Tracking im Fokus der Aufsichtsbehörden: Länderübergreifende Prüfung von Medien-Websites

Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen „Planet 49“ (Urteil vom 28.5.2020, Az. I ZR 7/16; wir berichteten) auch die Aufsichtsbehörden beim Thema Tracking und Cookies aktiv werden würden. Nun ist es so weit: In einer koordinierten länderübergreifenden Aktion gehen elf deutsche Datenschutzaufsichtsbehörden gegen größere Medienhäuser vor (konkret handelt es sich um die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Eine erste öffentliche Ankündigung ist der Pressemitteilung des LfDI Baden-Württemberg vom 19.08.2020 zu entnehmen.

Die Aufsichtsbehörden haben demnach an die reichweitenstärksten Verlage in Ihrem Zuständigkeitsbereich ein förmliches Auskunftsverlangen versandt, auf das die Verlage innerhalb einer recht kurzen Frist von wenigen Wochen antworten müssen. Dabei haben die Behörden Ihren Schreiben einen umfangreichen Fragebogen beigefügt, der auszufüllen ist.

Sowohl der Fragebogen, als auch die dazugehörigen Erläuterungen und Anschreiben wurden mittlerweile bei fragdenstaat.de veröffentlicht:

Es deutet sich an, dass dies nur der erste Schritt der Aufsichtsbehörden ist. Offenbar geht man dort davon aus, dass „das Problem mit den Cookies“ in der Medienbranche ganz besonders ausgeprägt ist, weshalb diese Branche ein guter Startpunkt für die eigenen Regulierungsbemühungen ist. Man wird damit rechnen müssen, dass nach Abschluss des Verfahrens der Blick auch in Richtung anderer Branchen gehen wird.

Bis dahin stellt sich die Frage welche Erkenntnisse sich aus diesem Verfahren für den Einsatz von Tracking-Technologien gewinnen lassen.

Welche Erkenntnisse kann man aus den Anschreiben erlangen?

Los geht es mit den Anschreiben der Behörden (derzeit liegen uns Fassungen aus Rheinland-Pfalz und Baden-Württemberg vor). Das erste was hier auffällt ist, dass diese – anders als der Fragebogen und die dazugehörigen Dokumente – unter den Behörden nicht abgestimmt sind und unterschiedlich ausfallen. Dabei ist nicht nur die Formulierung unterschiedlich, auch der rechtliche Gehalt der Schreiben ist ein anderer.

Zwar sagt sowohl die Behörde aus Baden-Württemberg als auch die aus Rheinland-Pfalz, für den Einsatz von Tracking-Technologien benötige man pauschal eine Einwilligung des Nutzers. Die rechtliche Begründung ist jedoch anders. So verweist der LfDI Baden-Württemberg allein auf die „Orientierungshilfe Telemedien“, die die Aufsichtsbehörden im letzten Frühjahr herausgegeben haben. Konkret heißt es:

„Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder(DSK) hat in verschiedenen Veröffentlichungen dargelegt, welche datenschutzrechtlichen Anforderungen beim Einsatz von Diensten gelten, die der Bildung von Nutzerprofilen – vor allem zu Werbezwecken – dienen. Insbesondere mit der Orientierungshilfe für Anbieter von Telemedien vom März 2019 (https://www.datenschutzkonferenzonline.de/media/oh/20190405_oh_tmg.pdf) wurden diese ausführlich erläutert. So sind die Einbindung von Drittdienstleistern, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie das Erstellen von Nutzerprofilen auf Webseiten in der Regel nur zulässig, wenn die Nutzer darin ausdrücklich eingewilligt haben.“

Dies ist insofern fragwürdig, als dass die Ausführungen in der angesprochenen Orientierungshilfe lange vor den (für den Einsatz von Cookies) wichtigen Urteilen des EuGH und BGH in der Rechtssache „Planet 49“ erfolgten und nach diesen Urteilen quasi unbrauchbar sind, weil sie auf der Annahme fußen, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei (Orientierungshilfe Telemedien, S. 2-6). Stattdessen befasst sich die Orientierungshilfe lang und breit mit der Anwendung der Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Ein Rückgriff auf die Rechtsgrundlagen der DSGVO ist im Anwendungsbereich des – vom BGH für wirksam erachteten § 15 Abs. 3 S. 1 TMG – jedoch nicht möglich. Kurzum: Die rechtlichen Ausführungen des LfDI Baden-Württemberg hinken der rechtlichen Entwicklung des letzten Jahres bedenklich hinterher. Es wirkt hier fast so, als habe man das ganze Projekt vor dem aufsehenerregenden Urteil des BGH bereits angestoßen und wollte es trotz des Urteils nun nicht mehr stoppen.

