ePrivacy-Verordnung: weiterhin keine Einigung in Sicht
Auch am Ende des ersten Quartals 2019 ist auf europäischer Ebene keine Einigung bezüglich der ePrivacy-Verordnung in Sicht: Auf der Suche nach einem Kompromiss hat der Europäische Rat lediglich neue Diskussionspapiere vorgelegt. Mittlerweile ist von einem Inkrafttreten nicht vor 2020 und einer Umsetzungsfrist von weiteren zwei Jahren auszugehen. Somit wird sich die ursprünglich als „Schwestergesetz“ zur DSGVO geplante ePrivacy-Verordnung um mindestens dreieinhalb Jahre verzögern.
Damit bleibt die Frage weiterhin offen, ob die ePrivacy-Verordnung für Cookies und andere zu Werbezwecken genutzte Tracking-Mechanismen eine Einwilligung (also ein echtes Opt-in) der Nutzer erfordern wird.
Der letzte Beitrag widmete sich bereits der Frage, welche Position die deutschen Aufsichtsbehörden derweil auf der Grundlage des bestehenden Rechts (also der DSGVO und des deutschen Telemediengesetzes) in Fällen des Trackings zu Werbezwecken einnehmen. Jetzt verdichten sich die Zeichen für eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung durch die (deutschen) Aufsichtsbehörden mit den Mitteln der DSGVO.
Das Positionspapier der DSK
Die deutsche Datenschutzkonferenz (DSK), die sich aus den Datenschutzbehörden des Bundes und der Länder zusammensetzt, hat im April 2018 in einem Positionspapier verlauten lassen, dass nach ihrer Auffassung als Rechtsgrundlage für den Einsatz von Tracking-Mechanismen zu Werbezwecken kein berechtigtes Interesse des Werbetreibenden, sondern lediglich die Einwilligung (Opt-in) der Nutzer in Frage kommt.
Natürlich handelt es sich bei so einem Positionspapier lediglich um eine Behörden-„Meinung“. Von ihr gehen keine echten Rechtswirkungen wie etwa von einem Gerichtsurteil oder einem Gesetz aus. Trotzdem verdeutlicht sie den Standpunkt der Datenschutzbehörden in Bezug auf die Interpretation des bestehenden Rechts. Ein für Ende 2018 angekündigtes Folgepapier lässt jedoch weiterhin auf sich warten.
Das BayLDA kündigt jetzt „Konsequenzen“ an
Anfang Februar kündigte jetzt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) an, tatsächlich auf der Grundlage der DSGVO gegen Tracking zu Werbezwecken vorgehen zu wollen, sofern es ohne Einwilligung der Nutzer geschieht.
Anlässlich des „Safer Internet Day“ veröffentlichte das BayLDA das Ergebnis einer Untersuchung von 40 „bayerischen“ Websites auf ihre DSGVO-Konformität. Dabei ging das BayLDA ohne weitere Erläuterung von der Prämisse aus, dass die Verwendung von Tracking-Tools nicht nur eine Information in einer Datenschutzerklärung, sondern auch eine Einwilligung der Besucher erfordere:
Abbildung 1: Nach Ansicht des BayLDA benötigt man für das Tracking zu Werbezwecken eine Einwilligung der User – und offenbar hält sich niemand an diese angebliche Regel (Quelle: BayLDA).
In einem weiteren Schritt verdeutlichte das BayLDA, dass die geforderte Einwilligung nicht in Form eines heute bereits vielfach verwendeten informatorischen „Cookie-Banners“ (nach ursprünglich britischem Vorbild), sondern in Form eines „Einwilligungs-Popups“ erfolgen muss, der eine echte Einwilligung im Sinne von Art. 7 DSGVO abfragt. (Ähnlich sehen das übrigens offenbar die Aufsichtsbehörden in Österreich und in den Niederlanden.)
Abbildung 2: Nach Ansicht des BayLDA sind die bisher häufig verwendeten „Cookie-Banner“ für die angeblich erforderliche Einwilligung nicht ausreichend (Quelle: BayLDA).
Das BayLDA kündigte an, die Verhängung von Bußgeldern wegen Verletzung dieses angenommenen DSGVO-Verstoßes zu „prüfen“. Von der niedersächsischen Datenschutzbehörde ist Ähnliches zu hören; aus Hessen dagegen wird verlautbart, dass erst eine einheitliche Position gefunden werden müsse. Diesbezügliche Entscheidungen liegen bislang nicht vor.
Unsere Einschätzung
Wie bereits angedeutet ist diese unerwartet deutliche Position der bayerischen Aufsichtsbehörde nach wie vor verwunderlich, wo doch erstens die DSGVO in Erwägungsgrund 47 a.E. berechtigte Interessen als Rechtsgrundlage für das Online-Marketing ausdrücklich anerkennt und zweitens die Diskussion um eine Änderung dieses rechtlichen Zustands durch die ePrivacy-Verordnung wie dargestellt weiterhin andauert. Wir empfehlen daher, sich weiterhin auf die „herkömmliche“ Lösung mit einem einfachen Opt-out-Hinweis in der Datenschutzerklärung zu verlassen.
In Bezug auf die Position des BayLDA, das empört feststellt, dass 40 von 40 geprüften Websites die angeblichen Vorgaben der DSGVO zum Tracking nicht einhalten, sei der bekannte Witz vom Geisterfahrer auf der Autobahn erwähnt, der im Radio hört, wie vor ihm gewarnt wird und sich mit Blick auf die ihm entgegenkommenden Autos fragt: „Ein Geisterfahrer? Hunderte!“ Es bleibt insofern zu hoffen, dass sich das BayLDA an die eigene Stirn fasst und die eigene Position noch einmal überdenkt, bis für die ePrivacy-Verordnung eine Einigung gefunden ist.
Zur Verdeutlichung des aufgeworfenen Problems sei der aktuelle Stand der Diskussion noch einmal in einer Übersicht zusammengefasst:
verwendete Cookie-Lösung |
Opt-out-Hinweis |
„Cookie-Banner“ |
„Einwilligungs- |
User wird über das Tracking zu Werbezwecken informiert | ✔ |
✔ |
✔ |
User kann ein Opt-out erklären oder die Einwilligung widerrufen |
✔ |
✔ |
✔ |
Cookie wird erst nach dem Einwilligungs-Klick gesetzt |
X |
X |
✔ |
User muss die Website auch ohne Einwilligungs-Klick verwenden können |
– |
– |
✔* |
aktuell TMG-konform? |
✔ |
✔ |
✔ |
aktuell DSGVO-konform? |
unsere Ansicht: ✔ Ansicht BayLDA: X |
unsere Ansicht: ✔ Ansicht BayLDA: X |
unsere Ansicht: ✔ Ansicht BayLDA: ✔ |
zukünftig ePrivacy-konform? |
? |
? |
? |
* Nach Ansicht der österreichischen Datenschutzbehörde sei es auch zulässig, für die Nutzung der Website ohne Tracking von den Usern eine Gebühr zu verlangen. Anderer Ansicht ist möglicherweise die niederländische Aufsichtsbehörde.