Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen „Planet 49“ (Urteil vom 28.5.2020, Az. I ZR 7/16; wir berichteten) auch die Aufsichtsbehörden beim Thema Tracking und Cookies aktiv werden würden. Nun ist es so weit: In einer koordinierten länderübergreifenden Aktion gehen elf deutsche Datenschutzaufsichtsbehörden gegen größere Medienhäuser vor (konkret handelt es sich um die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Eine erste öffentliche Ankündigung ist der Pressemitteilung des LfDI Baden-Württemberg vom 19.08.2020 zu entnehmen.

Die Aufsichtsbehörden haben demnach an die reichweitenstärksten Verlage in Ihrem Zuständigkeitsbereich ein förmliches Auskunftsverlangen versandt, auf das die Verlage innerhalb einer recht kurzen Frist von wenigen Wochen antworten müssen. Dabei haben die Behörden Ihren Schreiben einen umfangreichen Fragebogen beigefügt, der auszufüllen ist.

Sowohl der Fragebogen, als auch die dazugehörigen Erläuterungen und Anschreiben wurden mittlerweile bei fragdenstaat.de veröffentlicht:

• Fragebogen (11 Seiten)
• Erläuterungen (3 Seiten)
• Tabellendokumente mit Beispielen
• dazugehörige Anschreiben aus Rheinland-Pfalz und Baden-Württemberg
• Vermerk aus Rheinland-Pfalz, welche Verlage dort angeschrieben wurden.

Es deutet sich an, dass dies nur der erste Schritt der Aufsichtsbehörden ist. Offenbar geht man dort davon aus, dass „das Problem mit den Cookies“ in der Medienbranche ganz besonders ausgeprägt ist, weshalb diese Branche ein guter Startpunkt für die eigenen Regulierungsbemühungen ist. Man wird damit rechnen müssen, dass nach Abschluss des Verfahrens der Blick auch in Richtung anderer Branchen gehen wird.

Bis dahin stellt sich die Frage welche Erkenntnisse sich aus diesem Verfahren für den Einsatz von Tracking-Technologien gewinnen lassen.

Welche Erkenntnisse kann man aus den Anschreiben erlangen?

Los geht es mit den Anschreiben der Behörden (derzeit liegen uns Fassungen aus Rheinland-Pfalz und Baden-Württemberg vor). Das erste was hier auffällt ist, dass diese – anders als der Fragebogen und die dazugehörigen Dokumente – unter den Behörden nicht abgestimmt sind und unterschiedlich ausfallen. Dabei ist nicht nur die Formulierung unterschiedlich, auch der rechtliche Gehalt der Schreiben ist ein anderer.

Zwar sagt sowohl die Behörde aus Baden-Württemberg als auch die aus Rheinland-Pfalz, für den Einsatz von Tracking-Technologien benötige man pauschal eine Einwilligung des Nutzers. Die rechtliche Begründung ist jedoch anders. So verweist der LfDI Baden-Württemberg allein auf die „Orientierungshilfe Telemedien“, die die Aufsichtsbehörden im letzten Frühjahr herausgegeben haben. Konkret heißt es:

„Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder(DSK) hat in verschiedenen Veröffentlichungen dargelegt, welche datenschutzrechtlichen Anforderungen beim Einsatz von Diensten gelten, die der Bildung von Nutzerprofilen – vor allem zu Werbezwecken – dienen. Insbesondere mit der Orientierungshilfe für Anbieter von Telemedien vom März 2019 (https://www.datenschutzkonferenzonline.de/media/oh/20190405_oh_tmg.pdf) wurden diese ausführlich erläutert. So sind die Einbindung von Drittdienstleistern, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie das Erstellen von Nutzerprofilen auf Webseiten in der Regel nur zulässig, wenn die Nutzer darin ausdrücklich eingewilligt haben.“

Dies ist insofern fragwürdig, als dass die Ausführungen in der angesprochenen Orientierungshilfe lange vor den (für den Einsatz von Cookies) wichtigen Urteilen des EuGH und BGH in der Rechtssache „Planet 49“ erfolgten und nach diesen Urteilen quasi unbrauchbar sind, weil sie auf der Annahme fußen, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei (Orientierungshilfe Telemedien, S. 2-6). Stattdessen befasst sich die Orientierungshilfe lang und breit mit der Anwendung der Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Ein Rückgriff auf die Rechtsgrundlagen der DSGVO ist im Anwendungsbereich des – vom BGH für wirksam erachteten § 15 Abs. 3 S. 1 TMG – jedoch nicht möglich. Kurzum: Die rechtlichen Ausführungen des LfDI Baden-Württemberg hinken der rechtlichen Entwicklung des letzten Jahres bedenklich hinterher. Es wirkt hier fast so, als habe man das ganze Projekt vor dem aufsehenerregenden Urteil des BGH bereits angestoßen und wollte es trotz des Urteils nun nicht mehr stoppen.

