Der EDSA macht Druck auf die Affiliate-Branche: auch URL-Tracking soll einwilligungspflichtig werden

Wann muss für Online-Tracking eine Einwilligung eingeholt werden? Die Antwort auf diese Frage ist ständig im Fluss – und hat auch mit dem Inkrafttreten des neuen deutschen „Cookie-Gesetzes“ TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) vor zwei Jahren keine definitive Antwort gefunden. Offen war dabei insbesondere, ob alternative, insbesondere „cookie-freie“ Tracking-Techniken wie das URL-Tracking auch vom Einwilligungserfordernis nach § 25 TTDSG (beziehungsweise der ePrivacy-Richtlinie, auf der das TTDSG beruht) erfasst werden oder eben nicht.

Der Europäische Datenschutzausschuss (EDSA) – der Zusammenschluss der Datenschutzaufsichtsbehörden innerhalb der EU – hat sich Ende 2023 in einem Entwurf für ein neues Positionspapier zu genau dieser Fragestellung geäußert. Zunächst findet sich darin das zu Grunde gelegte technische Verständnis und ein Verweis auf die Bedeutung von URL-Tracking in der Affiliate-Branche (zum besseren Verständnis sind die Zitate gekürzt): 

„[Bei] Tracking-Links [wird eine] Kennung […] an die Adresse der Website angehängt. […] E-Commerce-Websites können beispielsweise verfolgte Links an Partner weitergeben, die diese auf ihrer Domain verwenden, so dass die E-Commerce-Website weiß, welcher ihrer Partner für einen Verkauf verantwortlich ist und eine Provision zahlt; diese Praxis ist als Affiliate-Marketing bekannt.“

Anschließend macht sich der EDSA die Beantwortung der Frage nach dem Einwilligungserfordernis einfach. Aus Sicht des Entwurfs

„ist es klar, dass es sich [beim URL-Tracking] um eine Speicherung [von Daten] auf dem Endgerät des Nutzers […] handelt, zumindest [im Browser-Cache]. Als solches ist Artikel 5(3) ePD anwendbar.“

Diese Aussage ist wichtig, weil das „Speichern von Daten auf dem Endgerät des Nutzers“ die Formulierung ist, welche das Einwilligungserfordernis nach § 25 TTDSG (beziehungsweise der ePrivacy-Richtlinie) auslöst. Daraus zieht der EDSA dann auch direkt die folgende, für die Onlinemarketing-Branche relevante Schlussfolgerung:

„Die [Nutzung von] Tracking-Links […] stellt eine Anweisung an das Endgerät dar, die [Tracking-Information] zurückzusenden. […] Folglich kann davon ausgegangen werden, dass die Erfassung der von […] Tracking-URL[s] bereitgestellten Kennungen eine „Zugriffsgewährung“ im Sinne [der ePrivacy-Richtlinie] darstellt, so dass [sie auf das URL-Tracking] anwendbar ist.“

Diese Sichtweise hat große Bedeutung für die Onlinemarketing-Branche und insbesondere auf das Affiliate-Marketing. Denn hier werden noch häufig Klicks auf Werbe-Links auf der Basis von URL-Tracking verfolgt, um Affiliate-Vergütungen zu berechnen. Wenn hierfür eine Einwilligung erforderlich ist, würde das für betroffene Unternehmen signifikante Umsatzeinbußen bedeuten. Entsprechende Vergütungsmodelle müssten dann neu aufgestellt werden.

Bei dem vorliegenden Text des EDSA handelt es sich bislang freilich nur um einen Entwurf – es ist aber wahrscheinlich, dass die hier dargestellte Position sich so auch im finalen Dokument wieder findet. Auch wenn dies dann nur eine gemeinsame Position der Aufsichtsbehörden darstellt, müsste sich erst einmal ein Unternehmen finden, das bereit ist, sie in einem darauf fußenden Verfahren gerichtlich anzufechten. Wir beraten Sie daher gern, wie sich Ihr Unternehmen am besten verhalten sollte, um entsprechende Risiken zu reduzieren.

Parallel dazu ist außerdem zu beachten, dass das hier diskutierte Einwilligungserfordernis für URL-Tracking in bestimmten Fällen nicht nur unter das TTDSG, sondern auch in den Anwendungsbereich der DSGVO fällt und auf diese Weise ohnehin einwilligungspflichtig ist. Und nicht zuletzt gibt es auch noch den Branchenstandard TCF, den viele Unternehmen aus der Onlinemarketing-Branche zu beachten haben. Wenden Sie sich daher gern an uns, um hier nicht den Überblick zu verlieren.

EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.

Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.

Frankreich: Die Nutzung von Google Analytics verstößt gegen die DSGVO

Die französische Datenschutzbehörde CNIL gab am 10. Februar bekannt, dass sie gegen einen ungenannten französischen Website-Betreiber eine Anordnung zur Einhaltung der DSGVO erlassen hat, nachdem sie festgestellt hat, dass die Übermittlung personenbezogener Daten in die USA durch die Nutzung von Google Analytics nicht mit Art. 44 DSGVO vereinbar ist. Dies geschah im Lichte des Urteils des Europäischen Gerichtshofs in Sachen „Schrems II“ und im Anschluss an eine von None of your business („NOYB“) an die CNIL gerichtete Beschwerde.

Hintergrund des Rechtsstreits

Am 17. August 2020 reichte NOYB 101 Beschwerden gegen EU-Webseitenbetreiber ein, die weiterhin Daten von Webseitenbesuchern an Google LLC und Facebook Inc. (jetzt Meta Platforms, Inc.) übermitteln und damit angeblich trotz des Urteils in der Rechtssache Schrems II weiterhin gegen die Datenschutz-Grundverordnung verstoßen. Am 13. Januar 2022 veröffentlichte NOYB bekanntlich die erste Entscheidung, die nach der Einreichung seiner Beschwerden erging – eine Entscheidung der österreichischen Datenschutzbehörde DSB, in der festgestellt wurde, dass die Verwendung von Google Analytics durch einen nicht genannten Website-Betreiber gegen die DSGVO verstößt. Die vorliegende Verfügung der CNIL ist die zweite Entscheidung, die von einer EU-Datenschutzbehörde als Reaktion auf die 101 Beschwerden von NOYB veröffentlicht wurde.

Zur weiteren Erläuterung führte die CNIL aus, dass Google Analytics, um die Anzahl der Besuche von Internetnutzern zu messen, jedem Besucher eine eindeutige Kennung zuweist, die, wie die CNIL hervorhob, ein personenbezogenes Datum darstelle, das anschließend zusammen mit weiteren dazugehörigen Daten in die USA übermittelt werde, was somit unter Kapitel V der Datenschutz-Grundverordnung falle. Darüber hinaus erklärte die CNIL, dass sie mit ihren europäischen Kollegen zusammengearbeitet habe, um die Rechtmäßigkeit der Bedingungen zu bewerten, unter denen die durch diesen Dienst gesammelten Daten an die USA übermittelt werden.

Feststellungen der CNIL

Die CNIL hob insbesondere hervor, dass nach der DSGVO die Übermittlung personenbezogener Daten in die USA nur dann erfolgen darf, wenn angemessene Garantien zur Gewährleistung der Datensicherheit gegeben sind und stellte fest, dass dies bei der Verwendung von Google Analytics durch den Website-Betreiber nicht der Fall war. Konkret wies die CNIL darauf hin, dass Google zwar zusätzliche Maßnahmen zur Regelung der Datenübermittlung im Zusammenhang mit der Google-Analytics-Funktionalität ergriffen habe, diese jedoch nicht ausreichten, um die Zugänglichkeit dieser Daten für US-Geheimdienste auszuschließen. Folglich stellte die CNIL fest, dass die Verwendung von Google Analytics in diesem Fall bedeutet, dass die Daten von Internetnutzern in die USA übermittelt werden, was einen Verstoß gegen die Art. 44 ff. DSGVO darstelle.

Deshalb wies die CNIL den Betreiber der Website an, seine Verarbeitung mit der DSGVO in Einklang zu bringen, gegebenenfalls durch Einstellung der Verwendung von Google Analytics (unter den derzeitigen Bedingungen) oder durch Verwendung eines Tools, das keine Übermittlung personenbezogener Daten in Länder außerhalb der EU beinhaltet. Darüber hinaus stellte die CNIL fest, dass der Website-Betreiber einen Monat Zeit habe, um der Richtlinie nachzukommen.

Darüber hinaus wies die CNIL darauf hin, dass sich die laufenden Untersuchungen der CNIL und ihrer EU-Kollegen auch auf andere Tools erstrecken, die von Websites verwendet werden, die zur Übermittlung von Daten von EU-Internetnutzern in die USA führen, und betonte, dass in naher Zukunft diesbezügliche Korrekturmaßnahmen ergriffen werden könnten.

