Neues von der ePrivacy-Verordnung

Neuer Entwurf mit Bedeutung für die Online-Werbebranche vorgelegt

Die von vielen totgesagte ePrivacy-Verordnung lebt noch. Nachdem es der finnischen Ratspräsidentschaft angesichts zahlreicher Unstimmigkeiten zwischen den Mitgliedsstaaten nicht gelungen war, einen Konsens zu finden, hieß es Ende 2019, dass ein komplett neuer Entwurf her müsse. Nun hat die kroatische Ratspräsidentschaft jedoch am 21. Februar 2020 auf Basis des bisherigen Entwurfs einige Änderungen vorgeschlagen, die insbesondere für die Online-Werbebranche relevant sind.

Geändert werden sollen nach dem neuen Entwurf die Artikel 6 und 8 sowie die dazugehörigen Erwägungsgründe. Maßgeblich für die Onlinewerbebranche sind die Änderungen in Art. 8 („Schutz der Endgeräteinformationen von Endbenutzern“), der als Nachfolgenorm zu Art. 5 Abs. 3 der ePrivacy-Richtlinie den Einsatz von Tracking-Technologien (wie z.B. Cookies) regeln soll.

Nun doch: Interessenabwägung wie in der DSGVO

Nachdem die bisherigen Entwürfe der ePrivacy-Verordnung vor allem auf die Einwilligung beim Einsatz von Tracking-Technologien setzten, wird durch den neuen Entwurf nun eine Abwägungslösung ins Spiel gebracht, die in Teilen an die aus der DSGVO bekannte Interessenabwägung in Art. 6 Abs. 1 lit. f DSGVO erinnert.

Der neu eingefügte Art. 8 Abs. 1 lit. g ePrivacy-VO-E lautet:

„1. The use of processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware, other than by the end-user concerned shall be prohibited, except on the following grounds: […]

(g) it is necessary for the purpose of the legitimate interests pursued by a service provider to use processing and storage capabilities of terminal equipment or to collect information from an end-user’s terminal equipment, except when such interest is overridden by the interests or fundamental rights and freedoms of the end-user.

The end-user’s interests shall be deemed to override the interests of the service provider where the end-user is a child or where the service provider processes, stores or collects the information to determine the nature and characteristics of the end-user or to build an individual profile of the end-user or the processing, storage or collection of the information by the service provider contains special categories of personal data as referred to in Article 9(1) of Regulation (EU) 2016/679.“

Danach soll der Einsatz von Tracking-Technologien, die auf Informationen aus dem Endgerät des Nutzers zugreifen oder die Verarbeitungs- und Speichermöglichkeiten des Endgeräts nutzen, dann zulässig sein, wenn dies für die Verfolgung berechtigter Interessen des Diensteanbieters erforderlich ist, es sei denn, die berechtigten Interessen oder die Grundrechte und Grundfreiheiten des Nutzers überwiegen.

Die berechtigten Interessen der Diensteanbieter werden zunächst einmal nicht auf bestimmte Zwecke des Zugriffs beschränkt. Damit kommt der Vorschlag auf den ersten Blick der Werbewirtschaft entgegen, denn er erlaubt im Prinzip auch den Einsatz von Cookies oder Pixeln für das Ausspielen von Werbung.

Besonderheiten im Rahmen der Interessenabwägung

Anders als in der DSGVO hat die kroatische Ratspräsidentschaft es aber nicht bei einer bloßen Generalklausel belassen, sondern noch im Normtext selbst Fälle formuliert, in denen die Abwägung regelmäßig zugunsten der Nutzer ausfällt.

Nach der Norm wird davon ausgegangen, dass die Interessen der Endnutzer überwiegen,

  • wenn der Endnutzer ein Kind ist oder
  • wenn der Diensteanbieter die Informationen verarbeitet, speichert oder sammelt, um „das Wesen und die Eigenschaften des Endnutzers“ zu bestimmen oder
  • um ein individuelles Profil des Endnutzers zu erstellen, oder
  • wenn die Verarbeitung, Speicherung oder Sammlung der Informationen durch den Diensteanbieter besondere Kategorien personenbezogener Daten gemäß Artikel 9 Abs. 1 DSGVO enthält.

