Tracking im Fokus der Aufsichtsbehörden: Länderübergreifende Prüfung von Medien-Websites

Es war abzusehen, dass in Folge der Entscheidungen des EuGH und des BGH in Sachen „Planet 49“ (Urteil vom 28.5.2020, Az. I ZR 7/16; wir berichteten) auch die Aufsichtsbehörden beim Thema Tracking und Cookies aktiv werden würden. Nun ist es so weit: In einer koordinierten länderübergreifenden Aktion gehen elf deutsche Datenschutzaufsichtsbehörden gegen größere Medienhäuser vor (konkret handelt es sich um die Aufsichtsbehörden in Baden-Württemberg, Brandenburg, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Schleswig-Holstein). Eine erste öffentliche Ankündigung ist der Pressemitteilung des LfDI Baden-Württemberg vom 19.08.2020 zu entnehmen.

Die Aufsichtsbehörden haben demnach an die reichweitenstärksten Verlage in Ihrem Zuständigkeitsbereich ein förmliches Auskunftsverlangen versandt, auf das die Verlage innerhalb einer recht kurzen Frist von wenigen Wochen antworten müssen. Dabei haben die Behörden Ihren Schreiben einen umfangreichen Fragebogen beigefügt, der auszufüllen ist.

Sowohl der Fragebogen, als auch die dazugehörigen Erläuterungen und Anschreiben wurden mittlerweile bei fragdenstaat.de veröffentlicht:

Es deutet sich an, dass dies nur der erste Schritt der Aufsichtsbehörden ist. Offenbar geht man dort davon aus, dass „das Problem mit den Cookies“ in der Medienbranche ganz besonders ausgeprägt ist, weshalb diese Branche ein guter Startpunkt für die eigenen Regulierungsbemühungen ist. Man wird damit rechnen müssen, dass nach Abschluss des Verfahrens der Blick auch in Richtung anderer Branchen gehen wird.

Bis dahin stellt sich die Frage welche Erkenntnisse sich aus diesem Verfahren für den Einsatz von Tracking-Technologien gewinnen lassen.

Welche Erkenntnisse kann man aus den Anschreiben erlangen?

Los geht es mit den Anschreiben der Behörden (derzeit liegen uns Fassungen aus Rheinland-Pfalz und Baden-Württemberg vor). Das erste was hier auffällt ist, dass diese – anders als der Fragebogen und die dazugehörigen Dokumente – unter den Behörden nicht abgestimmt sind und unterschiedlich ausfallen. Dabei ist nicht nur die Formulierung unterschiedlich, auch der rechtliche Gehalt der Schreiben ist ein anderer.

Zwar sagt sowohl die Behörde aus Baden-Württemberg als auch die aus Rheinland-Pfalz, für den Einsatz von Tracking-Technologien benötige man pauschal eine Einwilligung des Nutzers. Die rechtliche Begründung ist jedoch anders. So verweist der LfDI Baden-Württemberg allein auf die „Orientierungshilfe Telemedien“, die die Aufsichtsbehörden im letzten Frühjahr herausgegeben haben. Konkret heißt es:

„Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder(DSK) hat in verschiedenen Veröffentlichungen dargelegt, welche datenschutzrechtlichen Anforderungen beim Einsatz von Diensten gelten, die der Bildung von Nutzerprofilen – vor allem zu Werbezwecken – dienen. Insbesondere mit der Orientierungshilfe für Anbieter von Telemedien vom März 2019 (https://www.datenschutzkonferenzonline.de/media/oh/20190405_oh_tmg.pdf) wurden diese ausführlich erläutert. So sind die Einbindung von Drittdienstleistern, die das Verhalten von Nutzern im Internet nachvollziehbar machen, sowie das Erstellen von Nutzerprofilen auf Webseiten in der Regel nur zulässig, wenn die Nutzer darin ausdrücklich eingewilligt haben.“

Dies ist insofern fragwürdig, als dass die Ausführungen in der angesprochenen Orientierungshilfe lange vor den (für den Einsatz von Cookies) wichtigen Urteilen des EuGH und BGH in der Rechtssache „Planet 49“ erfolgten und nach diesen Urteilen quasi unbrauchbar sind, weil sie auf der Annahme fußen, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei (Orientierungshilfe Telemedien, S. 2-6). Stattdessen befasst sich die Orientierungshilfe lang und breit mit der Anwendung der Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Ein Rückgriff auf die Rechtsgrundlagen der DSGVO ist im Anwendungsbereich des – vom BGH für wirksam erachteten § 15 Abs. 3 S. 1 TMG – jedoch nicht möglich. Kurzum: Die rechtlichen Ausführungen des LfDI Baden-Württemberg hinken der rechtlichen Entwicklung des letzten Jahres bedenklich hinterher. Es wirkt hier fast so, als habe man das ganze Projekt vor dem aufsehenerregenden Urteil des BGH bereits angestoßen und wollte es trotz des Urteils nun nicht mehr stoppen.

Etwas aktueller wirkt das Schreiben des LfDI Rheinland-Pfalz. Dieser geht zwar zunächst auch auf die veraltete Orientierungshilfe ein, schwenkt dann aber über und erwähnt zumindest das Urteil des BGH. Allerdings ist die Auseinandersetzung mit dem Urteil dann auch wenig differenziert. Die pauschale Feststellung lautet sinngemäß: „Der BGH erklärt zwar § 15 Abs. 3 TMG für anwendbar, es bleibt aber beim selben Ergebnis wie in der Orientierungshilfe: Für Cookies braucht man eine Einwilligung“.

Obwohl der LfDI Rheinland-Pfalz hier in recht apodiktischem Ton das Urteil des BGH in seinem Umfang und seinen Konsequenzen mit der Orientierungshilfe Telemedien gleichstellt, sollten Verantwortliche dies nicht sofort für bare Münze nehmen. In der Fachwelt wird das BGH-Urteil derzeit sehr kontrovers diskutiert. Es ist noch lange nicht klar, ob und wie die wenigen inhaltlichen Aussagen des BGH zu § 15 Abs. 3 TMG zu verstehen sind.

Insbesondere zur Zuständigkeit der Aufsichtsbehörden bereitet die vom BGH beschlossene Anwendbarkeit von § 15 Abs. 3 TMG viele Schwierigkeiten, denn dass die Datenschutzaufsichtsbehörden sowohl für die Aufsicht als auch die Verhängung von Bußgeldern zuständig sind, ist alles andere als klar.

