Neues von der ePrivacy-Verordnung

Während fünf Monate nach Inkrafttreten der Datenschutzgrundverordnung zumindest vorerst wieder etwas Ruhe in der Onlinemarketing-Branche einkehrt, dauern die Verhandlungen zur ePrivacy-Verordnung im Europäischen Rat an. Nach dem ursprünglichen Plan der Europäischen Kommission hätte die ePrivacy-VO als „Schwestergesetz“ der DSGVO bereits im Mai in Kraft treten sollen – nach Druck insbesondere der deutschen Branchenverbände waren die Regierungen aber erst einmal wieder in die Beratungen eingetreten. Währenddessen machte sich Ungewissheit breit, insbesondere zu der wichtigen Frage, ob für das Online-Tracking zukünftig tatsächlich eine (vorherige und freiwillige) Einwilligung der betroffenen Nutzer eingeholt werden muss.

Seit vergangenen Freitag liegt nun ein neuer Entwurf der österreichischen Ratspräsidentschaft für die ePrivacy-Verordnung vor – wir haben uns aus diesem Anlass die Frage gestellt: Was ist eigentlich der Stand der Verhandlungen?

  • Der aktuelle Zeitplan: Eine Entscheidung zum weiteren Vorgehen – also eine Verabschiedung der Verordnung noch 2018 oder eine Vertagung bis nach der Europawahl im Mai 2019 – fällt in der zuständigen Arbeitsgruppe des Rats schon in den nächsten Tagen. Wir gehen derzeit eher vom zweiten Szenario aus. Zu bemerken ist dabei auch, dass der aktuell vorliegende Entwurf der österreichischen Ratspräsidentschaft eine zweijährige Übergangsfrist vorsieht, was die deutsche Bundesregierung auch unterstützt.
  • Der Stand der Verhandlungen: Bei einem Teil der Verhandlungspunkte wurde im Europäischen Rat bereits Einigung erzielt, viele Punkte sind jedoch nach wie vor offen. Insbesondere stellt sich die Frage, bei wie vielen Themen noch gar keine echte Diskussion stattgefunden hat und wo sich hier noch unsicheres Terrain auftun könnte.
  • Der geplante Regelungsansatz: Die Grundregel der ePrivacy-Verordnung ist nach wie vor, dass die dort geregelten Verarbeitungstatbestände der Einwilligung des Betroffenen bedürfen (es gibt also nicht sechs Rechtsgrundlagen wie in Art. 6 Abs. 1 DSGVO) – die Musik spielt dann aber im gesetzlichen Ausnahmekatalog.
  • Standortdaten: Aus unserer Sicht relevant ist zunächst, dass das Thema „Standortdaten“ und deren Nutzung noch vollkommen offen ist. Die deutsche Bundesregierung setzt sich dafür ein, eine – wie auch immer geartete – „pseudonymisierte“ Nutzung zu erlauben.
  • Cookies und Tracking: Vollkommen offen ist auch noch das Thema „Cookies“ (mit diesem Sammelbegriff meinen wir an dieser Stelle auch alle anderen Identifikations- und Trackingmechanismen) in Artikel 8 des ursprünglichen Entwurfs der Europäischen Kommission. Die deutsche Bundesregierung fordert, dass das Kopplungsverbot im Kommissionsentwurf dahingehend abgeschwächt werden soll, dass also werbefinanzierte Dienste nicht ohne Einwilligung nutzbar sein müssen. Spannend ist insbesondere vor diesem Hintergrund, dass der am vergangenen Freitag veröffentlichte neue Diskussionsentwurf der österreichischen Ratspräsidentschaft dazu vorsieht, Tracking in werbefinanzierten Diensten unter die Definition der Ausnahme „zur Erbringung eines Dienstes erforderlich“ zu fassen. Das wäre ein großer Erfolg für die Onlinemarketing-Branche, da dann die ePrivacy-Verordnung das bestehende Tracking im Wesentlichen nicht tangieren würde.
  • Browser-Lösung: Vollkommen offen ist der Vorschlag zur so genannten Browser-Lösung, dem Nutzer die Entscheidung über Tracking zu Marketing-Zwecken über seine Browser-Einstellungen zu überlassen (Artikel 10 des Kommissionsentwurfs). Die Bundesregierung und auch die französische Regierung unterstützen diese Idee, sie ist aber nach wie vor umstritten.
  • Keine Ausnahmen für KMU: Nicht geplant sind Ausnahmen für kleine und mittelständische Unternehmen. Das heißt, dass das Gesetz für alle Unternehmen gleichermaßen gelten wird. Im Wesentlichen werden aber von den neuen Regeln ohnehin nur spezialisierte Dienstleister unmittelbar betroffen sein.
  • Die Position der Aufsichtsbehörden: Bis zum Inkrafttreten der ePrivacy-Verordung stellt sich die Frage, inwieweit die Aufsichtsbehörden auf der Grundlage der DSGVO gegen das Tracking zu Werbezwecken vorgehen wollen, sofern es ohne Einwilligung der Nutzer geschieht. Aus unserer Sicht wäre das eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung mit den Mitteln der DSGVO. Die deutschen Aufsichtsbehörden haben in einer gemeinsamen Positionsbestimmung Anfang des Jahres verlautbart, dass sie an ihrer Auffassung festhalten, dass das deutsche Telemediengesetz (genauer: § 15 Abs. 3) die ePrivacy-Richtlinie unvollständig (das heißt falsch) umsetzt. Für November ist offenbar eine Entscheidung über das weitere Vorgehen der Aufsichtsbehörden geplant. Dies hängt möglicherweise im Wesentlichen davon ab, wie der weitere Zeitplan zur ePrivacy-Verordnung aussieht. Völlig ignoriert wird dabei aus unserer Sicht nach wie vor die Existenz des Artikel 6 Abs. 1 lit. f DSGVO (Verarbeitung personenbezogener Daten auf der Grundlagen berechtigter Interessen) und des Erwägungsgrunds 47 a.E. („Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“).
  • Unser Fazit: Die derzeitigen Entwicklungen im europäischen Rat sind aus Sicht der Onlinemarketing-Branche äußerst positiv zu bewerten. Es wird also keine Rückkehr zum reinen contextual advertising geben, wie ursprünglich zu befürchten war. Zu diskutieren bleibt, ob werbefinanzierte Inhalte das Modell der Zukunft bleiben, oder ob der Trend nicht doch hin zu registrierungsbasierten Diensten geht.