Neben diesen Regelbeispielen, in denen von einem Überwiegen der Nutzerinteressen ausgegangen wird, enthält der Entwurf im Erwägungsgrund (ErwG) 21b eine genauere Beschreibung der in der Abwägung zu berücksichtigenden Punkte sowie der berechtigten Interessen des Endnutzers.

So ist nach ErwG 21b in der Abwägung zentral, ob ein Endnutzer vernünftigerweise mit einem Tracking rechnen muss. Hierzu heißt es im Entwurf:

„Ein berechtigtes Interesse könnte geltend gemacht werden, wenn der Endbenutzer im Rahmen einer bestehenden Kundenbeziehung mit dem Dienstanbieter vernünftigerweise eine solche Speicherung, Verarbeitung oder Sammlung von Informationen in oder von seinem Endgerät erwarten kann.“

Als Beispiele führt der Entwurf etwa die Behebung von Sicherheitslücken oder die Betrugsprävention an.

Sehr interessant ist, dass der Entwurf für Anbieter von Diensten, „welche die Meinungs- und Informationsfreiheit (auch für journalistische Zwecke) gewährleisten, wie zum Beispiel Online-Zeitungen oder andere Presseveröffentlichungen oder audiovisuelle Mediendienste“, eine Sonderregelung vorsieht. Sie können sich – trotz der Ausnahmetatbestände – auf berechtigte Interessen stützen, wenn ihre Dienste ohne direkte Geldzahlung zugänglich sind und ganz oder überwiegend durch Werbung finanziert werden, vorausgesetzt der Endnutzer erhält klare, präzise und benutzerfreundliche Informationen über die Zwecke der verwendeten Cookies oder ähnlicher Techniken. Für journalistische Inhalte kann das „berechtigte Interesse“ also auch ein Finanzierungsinteresse bedeuten.

Besonders problematisch für die Online-Werbebranche sind die Ausnahmegründe (2) und (3) in der neu geschaffenen Norm. Aufgrund der Formulierung ist zu befürchten, dass das normale Tracking (außerhalb des journalistischen Kontexts) doch nicht per Interessenabwägung möglich sein soll. Der Erwägungsgrund 21b liefert hierzu leider nur eine wenig erhellende Erklärung:

„Umgekehrt sollte sich ein Anbieter nicht auf legitime Interessen berufen können, wenn die Speicherung oder Verarbeitung von Informationen in den Endgeräten des Endnutzers oder die daraus gesammelten Informationen dazu verwendet werden, das Wesen oder die Eigenschaften eines Endnutzers zu bestimmen oder ein individuelles Profil eines Endnutzers zu erstellen. In solchen Fällen haben die Interessen des Endnutzers und die Grundrechte und -freiheiten Vorrang vor den Interessen des Diensteanbieters, da solche Verarbeitungsvorgänge ernsthaft in das Privatleben eines Endnutzers eingreifen können, z.B. wenn sie für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens verwendet werden.“

Wann Tracking dazu führt, dass „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, bleibt auch unter Hinzuziehung der Erwägungsgründe unklar.

Weitere Schutzmaßnahmen für die Endnutzer

Will ein Diensteanbieter Daten aufgrund einer Interessenabwägung verarbeiten, erlegt der neue Art. 8 Abs. 1a ePrivacy-VO-E ihm weitere Pflichten auf, die dem Schutz der Endnutzer dienen sollen. So darf der Anbieter die mittels Tracking gewonnenen Daten nur nach vorheriger Anonymisierung an Dritte weitergeben (Auftragsverarbeiter nach Art. 28 DSGVO sind hiervon nicht umfasst, da sie keine Dritten im datenschutzrechtlichen Sinne sind).

Darüber hinaus muss der Anbieter vor der Datenverarbeitung eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen und den Endnutzer in einer effektiven und einfachen Art über die Verarbeitung und sein Widerspruchsrecht informieren.

Unsere Bewertung des neuen Entwurfs

Aus Sicht der Online-Werbebranche ist der neue Entwurf im Prinzip zu begrüßen, stellt er doch erstmals eine Bewegung weg vom Einwilligungserfordernis beim Tracking dar. Die Einführung einer flexibleren Rechtsgrundlage neben der Einwilligung ist in jedem Fall ein Fortschritt.

Problematisch ist jedoch, dass gerade in Bezug auf das Tracking außerhalb von journalistischen Webseiten aufgrund der im Entwurf enthaltenen Ausschlussgründe abermals viel Verwirrung gestiftet wird.