An dieser Stelle ein kurzer Exkurs:

Selbstverständlich sind die Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung und Ahndung von Verstößen in Bezug auf die DSGVO zuständig (geregelt in Art. 58 Abs. 1 und 2 DSGVO sowie Art. 83 DSGVO). Ist die DSGVO allerdings aufgrund des beschriebenen Vorrangverhältnisses nicht anwendbar, stellt sich die Frage, wer solche Sachverhalte aus aufsichtsrechtlicher Sicht dann überwacht.

Das TMG selbst enthält keine Zuständigkeitsregelung. Stattdessen kommt an dieser Stelle der Rundfunkstaatsvertrag ins Spiel. Dort ist in § 1 Abs. 1 Hs. 2 RStV geregelt, dass für Telemedien (der juristische Begriff für Webangebote) die Abschnitte IV. bis VI. sowie § 20 Abs. 2 des RStV gelten. Im VI. Abschnitt findet sich sodann unter der Überschrift „Aufsicht“ der § 59 RStV, in dem es in Abs. 1 S. 1 heißt:

„Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden überwachen für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57.“

Weiter heißt es in § 59 Abs. 2 RstV:

„Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden überwacht.“

Daraus folgt zunächst einmal: Geht es um speziell datenschutzrechtliche Belange, sind die Datenschutzaufsichtsbehörden für die Aufsicht zuständig. Für die Aufsicht über die Einhaltung anderer als datenschutzrechtlicher Bestimmungen für Telemedien sind hingegen die jeweiligen Landesmedienanstalten zuständig.

Da der § 15 TMG im Telemediengesetz in Abschnitt „4. Datenschutz“ steht, kann davon ausgegangen werden, dass somit die Datenschutzaufsichtsbehörden deshalb für die Aufsicht zuständig sind. Dieser Meinung ist offenbar auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), wie hier nachzulesen ist.

Nicht ausdrücklich geregelt in § 59 RStV ist jedoch eine Regelung zur Zuständigkeit für die Verteilung von Bußgeldern. Wären die Datenschutzaufsichtsbehörden hierfür nicht zuständig, wären sie beim Thema Cookies und Tracking ein zahnloser Tiger, denn sie könnten zwar wie jetzt Auskunft verlangen, jedoch Verstöße nicht per Bußgeld ahnden. (Ende Exkurs)

Vor diesem Hintergrund wirkt es mutig, dass die Aufsichtsbehörden sich in dieser noch recht unklaren Gesamtgemengelage in einer so umfassenden Aktion auf das Thema Tracking und Cookies stürzen, offenbar ohne eine ausgefeilte rechtliche Argumentation an der Hand zu haben.

Was offenbart der Fragebogen?

Der elfseitige Fragebogen enthält eine Reihe von Fragen, von denen inhaltlich viele wohl erwartbar waren, bei dem jedoch insgesamt die Detailtiefe überrascht.

Der Fragebogen ist in sechs Abschnitte aufgeteilt. Am Anfang steht eine Bestandsaufnahme. Webseitenbetreiber müssen die eingesetzten Dienste sowie die damit verarbeiteten Daten benennen. Schon hier geht es sehr in die Tiefe: Nicht nur muss der Fragebogen ausgefüllt werden – die Dienste müssen auch in den beigefügten Tabellendokumenten minutiös mit vielen technischen Details aufgelistet werden. Viele Anbieter werden dabei wohl Schwierigkeiten bekommen. Obendrauf lässt der Fragebogen an dieser Stelle auch erkennen, dass die Behörden ganz offensichtlich nicht nur den Einsatz von Cookies im Blick haben, sondern sämtliche Tracking-Technologien (wie z. B. Web Storage, Flash-Objekte, Fingerprinting, Tracking mittels TLS SessionIDs, TLS Session Tickets) von der Prüfung erfasst sind. Auch dies ist nicht ganz unproblematisch, da vom BGH bislang nur geklärt wurde, dass der Einsatz von Cookies unter § 15 Abs. 3 TMG fällt. Wie es um andere Technologien bestellt ist, wurde gerichtlich noch nicht geklärt. Neben der Nennung aller Tracking-Technologien müssen auch die jeweiligen Rechtsgrundlagen nebst Erläuterungen angegeben werden.

Im nächsten Abschnitt des Fragebogens geht es um die Art und Weise der Einholung von Einwilligungen. Interessant hierbei: Besonders die Abfrage, wie der Nutzer seine Einwilligung widerrufen kann, ist extrem detailliert (Änderung der Cookie-Einstellungen auf der Website, E-Mail, Kontaktformular, Verweis auf Website des Drittdienstleisters, Verweis auf Browsers-Einstellungen, Sonstige). Offenbar wollen die Behörden wissen, ob sich die Verantwortlichen auch konzeptionelle Gedanken zum Widerruf gemacht haben, wenn sie schon ein Consent-Management-Tool für die Einholung der Einwilligung eingeführt haben.

Nach der Einwilligung geht der Fragebogen auf die andere wichtige Rechtsgrundlage ein, nämlich Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen). Hier müssen sich Verantwortliche darauf vorbereiten, eine dokumentierte Interessenabwägung vorlegen zu können. Etwas überraschend fragen die Behörden in diesem Zusammenhang auch konkret nach der Nutzung des Webangebots durch Minderjährige. Viele Verantwortliche werden hier Erklärungen finden müssen, warum ihr Angebot nicht an unter 16-Jährige gerichtet ist und wie sie deren Nutzung wirksam ausschließen.

Einen weiteren interessanten Abschnitt im Fragebogen gibt es noch zu Datenschutzfolgenabschätzungen (DSFA). Die Behörden wollen wissen, ob die Verantwortlichen in Bezug auf Trackingdienste solche DSFAs durchgeführt haben. Dabei handelt es sich um inhaltlich meist sehr umfangreiche Prüfungen der Risiken von Datenverarbeitungen. Die Behörden verlangen hier eine Begründung, falls man eine solche DSFA nicht durchgeführt hat. Ob daraus ersichtlich wird, dass die Behörden eine solche Folgenabschätzung bei Tracking generell für erforderlich halten, wird allerdings nicht ganz klar.

Was steckt in den zusätzlichen Erläuterungen?