Rechtliche Grenzen des E-Mail-Marketings – Was ändert sich durch die DSGVO?

Wenn es um E-Mail-Marketing geht, kursiert derzeit eine Reihe von Missverständnissen: Müssen für das E-Mail-Marketing neue Einwilligungen von den Empfängern eingeholt werden – und wenn ja, in welcher Form?

E-Mail

Zunächst erforderte jede E-Mail, die als „Werbung“ eingestuft werden kann, schon vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ein so genanntes Double-Opt-in. Das Double-Opt-in ist die ausdrückliche Zustimmung des Empfängers in zwei Schritten: Wenn ein Kunde beispielsweise einen Newsletter abonnieren möchte, erfolgt in einem ersten Schritt die Einwilligung für den Eintrag in die Abonnenten-Liste. Im zweiten Schritt wird dem Kunden eine E-Mail mit der Bitte zugesandt, die Einwilligung zu bestätigen, um Missbrauch auszuschließen.

Sodann stammt das Erfordernis des Double-Opt-ins zum Schutz vor Spam tatsächlich nicht aus dem Datenschutzrecht, sondern aus dem Wettbewerbsrecht, wie auch der Begriff der E-Mail-„Werbung“ selbst (§ 7 Abs. 2 Nr. 2 UWG). „Werbung“ ist danach jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.

Die gute Nachricht: Wer bisher alles richtig gemacht hat, für den ergeben sich durch die DSGVO keine Änderungen.