Wenn durch das Tracking „das Wesen oder die Eigenschaften eines Endnutzers“ bestimmt werden oder ein „individuelles Profil des Endnutzers“ entsteht, das ernsthaft in das Privatleben des Endnutzers eingreift, muss wieder auf die Einwilligung zurückgegriffen werden. Hier begibt sich der Entwurf in rechtlich unklare Fahrwasser. Er spricht beispielhaft von einem ernsthaften Eingriff in das Privatleben der Nutzer, wenn ihre Daten „für Segmentierungszwecke, zur Überwachung des Verhaltens eines bestimmten Endnutzers oder zur Erstellung von Schlussfolgerungen bezüglich seines Privatlebens“ verwendet werden.

Sinn des Trackings ist regelmäßig, pseudonymisierte Profile der Endnutzer zu erstellen, mit denen ihr Verhalten auf bestimmten Webseiten nachvollzogen werden kann und das letztlich zur Ausspielung zielgerichteter Werbung genutzt wird. Doch reicht das aus, um von einer Überwachung des Verhaltens bestimmter Endnutzer zu sprechen? Dafür spricht, dass der Entwurf eine klare Privilegierung journalistischer Webseiten vorsieht und für diese Angebote ein Tracking und eine damit verbundene Werbefinanzierung ohne Einwilligung der Nutzer anerkennt. Im Umkehrschluss bedeutet dies, dass bei allen anderen Formen von Webseiten eine solche Lösung von den Verfassern des Entwurfs eher abgelehnt wird. Dass aber zielgerichtete Werbung auf journalistischen Angeboten nur funktioniert, wenn auch auf anderen Webseiten Informationen über den betreffenden Endnutzer eingeholt wurden, wird im Entwurf nicht berücksichtigt. Eine konsistente Lösung sieht anders aus.

Es bleibt damit zu hoffen, dass der Entwurf der kroatischen Ratspräsidentschaft nicht den Endpunkt der Debatte rund um die ePrivacy-Verordnung darstellt, sondern er den Stein mit neuem Schwung ins Rollen bringt und die Diskussion um den sinnvollen Umgang mit den berechtigten Interessen der Online-Werbebranche neu entfacht.

Einwilligung bei Social Plugins? Die Fashion ID-Entscheidung des EuGH

Der Betreiber einer Website, die den „Gefällt mir“-Button von Facebook enthält, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht verantwortlich für die spätere Verarbeitung dieser Daten durch Facebook. Zu diesem Ergebnis gelangt der Europäische Gerichtshof in seiner kürzlich veröffentlichen Entscheidung („Fashion ID“, Urteil in der Rechtssache C-40/17, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV).

In dem zugrundeliegenden Sachverhalt ging es darum, dass der Betreiber der „Fashion ID“-Website einen herkömmlichen „Gefällt mir“-Button von Facebook nutzte. Dagegen klagte die Verbraucherzentrale NRW mit der Begründung, die Einbindung des „Gefällt mir“-Buttons von Facebook setze eine Einwilligung der Website-Besucher voraus. Diese würde Fashion ID aber nicht einholen. Der EuGH bestätigte nunmehr diese Auffassung im wesentlichen, verwies den Rechtsstreit aber zurück an das zuständige Gericht.

Im Wesentlichen kam der EuGH zu folgendem Ergebnis:

Facebook und Websitebetreiber sind zum Teil gemeinsam verantwortlich

Der Betreiber einer Website, der in diese Website ein Social Plugin (zum Beispiel den „Gefällt mir“-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist als „Verantwortlicher“ im datenschutzrechtlichen Sinne anzusehen. Diese Verantwortlichkeit ist jedoch auf die Vorgänge beschränkt, für die er tatsächlich über die Zwecke und Mittel entscheidet, das heißt

  • das Erheben der in Rede stehenden Daten und
  • deren Weitergabe durch Übermittlung an Facebook (beziehungsweise jeden anderen Anbieter eines Social Plugins).

Das „berechtigte Interesse“ muss bei Facebook und beim Website-Betreiber vorliegen

In einer Situation, in der der Betreiber einer Website in diese ein Social Plugin einbindet, ist es erforderlich, dass der Betreiber und der Anbieter (zum Beispiel Facebook) mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse (Art. 7 Buchst. f der Richtlinie 95/46) wahrnehmen, damit diese Vorgänge für jeden von ihnen gerechtfertigt sind. Dies gilt freilich nur dann, wenn es überhaupt auf ein solches berechtigtes Interesse ankommt.

