter Schaar und Susanne Dehmel, seit 2014 Mitglied der Geschäftsleitung vom bitkom e.V. an diesem Tage an.
In einem interessanten Vortrag widmeten sich die Referenten Wolfram Felber (ULD) und Dr. Moritz Karg (HmbBfDI) der „Analyse des Nutzerverhaltens nach der ePrivacy Verordnung“. Kaum ein Thema ist von solch einer immensen Brisanz für praktisch jeden Internetnutzer wie die sich derzeit im Trialog der EU befindliche ePrivacy Verordnung.
Schließlich wird diese Verordnung die datenschutzrechtliche Datenverarbeitung im Internet regeln, insbesondere unter dem Einsatz von Cookies, Fingerprinting wie auch beim WLAN-Tracking. Die Referenten führten aus, dass der Einsatz von Cookies etc. in der Regel zum Zwecke der Diensteerbringung erbracht werden würde und hierfür notwendig sei. Aber nunmehr würden auch die sog. „Over The Top“ (OTT) Dienste wie WhatsApp und Co. in den Anwendungsbereich fallen.
Doch die geplante ePrivacy Verordnung sei nach Ansicht von Herrn Felber immer im Gesamtkontext des Dreiklangs aus der Rahmenrichtline (ECC) und der DSGVO zu betrachten. Zu Beginn wurde auch gleich von den Referenten klargestellt: Die neue ePrivacy Verordnung werde die maßgeblichen Regelungen des TMG und TKG ersetzen und sei sogar als lex specialis zur DSGVO zu betrachten. Gleichwohl bedeute dies keine Absenkung des Schutzniveaus der DSGVO.
Nach einem kurzen Abriss über die Systematik und einzelnen Vorschriften der Verordnung, allen voran den allgemeinen Regelungen aus Art. 6 und Art. 8 der ePrivacy Verordnung unter Hinzuziehung der jüngsten Änderungsvorschläge des EU-Parlaments fokussierten sich die beiden Referenten auf die offensichtlichen Problemfelder, wie beispielsweise die Fragen rund um das Rechtsinstrument der Einwilligung.
Große Bedenken bei der Einwilligung
Noch gravierendere Mängel wiese die Einwilligung beim Offline-Tracking in dm derzeitigen Entwurf auf (Art. 8 Abs. 2 ePrivacy Verordnung). In der Praxis wäre die Zustimmung des Einzelnen und Besitzers des Smartphones quasi nicht in der Lage, sich hiergegen zu wehren. Nach dem Motto „take it or leave it“ würde das Handy ungefragt Empfänger und Sender der Daten. Selbst wenn das Gerät aus ist. Die Regelung aus dem aktuellen Entwurf zur geplanten ePrivacy Verordnung sei wie ein Opt-Out zu verstehen und stünde demnach im Widerspruch mit den Grundsätzen aus Art. 25 Abs. 2 DSGVO.
Weitere Schwierigkeiten bestünden bei der Einwilligung während der Installation von Software. Apple würde beispielsweise mittlerweile einen neuen Weg bestreiten und mit der neuesten Safari Version vorsehen, dass 3rd Party Cookies z.B. von Drittanbietern für das seitenübergreifende Tracking nach 24 Stunden gelöscht werden würden. Sogar Google Analytics könne damit ausgehebelt werden. Indes ist die Werbeindustrie nicht sehr glücklich über diesen Plan.
Vor diesem Hintergrund stellte Herr Feber die These auf, dass die Einwilligung als maßgebliche Rechtsgrundlage untauglich sei, immerhin könnten Betroffene lediglich über das „ob” des Datenflusses entscheiden, nicht aber über die weitere Verarbeitung, insbesondere deren Zweckbindung.
Dr. Moritz Karg von der Hamburger Aufsichtsbehörde im Datenschutz knüpfe später an diese These an. Denn wie Dr. Karg aufzeigte, sei die Einwilligung im Bereich der Online-Medien nahezu immer „nutzlos“, da wir in der Regel davon abhängig seien, diese entsprechenden Dienste zu nutzen. So werfe die Freiwilligkeit große Bedenken auf. Denn wer nutze WhatsApp und andere vergleichbare Dienste freiwillig, wer würde aber freiwillig darauf verzichten?