Zu bedenken ist jedoch immer, dass auch eine E-Mail, in der um eine Einwilligung seitens des Empfängers gebeten wird, als Werbung zu betrachten ist, womit ein Double-Opt-in erforderlich ist. Deshalb waren die zahlreichen E-Mails, die viele Unternehmen kurz vor Inkrafttreten der DSGVO mit der Bitte um Abgabe einer wirksamen Einwilligung an ihre Kunden versandt haben in vielen Fällen rechtswidriger Spam und darüber hinaus sogar unwirksam, wenn dem Kunden nur die Möglichkeit zum Opt-out gegeben wurde.

Wie geht man vor, wenn das Double Opt-in bisher fehlte?

Für die unternehmerische Praxis ergeben sich drei Möglichkeiten.

  • Wenn bislang E-Mail-Kampagnen, also die Versendung von Werbung per Mail, ohne wirksame Einwilligung, durchgeführt wurden, kann diese Praxis einfach beibehalten werden, wobei das Risiko einer Abmahnung oder eines Bußgeldes in Kauf genommen werden muss.
  • Natürlich besteht auch die Möglichkeit per E-Mail um ein Opt-in zu bitten. Allerdings birgt auch – wie oben erläutert – eine solche E-Mail das Risiko einer Abmahnung oder eines Bußgeldes, weil diese E-Mails selbst rechtswidrigen Spam darstellen.
  • Zu guter Letzt besteht die Möglichkeit, alle bestehenden Kontakte ohne wirksame Einwilligung zu löschen und neue Maßnahmen zur Einholung der Einwilligung zu planen. Allerdings muss hierbei das Kopplungsverbot als „Einwilligungskiller“ beachtet werden: Die Einwilligung zur Teilnahme an einem Gewinnspiel oder zum Download eines Whitepapers darf nicht automatisch an die Einwilligung zum Abonnement eines Newsletters gekoppelt sein. Nur diese – schmerzhafte – Variante führt zu einem wirklich rechtskonformen E-Mail-Marketing, wenn bisher kein wirksames Double-Opt-in eingeholt wurde.

Die Top 10: Was müssen Unternehmen tun, um auf die DSGVO vorbereitet zu sein?

Viele Unternehmen wissen inzwischen, dass sie sich auf die DSGVO vorbereiten müssen. Was was muss genau getan werden?

Hier eine Übersicht:

  1. Die Rechtsgrundlagen der Datenverarbeitung sind zu überprüfen und an die Anforderungen des 6 ff. DSGVO anzupassen.
  2. Die Anforderungen des 5 DSGVO müssen erfüllt und dokumentiert werden (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung etc.)
  3. Die Verfahrensverzeichnisse („Verarbeitungsübersichten“) müssen überarbeitet und an den aktuellen Stand der DSGVO angepasst werden.
  4. Die technischen und organisatorischen Maßnahmen (TOMs) müssen überarbeitet und an den aktuellen Stand der DSGVO angepasst werden.
  5. Datenschutzfreundliche Architektur und Voreinstellungen (Privacy by Design und Privacy by Default) müssen untersucht und sichergestellt werden.
  6. Die Datenschutzerklärung eines Unternehmens muss überarbeitet und an die Vorgaben der DSGVO angepasst werden. Sonstige Informationspflichten (Art. 13,14 DSGVO) müssen erfüllt sein.
  7. Die Gewährleistung der sog. Betroffenenrechte, also die Rechte auf Auskunft, Berichtigung und Löschung und (neu) Datenübertragbarkeit der Daten von Betroffenen, müssen in einem Prozess beschrieben und dokumentiert werden.
  8. Meldung von Datenschutzverstößen: Es muss im Rahmen eines schriftlichen Prozesses beschrieben werden, was im Rahmen einer Datenpanne geschieht und wie dann auf welchem Wege die Aufsichtsbehörden informiert werden. Die Vorgaben des Art. 33 DSGVO müssen umgesetzt werden.
  9. Es muss geprüft werden, ob eine Datenschutzfolgeabschätzung durchgeführt werden muss. Falls sie durchgeführt werden muss, ist diese umzusetzen.
  10. Vertragsmanagement. Es muss ermittelt werden, welche Dienstleister eingesetzt werden und in welchen Fällen Auftragsverarbeitungsverträge (ADV) erforderlich sind. Etwa bestehende (Alt-) Auftragsdatenverarbeitungsverträge sind an die Vorgaben der DSGVO anzupassen.