Einwilligung nur beim Einsatz von Cookies erforderlich, dann aber vor Erhebung der Daten?

in einer Situation wie der des Fashion ID-Verfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, ist eine Einwilligung durch den Betreiber einzuholen, allerdings nur in Bezug auf den Vorgang, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Und nur unter der Voraussetzung, dass Cookies eingesetzt werden.

Was die Einwilligung selbst betrifft, so muss diese vor dem Erheben der Daten der betroffenen Personen und deren Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten schon dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.

Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Verarbeitungsvorgänge, für die er tatsächlich über die Zwecke und Mittel entscheidet.

Auch Informationspflichten sind vom Website-Betreiber zu erfüllen

Auch die gesetzlichen Informationspflichten betreffen den Betreiber der Website, wobei dieser die betroffenen Personen jedoch wieder nur in Bezug auf die Verarbeitungsvorgänge informieren muss, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Praktische Konsequenzen für die Onlinebranche

Das Urteil enthält für eingeweihte Branchenteilnehmer nichts wirklich Neues. Zunächst ist allerdings darauf hinzuweisen, dass die Klage sowie das Urteil auf Basis der alten EU-Datenschutzrichtlinie von 1995 erfolgten, die mit Wirkung vom 25. Mai 2018 durch die Datenschutzgrundverordnung ersetzt wurde. Vermutlich dürfte der EuGH aber auch auf der Basis der heutigen DSGVO ähnlich entscheiden. Dennoch enthält das Urteil einige Besonderheiten:

Der EuGH hatte bereits im Juni 2018 entscheiden, dass Fanpagebetreiber für die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (Rechtssache C-210/16 „Wirtschaftsakademie“). Nun hat der EuGH entschieden, dass dieses weite Verständnis gemeinsamer Verantwortlichkeit auch für die „Gefällt mir“-Buttons von Socialmedia-Plattformen gilt. Neu ist allerdings, dass die Verantwortlichkeit dort endet, wo die Daten den Facebook-Konzern erreicht haben.

Der EuGH lässt jedoch erstaunlicherweise eine der wichtigsten Fragen der Onlinebranche offen, nämlich ob die Websitebetreiber immer eine Einwilligung für die Einbindung von Social Plugins, wie zum Beispiel Facebooks Like-Button benötigen oder ob ein „berechtigtes Interesse“ (Im Sinne von Art. 7 Buchst. f der alten Richtline beziehungsweise heute Art. 6 Abs. 1 Buchst. f DSGVO) für den Betreiber als Rechtfertigungsgrund ausreichen kann. Zwar betont der EuGH indirekt (Randziffern 89, 91), dass das Setzen eines Cookies nach der Datenschutzrichtlinie immer eine Einwilligung voraussetze. Ob dies aber auch dann gilt, wenn, wie zum Teil auch bei einem Like-Button, kein Cookie gesetzt wird, lässt der EuGH offenbar bewusst offen. Er lässt auch offen, wie genau eine Einwilligung im Fall eines Cookies auszusehen habe und damit auch die umstrittene Frage, ob auch eine stillschweigende Einwilligung ausreichend sein könnte. Der EuGH gelangt nur zu dem Ergebnis, dass, sollte ein berechtigtes Interesse ausreichen, dieses sowohl bei Facebook als auch bei dem Betreiber der Website vorliegen müsse.

Die Frage, ob das berechtigte Interesse jedoch generell als Rechtsgrundlage ausreichend sein kann oder nicht, war nämlich nicht Gegenstand der Entscheidung. Diese Frage ist jedoch für die Onlinebranche von kaum zu überschätzender praktischer Bedeutung. Folgt man der Auffassung der deutschen Aufsichtsbehörden, ist die Einwilligung – nicht nur für Social-Media-Buttons, sondern bei sämtlichen Tracking-Maßnahmen – immer einzuholen. Das gilt auch für die Auffassung der Aufsichtsbehörden anderer EU-Länder wie zum Beispiel die französische CNIL oder das britische ICO.

Folgt man dagegen der Ansicht vieler betroffener Unternehmen und Branchenverbände, so lassen sich viele Datenverarbeitungen auch durch Art. 6 Abs. 1 Buchst. f DSGVO rechtfertigen und damit durch das „berechtigte Interesse“ des Verantwortlichen. Der entscheidende Unterschied: Eine Einwilligung würde dann für die Einbindung des Like-Buttons nicht benötigt.