Zusammen mit dem Fragebogen schicken die Behörden noch Erläuterungen an die Medienunternehmen. Besonders hervorzuheben ist dabei der Abschnitt zur Freiwilligkeit der Einwilligung. Dort heißt es:

„Dies setzt prinzipiell voraus, dass der Nutzer eine echte Auswahlentscheidung treffen kann, also eine Datenverarbeitung auch ablehnen kann oder eine vergleichbare Alternative zur Auswahl steht. Optionen wie „Verstanden“, „Alles klar“, „Ja und weiter“ oder „Einverstanden“ entsprechen in aller Regel keiner Einwilligung.“

Dieser Hinweis ist insbesondere für die Gestaltung von Consent-Management-Plattformen (CMPs) interessant. Denn derzeit tobt hier die Debatte, ob der Nutzer nur dann eine „freie Wahl“ hat, wenn ihm im Consent-Banner die Möglichkeiten „Ja / Nein“ als Buttons gegeben werden, oder ob auch Gestaltungen wie „Ja / Weitere Einstellungen“ rechtskonform sind.

Hier lässt der oben zitierte Passus zumindest vermuten, dass die Aufsichtsbehörden auch andere Gestaltungsmöglichkeiten als ein klares „Ja/Nein“ für rechtmäßig halten, da hiernach eine „Ablehnung oder vergleichbare Alternative“ zur Auswahl stehen muss und solche Gestaltungen ggf. als „vergleichbare Alternative“ angesehen werden können.

Fazit

Mit ihrer länderübergreifenden Aktion bringen die Aufsichtsbehörden Schwung in die Debatte rund um den Einsatz von Cookies und Tracking-Technologien. Grundsätzlich ist es zwar zu begrüßen, dass in diesem – von Unklarheiten geprägten – Rechtsbereich eine Klärung der für Verantwortliche wichtigen Fragen vorgenommen wird. Allerdings wirken die rechtlichen Inhalte in den Behördenschreiben so, als ob man hier die rechtliche Situation nach dem BGH-Urteil in Sachen „Planet 49“ nicht wirklich sauber durchdacht hat. Vielmehr wirkt es wie der etwas grobschlächtige Versuch, die alte Rechtsauffassung der DSK um jeden Preis auch unter Geltung von § 15 Abs. 3 TMG durchboxen zu wollen. Dass auf dieser wackeligen rechtlichen Grundlage der Fragebogen umso detaillierter ausfällt, wirkt fast ironisch.

Trotzdem sollten die Verantwortlichen in Unternehmen, die noch nicht von der Aktion der Behörden betroffen sind aber dennoch Trackingdienste betreiben, dies zum Anlass nehmen aktiv zu werden. Wichtige To-Dos für Unternehmen sind jetzt:

  • Sie sollten in jedem Fall eine umfassende Prüfung der eigenen Tracking-Dienste vornehmen. Dabei kann der hier vorgelegte Fragebogen als Orientierungshilfe dienen. Klären Sie für sich, ob Sie die dort aufgeworfenen Fragen ohne weitere Probleme beantworten könnten. In der Regel ist dies nicht ohne Zuhilfenahme der Drittanbieter möglich. Sollten Ihnen Informationen von Drittanbietern für eingesetzte Dienste fehlen, treten Sie bereits jetzt an diese heran und versuchen Sie sich die notwendigen Informationen zu beschaffen.
  • Klären Sie Ihre Rechtsgrundlagen. Setzen Sie auf Einwilligungen oder operieren Sie auf Basis berechtigter Interessen?
  • Wenn Sie mit Einwilligungen arbeiten, ist es von zentraler Bedeutung, dass diese wirksam eingeholt werden und der Nutzer eine effektive Widerrufsmöglichkeit hat.
  • Wenn sie sich auf berechtigte Interessen berufen, sollten Sie eine detaillierte Dokumentation der Interessenabwägung in der Schublade haben. Spielen Sie hier nicht auf Zeit: Wenn ein solches Auskunftsschreiben der Behörde wie oben dargestellt in Ihren Briefkasten flattert, ist es aufgrund der kurzen Fristen kaum bis sehr schwer möglich, die entsprechenden Dokumentationen noch „auf die Schnelle“ zu erstellen.

Sofern Sie Fragen zur Aktion der Aufsichtsbehörden haben oder Unterstützung bei den notwendigen Schritten benötigen, zögern Sie nicht, uns anzusprechen.

Google Analytics datenschutzkonform einsetzen: aktuelle Hinweise der Aufsichtsbehörden

Eine Frage, die uns von Website-Betreibern immer wieder gestellt wird, ist die nach dem rechtskonformen Einsatz des beliebten Webanalyse-Tools „Google Analytics“. Wie stellt man das Tool korrekt ein? Brauche ich eine Einwilligung meiner Besucher? Handelt es sich um eine Auftragsverarbeitung? Solche Fragen sind Dauerbrenner in unserer Beratungspraxis.

Dass bei Google Analytics (GA) eine erhebliche Rechtsunsicherheit seitens der User besteht, ist auch den Aufsichtsbehörden bekannt, weshalb sie in der Vergangenheit immer wieder Hinweise zum datenschutzgerechten Einsatz machten. Zuletzt gaben sie in einer konzentrierten Aktion im November 2019 eine gemeinsame Pressemitteilung heraus, in der sie darauf hinwiesen, dass der Einsatz von GA in Zukunft nur noch auf Basis einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO möglich sei. Da diese Pressemitteilung allerdings nicht sonderliche viele Anwendungshinweise enthielt, haben die Aufsichtsbehörden im Mai 2020 über die Datenschutzkonferenz (DSK) nachgelegt und „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ veröffentlicht.

Bemerkenswert ist dabei schon der folgende Umstand: Die DSK macht gleich zu Beginn des Textes klar, dass alle Angaben „unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Europäischen Datenschutzausschuss und der Rechtsprechung des EuGH“ stünden. Das am 12. Mai 2020 schon absehbare und am 28. Mai 2020 ergangene Urteil des Bundesgerichtshofs in der Rechtssache „Planet49“ (Az. I ZR 7/16, wir berichteten), das unmittelbar auch Einfluss auf den Einsatz von Cookies zu Werbe- und Analysezwecken hat, ignorieren die Aufsichtsbehörden dabei. Jeder Leser der Behörden-Hinweise zu Google Analytics sollte also im Auge behalten, dass diese Hinweise vor dem BGH-Urteil verfasst wurden und somit die maßgeblichen Erwägungen des Bundesgerichtshofs nicht berücksichtigen. Warum man hier nicht noch knapp zwei Wochen abwarten konnte, ist unklar.