Alle vorstehend beschriebenen Schritte müssen schließlich in einem einheitlichen Datenschutzmanagementkonzept zusammengefasst werden.

Falls wir Sie dabei unterstüzten sollen, melden Sie sich gern: Eickmeier@unverzagt.law, Tel. 040 414000 34.

Die deutsche Übersetzung der ePrivacy-Verordnung ist veröffentlicht – das Ende des werbefinanzierten Internets?

 

Seit kurzem ist die deutsche Fassung der ePrivacy-Verordnung veröffentlicht. Der aktuelle Entwurf stellt, wie bereits an anderer Stelle erwähnt, eine erhebliche Bedrohung für die Unternehmen der Onlinemarketingbranche dar. Wörtlich hat auch der BVDW in seinem Factsheet hervorgehoben:

„Sollte der Entwurf wie beabsichtigt Realität werden, bedeutet es nichts anderes als das Ende des werbefinanzierten Internets. Gem. Art. 8 Abs. 1 der Verordnung sollen Webseitenbetreiber nur noch dann Cookies einsetzen können, wenn sie eine explizite Erlaubnis des Nutzers erhalten haben.“

 Die für die Onlinebranche wichtigsten Regeln befinden sich in den Art. 8 und 9 des Verordnungsentwurfes:

„Artikel 8

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen

Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese beziehenden Informationen.

Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:

  1. sie ist für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
  2. der Endnutzer hat seine Einwilligung gegeben oder
  3. sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder
  4. sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt.

Die Erhebung von Informationen, die von Endeinrichtungen ausgesendet werden, um sich mit anderen Geräten oder mit Netzanlagen verbinden zu können, ist untersagt, außer

  1. sie erfolgt ausschließlich zum Zwecke der Herstellung einer Verbindung und für die dazu erforderliche Dauer oder
  2. es wird in hervorgehobener Weise ein deutlicher Hinweis angezeigt, der zumindest Auskunft gibt über die Modalitäten der Erhebung, ihren Zweck, die dafür verantwortliche Person und die anderen nach Artikel 13 der Verordnung (EU) 2016/679 verlangten Informationen, soweit personenbezogene Daten erfasst werden, sowie darüber, was der Endnutzer der Endeinrichtung tun kann, um die Erhebung zu beenden oder auf ein Minimum zu beschränken.

Voraussetzung für die Erhebung solcher Informationen ist die Anwendung geeigneter technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau nach Artikel 32 der Verordnung (EU) 2016/679 gewährleisten.

Die nach Absatz 2 Buchstabe b zu gebenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht  wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die Erhebung zu.

Der Kommission wird die Befugnis übertragen, nach Artikel 27 delegierte  Rechtsakte zur Bestimmung der Informationen, die durch standardisierte Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Artikel 9

Einwilligung

(1) Für die Einwilligung gelten die Begriffsbestimmung und die Voraussetzungen, die in Artikel 4 Nummer 11 und Artikel 7 der Verordnung (EU) 2016/679 festgelegt sind.

(2) Unbeschadet des Absatzes 1 kann die Einwilligung für die Zwecke des Artikels 8 Absatz 1 Buchstabe b – soweit dies technisch möglich und machbar ist – in den passenden technischen Einstellungen einer Software, die den Zugang zum Internet ermöglicht, gegeben werden.

(3) Endnutzern, die ihre Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten nach Artikel 6 Absatz 2 Buchstabe c und Artikel 6 Absatz 3 Buchstaben a und b gegeben haben, wird nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 die Möglichkeit eingeräumt, ihre Einwilligung jederzeit zu widerrufen; sie werden in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert, solange die Verarbeitung andauert.“

Diese beiden Artikel sind im Zusammenhang mit den so genannten Erwägungsgründen zu lesen, die nicht selbst Teil des Gesetzestextes sind. Sie spiegeln jedoch die Gedanken und Erwägungen der EU-Kommission wieder und helfen bei der Auslegung des Gesetzeswortlautes.