Etwas aktueller wirkt das Schreiben des LfDI Rheinland-Pfalz. Dieser geht zwar zunächst auch auf die veraltete Orientierungshilfe ein, schwenkt dann aber über und erwähnt zumindest das Urteil des BGH. Allerdings ist die Auseinandersetzung mit dem Urteil dann auch wenig differenziert. Die pauschale Feststellung lautet sinngemäß: „Der BGH erklärt zwar § 15 Abs. 3 TMG für anwendbar, es bleibt aber beim selben Ergebnis wie in der Orientierungshilfe: Für Cookies braucht man eine Einwilligung“.

Obwohl der LfDI Rheinland-Pfalz hier in recht apodiktischem Ton das Urteil des BGH in seinem Umfang und seinen Konsequenzen mit der Orientierungshilfe Telemedien gleichstellt, sollten Verantwortliche dies nicht sofort für bare Münze nehmen. In der Fachwelt wird das BGH-Urteil derzeit sehr kontrovers diskutiert. Es ist noch lange nicht klar, ob und wie die wenigen inhaltlichen Aussagen des BGH zu § 15 Abs. 3 TMG zu verstehen sind.

Insbesondere zur Zuständigkeit der Aufsichtsbehörden bereitet die vom BGH beschlossene Anwendbarkeit von § 15 Abs. 3 TMG viele Schwierigkeiten, denn dass die Datenschutzaufsichtsbehörden sowohl für die Aufsicht als auch die Verhängung von Bußgeldern zuständig sind, ist alles andere als klar.

An dieser Stelle ein kurzer Exkurs:

Selbstverständlich sind die Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung und Ahndung von Verstößen in Bezug auf die DSGVO zuständig (geregelt in Art. 58 Abs. 1 und 2 DSGVO sowie Art. 83 DSGVO). Ist die DSGVO allerdings aufgrund des beschriebenen Vorrangverhältnisses nicht anwendbar, stellt sich die Frage, wer solche Sachverhalte aus aufsichtsrechtlicher Sicht dann überwacht.

Das TMG selbst enthält keine Zuständigkeitsregelung. Stattdessen kommt an dieser Stelle der Rundfunkstaatsvertrag ins Spiel. Dort ist in § 1 Abs. 1 Hs. 2 RStV geregelt, dass für Telemedien (der juristische Begriff für Webangebote) die Abschnitte IV. bis VI. sowie § 20 Abs. 2 des RStV gelten. Im VI. Abschnitt findet sich sodann unter der Überschrift „Aufsicht“ der § 59 RStV, in dem es in Abs. 1 S. 1 heißt:

„Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden überwachen für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57.“

Weiter heißt es in § 59 Abs. 2 RstV:

„Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden überwacht.“

Daraus folgt zunächst einmal: Geht es um speziell datenschutzrechtliche Belange, sind die Datenschutzaufsichtsbehörden für die Aufsicht zuständig. Für die Aufsicht über die Einhaltung anderer als datenschutzrechtlicher Bestimmungen für Telemedien sind hingegen die jeweiligen Landesmedienanstalten zuständig.

Da der § 15 TMG im Telemediengesetz in Abschnitt „4. Datenschutz“ steht, kann davon ausgegangen werden, dass somit die Datenschutzaufsichtsbehörden deshalb für die Aufsicht zuständig sind. Dieser Meinung ist offenbar auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), wie hier nachzulesen ist.

Nicht ausdrücklich geregelt in § 59 RStV ist jedoch eine Regelung zur Zuständigkeit für die Verteilung von Bußgeldern. Wären die Datenschutzaufsichtsbehörden hierfür nicht zuständig, wären sie beim Thema Cookies und Tracking ein zahnloser Tiger, denn sie könnten zwar wie jetzt Auskunft verlangen, jedoch Verstöße nicht per Bußgeld ahnden. (Ende Exkurs)

Vor diesem Hintergrund wirkt es mutig, dass die Aufsichtsbehörden sich in dieser noch recht unklaren Gesamtgemengelage in einer so umfassenden Aktion auf das Thema Tracking und Cookies stürzen, offenbar ohne eine ausgefeilte rechtliche Argumentation an der Hand zu haben.

Was offenbart der Fragebogen?