Etwas aktueller wirkt das Schreiben des LfDI Rheinland-Pfalz. Dieser geht zwar zunächst auch auf die veraltete Orientierungshilfe ein, schwenkt dann aber über und erwähnt zumindest das Urteil des BGH. Allerdings ist die Auseinandersetzung mit dem Urteil dann auch wenig differenziert. Die pauschale Feststellung lautet sinngemäß: „Der BGH erklärt zwar § 15 Abs. 3 TMG für anwendbar, es bleibt aber beim selben Ergebnis wie in der Orientierungshilfe: Für Cookies braucht man eine Einwilligung“.

Obwohl der LfDI Rheinland-Pfalz hier in recht apodiktischem Ton das Urteil des BGH in seinem Umfang und seinen Konsequenzen mit der Orientierungshilfe Telemedien gleichstellt, sollten Verantwortliche dies nicht sofort für bare Münze nehmen. In der Fachwelt wird das BGH-Urteil derzeit sehr kontrovers diskutiert. Es ist noch lange nicht klar, ob und wie die wenigen inhaltlichen Aussagen des BGH zu § 15 Abs. 3 TMG zu verstehen sind.

Insbesondere zur Zuständigkeit der Aufsichtsbehörden bereitet die vom BGH beschlossene Anwendbarkeit von § 15 Abs. 3 TMG viele Schwierigkeiten, denn dass die Datenschutzaufsichtsbehörden sowohl für die Aufsicht als auch die Verhängung von Bußgeldern zuständig sind, ist alles andere als klar.

An dieser Stelle ein kurzer Exkurs:

Selbstverständlich sind die Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung und Ahndung von Verstößen in Bezug auf die DSGVO zuständig (geregelt in Art. 58 Abs. 1 und 2 DSGVO sowie Art. 83 DSGVO). Ist die DSGVO allerdings aufgrund des beschriebenen Vorrangverhältnisses nicht anwendbar, stellt sich die Frage, wer solche Sachverhalte aus aufsichtsrechtlicher Sicht dann überwacht.

Das TMG selbst enthält keine Zuständigkeitsregelung. Stattdessen kommt an dieser Stelle der Rundfunkstaatsvertrag ins Spiel. Dort ist in § 1 Abs. 1 Hs. 2 RStV geregelt, dass für Telemedien (der juristische Begriff für Webangebote) die Abschnitte IV. bis VI. sowie § 20 Abs. 2 des RStV gelten. Im VI. Abschnitt findet sich sodann unter der Überschrift „Aufsicht“ der § 59 RStV, in dem es in Abs. 1 S. 1 heißt:

„Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden überwachen für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57.“

Weiter heißt es in § 59 Abs. 2 RstV:

„Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden überwacht.“

Daraus folgt zunächst einmal: Geht es um speziell datenschutzrechtliche Belange, sind die Datenschutzaufsichtsbehörden für die Aufsicht zuständig. Für die Aufsicht über die Einhaltung anderer als datenschutzrechtlicher Bestimmungen für Telemedien sind hingegen die jeweiligen Landesmedienanstalten zuständig.

Da der § 15 TMG im Telemediengesetz in Abschnitt „4. Datenschutz“ steht, kann davon ausgegangen werden, dass somit die Datenschutzaufsichtsbehörden deshalb für die Aufsicht zuständig sind. Dieser Meinung ist offenbar auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), wie hier nachzulesen ist.