Die wichtigsten Erwägungsgründe 21–24 lauten:

„(21) Ausnahmen von der Verpflichtung, die Einwilligung in die Nutzung der Verarbeitungs- und Speicherfunktionen von Endeinrichtungen oder den Zugriff auf in Endeinrichtungen gespeicherte Informationen einzuholen, sollten auf Situationen beschränkt sein, in denen kein oder nur ein geringfügiger Eingriff in die Privatsphäre stattfindet. Beispielsweise sollte keine Einwilligung eingeholt werden für ein technisches Speichern oder Zugreifen, das zu dem rechtmäßigen Zweck, die vom Endnutzer ausdrücklich gewünschte Nutzung eines bestimmten Dienstes zu ermöglichen, unbedingt notwendig und verhältnismäßig ist. Dazu gehört auch das Speichern von Cookies für die Dauer einer für den Besuch einer Website einmal aufgebauten Sitzung, um die Eingaben des Endnutzers beim Ausfüllen von Online Formularen, die sich über mehrere Seiten erstrecken, mitverfolgen zu können. Cookies können auch ein legitimes und nützliches Hilfsmittel sein, um beispielsweise den Webdatenverkehr zu einer Website zu messen. Konfigurationsprüfungen, die Anbieter von Diensten der Informationsgesellschaft vornehmen, um ihren Dienst entsprechend den Einstellungen des Endnutzers bereitstellen zu können, wie auch das bloße Feststellen der Tatsache, dass das Gerät des Endnutzers die vom Endnutzer angeforderten Inhalte nicht empfangen kann, sollten nicht als Zugriff auf ein Gerät oder als Nutzung der Verarbeitungsfunktionen des Geräts betrachtet werden.

 (22) Die Methoden zur Bereitstellung von Informationen und die Einholung der Einwilligung des Endnutzers sollten so benutzerfreundlich wie möglich sein. Wegen der allgegenwärtigen Verwendung von Verfolgungs-Cookies und anderer Verfolgungstechniken werden die Endnutzer immer häufiger aufgefordert, ihre Einwilligung in die Speicherung solcher Verfolgungs-Cookies in ihren Endeinrichtungen zu geben. Infolge dessen werden die Endnutzer mit Einwilligungsanfragen überhäuft. Mit Hilfe technischer Mittel für die Erteilung der Einwilligung, z. B. durch transparente und benutzerfreundliche Einstellungen, könnte dieses Problem behoben werden. Deshalb sollte diese Verordnung die Möglichkeit vorsehen, dass die Einwilligung durch die entsprechenden Einstellungen in einem Browser oder einer anderen Anwendung erteilt werden kann. Die Auswahl, die Endnutzer bei der Festlegung ihrer allgemeinen Einstellungen zur Privatsphäre in einem Browser oder einer anderen Anwendung getroffen haben, sollte für Dritte verbindlich und ihnen gegenüber auch durchsetzbar sein. Webbrowser sind eine Art von Softwareanwendung, die es ermöglicht, Informationen aus dem Internet abzurufen und darzustellen. Andere Arten von Anwendungen wie solche, die Anrufe und die Nachrichtenübermittlung ermöglichen oder Navigationshilfe bieten, sind dazu ebenfalls in der Lage. Ein Großteil der Vorgänge, die zwischen dem Endnutzer und der Website ablaufen, werden von Webbrowsern abgewickelt. Aus dieser Sicht kommt ihnen eine Sonderstellung zu, wenn es darum geht, den Endnutzern die Kontrolle über den Informationsfluss zu und von ihrer Endeinrichtung zu erleichtern. So können Webbrowser insbesondere als Torwächter dienen und den Endnutzern helfen, ein Speichern von Informationen in ihren Endeinrichtungen (wie Smartphones, Tablets oder Computer) bzw. den Zugriff darauf zu verhindern.