Der elfseitige Fragebogen enthält eine Reihe von Fragen, von denen inhaltlich viele wohl erwartbar waren, bei dem jedoch insgesamt die Detailtiefe überrascht.

Der Fragebogen ist in sechs Abschnitte aufgeteilt. Am Anfang steht eine Bestandsaufnahme. Webseitenbetreiber müssen die eingesetzten Dienste sowie die damit verarbeiteten Daten benennen. Schon hier geht es sehr in die Tiefe: Nicht nur muss der Fragebogen ausgefüllt werden – die Dienste müssen auch in den beigefügten Tabellendokumenten minutiös mit vielen technischen Details aufgelistet werden. Viele Anbieter werden dabei wohl Schwierigkeiten bekommen. Obendrauf lässt der Fragebogen an dieser Stelle auch erkennen, dass die Behörden ganz offensichtlich nicht nur den Einsatz von Cookies im Blick haben, sondern sämtliche Tracking-Technologien (wie z. B. Web Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS SessionIDs, TLS Session Tickets) von der Prüfung erfasst sind. Auch dies ist nicht ganz unproblematisch, da vom BGH bislang nur geklärt wurde, dass der Einsatz von Cookies unter § 15 Abs. 3 TMG fällt. Wie es um andere Technologien bestellt ist, wurde gerichtlich noch nicht geklärt. Neben der Nennung aller Tracking-Technologien müssen auch die jeweiligen Rechtsgrundlagen nebst Erläuterungen angegeben werden.

Im nächsten Abschnitt des Fragebogens geht es um die Art und Weise der Einholung von Einwilligungen. Interessant hierbei: Besonders die Abfrage, wie der Nutzer seine Einwilligung widerrufen kann, ist extrem detailliert (Änderung der Cookie-Einstellungen auf der Website, E-Mail, Kontaktformular, Verweis auf Website des Drittdienstleisters, Verweis auf Browsers-Einstellungen, Sonstige). Offenbar wollen die Behörden wissen, ob sich die Verantwortlichen auch konzeptionelle Gedanken zum Widerruf gemacht haben, wenn sie schon ein Consent-Management-Tool für die Einholung der Einwilligung eingeführt haben.

Nach der Einwilligung geht der Fragebogen auf die andere wichtige Rechtsgrundlage ein, nämlich Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Hier müssen sich Verantwortliche darauf vorbereiten, eine dokumentierte Interessenabwägung vorlegen zu können. Etwas überraschend fragen die Behörden in diesem Zusammenhang auch konkret nach der Nutzung des Webangebots durch Minderjährige. Viele Verantwortliche werden hier Erklärungen finden müssen, warum ihr Angebot nicht an unter 16-Jährige gerichtet ist und wie sie deren Nutzung wirksam ausschließen.

Einen weiteren interessanten Abschnitt im Fragebogen gibt es noch zu Datenschutzfolgenabschätzungen (DSFA). Die Behörden wollen wissen, ob die Verantwortlichen in Bezug auf Trackingdienste solche DSFAs durchgeführt haben. Dabei handelt es sich um inhaltlich meist sehr umfangreiche Prüfungen der Risiken von Datenverarbeitungen. Die Behörden verlangen hier eine Begründung, falls man eine solche DSFA nicht durchgeführt hat. Ob daraus ersichtlich wird, dass die Behörden eine solche Folgenabschätzung bei Tracking generell für erforderlich halten, wird allerdings nicht ganz klar.

Was steckt in den zusätzlichen Erläuterungen?

Zusammen mit dem Fragebogen schicken die Behörden noch Erläuterungen an die Medienunternehmen. Besonders hervorzuheben ist dabei der Abschnitt zur Freiwilligkeit der Einwilligung. Dort heißt es:

„Dies setzt prinzipiell voraus, dass der Nutzer eine echte Auswahlentscheidung treffen kann, also eine Datenverarbeitung auch ablehnen kann oder eine vergleichbare Alternative zur Auswahl steht. Optionen wie „Verstanden“, „Alles klar“, „Ja und weiter“ oder „Einverstanden“ entsprechen in aller Regel keiner Einwilligung.“

Dieser Hinweis ist insbesondere für die Gestaltung von Consent-Management-Plattformen (CMPs) interessant. Denn derzeit tobt hier die Debatte, ob der Nutzer nur dann eine „freie Wahl“ hat, wenn ihm im Consent-Banner die Möglichkeiten „Ja / Nein“ als Buttons gegeben werden, oder ob auch Gestaltungen wie „Ja / Weitere Einstellungen“ rechtskonform sind.