Noch einen weiteren Hinweis fügt die DSK am Anfang des Textes ein: Ihre Ausführungen seien als eine Ergänzung der bestehenden Orientierungshilfe für Anbieter von Telemedien zu verstehen und keine Empfehlung zum Einsatz von GA, sondern nur eine Beschreibung der datenschutzrechtlichen Mindestanforderungen. Im Übrigen fänden die Hinweise keine Anwendung, wenn der Nutzer von den empfohlenen Standardeinstellungen abweicht oder Google Analytics 360 verwendet. An dieser Stelle eine Hilfestellung von uns: Mit den „empfohlenen Standardeinstellungen“ meint die DSK die im folgenden Screenshot dargestellten vier Ankreuzfelder, die bei der Anmeldung für GA standardmäßig aktiviert sind und eine Datenfreigabe an Google enthalten.

Screenshot: Anmeldemaske von Google Analytics, abrufbar unter https://analytics.google.com/analytics/web/provision/#/provision/create.

Werden diese vier Kästchen deaktiviert, finden die rechtlichen Bewertungen der DSK und die darauf basierenden Hinweise keine Anwendung. Warum Sie diese vier Kästchen auch gerade deshalb deaktivieren sollten, erklären wir weiter unten.

Nach dieser ganzen Vorrede nun zu den inhaltlichen Aussagen des DSK-Papiers:

Rechtsverhältnis zwischen Nutzer und Google

Als erstes stellt die DSK fest, dass es sich beim Verhältnis zwischen dem Anwender und Google nicht um ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO handelt. Ein solches läge schließlich nur vor, wenn der Nutzer die Zwecke und Mittel der Verarbeitung selbst bestimmen und Google die Daten allein auf Weisung des Nutzers verarbeiten würde. Dies sei aber bei GA nicht der Fall. Vielmehr würden die Zwecke und Mittel (teilweise) allein von Google vorgegeben. Zwar biete Google einen Auftragsverarbeitungsvertrag (AVV) für GA an, gleichzeitig sei nach den Standardeinstellungen aber der Abschluss eines Controller-to-Controller-Vertrags erforderlich, da Google für bestimmte Verarbeitungsvorgänge selbst davon ausgeht, eigenständiger Verantwortlicher zu sein [Anmerkung: Laut Google wird ein solcher Controller-to-Controller-Vertrag abgeschlossen, wenn das Kästchen „Google-Produkte und -Dienste“ oben im Screenshot aktiviert ist]. Ein solcher Wechsel zwischen der Stellung als Verantwortlicher und Auftragsverarbeiter sei aber nicht möglich, da die fragliche Datenverarbeitung einen einheitlichen Lebensvorgang darstellen würde.

Die Folge: Nach Ansicht der DSK ist die Rechtsbeziehung zwischen Google und dem Nutzer als gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO zu klassifizieren. Es müsste daher eigentlich ein entsprechender Vertrag zwischen Google und dem Nutzer abgeschlossen werden, den Google allerdings derzeit nicht anbietet. Auf diesen Umstand geht die DSK nicht ein.

Rechtsgrundlage

Die DSK geht davon aus, dass GA „in der Regel“ nur mit einer Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO genutzt werden könne. Ein Einsatz auf Basis berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO scheide dagegen regelmäßig aus, da die Interessen der Websitebesucher die der Websitebetreiber überwiegen würden. Die DSK dazu:

„Insbesondere rechnet der Nutzer vernünftigerweise nicht damit, dass seine personenbezogenen Daten mit dem Ziel der Erstellung personenbezogener Werbung und der Verknüpfung mit den aus anderen Zusammenhängen gewonnenen personenbezogenen Daten an Dritte weitergegeben und umfassend ausgewertet werden.“

An dieser Stelle wird besonders deutlich, dass die DSK ihre Hinweise vor Verkündung des BGH-Urteils in der Rechtssache „Planet49“ veröffentlichte. Die DSK geht hier – wie schon in ihrer Orientierungshilfe Telemedien (S. 2-6) – offenbar davon aus, dass eine richtlinienkonforme Auslegung des § 15 Abs. 3 S. 1 TMG nicht möglich und die Norm daher nicht anwendbar sei. Ein anderes Verständnis deutet hingegen die Pressemitteilung des Bundesgerichtshofs an. Danach scheint der BGH der Ansicht zu sein, dass § 15 Abs. 3 S. 1 TMG sehr wohl richtlinienkonform auslegbar und damit anwendbar sei. Dies hätte Auswirkungen auf die Frage, ob ein Rückgriff auf die Rechtsgrundlagen der DSGVO überhaupt erforderlich ist.

Zusätzlich ist nochmals anzumerken, dass diese Rechtsauffassung der DSK immer nur für den Fall gilt, dass die oben beschriebenen Standardeinstellungen gewählt werden und sämtliche Datenfreigabeoptionen aktiviert sind.

Die Folge: Die DSK hat ihre Rechnung ohne den Bundesgerichtshof gemacht. Ob ihre Einschätzung von Mitte Mai auch weiterhin haltbar ist, wird sich hoffentlich zeigen, wenn die Urteilsgründe des BGH zur Rechtssache „Planet49“ veröffentlicht sind. Unsere Vorschläge zum weiteren Vorgehen lesen Sie unten.

Von der DSK empfohlene Maßnahmen

Die DSK listet (relativ untypisch für sie) einige halbwegs konkrete Maßnahmen auf, die bei der Einholung der Einwilligung berücksichtigt werden müssen.

„Website-Betreiber müssen sicherstellen, dass die Einwilligung die konkrete Verarbeitungstätigkeit durch die Einbindung von Google Analytics und damit verbundene Übermittlungen des Nutzungsverhaltens an Google LLC erfasst.

In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. Ein bloßer Hinweis wie z.B. „diese Seite verwendet Cookies, um Ihr Surferlebnis zu verbessern“ oder „verwendet Cookies für Webanalyse und Werbemaßnahmen“ ist nicht ausreichend, sondern irreführend, weil die damit verbundenen Verarbeitungen nicht transparent gemacht werden.