Neues aus Frankreich – die CNIL hat (schon wieder) ein Rundschreiben versandt

Die CNIL (die französische Datenschutzbehörde) hat am 4. Februar 2021 angekündigt, dass sie Briefe und E-Mails an etwa 300 Organisationen, sowohl private als auch öffentliche, verschickt hat, um sie an die neuen Cookie-Regeln und die Notwendigkeit zu erinnern, Websites und Apps bis zum 31. März 2021 auf die Einhaltung dieser Regeln zu überprüfen.

Was hatte die CNIL gesagt ?

Am 1. Oktober 2020 veröffentlichte die CNIL eine überarbeitete Version ihrer Richtlinien zu Cookies und ähnlichen Technologien (die „Richtlinien“), ihre endgültigen Empfehlungen zu den praktischen Modalitäten für die Einholung der Zustimmung der Nutzer zur Speicherung oder zum Auslesen nicht wesentlicher Cookies und ähnlicher Technologien auf ihren Geräten (die „Empfehlungen“) sowie eine Reihe von Fragen und Antworten zu den Empfehlungen. Auch wir hatten auf diesem Blog berichtet.  Die CNIL hatte beschlossen, eine Übergangsfrist von sechs Monaten für die Einhaltung der Empfehlungen einzuräumen (d. h. bis zum 31. März 2021) und kündigte an, dass sie nach dieser Übergangsfrist Inspektionen zur Durchsetzung der Empfehlungen durchführen wird.

Die CNIL hatte im Rahmen ihrer Untersuchungen festgestellt, dass eine Vielzahl von Unternehmen  diese Vorgaben die CNIL immer noch nicht einhält. Sie machte daher in Rundschreiben auf Folgendes aufmerksam:

Das Cookie-Banner muss zum einen detailliert angeben, für welche Zwecke Cookies auf den Geräten der Nutzer gesetzt werden. Allgemeine Informationen wie „diese Seite verwendet Cookies“ oder „Cookies werden verwendet, um die Effizienz der Dienste, die wir Ihnen anbieten, zu verbessern“ sind nicht ausreichend.

Die Benutzer müssen zum anderen die Möglichkeit haben, Cookies mit der gleichen Leichtigkeit zu akzeptieren oder abzulehnen. Wenn der Cookie-Banner eine Schaltfläche „Alle akzeptieren“ enthält, müssen Webbetreiber eine Schaltfläche „Alle ablehnen“ auf derselben Ebene und im selben Format wie die Schaltfläche „Alle akzeptieren“ hinzufügen. Alternativ können Web-Betreiber den Nutzern die Möglichkeit geben, Cookies abzulehnen, indem sie den Cookie-Banner schließen, aber dies muss den Nutzern deutlich gemacht werden, z. B. durch die Aufnahme eines Links „Fortfahren ohne zu akzeptieren“ in den Cookie-Banner. Die CNIL erinnerte Organisationen daran, dass das bloße Vorhandensein von „Alle akzeptieren“- und „Cookie-Einstellungen“-Schaltflächen nicht ausreichend ist.

Die CNIL analysiert in regelmäßigen Abständen die Cookie-Praktiken der beliebtesten 1.000 Websites in Frankreich. Basierend auf den Ergebnissen ihrer bisherigen Analyse hat die CNIL beschlossen, Briefe an etwa 100 Betreiber der beliebtesten Websites in Frankreich zu senden, die Cookies von mehr als sechs Drittanbieter-Domains setzen, ohne die vorherige Zustimmung der Nutzer einzuholen. Die CNIL erinnerte die Unternehmen an die Notwendigkeit, ihre Cookie-Zustimmungsschnittstellen für die Verwendung von Tracking-Technologien auf ihren Websites oder Apps anzupassen, z. B. wenn sie Inhalte aus externen Quellen wie Social-Media-Plug-ins hinzufügen.

Was sagt die CNIL zu Analyse-Cookies ?

Die CNIL erinnerte  außerdem daran, dass Analytics-Cookies von der Einwilligung ausgenommen werden können, wenn

  • die Cookies nur zur Erstellung anonymer Statistiken verwendet werden,
  • die für das ordnungsgemäße Funktionieren des Dienstes unbedingt erforderlich sind und
  • ausschließlich für den Betreiber der betreffenden Website oder App bestimmt sind.

In den kommenden Wochen wird die CNIL weitere Informationen zu den Analyselösungen veröffentlichen, die von der Einwilligung ausgenommen sind.