 (23) Die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wurden in Artikel 25 der Verordnung DE 21 DE (EU) 2016/679 festgeschrieben. Gegenwärtig haben die meisten weitverbreiteten Browser für Cookies die Standardeinstellung „Alle Cookies annehmen“. Deshalb sollten Anbieter von Software, die das Abrufen und Darstellen von Informationen aus dem Internet erlaubt, dazu verpflichtet sein, die Software so zu konfigurieren, dass sie die Möglichkeit bietet zu verhindern, dass Dritte Informationen in der Endeinrichtung speichern; diese Einstellung wird häufig als „Cookies von Drittanbietern zurückweisen“ bezeichnet. Den Endnutzern sollte eine Reihe von Einstellungsmöglichkeiten zur Privatsphäre angeboten werden, die vom höheren Schutz (z. B. „Cookies niemals annehmen“) über einen mittleren Schutz (z. B. „Cookies von Drittanbietern zurückweisen“ oder „Nur Cookies von Erstanbietern annehmen“) bis zum niedrigeren Schutz (z. B. „Cookies immer annehmen“) reicht. Solche Einstellungen zur Privatsphäre sollten in leicht sichtbarer und verständlicher Weise dargestellt werden.

 (24) Damit Webbrowser die in der Verordnung (EU) 2016/679 vorgeschriebene Einwilligung der Endnutzer, z. B. in die Speicherung von Verfolgungs-Cookies von Drittanbietern, einholen können, sollten sie unter anderem eine eindeutige bestätigende Handlung von der Endeinrichtung des Endnutzers verlangen, mit der dieser seine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erklärte Zustimmung zur Speicherung solcher Cookies in seiner Endeinrichtung und zum Zugriff darauf bekundet. Eine solche Handlung kann als bestätigend verstanden werden, wenn Endnutzer zur Einwilligung beispielsweise die Option „Cookies von Drittanbietern annehmen“ aktiv auswählen müssen und ihnen die dazu notwendigen Informationen gegeben werden. Hierzu müssen die Anbieter von Software, die den Zugang zum Internet ermöglicht, verpflichtet werden, die Endnutzer zum Zeitpunkt der Installation darauf hinzuweisen, dass die Einstellungen zur Privatsphäre unter den verschiedenen Möglichkeiten ausgewählt werden können, und sie aufzufordern, eine Wahl zu treffen. Die gegebenen Informationen sollten die Endnutzer nicht davon abschrecken, höhere Einstellungen zur Privatsphäre zu wählen, und sie sollten alle wichtigen Informationen über die mit der Annahme von Cookies von Drittanbietern verbundenen Risiken enthalten, wozu auch das Anlegen langfristiger Aufzeichnungen über die Browserverläufe des Betroffenen und die Verwendung solcher Aufzeichnungen zur Übermittlung gezielter Werbung gehören. Es sollte gefördert werden, dass Webbrowser den Endnutzern einfache Möglichkeiten bieten, die Einstellungen zur Privatsphäre während der Benutzung jederzeit zu ändern, und dem Nutzer erlauben, Ausnahmen für bestimmte Websites zu machen oder in Listen festzulegen oder anzugeben, von welchen Websites Cookies (auch von Drittanbietern) immer oder niemals angenommen werden sollen.“

Für weitere Informationen lesen Sie unseren bereits erschienenen Beitrag. Es bleibt abzuwarten, wie die finale Fassung der Verordnung wirklich lauten wird.

EuGH: Sind IP Adressen immer personenbezogene Daten? Und was ist mit der User ID?

In einem der für die Onlinebranche wichtigsten Urteile des europäischen Gerichtshofs seit Jahren hat der EuGH zu der Frage Stellung genommen, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt oder nicht (Urteil vom 19. Oktober 2016, Az. C-582/14). Hintergrund war ein Vorlagebeschluss des Bundesgerichtshofs vom 28. Oktober 2014. Dem BGH ging es insbesondere um eine Frage: Ist eine IP-Adresse, die ein Anbieter von Online-Diensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum, selbst wenn nur ein Dritter (hier: ein Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

Diese Frage ist für die Onlinebranche natürlich von herausragender Bedeutung. Wäre eine IP-Adresse ein personenbezogenes Datum, dann benötigte jeder, der eine solche IP-Adresse verarbeitet und zum Beispiel speichert, eine gesetzliche Rechtfertigung oder die Einwilligung der betroffenen Person. Wäre eine IP-Adresse dagegen ein anonymes Datum, würden die Datenschutzgesetze nicht zur Anwendung gelangen. Die Verarbeitung einer IP-Adresse wäre dann ohne Zustimmung des Betroffenen zulässig.