Nutzer müssen aktiv einwilligen, d.h. die Zustimmung darf nicht unterstellt und ohne Zutun des Nutzers voreingestellt sein. Ein Opt-Out-Verfahren reicht nicht aus, vielmehr muss der Nutzer durch aktives Tun (z. B. Anklicken eines Buttons) seine Zustimmung zum Ausdruck bringen. Google muss ausdrücklich als Empfänger der Daten aufgeführt werden. Vor einer aktiven Einwilligung des Nutzers dürfen keine Daten erhoben oder Elemente von Google-Websites nachgeladen werden. Auch das bloße Nutzen einer Website (oder einer App) stellt keine wirksame Einwilligung dar.

Freiwillig ist die Einwilligung nur, wenn die betroffene Person Wahlmöglichkeiten und eine freie Wahl hat. Sie muss eine Einwilligung auch verweigern können, ohne dadurch Nachteile zu erleiden. Die Koppelung einer vertraglichen Dienstleistung an die Einwilligung zu einer für die Vertragserbringung nicht erforderlichen Datenverarbeitung kann gemäß Art. 7 Abs. 4 DS-GVO dazu führen, dass die Einwilligung nicht freiwillig und damit unwirksam ist.“

Auch einige Gestaltungshinweise werden gegeben:

Klare, nicht irreführende Überschrift – bloße „Respektbekundungen“ bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Datenverarbeitung Ihrer Nutzerdaten durch Google“.

Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.

Der Gegenstand der Einwilligung muss deutlich gemacht werden: Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.

Der Zugriff auf das Impressum und die Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden.“

Darüber hinaus muss der Websitebetreiber eine dauerhaft verfügbare Widerrufsmöglichkeit implementieren, beispielsweise in Form einer Schalftfläche. Der bloße Hinweis auf das von Google bereitgestellte Browser-Add-On zur Deaktivierung von GA reiche nicht aus (insbesondere weil das Add-On nicht für Apps greife). Zusätzlich muss in der Datenschutzerklärung die Verwendung von GA transparent und umfassend beschrieben werden. Schließlich muss die die Funktion „anonymizeIp()“ zur Kürzung der erfassten IP-Adressen aktiviert werden.

Bewertung der Hinweise der DSK

In den Dschungel der Anforderungen an einen rechtskonformen Einsatz von Google Analytics versucht die DSK mit ihren Hinweisen etwas Licht zu bringen. Leider gelingt dies nur zu einem sehr geringen Teil. Größte Kritikpunkte an dem Papier sind, dass zum einen nicht erklärt wird, wie die Behörden die Situation sehen, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe vom Nutzer deaktiviert werden und zum anderen, dass das BGH-Urteil „Planet49“ nicht abgewartet wurde.

Aufgrund dieser Kritikpunkte bleiben weiterhin viele Fragen offen:

  • Wie bewertet die DSK die Situation, wenn die oben im Screenshot aktivierten Punkte zur Datenfreigabe, die standardmäßig aktiviert sind, vom Nutzer deaktiviert werden? Liegt dann wieder eine Auftragsverarbeitung vor?
  • Wenn die DSK davon ausgeht, dass unter den Standardeinstellungen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt: Wie sollen Websitebetreiber GA rechtskonform nutzen, wenn ein solcher Vertrag von Google derzeit nicht angeboten wird?
  • Wie sieht die rechtliche Bewertung zur Frage der Einwilligung nach dem Urteil des Bundesgerichtshofs nun aus? Geht die DSK weiterhin davon aus, dass eine Einwilligung grundsätzlich erforderlich aber ein Einsatz auf Basis von Art. 6 Abs. 1 lit. f DSGVO prinzipiell möglich ist – zum Beispiel wenn die Datenfreigabe vom Nutzer deaktiviert wurde?

Unser Rat

Die Stellungnahme der DSK hat keine eigene Rechtswirkung, sondern spiegelt nur die Auffassung der Aufsichtsbehörden zur Auslegung der DSGVO wider. Ob diese Auffassung richtig ist, müssen letztlich die Gerichte entscheiden. Im Fall von GA ist die Situation zudem insofern besonders, als dass nach Veröffentlichung der Hinweise der DSK noch der Bundesgerichtshof entschieden hat und unklar ist, wie die Behörden mit dieser Entscheidung umgehen werden.

Unter diesen Voraussetzungen sollten Nutzer von GA sich auf drei wesentliche Punkte konzentrieren:

  1. Rechtsverhältnis: Wenn sie sich entscheiden, die Standardeinstellungen zur Datenfreigabe an Google beizubehalten, besteht zwischen Ihnen und Google höchstwahrscheinlich eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Den dafür erforderlichen Vertrag bietet Google derzeit nicht an, so dass GA unter diesen Voraussetzungen nicht guten Gewissens eingesetzt werden kann. Wir empfehlen daher, in jedem Fall sämtliche Datenfreigaben zu deaktivieren. Ob dann automatisch ein Auftragsverarbeitungsverhältnis besteht, wie von Google angenommen, wird von den Behörden nicht erörtert. Sofern Sie hierzu eine rechtliche Einschätzung benötigen, kontaktieren Sie uns gern.
  2. Rechtsgrundlage für den Einsatz von GA: Ob tatsächlich in jedem Fall eine Einwilligung des Nutzers beim Einsatz von GA eingeholt werden muss, insbesondere bei deaktivierter Datenfreigabe, kann nach wie vor kaum verlässlich gesagt werden. Wir hoffen, dass die Urteilsgründe des BGH in Sachen „Planet49“ mehr Klarheit bringen werden. Wir beraten Sie gern, wie Sie in der Übergangszeit am besten vorgehen sollten.
  3. Gestaltung der Einwilligung: Sofern Sie auf Nummer sicher gehen und eine Einwilligung einholen möchten, sollten Sie die Gestaltungshinweise der DSK beachten. Sehr interessant ist dabei, dass der Websitebetreiber in der Einwilligungserklärung grundsätzlich darüber aufklären muss, was genau mit den Daten passiert. Mit anderen Worten muss darüber aufgeklärt werden, was genau Google mit den Daten anstellt. Das ist mit den von Google bereitgestellten Informationen aber kaum möglich. Der DSK reicht es hier aber offenbar aus, dass auf diesen Umstand hingewiesen wird, wenn sie ausführt:
    In der Einwilligung muss klar und deutlich beschrieben werden, dass die Datenverarbeitung im Wesentlichen durch Google erfolgt, die Daten nicht anonym sind, welche Daten verarbeitet werden und dass Google diese zu beliebigen eigenen Zwecken wie zur Profilbildung nutzt sowie mit anderen Daten wie eventueller GoogleAccounts verknüpft. […] Anwender von Google Analytics müssen deutlich machen, für welchen Zweck Google Analytics verwendet wird, dass die Nutzungsdaten von Google LLC verarbeitet werden, diese Daten in den USA gespeichert werden, sowohl Google als auch staatliche Behörden Zugriff auf diese Daten haben, diese Daten mit anderen Daten des Nutzers wie beispielsweise dem Suchverlauf, persönlichen Accounts, den Nutzungsdaten anderer Geräte und allen anderen Daten, die Google zu diesem Nutzer vorliegen, verknüpft werden.“