Wer jedoch auf Nummer sicher gehen will, sollte zukünftig eine Einwilligung seiner Nutzer einholen, und zwar vor der eigentlichen Erhebung der Daten. Wie das am besten zu geschehen hat, lassen auch die Aufsichtsbehörden trotz der kürzlich veröffentlichen „Orientierungshilfe zu Telemedien“ (gemeint sind unter anderem Websites) offen. Eine technische Lösung, die diesen Anforderungen gerecht wird ist, allerdings nur für Social Plugins, schon heute die so genannte 2-Klick-Lösung. Dabei wird der Like-Button zunächst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Icon, wird die Einwilligung eingeholt, mit der dann der richtige Like Button nachgeladen wird. Wie aber im Übrigen, insbesondere beim Einsatz von Cookies, die Einwilligung einzuholen ist, bleibt auch nach dem Urteil des EuGH unklar. Es wird zukünftig sicherlich sinnvoll sein, hier mit so genannten Consent Management-Plattformen (CMPs) zu arbeiten oder noch besser das so genannte Transparency and Consent Framework (TCF) des Interactive Advertising Bureau zu nutzen.

Eines ist jedoch klar: In beiden Fällen (Einwilligung oder berechtigtes Interesse) haben die Betreiber Informationspflichten gegenüber ihren Besuchern zu erfüllen, allerdings nur für die die Daten, für die der Betreiber mitverantwortlich ist. Der Website-Betreiber muss dagegen keine Information darüber geben, wie Facebook diese Daten weiterverarbeitet. Diese Informationen muss Facebook selbst erteilen. Das ist jedenfalls eine gewisse Erleichterung.

Ferner führt die vom EuGH angenomme gemeinsame Verantwortlichkeit nach der DSGVO zu der  Verpflichtung für den Websitebetreiber, die datenschutzrechtlichen Pflichten in einer Vereinbarung gemäß Art. 26 DSGVO (ein Muster wird von den Aufsichtsbehörden zu Verfügung gestellt)  zu regeln. Eine solche Vereinbarung werden die Anbieter von Social Plugins vermutlich zukünftig bereitstellen.

Fazit: Was ist also zu tun bei Social Pugins?

  • mindestens 2- Klick Lösung anwenden
  • Entscheidung über generelle Einwilligungslösung fällen
  • beim Anbieter auf Vereinbarung nach Art. 26 DSGVO drängen
  • in der Datenschutzerklärung transparent auf Einbindung von Social Plugin hinweisen

Bei weiteren Fragen wenden Sie sich gerne an uns (eickmeier@unverzagt.law).

Französische Aufsichtsbehörde CNIL veröffentlicht Aktionsplan für zielgerichtete Online-Werbung

Am 28. Juni 2019 veröffentlichte die französische Datenschutzbehörde (die „CNIL“) ihren Aktionsplan für 2019-2020, um die Regeln für zielgerichtete Online-Werbung festzulegen und die Unternehmen bei ihren Compliance-Bemühungen zu unterstützen.

Hintergrund

Die CNIL hat beschlossen, die gezielte Online-Werbung für 2019 zu einer Priorität zu machen, und zwar aus folgenden Gründen:

Die CNIL hatte zahlreiche Beschwerden von Einzelpersonen und gemeinnützigen Einrichtungen, Organisationen und Verbänden über die Online-Marketing-Praktiken erhalten. Im Jahr 2018 bezogen sich 21% der Beschwerden auf diese Themen.

Gleichzeitig erhielt die CNIL viele Fragen von Branchenexperten, die bestrebt waren, ihre Verpflichtungen aus der EU-Generaldatenschutzverordnung („GDPR“) besser zu verstehen. Diese Fragen bezogen sich auf zwei Hauptthemen:

Vor diesem Hintergrund beschloss die CNIL, einen Aktionsplan zur Aktualisierung ihrer bestehenden Leitlinien im Lichte der GDPR-Zustimmungserfordernisse anzunehmen und nicht länger auf die Umsetzung der ePrivacy-Verordnung zu warten, mit der die EU-Vorschriften für Direktmarketing und die Verwendung von Cookies harmonisiert werden sollen.