Hier lässt der oben zitierte Passus zumindest vermuten, dass die Aufsichtsbehörden auch andere Gestaltungsmöglichkeiten als ein klares „Ja/Nein“ für rechtmäßig halten, da hiernach eine „Ablehnung oder vergleichbare Alternative“ zur Auswahl stehen muss und solche Gestaltungen ggf. als „vergleichbare Alternative“ angesehen werden können.

Fazit

Mit ihrer länderübergreifenden Aktion bringen die Aufsichtsbehörden Schwung in die Debatte rund um den Einsatz von Cookies und Tracking-Technologien. Grundsätzlich ist es zwar zu begrüßen, dass in diesem – von Unklarheiten geprägten – Rechtsbereich eine Klärung der für Verantwortliche wichtigen Fragen vorgenommen wird. Allerdings wirken die rechtlichen Inhalte in den Behördenschreiben so, als ob man hier die rechtliche Situation nach dem BGH-Urteil in Sachen „Planet 49“ nicht wirklich sauber durchdacht hat. Vielmehr wirkt es wie der etwas grobschlächtige Versuch, die alte Rechtsauffassung der DSK um jeden Preis auch unter Geltung von § 15 Abs. 3 TMG durchboxen zu wollen. Dass auf dieser wackeligen rechtlichen Grundlage der Fragebogen umso detaillierter ausfällt, wirkt fast ironisch.

Trotzdem sollten die Verantwortlichen in Unternehmen, die noch nicht von der Aktion der Behörden betroffen sind aber dennoch Trackingdienste betreiben, dies zum Anlass nehmen aktiv zu werden. Wichtige To-Dos für Unternehmen sind jetzt:

• Sie sollten in jedem Fall eine umfassende Prüfung der eigenen Tracking-Dienste vornehmen. Dabei kann der hier vorgelegte Fragebogen als Orientierungshilfe dienen. Klären Sie für sich, ob Sie die dort aufgeworfenen Fragen ohne weitere Probleme beantworten könnten. In der Regel ist dies nicht ohne Zuhilfenahme der Drittanbieter möglich. Sollten Ihnen Informationen von Drittanbietern für eingesetzte Dienste fehlen, treten Sie bereits jetzt an diese heran und versuchen Sie sich die notwendigen Informationen zu beschaffen.
• Klären Sie Ihre Rechtsgrundlagen. Setzen Sie auf Einwilligungen oder operieren Sie auf Basis berechtigter Interessen?
• Wenn Sie mit Einwilligungen arbeiten, ist es von zentraler Bedeutung, dass diese wirksam eingeholt werden und der Nutzer eine effektive Widerrufsmöglichkeit hat.
• Wenn sie sich auf berechtigte Interessen berufen, sollten Sie eine detaillierte Dokumentation der Interessenabwägung in der Schublade haben. Spielen Sie hier nicht auf Zeit: Wenn ein solches Auskunftsschreiben der Behörde wie oben dargestellt in Ihren Briefkasten flattert, ist es aufgrund der kurzen Fristen kaum bis sehr schwer möglich, die entsprechenden Dokumentationen noch „auf die Schnelle“ zu erstellen.

Sofern Sie Fragen zur Aktion der Aufsichtsbehörden haben oder Unterstützung bei den notwendigen Schritten benötigen, zögern Sie nicht, uns anzusprechen.

Am vergangenen Donnerstag entschied der Europäische Gerichtshof, dass das „Privacy Shield“-Abkommen zwischen der Europäischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir möchten die kurz- und mittelfristigen Folgen für Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.

Internationale Datentransfers nach der DSGVO

Zunächst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empfänger in einem Drittland versendet werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt).

• Auf der ersten Stufe bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang natürlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird häufig beim Drittlandstransfer übersehen, wenn man nur auf die zweite Stufe schaut.)
• Auf der zweiten Stufe stellt sich die Frage, ob eine „Datenübermittlung in ein Drittland“ nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegenüber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.

Das EU-US Privacy Shield

Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA für EU-Bürger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.

Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss ungültig ist. Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gestützt werden können.

Als Argument führt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorgängerprogramm „Safe Harbour“) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was zu nicht gerechtfertigten Grundrechtseingriffen für EU-Bürger führt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche Überwachung in einem aus EU-Sicht unverhältnismäßigen Ausmaß erlauben, haben die USA auch unter Berücksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Darüber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Maßnahme dar, mit der EU-Bürgern ein effektiver Rechtsschutz gegenüber US-Behörden und -Gerichten gewährt wird.

Zukunft der Standarddatenschutzklauseln

Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich natürlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben.

Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können. Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt.

Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsgesetze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbehörden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.

Fazit

Nach der EuGH-Entscheidung kann ein Datentransfer in die USA nicht mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zurückgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verhältnismäßig schnell neu abgeschlossen werden können. Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist und von den europäischen Datenschutzbehörden höchstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht möglich ist. Der deutsche Bundesdatenschutzbeauftragte lässt in einer ersten Pressemitteilung schon erkennen, dass die Behörden hier offenbar schnell handeln wollen, ebenso verstehen wir die Pressemitteilung der Berliner Datenschutzbeauftragten.

Für Unternehmen beiderseits des Atlantiks bedeutet dies selbstverständlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein „rechtliches Vakuum“ durch die Anwendung der Ausnahmetatbestände in Art. 49 DSGVO verhindert werden könnte. In Art. 49 DSGVO sind Ausnahmen für den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gestützt werden kann. Grundsätzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt – sie sollen gerade nicht massenhaft zur Umgehung des europäischen Datenschutzniveaus eingesetzt werden. Es handelt sich um Lösungen für sehr spezifische Einzelfälle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausländischen Reiseveranstalter. Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Maßnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte geprüft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern möglich. Derzeit gehen wir nämlich davon aus, dass mit denselben Argumenten wie im heute verkündeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden könnten.

Sprachassistenten – sei es in Form von intelligenten Lautsprechern wie „Google Home“ oder „Amazon Echo“ im Wohnzimmer, „Siri“ auf dem Smartphone oder „Cortana“ auf dem PC – sind immer weiter verbreitet. Auch die Werbung hat diesen neuen Kanal längst für sich entdeckt und experimentiert mit neuen Formen für intelligente Markenbotschaften. Dabei stellt sich natürlich die Frage, wie diese rechtlich zu bewerten sind.

Neuer Kanal, alte Fragen

Aus juristischer Sicht stellen sich im neuen Kanal der Sprachassistenten die altbekannten Fragen des Werberechts:

• Wie sind die Informationspflichten aus dem Verbraucherschutz umzusetzen?
• Wie kennzeichnet man Werbung korrekt und im Einklang mit den geltenden Vorgaben des Medienrechts?
• Und was ist mit den Nutzerdaten, die es DSGVO-konform zu erheben und zu nutzen gilt?

Formen des Voice Branding

Relativ verbreitet sind insbesondere im Bereich intelligenter Lautsprecher so genannte „Branded Skills“: Der Nutzer kann hier wie eine Handy-App zum Beispiel eine Funktionalität seines Lieblings-Radiosenders installieren oder die Inhalte einer Content-Plattform leichter zugänglich machen. Dadurch reagiert der Sprachassistent auf bestimmte Befehle nicht mehr neutral, sondern „branded“, antwortet also mit der Stimme des Skill-Anbieters. Rechtlich besonders spannend sind andere Formen des „Voice Branding“, die darüber hinausgehen und sich in den Bereich der echten Produktplatzierung bewegen.

Das Thema wird bereits seit 2017 diskutiert, als ein Test des intelligenten Lautsprechers „Google Home“ mit nicht gekennzeichneter Werbung für die Neuverfilmung von „Die Schöne und das Biest“ die Runde machte. Dort spielte das Gerät unverhofft einen kurzen Werbeclip zum Kinostart ab, wenn der Nutzer das Gerät nach den Neuigkeiten des Tages fragte:

Rechtliche Grenzen des Voice Branding

Im Bereich des Wettbewerbsrechts sind insbesondere die Kennzeichnungspflichten ein Problem: Wie kann man ohne visuelle Hilfen wie „Sternchenangaben“ und „Kleingedrucktes“ die gesetzlich vorgegebenen Mindestangaben machen und redaktionelle Inhalte (also normale Suchergebnisse und objektive Empfehlungen) von „sponsored content“ trennen?

Medienrechtlich waren Sprachassistenten selbst bislang nicht als Presse und auch nicht als Rundfunk einzuordnen – der neue Medienstaatsvertrag möchte jedoch diese Grenze verschieben und die Vorgaben des bisherigen Rundfunkstaatsvertrags auch auf Sprachassistenten als „Benutzeroberflächen“ anwendbar machen. Die Regeln des Telemedienrechts gelten daneben sowieso.

Insbesondere muss Werbung medienrechtlich auch per Sprachassistenten erkennbar sein. Aufgrund der Neuartigkeit des Mediums ist davon auszugehen, dass die Aufsichtsbehörden und auch die Gerichte hier zunächst eher streng herangehen werden. Insbesondere das oben erwähnte Beispiel des Disney-Spots hätte auf jeden Fall recht deutlich gekennzeichnet werden müssen.

