Tracking nach der e-Pri­va­cy-VO

Am stärksten diskutiert und immer wieder überarbeitet wurde der Entwurf der ePrivacy-Verordnung hinsichtlich der Regelungen zum Tracking. Darunter fallen vor allem das Targeting und Retargeting der Nutzer durch den Einsatz von Cookies zu Werbezwecken. 

Benötigt jegliches Tracking zukünftig eine Einwilligung?

Artikel 8 des Entwurfs der ePrivacy-Verordnung Stand heute bezweckt den Schutz der Endeinrichtungen der Nutzer, das heißt ihrer Smartphones, Computer und sonstigen Endgeräte, und richtet sich an Webseiten- und App-Betreiber.

Nicht jede Datenverarbeitung im Zusammenhang mit der Nutzung von Endeinrichtungen soll einer Einwilligung bedürfen. So sieht der letzte Entwurf der ePrivacy-VO etwa vor, dass technisch notwendige Session-Cookies und Tools zur Reichweitenmessung auch ohne Einwilligung der Nutzer eingesetzt werden dürfen (Artikel 8 Absatz 1 Buchstabe c) und Buchstabe d)).

Alle anderen Maßnahmen, insbesondere das Tracking zu Werbezwecken, bedürfen hingegen einer Einwilligung des Nutzers – und zwar unabhängig davon, ob dieses über anbietereigene Cookies oder Third-Party-Cookies erfolgt.

Artikel 10 des frühen ersten Entwurfs der ePrivacy-VO verpflichtet Anbieter von Software, die elektronische Kommunikation ermöglichen, also insbesondere Anbieter von Internet-Browsern. Der Nutzer soll entsprechend dem Grundsatz Privacy-by-Design, über z.B. seine Browser-Einstellungen verhindern können, dass Dritte Informationen in der eigenen Endeinrichtung speichern oder solche Informationen verarbeiten (Artikel 10 Absatz 1 des ersten Entwurfs). Diese Regelung betrifft daher insbesondere Third-Party-Cookies.

Artikel 10 Absatz 2 des ersten Entwurfs der ePrivacy-VO verlangt ferner, dass bei der Installation der Software stets die Einwilligung des Nutzers zum Einsatz von Cookies eingeholt wird. Die einmal getätigte Wahl soll auch gegenüber Dritten verbindlich sein. Dabei bleibt aber unklar, ob der Dritte selbst noch eine Einwilligung einholen können soll und wie sich die Einwilligungen dann zueinander verhalten würden.

Wie bereits vorherige Ratspräsidentschaften votierte auch die derzeitige Ratspräsidentschaft zuletzt für die komplette Streichung des Artikels 10. Damit bleibt abzuwarten, ob diese Verpflichtung der Software-Anbieter bestehen bleibt oder nicht.

Wie muss die Einwilligung ausgestaltet sein?

Hinsichtlich der Ausgestaltung der Einwilligung verweist die ePrivacy-VO weitgehend auf die Vorgaben der DSGVO. Damit werden hohe Anforderungen an eine Einwilligung gestellt. Diese muss freiwillig, für einen bestimmten Zweck, in Kenntnis der Sachlage und unmissverständlich abgegeben werden sowie so einfach widerrufen werden können, wie sie erteilt wurde (s. hierzu auch das Working Paper 259 der Artikel-29-Datenschutzgruppe Rev. 01).

Mit Blick auf die im Entwurf der ePrivacy-VO Stand heute vorgesehenen Regelungen zum Schutz der auf Endgeräten gespeicherten Informationen werden allerdings zwei Erleichterungen diskutiert: Zum einen sollen Nutzer die Einwilligung, soweit technisch machbar, auch durch Software-Einstellungen in Browsern und vergleichbarer Software ausdrücken können. Die Anforderungen der DSGVO an eine Einwilligung sollen damit gleichwohl nicht abgeschwächt werden. Zum anderen soll der Verantwortliche, wenn er nicht in der Lage ist, die jeweils betroffene Person zu identifizieren, die Einwilligung mittels technischer Protokolldaten nachweisen können.

Was gilt in der Übergangszeit?

In der Übergangszeit bis zur Geltung der ePrivacy-Verordnung bleibt es bei der parallelen Anwendbarkeit der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG). Zwar regelt die DSGVO in Artikel 95 ausdrücklich das Verhältnis zur bestehenden Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) und lässt deren Regelungen unberührt. Doch ergeben sich aus dem Zusammenspiel der Gesetze gleichwohl erhebliche Rechtsunsicherheiten. Dies hat zur Folge, dass derzeit viele unterschiedliche Auffassungen etwa zur Rechtmäßigkeit des Website-Trackings vertreten werden. Diese reichen von der Notwendigkeit einer Einwilligung bis hin zum bloßen Vorhalten einer Widerspruchsmöglichkeit (§ 15 Absatz 3 TMG).

Mit Blick auf die Rechtslage in Deutschland ist umstritten, ob die für Online-Tracking maßbeglichen Regelungen des Telemediengesetzes (§§ 11 ff. TMG) eine Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation darstellen und daher neben der DSGVO weiterhin gelten. Oder ob die DSGVO seit dem 25. Mai 2018 allein maßgeblich ist.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat dazu Position bezogen. Ihrer Auffassung nach sind die Regelungen der §§ 11 ff. TMG seit der Geltung der DSGVO nicht mehr anwendbar. Das bedeutet, dass sich auch das Online-Tracking ausschließlich an der DSGVO messen muss. Hinsichtlich Tracking-Mechanismen, insbesondere zu Werbezwecken, vertreten die Behörden derzeit die Auffassung, dass diese einer Einwilligung der Betroffenen im Sinne der DSGVO bedürfen (Artikel 6 Absatz 1 Buchstabe a), Artikel 7 DSGVO).