Europäischer Datenschutzausschuss: Richtlinie zu den Anforderungen an die Einwilligung unter der DSGVO

Auch wenn der europäische Datenschutzausschuss (EDSA) die vielen geläufige Art. 29 Datenschutzgruppe bereits mit Einführung der Datenschutzgrundverordnung im Mai 2018 abgelöst hat, ist er bislang in der Öffentlichkeit noch nicht besonders in Erscheinung getreten. Das hat sich Anfang Mai geändert, denn die aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) bestehende Organisation hat am 4. Mai eine Richtlinie zum Umgang mit Einwilligungen nach der DSGVO veröffentlicht, mit der sie die Anforderungen an eine wirksame Einwilligung insbesondere im Zusammenhang mit dem Betrieb von Webseiten weiter konkretisiert.

In weiten Teilen entspricht die neue Richtlinie dabei dem früheren Arbeitspapier der Artikel-29-Datenschutzgruppe WP 259.01. Aufgrund aktueller Entwicklungen in der Onlinewelt sah sich der Ausschuss aber offensichtlich veranlasst, zwei Themen im Zusammenhang mit der Einwilligung genauer zu beleuchten: Zum einen die Zulässigkeit von so genannten „Cookie-Walls“, zum anderen die Frage, ob die bloße Weiternutzung einer Webseite zum Beispiel durch Scrollen eine Einwilligung darstellen kann.

1. „Cookie-Walls“

Neu sind die Ausführungen des EDSA zu so genannten „Cookie-Walls“ in den Rz. 38-41 der Richtlinie. In diesem Abschnitt geht es grundsätzlich um die Frage der Freiwilligkeit der Einwilligung und das Kopplungsverbot in Art. 7 Abs. 4 DSGVO.

Art. 7 Abs. 4 DSGVO sieht vor:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Der EDSA argumentiert zunächst, dass eine Einwilligung nicht freiwillig sein kann, wenn sie zur Voraussetzung für die Durchführung eines Vertrages oder die Erbringung einer Dienstleistung gemacht wird und die Daten nicht erforderlich für diesen Dienst sind. Anders sieht es hingegen aus, wenn der von der Datenverarbeitung Betroffene eine Auswahlmöglichkeit hat: Lässt der Verantwortliche ihn entscheiden, ob er (a) in eine Datenverarbeitung einwilligen möchte, die für die Erbringung des Dienstes nicht erforderlich ist, oder (b) er einen gleichwertigen Dienst ohne Einwilligung in die Datenverarbeitung nutzen kann, so ist von einer Freiwilligkeit auszugehen. Dies setzt jedoch voraus, dass die vom selben Verantwortlichen angebotenen Dienste wirklich gleichwertig sind.

Anders sieht es nach Ansicht des EDSA hingegen aus, wenn der Verantwortliche den Nutzer vor folgende Wahl stellt: (a) „Sie nutzen meinen Dienst und willigen in eine Datenverarbeitung ein, die für die Erbringung des Dienstes nicht erforderlich ist“, oder (b) „Sie nutzen einen vergleichbaren Dienst eines anderen Anbieters, der ohne Einwilligung in die Datenverarbeitung funktioniert“. Ein solches „Aussperren“ der Nutzer mit Verweis auf Fremdangebote stellt in den Augen des Ausschusses keine echte gleichwertige Wahlmöglichkeit für Nutzer da, weshalb die auf eine solche Auswahlmöglichkeit erteilte Einwilligung als unwirksam, weil nicht freiwillig, eingestuft wird.

Als Beispiel führt der EDSA folgenden Fall an (von uns frei übersetzt):

„Beispiel 6a: Ein Website-Anbieter setzt ein Skript ein, das die Sichtbarkeit von Inhalten blockiert, mit Ausnahme einer Aufforderung zur Annahme von Cookies und der Information, welche Cookies gesetzt werden und zu welchen Zwecken Daten verarbeitet werden. Es gibt keine Möglichkeit, auf den Inhalt zuzugreifen, ohne auf die Schaltfläche „Cookies akzeptieren“ zu klicken.

Da der betroffenen Person keine echte Wahlmöglichkeit geboten wird, wird ihre Zustimmung nicht frei gegeben. Dies stellt keine gültige Einwilligung dar, da die Bereitstellung des Dienstes davon abhängt, dass die betroffene Person auf die Schaltfläche „Cookies akzeptieren“. Es wird keine echte Wahlmöglichkeit angeboten.“

Für „Cookie-Walls“ bedeutet dies zukünftig:

  • Die Einwilligung des Nutzers ist nur freiwillig, wenn es eine Möglichkeit gibt, das Webangebot eines Webseitenbetreibers auch ohne Einwilligung in eine nicht für den Betrieb der Webseite erforderliche Datenverarbeitung (beispielsweise der Einsatz von Marketing-Cookies) zu nutzen.
  • Der Webseitenbetreiber darf dabei nicht auf ein Drittangebot als Alternative verweisen.
  • Erlaubt bleibt demnach ein „Abo-oder-Tracking-Modell“, wie es ursprünglich derstandard.at in Österreich entwickelte und das nun auch auf deutschen Nachrichtenwebseiten anzutreffen ist, unter anderem bei spiegel.de oder zeit.de. Hier wird dem Nutzer vom selben Anbieter eine echte Wahlmöglichkeit gegeben, das Webseitenangebot entweder mit der (nicht erforderlichen) Datenverarbeitung zu nutzen, oder aber ein Abo abzuschließen und die (nicht erforderlichen) Datenverarbeitung zu vermeiden. Wichtig ist in diesem Zusammenhang jedoch, dass die angebotenen Dienste gleichwertig sein müssen. Wann von einer Gleichwertigkeit ausgegangen werden kann, wird vom EDSA leider nicht erwähnt. Aus unserer Sicht ist dieser Punkt alles andere als unproblematisch, insbesondere im Zusammenhang mit Presse-Webseiten: Wie der Fall derstandard.at zeigt, in dem sich ein Nutzer über das Abo-Modell bei der zuständigen Datenschutzbehörde beschwert hatte, werden die Aufsichtsbehörden die Gleichwertigkeit der Dienste im Wesentlichen danach bewerten, wie hoch der Preis für das Abo-Modell ist. So entschied auch die österreichische Datenschutzbehörde im Fall derstandard.at (den Beschluss gibt es hier zum Nachlesen): „Das O**-Abo ist mit einem Preis von 6 Euro monatlich ab dem zweiten Monat auch keine unverhältnismäßig teure Alternative.“ Dass sich nun Datenschutzaufsichtsbehörden dazu aufschwingen, ohne explizite gesetzliche Grundlage über die Preiskalkulation von Presseorganen zu entscheiden, muss rechtlich – insbesondere vor dem Hintergrund, dass die Pressefreiheit nach dem Grundgesetz auch eine „Pressefinanzierungsfreiheit“ beinhaltet – als zweifelhaft bewertet werden.

2. Weiterscrollen ist keine Einwilligung

Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung unmissverständlich zum Ausdruck gebracht werden. Es bedarf also einer ausdrücklichen Erklärung oder einer anderen, eindeutig bestätigenden Handlung. In diesem Zusammenhang stellt sich die Frage, ob nicht auch dann von einer eindeutig bestätigenden Handlung ausgegangen werden kann, wenn der Webseitenbetreiber den Nutzer darauf hinweist Durch weiterscrollen/weitersurfen willigen Sie in die Datenverarbeitung ein“ und der Nutzer anschließend genau solche Handlungen vornimmt.

Diesem Ansatz schiebt der EDSA einen deutlichen Riegel vor (Beispiel 16 der Richtlinie):

„Aktionen wie das Scrollen oder Streichen durch eine Webseite oder ähnliche Benutzeraktivitäten genügen unter keinen Umständen dem Erfordernis einer eindeutigen und bestätigenden Handlung“ (Rz. 86 der Richtlinie)

Als Begründung führt der Ausschuss an, dass solche Aktionen sich nur schwer von anderen Aktivitäten oder Interaktionen eines Benutzers unterscheiden ließen. Auch könne nicht davon ausgegangen werden, dass Nutzer den Hinweis auf die Einwilligung durch Weiterscrollen wirklich vor der Interaktion zur Kenntnis nehmen würden, weil die Vielzahl von Cookie- und Consent-Bannern mittlerweile dazu führe, dass eine gewisse Müdigkeit der Nutzer entstehe und Hinweise nicht mehr wirklich gelesen würden. Darüber hinaus sei es in einem solchen Fall für den Nutzer kaum möglich, die Einwilligung auf eine Art und Weise zu widerrufen, die so einfach ist wie die Erteilung der Einwilligung (Art. 7 Abs. 3 S. 4 DSGVO).

Dass das bloße Weitersurfen keine aktive Einwilligung mehr darstellt, hatten wir bereits in unserer Besprechung des EuGH-Planet-49-Urteils hier im Blog dargestellt (Link). Insofern ist diese Klarstellung des europäischen Datenschutzausschusses für Eingeweihte nichts Neues – insbesondere in Italien und Spanien wurde diese Rechtsauffassung aber noch vertreten.

Trotzdem können Verantwortliche in anderen Zusammenhängen weiterhin auf einen Consent-Flow setzen, bei dem auch physische Bewegungen als eindeutige bestätigende Handlungen akzeptiert werden. Die für die Verarbeitung Verantwortlichen müssen dafür Mehrdeutigkeiten vermeiden und sicherstellen, dass die Handlung, durch die die Einwilligung erteilt wird, von anderen Handlungen klar unterschieden werden kann.

Als Beispiel nennt der EDSA (frei übersetzt):

„Beispiel 15: Streichen eines Balkens auf einem Bildschirm, Winken vor einer smarten Kamera oder Drehen eines Smartphones etwa im Uhrzeigersinn oder in einem Achter-Bewegung können Optionen sein, um eine Einwilligung wirksam zu erteilen, solange vorab eindeutige Informationen zur Verfügung gestellt werden, dass mit dieser Bewegung die Zustimmung zu einer bestimmten Anfrage erteilt wird (zum Beispiel „wenn Sie diesen Balken nach links streichen, erklären Sie sich mit der Verwendung von Information X für den Zweck Y einverstanden. Wiederholen Sie die Bewegung zur Bestätigung.“).“

Praktische Folgen kurz zusammengefasst:

  • Sofern Sie bislang auf das Einholen einer Einwilligung durch bloßes Weitersurfen des Nutzers gesetzt haben, sollten Sie dies spätestens jetzt dringend umstellen. Entsprechende Texte sind aus Consent-Bannern zu löschen.
  • Abseits von Webseiten können physische Bewegungen auch weiterhin zur Einholung einer Einwilligung (bspw. in Apps durch Swipen eines Balkens) eingesetzt werden, sofern sich die Bewegung klar von üblichen Bewegungen bei der Nutzung des Dienstes unterscheidet und der Nutzer vorab informiert wird.

Insgesamt ist abschließend darauf hinzuweisen, dass es sich bei den Vorgaben in den Richtlinie des EDSA nicht um verbindliche rechtliche Vorgaben handelt, sondern nur um die bloße Auffassung der nationalen europäischen Aufsichtsbehörden. Insofern haben die Ausführungen keinen bindenden Charakter und deuten nur an, in welche Richtung sich die Aufsichtsbehörden in ihrer Aufsichtspraxis wohl entwickeln werden. Letztlich werden die Gerichte entscheiden.

Die Einwilligung ist nicht „besser“ als das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO

VG Mainz: Einwilligung nicht besser als Interessenabwägung

Die DSGVO kennt in Art. 6 Abs. 1 sechs Rechtsgrundlagen, auf die eine Datenverarbeitung gestützt werden kann. Der Verordnungsgeber hat diese sechs Erlaubnistatbestände in den Buchstaben a–f hintereinander aufgezählt. Dass die Einwilligung dabei an erster Stelle in Buchstabe a zu finden ist, sagt nichts darüber aus, dass diese Rechtsgrundlage über den anderen steht oder in irgendeiner Weise „besser“ ist als die anderen.