Seiner Ansicht nach sei dieser Kommunikationsdienst „gesellschaftlich schlichtweg notwendig“, und verwies auf den Lock-In Effekt. Eine solche trade-off Information/Dienstleistung ließe sich ebenso gut an der Startseite von Google verdeutlichen. Wer täglich brav seine Cookies lösche, würde am nächsten Tag wieder und wieder den „Datenschutz-Hinweis“ vom Suchmaschinenbetreiber lesen, der die Einwilligung des Nutzers erfordere. Spätestens nach ein paar Tagen würden wohl die meisten Nutzer einfach auf diese Einwilligung klicken und diese bestätigen, denn sinngemäß denke jedermann dann: „lieber lasse ich mich von Google tracken als dieses Ergebnis jetzt nicht zu bekommen“ und auf unbekannte Suchmaschinenbetreiber ausweichen zu müssen.
Was wäre wenn?
Beide Referenten deuteten an, dass die ePrivacy Verordnung möglicherweise nicht – wie im strengen Zeitplan der EU vorgesehen – zum 25. Mai 2018 verabschiedet und wirksam werde.
So widmete sich Herr Dr. Karg der Frage: Was wäre wenn? Dabei zeichnete er folgendes konkretes Bild: Nach Art. 95 der DSGVO gelte dann zwar die ePrivacy-Richtlinie fort. Allerdings würde die ePrivacy-Richtlinie in Deutschland durch das Telekommunikationsgesetz (TKG), aber nicht das Telemediengesetz (TMG) umgesetzt. Die §§ 11-15 TMG würden dann nicht mehr gelten und die DSGVO käme direkt zur Anwendung. Die Datenverarbeitung müsste sich daher nach den Grundregeln der DSGVO (Art. 5 Abs. 1 DSGVO) richten, also müsste unter anderem den Anforderungen nach Rechtmäßigkeit, Treu und Glauben und Transparenz entsprochen werden.
Über diese Schlussfolgerung kann sicherlich diskutiert werden. Denn tatsächlich wird nach Überlieferung einiger Juristen in Deutschland seit Jahren von der Bunderegierung die Ansicht vertreten, dass insbesondere § 15 TMG eine Umsetzung der ePrivacy-Richtline (die auch als Cookie Richtlinie bezeichnet wird) darstelle.[1] Ein Änderungsantrag in Bezug auf § 15 TMG scheiterte demnach mit dieser Begründung im Gesetzgebungsverfahren. Wenn § 15 TMG aber als Umsetzung der ePrivacy-Richtline betrachtet wird, ginge § 15 TMG den Regelungen der DSGVO als bereichsspezifische Regelung insoweit vor. Bis zum Inkrafttreten der geplanten ePrivacy Verordnung könnte daher nach dieser Auffassung weiterhin insbesondere § 15 Abs. 3 TMG, eine Art der Privilegierung des pseudonymisierten Trackings, in Deutschland zur Anwendung kommen[2].
Und das heißt für das Profiling?
Die speziell für das Tracking von Nutzern, sowohl im Internet als auch Offline, geschaffene ePrivacy Verordnung wäre bei diesem – hier besprochenen – theoretischen Fallbeispiel noch nicht final in Kraft: Unter Berücksichtigung der generellen Vorschriften aus der DSGVO spiele dann beim speziellen Webtracking des Nutzers, wenn dieses der Profilbildung dient, auch die Abwägung nach Art. 22 Abs. 1 DSGVO eine Rolle. Stützt sich die Profilbildung auf einen Vertrag mit dem Nutzer oder dessen Einwilligung, bedürfe es zusätzlich des berechtigten Interesses der Person[3] (Art. 22 Abs. 3 DSGVO), so die Referenten.