Die umfassenden verbraucherschutzrechtlichen Informationspflichten müssen ebenfalls eingehalten werden, auch wenn das im neuen Medium der Sprachassistenten insbesondere beim Abschluss von Verträgen sehr schwierig ist. Das kann unter Umständen dazu führen, dass der Sprachassistent eine ganze Menge an Informationen „abspulen“ muss, so wie man es zum Beispiel aus der Radiowerbung für Pharmazeutika kennt.

Datenschutzrechtlich stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung von Nutzerprofilen zu Werbezwecken. Hier ist zu beachten, dass die derzeit viel diskutierte „Planet49“-Rechtsprechung nicht greift, da keine Cookies gespeichert werden, sondern das Tracking auf der Grundlage einer Geräte-ID erfolgt. Das bedeutet, dass die Frage allein nach der Datenschutzgrundverordnung zu entscheiden ist und eine Verarbeitung auf der Grundlage berechtigter Interessen des Werbetreibenden (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommt.

Wettbewerbsrechtich müssen die Anbieter von Sprachassistenten schließlich allen Werbetreibenden einen neutralen Zugang zu ihrer Plattform gewähren.

Fazit

Die rechtlichen Probleme sind hinlänglich bekannt – wie sie jedoch praktisch umgesetzt werden können, ohne den Nutzer nicht zu vergraulen, ist bislang offen. Abzwarten ist auch die weitere Entwicklung hinsichtlich des Medienstaatsvertrags, der immer noch nicht ratifiziert ist, und der weiterhin nur als Entwurf vorliegenden ePrivacy-Verordnung. Auch in technischer Hinsicht wird sich hier sicher noch viel verändern und zusätzlich zu den hier diskutierten Möglichkeiten sind sicherlich weitere neue Werbeformen denkbar.

Eine Frage, die uns von Website-Betreibern immer wieder gestellt wird, ist die nach dem rechtskonformen Einsatz des beliebten Webanalyse-Tools „Google Analytics“. Wie stellt man das Tool korrekt ein? Brauche ich eine Einwilligung meiner Besucher? Handelt es sich um eine Auftragsverarbeitung? Solche Fragen sind Dauerbrenner in unserer Beratungspraxis.

Dass bei Google Analytics (GA) eine erhebliche Rechtsunsicherheit seitens der User besteht, ist auch den Aufsichtsbehörden bekannt, weshalb sie in der Vergangenheit immer wieder Hinweise zum datenschutzgerechten Einsatz machten. Zuletzt gaben sie in einer konzentrierten Aktion im November 2019 eine gemeinsame Pressemitteilung heraus, in der sie darauf hinwiesen, dass der Einsatz von GA in Zukunft nur noch auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO möglich sei. Da diese Pressemitteilung allerdings nicht sonderliche viele Anwendungshinweise enthielt, haben die Aufsichtsbehörden im Mai 2020 über die Datenschutzkonferenz (DSK) nachgelegt und „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht.

Bemerkenswert ist dabei schon der folgende Umstand: Die DSK macht gleich zu Beginn des Textes klar, dass alle Angaben „unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EuGH“ stünden. Das am 12. Mai 2020 schon absehbare und am 28. Mai 2020 ergangene Urteil des Bundesgerichtshofs in der Rechtssache „Planet49“ (Az. I ZR 7/16, wir berichteten), das unmittelbar auch Einfluss auf den Einsatz von Cookies zu Werbe- und Analysezwecken hat, ignorieren die Aufsichtsbehörden dabei. Jeder Leser der Behörden-Hinweise zu Google Analytics sollte also im Auge behalten, dass diese Hinweise vor dem BGH-Urteil verfasst wurden und somit die maßgeblichen Erwägungen des Bundesgerichtshofs nicht berücksichtigen. Warum man hier nicht noch knapp zwei Wochen abwarten konnte, ist unklar.

Noch einen weiteren Hinweis fügt die DSK am Anfang des Textes ein: Ihre Ausführungen seien als eine Ergänzung der bestehenden Orientierungshilfe für Anbieter von Telemedien zu verstehen und keine Empfehlung zum Einsatz von GA, sondern nur eine Beschreibung der datenschutzrechtlichen Mindestanforderungen. Im Übrigen fänden die Hinweise keine Anwendung, wenn der Nutzer von den empfohlenen Standardeinstellungen abweicht oder Google Analytics 360 verwendet. An dieser Stelle eine Hilfestellung von uns: Mit den „empfohlenen Standardeinstellungen“ meint die DSK die im folgenden Screenshot dargestellten vier Ankreuzfelder, die bei der Anmeldung für GA standardmäßig aktiviert sind und eine Datenfreigabe an Google enthalten.