Was gilt für das Offline-Tracking?

Die ePrivacy-Verordnung will auch das bisher nicht explizit geregelte Offline-Tracking einschränken. Darunter fällt die Nutzung von Daten, die von Geräten wie Smartphones zu Zwecken der Netzwerkkonnektivität ausgesandt werden. Solche Daten fallen notwendigerweise bei Funkstandards wie WLAN oder Bluetooth an, damit Geräte Verbindungen zueinander aufbauen und aufrechterhalten können.

Diese Signale können auch genutzt werden, um Geräte und damit mittelbar auch deren Nutzer zu (re)identifizieren, innerhalb der Reichweite eines Netzwerkes zu orten und zu verfolgen. In Erwägungsgrund 25 der Verordnung wird konstatiert, dass solche Daten auch für einschneidendere Zwecke als für bloße statistische Erhebungen genutzt werden könnten, beispielsweise für die Wiedererkennung eines Gerätes (und damit wahrscheinlich auch dessen Besitzers) oder das Zusenden personalisierter Nachrichten an Endgerätebenutzer.

Der Entwurf der Kommission zur ePrivacy-Verordnung sah noch vor, die Erhebung solcher Daten zu verbieten, sofern diese nicht ausschließlich der Herstellung einer Verbindung dienten und auf diese begrenzt waren; alternativ konnte auch ein Hinweis nach Artikel 13 DSGVO erfolgen und dem Betroffenen mitgeteilt werden, wie er die Erhebung verhindern oder auf ein Minimum beschränken könne.

Der Vorschlag des Parlaments und auch der aktuelle Ratsentwurf sehen demgegenüber zwar neben der Information über die Erhebung eine Einwilligung des Nutzers vor. Sie gestatten es alternativ aber, Daten zu erheben, die nur für statistische Zwecke verarbeitet werden und nach Erfüllung ihres Zweckes anonymisiert oder gelöscht werden. Hierfür ist den Nutzern eine Widerspruchsmöglichkeit einzuräumen, durch die das Funktionieren der Endeinrichtungen nicht beeinträchtigt werden darf. Unklar ist, ob diese Anforderung technisch umsetzbar ist. 

Verbot von Cookie-Walls auf Webseiten?

Einer der strittigsten Punkte innerhalb des bevorstehenden Trilog-Verfahrens zur ePrivacy-Verordnung wird ein mögliches Verbot sogenannter Tracking-Walls, auch Cookie-Walls genannt, sein.

Unter der neuen ePrivacy-VO wird eine Verwendung von Tracking-Cookies nur mit Zustimmung der Nutzer möglich sein. Für die Webseitenbetreiber ist es daher naheliegend, die Nutzung ihrer Webseite davon abhängig zu machen, dass der Nutzer dem Tracking seines Nutzungsverhaltens zustimmt. Realisiert wird diese Zugangssperre durch eine Cookie-Wall. Diese verweigert den Zugriff auf die Webseite, wenn der Nutzer der Verwendung von Cookies für Trackingzwecke wie z.B. Ad-Targeting nicht zustimmt.

Die Entwürfe der Kommission und des Rats von Anfang 2017 enthielten keine gesonderten Regelungen für Tracking bzw. Cookie-Walls. Anders der Entwurf des Europäischen Parlament vom 26. Oktober 2017: Dieser forderte in Artikel 8 Absatz 1 Ziffer 1 b) und Erwägungsgrund 22 erstmals ein explizites Verbot der Praxis.

Der Rat ist dieser Anregung des Parlaments bislang nur eingeschränkt gefolgt: Der aktuelle Entwurf des Rats vom 22. Februar 2019 versucht in Erwägungsgrund 20, einen Kompromiss zwischen den Interessen der Webseitenbetreiber einerseits und den Interessen der Nutzer andererseits zu finden. So soll es im Regelfall zulässig sein, den Zugang zu kostenlosen Inhalten auf einer Webseite von der Zustimmung der Nutzer zur Verwendung von Tracking-Cookies abhängig zu machen. Dies soll insbesondere dann gelten, wenn der Nutzer die Wahl zwischen zwei vergleichbaren Angeboten hat, von denen eines keine Zustimmung zum Tracking erfordert. Etwas anderes soll dort gelten, wo die Nutzer mit Blick auf die Nutzung bestimmter, alternativloser Dienstleistungen („certain services“) keine Wahl haben, ob sie der Verwendung von Tracking-Cookies zustimmen. Als Beispiel werden Dienstleistungen öffentlicher Behörden genannt.   

Laut Beobachtern des Brüsseler Politikbetriebs soll sich die deutsche Bundesregierung sogar dafür einsetzen, dass Cookie-Walls ausdrücklich erlaubt werden. Verbraucherschützer kritisieren dies als Umgehung des Koppelungsverbots nach Artikel 7 Absatz 4 DSGVO.

Die unterschiedlichen Auffassungen der deutschen Regierung, der Kommission und des Rats einerseits und des Parlaments andererseits zur Cookie-Wall stehen sinnbildlich für die unterschiedlichen Interessen, die in Brüssel derzeit um Einfluss ringen. Es bleibt abzuwarten, ob sich beim Thema Cookie-Wall am Ende die Verlage und Digitalunternehmen oder aber die Verbraucher- und Datenschützer durchsetzen werden.