Die Konsequenz: Ein rechtskonformes Nutzertracking setze somit unter anderem ein legitimes, berechtigtes Interesse des Betroffenen voraus und dürfte nicht besondere Arten der personenbezogenen Daten (biometrische Daten, Gesundheitsdaten, Sexualleben usw.) berühren. Zudem müsse eine Abwägung mit dem Betroffeneninteresse erkennbar sein.
Die hierbei unterstellte Einwilligung z.B. durch einen „Cookie-Banner“ setze aber auch die Transparenz voraus, wie die Information über die tatsächliche Datenverarbeitung vor der Erhebung dieser Daten. Es kann jedoch auch die Kontrollmöglichkeit des Nutzers infrage gestellt werden, wenn ihm die tatsächlichen Prozesse und Zwecke des Anbieters nicht bekannt sind. So fehle es jedenfalls an der Steuerungsmöglichkeit des Betroffenen.
Zudem müsse aber auch das wirtschaftliche Interessen der Unternehmen bei der Interessenabwägung hinsichtlich des Profilings der Nutzer Berücksichtigung finden. Ein gutes Beispiel hierfür ist immer wieder das soziale Netzwerk von Facebook: Dieses wisse ziemlich genau, wie der Einzelne tickt. Und dabei legte Herr Karg sogar Wert darauf, nicht vom „Nutzer“, sondern sogar vom „Einzelnen“ zu sprechen, was auch als Hinweis darauf zu verstehen sein könnte, dass sogar auch Nichtmitglieder hiervon betroffen sein könnten.
Anforderungen an die richtige Datenschutzerklärung
Neben den besprochenen Fragezeichen hinter der Freiwilligkeit der Einwilligung sei häufig auch die Informiertheit des Betroffenen fraglich. In diesem Kontext wies Herr Dr. Karg darauf hin, dass die Aufklärung zur Auswirkung nahezu immer in der Datenschutzerklärung fehle. Demnach müsste es theoretisch heißen: „Wir bilden ein Profil für Sie und können daraus folgende Interessen über Sie gewinnen:….“). Indes wird wohl niemand diesem Anspruch gerecht werden können/wollen.
Hingegen soll das eingangs aufgeworfene Beispiel einer unter Seglern bekannten Webseite, die mit rund 70 Tracking / Analysetools ausgestattet war, nochmals die Praktikabilität der Darstellung von den tatsächlichen Datenverarbeitungsprozessen problematisieren. Hier seien praxistaugliche Darstellungen in den Datenschutzerklärungen wie z.B. durch das „Layered Approach“-Konzept gefragt. Dieses könne durch Grafiken, einen logischen Aufbau mit Überschriften und Verweisen auf tiefergehenden Hinweisen erreicht werden, dann müsse auch nicht jedes einzelne Tracking-Tool benannt werden.
Und zu guter Letzt gelte es ohnehin das Widerspruchsrecht des Einzelnen zu wahren, auf welchem ebenso in der Datenschutzerklärung hinzuweisen sei.
Insgesamt warf der Vortrag viele Fragen auf und zeigte darüber hinaus die drohende Rechtsunsicherheit beim Tracking auf, die Webseitenbetreiber seit einiger Zeit so befürchten. Angesichts dessen kann nur zu hoffen sein, dass die geplante ePrivacy Verordnung doch noch zeitgerecht kommt.
[1] Vgl. hierzu: https://www.telemedicus.info/article/2716-EU-Kommission-Cookie-Richtlinie-ist-in-Deutschland-umgesetzt.html (letzter Abruf: 20.09.2017).
[2] Vgl. hierzu auch weitere Deutungsmöglichkeiten zum Tracking nach der DSGVO und dem derzeitigen Entwurf der ePrivacy Verordnung: https://www.datenschutz-notizen.de/kuenftige-spielregeln-fuer-das-tracking-im-internet-und-in-retail-stores-1617287/ (letzter Abruf: 20.09.2017).
[3] Vgl. hierzu: Art. 29 Gruppe – Stellungnahme 06/2014, WP 217; http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_de.pdf (letzter Abruf: 20.09.2017).