Nicht ausdrücklich geregelt in § 59 RStV ist jedoch eine Regelung zur Zuständigkeit für die Verteilung von Bußgeldern. Wären die Datenschutzaufsichtsbehörden hierfür nicht zuständig, wären sie beim Thema Cookies und Tracking ein zahnloser Tiger, denn sie könnten zwar wie jetzt Auskunft verlangen, jedoch Verstöße nicht per Bußgeld ahnden. (Ende Exkurs)

Vor diesem Hintergrund wirkt es mutig, dass die Aufsichtsbehörden sich in dieser noch recht unklaren Gesamtgemengelage in einer so umfassenden Aktion auf das Thema Tracking und Cookies stürzen, offenbar ohne eine ausgefeilte rechtliche Argumentation an der Hand zu haben.

Was offenbart der Fragebogen?

Der elfseitige Fragebogen enthält eine Reihe von Fragen, von denen inhaltlich viele wohl erwartbar waren, bei dem jedoch insgesamt die Detailtiefe überrascht.

Der Fragebogen ist in sechs Abschnitte aufgeteilt. Am Anfang steht eine Bestandsaufnahme. Webseitenbetreiber müssen die eingesetzten Dienste sowie die damit verarbeiteten Daten benennen. Schon hier geht es sehr in die Tiefe: Nicht nur muss der Fragebogen ausgefüllt werden – die Dienste müssen auch in den beigefügten Tabellendokumenten minutiös mit vielen technischen Details aufgelistet werden. Viele Anbieter werden dabei wohl Schwierigkeiten bekommen. Obendrauf lässt der Fragebogen an dieser Stelle auch erkennen, dass die Behörden ganz offensichtlich nicht nur den Einsatz von Cookies im Blick haben, sondern sämtliche Tracking-Technologien (wie z. B. Web Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS SessionIDs, TLS Session Tickets) von der Prüfung erfasst sind. Auch dies ist nicht ganz unproblematisch, da vom BGH bislang nur geklärt wurde, dass der Einsatz von Cookies unter § 15 Abs. 3 TMG fällt. Wie es um andere Technologien bestellt ist, wurde gerichtlich noch nicht geklärt. Neben der Nennung aller Tracking-Technologien müssen auch die jeweiligen Rechtsgrundlagen nebst Erläuterungen angegeben werden.

Im nächsten Abschnitt des Fragebogens geht es um die Art und Weise der Einholung von Einwilligungen. Interessant hierbei: Besonders die Abfrage, wie der Nutzer seine Einwilligung widerrufen kann, ist extrem detailliert (Änderung der Cookie-Einstellungen auf der Website, E-Mail, Kontaktformular, Verweis auf Website des Drittdienstleisters, Verweis auf Browsers-Einstellungen, Sonstige). Offenbar wollen die Behörden wissen, ob sich die Verantwortlichen auch konzeptionelle Gedanken zum Widerruf gemacht haben, wenn sie schon ein Consent-Management-Tool für die Einholung der Einwilligung eingeführt haben.

Nach der Einwilligung geht der Fragebogen auf die andere wichtige Rechtsgrundlage ein, nämlich Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Hier müssen sich Verantwortliche darauf vorbereiten, eine dokumentierte Interessenabwägung vorlegen zu können. Etwas überraschend fragen die Behörden in diesem Zusammenhang auch konkret nach der Nutzung des Webangebots durch Minderjährige. Viele Verantwortliche werden hier Erklärungen finden müssen, warum ihr Angebot nicht an unter 16-Jährige gerichtet ist und wie sie deren Nutzung wirksam ausschließen.

Einen weiteren interessanten Abschnitt im Fragebogen gibt es noch zu Datenschutzfolgenabschätzungen (DSFA). Die Behörden wollen wissen, ob die Verantwortlichen in Bezug auf Trackingdienste solche DSFAs durchgeführt haben. Dabei handelt es sich um inhaltlich meist sehr umfangreiche Prüfungen der Risiken von Datenverarbeitungen. Die Behörden verlangen hier eine Begründung, falls man eine solche DSFA nicht durchgeführt hat. Ob daraus ersichtlich wird, dass die Behörden eine solche Folgenabschätzung bei Tracking generell für erforderlich halten, wird allerdings nicht ganz klar.

Was steckt in den zusätzlichen Erläuterungen?