Werden diese vier Kästchen deaktiviert, finden die rechtlichen Bewertungen der DSK und die darauf basierenden Hinweise keine Anwendung. Warum Sie diese vier Kästchen auch gerade deshalb deaktivieren sollten, erklären wir weiter unten.

Nach dieser ganzen Vorrede nun zu den inhaltlichen Aussagen des DSK-Papiers:

Rechtsverhältnis zwischen Nutzer und Google

Als erstes stellt die DSK fest, dass es sich beim Verhältnis zwischen dem Anwender und Google nicht um ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO handelt. Ein solches läge schließlich nur vor, wenn der Nutzer die Zwecke und Mittel der Verarbeitung selbst bestimmen und Google die Daten allein auf Weisung des Nutzers verarbeiten würde. Dies sei aber bei GA nicht der Fall. Vielmehr würden die Zwecke und Mittel (teilweise) allein von Google vorgegeben. Zwar biete Google einen Auftragsverarbeitungsvertrag (AVV) für GA an, gleichzeitig sei nach den Standardeinstellungen aber der Abschluss eines Controller-to-Controller-Vertrags erforderlich, da Google für bestimmte Verarbeitungsvorgänge selbst davon ausgeht, eigenständiger Verantwortlicher zu sein [Anmerkung: Laut Google wird ein solcher Controller-to-Controller-Vertrag abgeschlossen, wenn das Kästchen „Google-Produkte und -Dienste“ oben im Screenshot aktiviert ist]. Ein solcher Wechsel zwischen der Stellung als Verantwortlicher und Auftragsverarbeiter sei aber nicht möglich, da die fragliche Datenverarbeitung einen einheitlichen Lebensvorgang darstellen würde.

Die Folge: Nach Ansicht der DSK ist die Rechtsbeziehung zwischen Google und dem Nutzer als gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO zu klassifizieren. Es müsste daher eigentlich ein entsprechender Vertrag zwischen Google und dem Nutzer abgeschlossen werden, den Google allerdings derzeit nicht anbietet. Auf diesen Umstand geht die DSK nicht ein.

Rechtsgrundlage

Die DSK geht davon aus, dass GA „in der Regel“ nur mit einer Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO genutzt werden könne. Ein Einsatz auf Basis berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO scheide dagegen regelmäßig aus, da die Interessen der Websitebesucher die der Websitebetreiber überwiegen würden. Die DSK dazu:

„Insbesondere rechnet der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden.“

An dieser Stelle wird besonders deutlich, dass die DSK ihre Hinweise vor Verkündung des BGH-Urteils in der Rechtssache „Planet49“ veröffentlichte. Die DSK geht hier – wie schon in ihrer Orientierungshilfe Telemedien (S. 2-6) – offenbar davon aus, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei. Ein anderes Verständnis deutet hingegen die Pressemitteilung des Bundesgerichtshofs an. Danach scheint der BGH der Ansicht zu sein, dass § 15 Abs. 3 S. 1 TMG sehr wohl richtlinienkonform auslegbar und damit anwendbar sei. Dies hätte Auswirkungen auf die Frage, ob ein Rückgriff auf die Rechtsgrundlagen der DSGVO überhaupt erforderlich ist.

Zusätzlich ist nochmals anzumerken, dass diese Rechtsauffassung der DSK immer nur für den Fall gilt, dass die oben beschriebenen Standardeinstellungen gewählt werden und sämtliche Datenfreigabeoptionen aktiviert sind.

Die Folge: Die DSK hat ihre Rechnung ohne den Bundesgerichtshof gemacht. Ob ihre Einschätzung von Mitte Mai auch weiterhin haltbar ist, wird sich hoffentlich zeigen, wenn die Urteilsgründe des BGH zur Rechtssache „Planet49“ veröffentlicht sind. Unsere Vorschläge zum weiteren Vorgehen lesen Sie unten.

Von der DSK empfohlene Maßnahmen

Die DSK listet (relativ untypisch für sie) einige halbwegs konkrete Maßnahmen auf, die bei der Einholung der Einwilligung berücksichtigt werden müssen.

„Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.“

Auch einige Gestaltungshinweise werden gegeben:

„Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“.

Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.

Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.

Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

Darüber hinaus muss der Websitebetreiber eine dauerhaft verfügbare Widerrufsmöglichkeit implementieren, beispielsweise in Form einer Schalftfläche. Der bloße Hinweis auf das von Google bereitgestellte Browser-Add-On zur Deaktivierung von GA reiche nicht aus (insbesondere weil das Add-On nicht für Apps greife). Zusätzlich muss in der Datenschutzerklärung die Verwendung von GA transparent und umfassend beschrieben werden. Schließlich muss die die Funktion „anonymizeIp()“ zur Kürzung der erfassten IP-Adressen aktiviert werden.

Bewertung der Hinweise der DSK

In den Dschungel der Anforderungen an einen rechtskonformen Einsatz von Google Analytics versucht die DSK mit ihren Hinweisen etwas Licht zu bringen. Leider gelingt dies nur zu einem sehr geringen Teil. Größte Kritikpunkte an dem Papier sind, dass zum einen nicht erklärt wird, wie die Behörden die Situation sehen, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe vom Nutzer deaktiviert werden und zum anderen, dass das BGH-Urteil „Planet49“ nicht abgewartet wurde.

Aufgrund dieser Kritikpunkte bleiben weiterhin viele Fragen offen:

• Wie bewertet die DSK die Situation, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe, die standardmäßig aktiviert sind, vom Nutzer deaktiviert werden? Liegt dann wieder eine Auftragsverarbeitung vor?
• Wenn die DSK davon ausgeht, dass unter den Standardeinstellungen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt: Wie sollen Websitebetreiber GA rechtskonform nutzen, wenn ein solcher Vertrag von Google derzeit nicht angeboten wird?
• Wie sieht die rechtliche Bewertung zur Frage der Einwilligung nach dem Urteil des Bundesgerichtshofs nun aus? Geht die DSK weiterhin davon aus, dass eine Einwilligung grundsätzlich erforderlich aber ein Einsatz auf Basis von Art. 6 Abs. 1 lit. f DSGVO prinzipiell möglich ist – zum Beispiel wenn die Datenfreigabe vom Nutzer deaktiviert wurde?

Unser Rat

Die Stellungnahme der DSK hat keine eigene Rechtswirkung, sondern spiegelt nur die Auffassung der Aufsichtsbehörden zur Auslegung der DSGVO wider. Ob diese Auffassung richtig ist, müssen letztlich die Gerichte entscheiden. Im Fall von GA ist die Situation zudem insofern besonders, als dass nach Veröffentlichung der Hinweise der DSK noch der Bundesgerichtshof entschieden hat und unklar ist, wie die Behörden mit dieser Entscheidung umgehen werden.

Unter diesen Voraussetzungen sollten Nutzer von GA sich auf drei wesentliche Punkte konzentrieren:

1. Rechtsverhältnis: Wenn sie sich entscheiden, die Standardeinstellungen zur Datenfreigabe an Google beizubehalten, besteht zwischen Ihnen und Google höchstwahrscheinlich eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Den dafür erforderlichen Vertrag bietet Google derzeit nicht an, so dass GA unter diesen Voraussetzungen nicht guten Gewissens eingesetzt werden kann. Wir empfehlen daher, in jedem Fall sämtliche Datenfreigaben zu deaktivieren. Ob dann automatisch ein Auftragsverarbeitungsverhältnis besteht, wie von Google angenommen, wird von den Behörden nicht erörtert. Sofern Sie hierzu eine rechtliche Einschätzung benötigen, kontaktieren Sie uns gern.
2. Rechtsgrundlage für den Einsatz von GA: Ob tatsächlich in jedem Fall eine Einwilligung des Nutzers beim Einsatz von GA eingeholt werden muss, insbesondere bei deaktivierter Datenfreigabe, kann nach wie vor kaum verlässlich gesagt werden. Wir hoffen, dass die Urteilsgründe des BGH in Sachen „Planet49“ mehr Klarheit bringen werden. Wir beraten Sie gern, wie Sie in der Übergangszeit am besten vorgehen sollten.
3. Gestaltung der Einwilligung: Sofern Sie auf Nummer sicher gehen und eine Einwilligung einholen möchten, sollten Sie die Gestaltungshinweise der DSK beachten. Sehr interessant ist dabei, dass der Websitebetreiber in der Einwilligungserklärung grundsätzlich darüber aufklären muss, was genau mit den Daten passiert. Mit anderen Worten muss darüber aufgeklärt werden, was genau Google mit den Daten anstellt. Das ist mit den von Google bereitgestellten Informationen aber kaum möglich. Der DSK reicht es hier aber offenbar aus, dass auf diesen Umstand hingewiesen wird, wenn sie ausführt:
   „In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. […] Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.“