Während die Verhandlungen zur ePrivacy-Verordnung (ePVO) weiter andauern, hat sich nun die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, mit einer Orientierungshilfe für Anbieter der Telemedien zu Wort gemeldet. Damit knüpft die DSK an ihre Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes (TMG) für nicht-öffentliche Stellen vom April 2018 an.
Seit dem 25. Mai 2018 ist aufgrund der unmittelbar geltenden Datenschutzgrundverordnung (DSGVO) unklar, ob die datenschutzrechtlichen Regelungen des TMG weiterhin anwendbar sind. Dies verneint die DSK und gibt im Folgenden Hinweise wie die DSGVO unmittelbar auf Cookies und andere Datenerhebungen bei Telemedien anzuwenden ist.
Von besonderem Interesse sind die Ausführungen der Orientierungshilfe zum Thema „Cookie-Banner“ & „Consent-Tools“– ein Thema, das seit der unmittelbaren Geltung der DSGVO am 25. Mai 2018 bei Unternehmen für große Verunsicherung sorgt. Interessant sind insbesondere die Ausführungen zum Tracking und zur Reichweitenmessung:
1. Tracking
Die DSK vertritt hierzu weiterhin die Auffassung, dass bei Datenverarbeitungen im Bereich der Nutzungsdatenverarbeitung (sog. Tracking) eine Widerspruchslösung (sog. Opt-Out) nicht ausreichend ist, sondern wegen des Vorrangs der datenschutzrechtlichen Regelungen der DSGVO aktiv eine Einwilligung (Opt-In) erforderlich ist. Unter „Tracking“ versteht die DSK insbesondere Datenverarbeitungen zur (website-übergreifenden) Nachverfolgung des individuellen Verhaltens von Nutzern.
Für die Wirksamkeit der Einwilligung sind nach der DSK insbesondere folgende Informationen gegenüber dem Nutzer wichtig (Seite 8 der Orientierungshilfe):
- Beschreibung der Datenverarbeitungsvorgänge,
- (Namentliche) Nennung der einbezogenen Dritten (insb. Drittanbieter, die Cookies setzen) sowie
- Einholen einer gesonderten Zustimmung.
Wie dies von den Unternehmen konkret umgesetzt werden kann, erläutert die DSK in einem gesonderten Hinweis im Rahmen der Orientierungshilfe, der hier abgerufen werden kann. Die zentralen Anforderungen an ein sog. Cookie-Banner sind hierbei laut DSK (Seite 9 der Orientierungshilfe):
- Keine Voreinstellung eines Auswahlmenüs der einwilligungsbedürftigen Verarbeitungsvorgänge als „aktiviert“.
- Während das Banner angezeigt wird müssen alle Dienste, die potentiell Nutzerdaten erfassen, blockiert werden.
- Erst mit aktiver Einwilligung durch den Nutzer, z.B. durch Setzen eines Häkchens, dürfen die einwilligungsbedürftigen Datenverarbeitungen stattfinden (dies ist technisch sicherzustellen).
- Zur Erfüllung der Nachweispflichten des Art. 7 Abs. DSGVO ist eine indirekte Identifizierung ausreichend, z.B. durch Speicherung der Entscheidung des Nutzers für oder gegen eine Einwilligung ohne Verwendung einer User-ID auf dem Endgerät des Nutzers.
- Eine Widerrufsmöglichkeit muss implementiert werden und muss genau so einfach möglich sein, wie die Erteilung der Einwilligung.
Zum Thema Pseudonymisierung bleibt die DSK bei Ihrer Auffassung, dass eine Online-Kennung kein Pseudonym darstellt, weil sie die Nutzer früher oder später an einer anderen Stelle im Web registrieren und mit jeder weiteren Registrierung eine Verknüpfung mit E-Mail-Adressen, Klarnamen oder anderen personenbezogenen Daten möglich ist.
2. Reichweitenmessung
Für Unternehmen, die die Reichweite Ihres Online-Angebots messen und hierfür Analyse-Tools einsetzen, stellt die DSK in der Orientierungshilfe Kriterien auf, die die Anwendung der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erleichtern sollen (Seite 13, 17 und 18 der Orientierungshilfe).
Im Falle der Reichweitenmessung und hierbei eingesetzter Analyse-Tools, die Daten über das Nutzungsverhalten der betroffenen Person an Dritte weitergeben, lehnt die DSK die Erforderlichkeit dieser Form der Datenverarbeitung ausdrücklich ab, wenn das Interesse des Unternehmens lediglich darin besteht, zu wissen, wie sein Online-Angebot angenommen wird. Der Einsatz von Plug-Ins sozialer Netzwerke oder externer Analysedienste kann laut der DSK nicht auf eine Interessenabwägung gestützt werden. Nicht (ausdrücklich) beantwortet die Orientierungshilfe leider, ob Art. 6 Abs. 1 lit. f) DSGVO auch greift, wenn Dritte als Auftragsverarbeiter eingesetzt werden. Hier wäre eine weitere Klärung wünschenswert.
Schließlich gilt es zu beachten, dass die Orientierungshilfe unter dem ausdrücklichen Vorbehalt eines zukünftigen – möglicherweise abweichenden – Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss (EDSA) sowie einer etwaigen Rechtsänderung durch ein zukünftiges Inkrafttreten einer Überarbeitung der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) steht. Im Hinblick auf die Reichweitenmessung gehen die Auffassungen der DSK und der EDSA bereits wohl jetzt schon auseinander. Das EDSA scheint auch hierfür mit Verweis auf Art. 5 (3) ePrivacy-Richtlinie eine Einwilligung zu fordern.
Dieser Artikel ist Teil des CMS Informationsservice zur ePrivacy-Verordnung, den Sie hier abonnieren können.
_840x420.jpg?v=3)
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.