Zusammen mit dem Fragebogen schicken die Behörden noch Erläuterungen an die Medienunternehmen. Besonders hervorzuheben ist dabei der Abschnitt zur Freiwilligkeit der Einwilligung. Dort heißt es:

„Dies setzt prinzipiell voraus, dass der Nutzer eine echte Auswahlentscheidung treffen kann, also eine Datenverarbeitung auch ablehnen kann oder eine vergleichbare Alternative zur Auswahl steht. Optionen wie „Verstanden“, „Alles klar“, „Ja und weiter“ oder „Einverstanden“ entsprechen in aller Regel keiner Einwilligung.“

Dieser Hinweis ist insbesondere für die Gestaltung von Consent-Management-Plattformen (CMPs) interessant. Denn derzeit tobt hier die Debatte, ob der Nutzer nur dann eine „freie Wahl“ hat, wenn ihm im Consent-Banner die Möglichkeiten „Ja / Nein“ als Buttons gegeben werden, oder ob auch Gestaltungen wie „Ja / Weitere Einstellungen“ rechtskonform sind.

Hier lässt der oben zitierte Passus zumindest vermuten, dass die Aufsichtsbehörden auch andere Gestaltungsmöglichkeiten als ein klares „Ja/Nein“ für rechtmäßig halten, da hiernach eine „Ablehnung oder vergleichbare Alternative“ zur Auswahl stehen muss und solche Gestaltungen ggf. als „vergleichbare Alternative“ angesehen werden können.

Fazit

Mit ihrer länderübergreifenden Aktion bringen die Aufsichtsbehörden Schwung in die Debatte rund um den Einsatz von Cookies und Tracking-Technologien. Grundsätzlich ist es zwar zu begrüßen, dass in diesem – von Unklarheiten geprägten – Rechtsbereich eine Klärung der für Verantwortliche wichtigen Fragen vorgenommen wird. Allerdings wirken die rechtlichen Inhalte in den Behördenschreiben so, als ob man hier die rechtliche Situation nach dem BGH-Urteil in Sachen „Planet 49“ nicht wirklich sauber durchdacht hat. Vielmehr wirkt es wie der etwas grobschlächtige Versuch, die alte Rechtsauffassung der DSK um jeden Preis auch unter Geltung von § 15 Abs. 3 TMG durchboxen zu wollen. Dass auf dieser wackeligen rechtlichen Grundlage der Fragebogen umso detaillierter ausfällt, wirkt fast ironisch.

Trotzdem sollten die Verantwortlichen in Unternehmen, die noch nicht von der Aktion der Behörden betroffen sind aber dennoch Trackingdienste betreiben, dies zum Anlass nehmen aktiv zu werden. Wichtige To-Dos für Unternehmen sind jetzt:

  • Sie sollten in jedem Fall eine umfassende Prüfung der eigenen Tracking-Dienste vornehmen. Dabei kann der hier vorgelegte Fragebogen als Orientierungshilfe dienen. Klären Sie für sich, ob Sie die dort aufgeworfenen Fragen ohne weitere Probleme beantworten könnten. In der Regel ist dies nicht ohne Zuhilfenahme der Drittanbieter möglich. Sollten Ihnen Informationen von Drittanbietern für eingesetzte Dienste fehlen, treten Sie bereits jetzt an diese heran und versuchen Sie sich die notwendigen Informationen zu beschaffen.
  • Klären Sie Ihre Rechtsgrundlagen. Setzen Sie auf Einwilligungen oder operieren Sie auf Basis berechtigter Interessen?
  • Wenn Sie mit Einwilligungen arbeiten, ist es von zentraler Bedeutung, dass diese wirksam eingeholt werden und der Nutzer eine effektive Widerrufsmöglichkeit hat.
  • Wenn sie sich auf berechtigte Interessen berufen, sollten Sie eine detaillierte Dokumentation der Interessenabwägung in der Schublade haben. Spielen Sie hier nicht auf Zeit: Wenn ein solches Auskunftsschreiben der Behörde wie oben dargestellt in Ihren Briefkasten flattert, ist es aufgrund der kurzen Fristen kaum bis sehr schwer möglich, die entsprechenden Dokumentationen noch „auf die Schnelle“ zu erstellen.

Sofern Sie Fragen zur Aktion der Aufsichtsbehörden haben oder Unterstützung bei den notwendigen Schritten benötigen, zögern Sie nicht, uns anzusprechen.