Der Aktionsplan der CNIL für 2019-2020 besteht aus zwei Hauptschritten:

Schritt 1: Veröffentlichung neuer Cookie-Richtlinien im Juli 2019

Die CNIL – die französische Datenschutzaufsichtsbehörde – kündigte soeben an, dass sie im Juli 2019 ihre alten Empfehlungen für Cookies aus 2013 aufheben und neue Leitlinien veröffentlichen wird,  die auf einer EU-weiten einheitlichen Auslegung des EU Rechts basieren werden.

Die CNIL wird  für die französischen Unternehmen eine Übergangsfrist von 12 Monaten vorsehen, um den neuen Cookie-Richtlinien zu entsprechen. Während dieser Übergangszeit wird die CNIL weiterhin akzeptieren, dass auch konkludente Einwilligungen, wie etwa das weitere Durchsuchen einer Website, als stillschweigende Zustimmung zur Verwendung von Cookies auf der Website bedeuten können.

Während der Übergangszeit wird die CNIL jedoch verlangen, dass Cookies erst nach Einholung der Zustimmung gesetzt werden. Dies verlangen übrigens die deutschen Aufsichtsbehörden, die DSK, ebenfalls. Näheres hatten sie in der Orientierungshilfe Telemedien dargestellt. https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf

Schritt 2:

In einem 2. Schritt wird eine Konsultation aller relevanten Interessengruppen zur Entwicklung von weiteren Empfehlungen bis Dezember 2019 – Anfang 2020 erfolgen. Die CNIL kündigte auch an, dass Arbeitsgruppen, die sich aus CNIL-Beamten und Interessengruppen des adtech-Ökosystems zusammensetzen (d.h. Web-Publisher, Werbetreibende, Dienstleister und Vermittler des Marketingökosystems und Vertreter der Zivilgesellschaft), in der zweiten Jahreshälfte 2019 zusammentreffen werden, um praktische Ansätze zur Erlangung der Zustimmung zu erarbeiten. Auf der Grundlage dieser Diskussionen wird die CNIL ihre Empfehlungen  Ende 2019 oder spätestens Anfang 2020 veröffentlichen. Diese Empfehlungsentwürfe werden der öffentlichen Konsultation zugänglich sein. Die CNIL wird die endgültige Fassung der Empfehlungen nach einem Zeitraum von sechs Monaten durchsetzen.

Die ePrivacyVO durch die Hintertür: Tracking nur noch mit Einwilligung?

ePrivacy-Verordnung: weiterhin keine Einigung in Sicht

Auch am Ende des ersten Quartals 2019 ist auf europäischer Ebene keine Einigung bezüglich der ePrivacy-Verordnung in Sicht: Auf der Suche nach einem Kompromiss hat der Europäische Rat lediglich neue Diskussionspapiere vorgelegt. Mittlerweile ist von einem Inkrafttreten nicht vor 2020 und einer Umsetzungsfrist von weiteren zwei Jahren auszugehen. Somit wird sich die ursprünglich als „Schwestergesetz“ zur DSGVO geplante ePrivacy-Verordnung um mindestens dreieinhalb Jahre verzögern.

Damit bleibt die Frage weiterhin offen, ob die ePrivacy-Verordnung für Cookies und andere zu Werbezwecken genutzte Tracking-Mechanismen eine Einwilligung (also ein echtes Opt-in) der Nutzer erfordern wird.

Der letzte Beitrag widmete sich bereits der Frage, welche Position die deutschen Aufsichtsbehörden derweil auf der Grundlage des bestehenden Rechts (also der DSGVO und des deutschen Telemediengesetzes) in Fällen des Trackings zu Werbezwecken einnehmen. Jetzt verdichten sich die Zeichen für eine „vorauseilende Umsetzung“ der ePrivacy-Verordnung durch die (deutschen) Aufsichtsbehörden mit den Mitteln der DSGVO.

Das Positionspapier der DSK

Die deutsche Datenschutzkonferenz (DSK), die sich aus den Datenschutzbehörden des Bundes und der Länder zusammensetzt, hat im April 2018 in einem Positionspapier verlauten lassen, dass nach ihrer Auffassung als Rechtsgrundlage für den Einsatz von Tracking-Mechanismen zu Werbezwecken kein berechtigtes Interesse des Werbetreibenden, sondern lediglich die Einwilligung (Opt-in) der Nutzer in Frage kommt.