Der EuGH gelangte zu dem Ergebnis, dass eine dynamische IP-Adresse für den Anbieter einer Webseite ein personenbezogenes Datum darstelle, wenn er „über rechtliche Mittel“ verfüge, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen. Allerdings könnten die Betreiber von Websites ein „berechtigtes Interesse“ haben, solche Daten zu speichern. Eine nationale Vorschrift wie zum Beispiel § 15 TMG (Telemediengesetz), die eine solche Speicherung verbiete, würde daher gegen europäisches Recht verstoßen.

Zwar sei eine dynamische IP-Adresse unstreitig keine Information, die sich auf eine bestimmte natürliche Person beziehen, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergäbe, der der Computer gehört, von dem aus eine Webseite aufgerufen wird, noch die Identität einer anderen Person, die diesen Computer benutzen könnte. Die IP-Adresse stelle jedoch unter gewissen Voraussetzungen Informationen über eine bestimmbare natürliche Person dar. Dies sei dann der Fall, wenn eine dynamische IP-Adresse mit Zusatzinformationen verknüpft sei, über die der Internetzugangsanbieter verfüge und welche „vernünftigerweise“ zur Bestimmung der betreffenden Person eingesetzt werden können. Deshalb sei eine dynamische IP-Adresse dann ein personenbezogenes Datum, wenn der Anbieter von Onlinediensten „über Mittel verfüge, die vernünftigerweise eingesetzt werden können“, um mithilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adresse bestimmen zu lassen. Dies sei bei dem Anbieter einer Website der Fall, denn dieser verfüge über rechtliche Mittel, die es ihm erlauben, die betreffende Person anhand der zu Informationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen, zum Beispiel im Rahmen eines Strafverfahrens.

Der EuGH machte aber auch deutlich, dass dort, wo diese rechtlichen Mittel nicht bestünden, davon auszugehen sei, dass entsprechende Daten als anonym zu betrachten wären.

Dieser Nebensatz hat für die Onlinebranche möglicherweise eine äußerst wichtige Bedeutung. Denn damit eröffnet der EuGH den Spielraum, Online-Identifier wie Cookie-IDs als anonymes Datum zu betrachten. Denn in diesen Fällen bestehen gerade keine rechtlichen Mittel, die es jemanden erlauben würden, die betreffende Person anhand der Informationen, über die ein anderer verfüge, bestimmen zu lassen. Der EuGH machte deutlich, dass ihm die nur die theoretische Möglichkeit einer De-Anonymisierung nicht ausreiche. Im Klartext wendete sich der EuGH damit von der auch in Deutschland vertretenen sogenannten „absoluten Theorie“ ab. In Teilen der Literatur wird deshalb bereits die Schlussfolgerung gezogen, der EuGH gestattete die Verarbeitung von anonymen Onlinekennummern, zum Beispiel im Rahmen von Big Data, zur Verarbeitung von Gesundheitsdaten oder – weitaus wichtiger – im Rahmen von Onlinewerbemaßnahmen (z.B. beim Re-Targeting, OBA etc.). Ob der EuGH wirklich so weit gehen wollte, bleibt abzuwarten. Aber eines steht jedenfalls fest: Es ist seit der Entscheidung des EuGH mehr als zweifelhaft, ob die von den deutschen Aufsichtsbehörden vertretene absolute Theorie noch aufrecht erhalten werden kann. Und ebenso zweifelhaft ist es, ob die Ausführungen des EuGH zu IP-Adressen auf Online-Identifier wie Cookie-IDs ohne weiteres übertragen werden können.

Möchten Sie noch mehr zu diesem Thema wissen, insbesondere zu der Frage, wie sich das Urteil auf Ihr Geschäftsmodell auswirkt, dann rufen Sie uns an.

Dr. Frank Eickmeier, Tel. 040 414 0000, Eickmeier@unverzagt.law