Häufige Fehlvorstellung: Einwilligung hat keinen Vorrang

Immer wieder sieht man in Gerichtsentscheidungen aber liest in der juristischen Literatur, dass von einem Vorrang der Einwilligung ausgegangen wird, diese insofern als „besser“ oder datenschutzfreundlicher wahrgenommen wird.

So entschied beispielsweise der bayerische Verwaltungsgerichtshof in seinem Beschluss zur Weitergabe gehashter E-Mail-Adressen im Rahmen von Facebook Custom Audiences , dass die Datenweitergabe an Facebook auf Basis berechtigter Interessen (die Entscheidung erging noch zum alten BDSG, als Rechtsgrundlage wurde aber eine Norm vergleichbar zu Art. 6 Abs. 1 lit. f DSGVO herangezogen) nicht rechtmäßig sei. Als Begründung wurde unter anderem angeführt, die Datenverarbeitung auf dieser Rechtsgrundlage sei nicht erforderlich, weil das Unternehmen ja problemlos eine Einwilligung hätte einholen können:

„Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Ast. ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der Ast., bei Vorliegen vertraglicher Beziehungen falle die Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium i.R.d. Interessenabwägung. Es ist eine Frage des Einzelfalls, welche Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die Interessenabwägung in der Gesamtheit haben. …“

(BayVGH, Beschl. vom 26.9.2018, Az. 5 CS 18.1157, ZD 2019, 43, Rz. 29)

Ein solches Rechtsverständnis würde in der Praxis zu erheblichen Problemen führen, denn mit dieser Argumentation wäre in bestehenden Vertragsbeziehungen eine Datenverarbeitung auf Grundlage berechtigterer Interessen (Art. 6 Abs. 1 lit. f DSGVO) so gut wie nie möglich, denn man könnte dem Verantwortlichen immer vorhalten, dass es ihm ja möglich gewesen wäre, eine Einwilligung im Rahmen der bestehenden Rechtsbeziehung einzuholen.

Aktuelles Urteil des VG Mainz: Gleichwertigkeit der Rechtsgrundlagen

Umso erfreulicher ist es daher, dass das Verwaltungsgericht Mainz in einem aktuellen Urteil auf die Gleichwertigkeit der Rechtsgrundlagen ausdrücklich hinweist. In der Entscheidung ging es zwar nicht um das Onlinemarketing, sondern um die Datenweitergabe einer Tierarztpraxis an eine Verrechnungsstelle. Die folgenden Ausführungen haben jedoch allgemein Gültigkeit:

„Auf dieser Rechtsgrundlage kann eine Datenübertragung unabhängig vom Verhalten des Betroffenen – insbesondere ohne eine Einwilligung i.S.d. Art. 6 Abs. 1 Satz 1 lit. a, Art. 7 DSGVO – zulässig sein. Schließlich sind die in Art. 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (vgl. Schulz, in: Gola, DSGVO, 2. Aufl. (2018), Art. 6, Rn. 10).“

(VG Mainz Urt. v. 20.2.2020, Az. 1 K 467/19, BeckRS 2020, 5397, Rz. 27)

Dieser Aussage des VG Mainz ist auf ganzer Linie zuzustimmen. Schließlich stellt es einen erheblichen Eingriff in die Grundrechte des datenschutzrechtlich Verantwortlichen dar, wenn man davon ausginge, die Einwilligung hätte grundsätzlich Vorrang. Es ist daher Aufgabe von Verantwortlichen, Behörden und Gerichten, nicht in die „Einwilligungsfalle“ zu tappen und diesen Gedanken im Rahmen von Interessenabwägungen außen vor zu lassen.

Französische Datenschutzbehörde kündigt „Cookie-Untersuchungen“ an

Am 12. März veröffentlichte die französische Datenschutzbehörde CNIL ihre jährliche „Inspektionsstrategie“ für 2020. Die CNIL führt jedes Jahr etwa mehrere hundert Inspektionen durch.

Die CNIL kündigte an, dass sich etwa 20 % ihrer Inspektionen für 2020 im Rahmen dieser Strategie auf die folgenden drei Themen konzentrieren werden:

  1. Sicherheit von Gesundheitsdaten: Die jüngsten Entwicklungen in Bezug auf Gesundheitsdaten zeigten, dass der Sicherheit der Aktivitäten zur Verarbeitung von Gesundheitsdaten Aufmerksamkeit geschenkt werden solle.
  2. Geolokalisierung für Gemeinschafts- oder Nahverkehrsdienste (z.B. Empfehlung geeigneter Transportmodi auf der Grundlage einer definierten Route, Reiseoptimierung usw.): Die Inspektionen konzentrieren sich auf die Verhältnismässigkeit der in diesem Zusammenhang erhobenen Personendaten, die von der Organisation festgelegten Aufbewahrungsfristen, die Information der Personen über die Datenverarbeitung und die zum Schutz der Daten getroffenen Sicherheitsmassnahmen.
  3. Verwendung von Cookies und ähnlichen Technologien: Am 18. Juli 2019 veröffentlichte die CNIL in dieser Hinischt bereits neue Richtlinien zu Cookies und ähnlichen Technologien, die die Cookie-Empfehlungen der CNIL aus dem Jahr 2013 aufheben und die für die Verwendung von Cookies und ähnlichen Technologien in Frankreich geltenden Regeln neu konzipieren.

Darüber hinaus veröffentlichte die CNIL am 14. Januar 2020 Empfehlungen zu den praktischen Modalitäten für die Einholung der Einwilligung der Benutzer zur Speicherung oder zum Lesen von „nicht-essentiellen“ Cookies und ähnlichen Technologien.

Diese Empfehlungen standen bis zum 25. Februar 2020 zur öffentlichen Konsultation offen. Wichtig zu wissen ist insoweit, dass diese Empfehlungen keinen Gesetzescharakter haben. Eine endgültige Version der Empfehlungen wird in den kommenden Wochen veröffentlicht werden. Die CNIL wird dann nach der Verabschiedung der endgültigen Empfehlungen eine Frist von sechs Monaten einräumen, bevor sie ihre neuen Richtlinien in Kraft setzt. Die Untersuchungen werden voraussichtlich – aber abhängig von der COVID-19 Entwicklung – im Herbst 2020 beginnen und im Jahr 2021 fortgesetzt.