Natürlich handelt es sich bei so einem Positionspapier lediglich um eine Behörden-„Meinung“. Von ihr gehen keine echten Rechtswirkungen wie etwa von einem Gerichtsurteil oder einem Gesetz aus. Trotzdem verdeutlicht sie den Standpunkt der Datenschutzbehörden in Bezug auf die Interpretation des bestehenden Rechts. Ein für Ende 2018 angekündigtes Folgepapier lässt jedoch weiterhin auf sich warten.

Das BayLDA kündigt jetzt „Konsequenzen“ an

Anfang Februar kündigte jetzt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) an, tatsächlich auf der Grundlage der DSGVO gegen Tracking zu Werbezwecken vorgehen zu wollen, sofern es ohne Einwilligung der Nutzer geschieht.

Anlässlich des „Safer Internet Day“ veröffentlichte das BayLDA das Ergebnis einer Untersuchung von 40 „bayerischen“ Websites auf ihre DSGVO-Konformität. Dabei ging das BayLDA ohne weitere Erläuterung von der Prämisse aus, dass die Verwendung von Tracking-Tools nicht nur eine Information in einer Datenschutzerklärung, sondern auch eine Einwilligung der Besucher erfordere:

BayLDA1

Abbildung 1: Nach Ansicht des BayLDA benötigt man für das Tracking zu Werbezwecken eine Einwilligung der User – und offenbar hält sich niemand an diese angebliche Regel (Quelle: BayLDA).

In einem weiteren Schritt verdeutlichte das BayLDA, dass die geforderte Einwilligung nicht in Form eines heute bereits vielfach verwendeten informatorischen „Cookie-Banners“ (nach ursprünglich britischem Vorbild), sondern in Form eines „Einwilligungs-Popups“ erfolgen muss, der eine echte Einwilligung im Sinne von Art. 7 DSGVO abfragt. (Ähnlich sehen das übrigens offenbar die Aufsichtsbehörden in Österreich und in den Niederlanden.)

BayLDA2

Abbildung 2: Nach Ansicht des BayLDA sind die bisher häufig verwendeten „Cookie-Banner“ für die angeblich erforderliche Einwilligung nicht ausreichend (Quelle: BayLDA).

Das BayLDA kündigte an, die Verhängung von Bußgeldern wegen Verletzung dieses angenommenen DSGVO-Verstoßes zu „prüfen“. Von der niedersächsischen Datenschutzbehörde ist Ähnliches zu hören; aus Hessen dagegen wird verlautbart, dass erst eine einheitliche Position gefunden werden müsse. Diesbezügliche Entscheidungen liegen bislang nicht vor.

Unsere Einschätzung

Wie bereits angedeutet ist diese unerwartet deutliche Position der bayerischen Aufsichtsbehörde nach wie vor verwunderlich, wo doch erstens die DSGVO in Erwägungsgrund 47 a.E. berechtigte Interessen als Rechtsgrundlage für das Online-Marketing ausdrücklich anerkennt und zweitens die Diskussion um eine Änderung dieses rechtlichen Zustands durch die ePrivacy-Verordnung wie dargestellt weiterhin andauert. Wir empfehlen daher, sich weiterhin auf die „herkömmliche“ Lösung mit einem einfachen Opt-out-Hinweis in der Datenschutzerklärung zu verlassen.

In Bezug auf die Position des BayLDA, das empört feststellt, dass 40 von 40 geprüften Websites die angeblichen Vorgaben der DSGVO zum Tracking nicht einhalten, sei der bekannte Witz vom Geisterfahrer auf der Autobahn erwähnt, der im Radio hört, wie vor ihm gewarnt wird und sich mit Blick auf die ihm entgegenkommenden Autos fragt: „Ein Geisterfahrer? Hunderte!“ Es bleibt insofern zu hoffen, dass sich das BayLDA an die eigene Stirn fasst und die eigene Position noch einmal überdenkt, bis für die ePrivacy-Verordnung eine Einigung gefunden ist.

Zur Verdeutlichung des aufgeworfenen Problems sei der aktuelle Stand der Diskussion noch einmal in einer Übersicht  zusammengefasst:

verwendete
Cookie-Lösung

Opt-out-Hinweis
in der Datenschutz-
erklärung

„Cookie-Banner“
(reiner Hinweis)

„Einwilligungs-
Popup“

User wird über das Tracking zu Werbe­zwecken informiert

User kann ein Opt-out erklären oder die Ein­willigung widerrufen

Cookie wird erst nach dem Einwilligungs-Klick gesetzt

X

X

User muss die Web­site auch ohne Einwilligungs-Klick verwenden können

*

aktuell
TMG-konform?

aktuell
DSGVO-konform?
unsere Ansicht:
Ansicht BayLDA: X
unsere Ansicht:
Ansicht BayLDA: X
unsere Ansicht:
Ansicht BayLDA:
zukünftig
ePrivacy-konform?

?

?

?

* Nach Ansicht der österreichischen Datenschutzbehörde sei es auch zulässig, für die Nutzung der Website ohne Tracking von den Usern eine Gebühr zu verlangen. Anderer Ansicht ist möglicherweise die niederländische Aufsichtsbehörde.

Rechtliche Grenzen des E-Mail-Marketings – Was ändert sich durch die DSGVO?

Wenn es um E-Mail-Marketing geht, kursiert derzeit eine Reihe von Missverständnissen: Müssen für das E-Mail-Marketing neue Einwilligungen von den Empfängern eingeholt werden – und wenn ja, in welcher Form?

E-Mail

Zunächst erforderte jede E-Mail, die als „Werbung“ eingestuft werden kann, schon vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ein so genanntes Double-Opt-in. Das Double-Opt-in ist die ausdrückliche Zustimmung des Empfängers in zwei Schritten: Wenn ein Kunde beispielsweise einen Newsletter abonnieren möchte, erfolgt in einem ersten Schritt die Einwilligung für den Eintrag in die Abonnenten-Liste. Im zweiten Schritt wird dem Kunden eine E-Mail mit der Bitte zugesandt, die Einwilligung zu bestätigen, um Missbrauch auszuschließen.

Sodann stammt das Erfordernis des Double-Opt-ins zum Schutz vor Spam tatsächlich nicht aus dem Datenschutzrecht, sondern aus dem Wettbewerbsrecht, wie auch der Begriff der E-Mail-„Werbung“ selbst (§ 7 Abs. 2 Nr. 2 UWG). „Werbung“ ist danach jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern.

Die gute Nachricht: Wer bisher alles richtig gemacht hat, für den ergeben sich durch die DSGVO keine Änderungen.

Zu bedenken ist jedoch immer, dass auch eine E-Mail, in der um eine Einwilligung seitens des Empfängers gebeten wird, als Werbung zu betrachten ist, womit ein Double-Opt-in erforderlich ist. Deshalb waren die zahlreichen E-Mails, die viele Unternehmen kurz vor Inkrafttreten der DSGVO mit der Bitte um Abgabe einer wirksamen Einwilligung an ihre Kunden versandt haben in vielen Fällen rechtswidriger Spam und darüber hinaus sogar unwirksam, wenn dem Kunden nur die Möglichkeit zum Opt-out gegeben wurde.

Wie geht man vor, wenn das Double Opt-in bisher fehlte?

Für die unternehmerische Praxis ergeben sich drei Möglichkeiten.

  • Wenn bislang E-Mail-Kampagnen, also die Versendung von Werbung per Mail, ohne wirksame Einwilligung, durchgeführt wurden, kann diese Praxis einfach beibehalten werden, wobei das Risiko einer Abmahnung oder eines Bußgeldes in Kauf genommen werden muss.
  • Natürlich besteht auch die Möglichkeit per E-Mail um ein Opt-in zu bitten. Allerdings birgt auch – wie oben erläutert – eine solche E-Mail das Risiko einer Abmahnung oder eines Bußgeldes, weil diese E-Mails selbst rechtswidrigen Spam darstellen.
  • Zu guter Letzt besteht die Möglichkeit, alle bestehenden Kontakte ohne wirksame Einwilligung zu löschen und neue Maßnahmen zur Einholung der Einwilligung zu planen. Allerdings muss hierbei das Kopplungsverbot als „Einwilligungskiller“ beachtet werden: Die Einwilligung zur Teilnahme an einem Gewinnspiel oder zum Download eines Whitepapers darf nicht automatisch an die Einwilligung zum Abonnement eines Newsletters gekoppelt sein. Nur diese – schmerzhafte – Variante führt zu einem wirklich rechtskonformen E-Mail-Marketing, wenn bisher kein wirksames Double-Opt-in eingeholt wurde.