Das TCF 2.2 geht an den Start – das sollten Sie jetzt wissen:

Um den Akteuren im Online-Ökosystem dabei zu helfen, die Anforderungen der EU-Datenschutzrichtlinie sowie der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, hat der europäische Verband der Onlinebranche IAB eine überarbeitete Fassung des als „Transparency & Consent Framework“ bezeichneten Branchenstandards verabschiedet, das so genannte TCF 2.2. Eine Arbeitsgruppe aus Vetretern der beteiligten Unternehmen hat intensiv an einer überarbeiten Standardisierung der Pflicht-Informationen und Auswahlmöglichkeiten gearbeitet, die den Nutzern vor der Verarbeitung ihrer Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie darauf aufbauenden Entscheidungen der Nutzer umgesetzt werden.

Ziel der Änderung ist die Anpassung des Branchenstandards an die Anforderungen der Rechtsprechung und der europäischen Datenschutzbehörden. Das IAB möchte es deshalb den betroffenen Marktteilnehmern ermöglichen, über das Transparency & Consent Framework 2.2 diesen Vorgaben gerecht zu werden. Das TCF 2.2 tritt bereits am 16. Mai 2023 in Kraft – und die Umsetzungsfristen für betroffene Unternehmen sind extrem kurz.

Die wichtigste Neuerungen des TCF 2.2 sind:

  • Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Online-Werbung und -Inhalten: Unternehmen können nun nur noch auf der Grundlage einer wirksamen Einwilligung der Nutzer pseudonyme Daten verarbeiten, um individuelle Werbung und Inhalte auszuspielen.
  • erweiterte Informationen für Nutzer in Bezug auf die Verarbeitungszwecke: Die in der Einwilligungsabfrage enthaltenen Angaben zu den Zwecken, für die die erhobenen Daten genutzt werden können, wurden überarbeitet. Die Informationen sollen jetzt verständlicher sein und wurden dazu auch um konkrete Beispiele ergänzt.
  • erweiterte Informationen für Nutzer in Bezug auf die Datenempfänger: Zu den Empfängern der Daten der Nutzer werden zusätzliche Informationen bereitgestellt, nämlich:
    • konkret vom jeweiligen Datenempfänger erhobene Datenkategorien
    • Speicherfristen für die erhobenen Daten beim jeweiligen Datenempfänger
    • falls einschlägig (und noch zulässig): die berechtigten Interessen des Datenempfängers für die Datenverarbeitung
  • Transparenz über die Anzahl der Datenempfänger: In der Einwilligungsabfrage muss zukünftig die Gesamtzahl der Datenempfänger bereits auf der ersten Ebene offen gelegt werden.
  • neue Anforderungen für den Widerruf der Einwilligung durch die Nutzer: Über eine spezielle Schaltfläche muss es möglich sein, die Einwilligungsabfrage erneut aufzurufen und die Einwilligung zu widerrufen.

Die meisten Anbieter von Websites und Apps werden sich zur Umstellung auf das TCF 2.2 an den Anbieter ihrer Einwilligungsabfrage (auch als „Cookie-Banner“ oder Consent Management Platform (CMP) bezeichnet) wenden. Auf Datenempfänger kommen dagegen größere technische Umstellungen zu.

Falls Sie Fragen zur Umsetzung des TCF 2.2 haben, melden Sie sich gern direkt bei uns.

Einwilligung bei Social Plugins? Die Fashion ID-Entscheidung des EuGH

Der Betreiber einer Website, die den „Gefällt mir“-Button von Facebook enthält, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht verantwortlich für die spätere Verarbeitung dieser Daten durch Facebook. Zu diesem Ergebnis gelangt der Europäische Gerichtshof in seiner kürzlich veröffentlichen Entscheidung („Fashion ID“, Urteil in der Rechtssache C-40/17, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV).

In dem zugrundeliegenden Sachverhalt ging es darum, dass der Betreiber der „Fashion ID“-Website einen herkömmlichen „Gefällt mir“-Button von Facebook nutzte. Dagegen klagte die Verbraucherzentrale NRW mit der Begründung, die Einbindung des „Gefällt mir“-Buttons von Facebook setze eine Einwilligung der Website-Besucher voraus. Diese würde Fashion ID aber nicht einholen. Der EuGH bestätigte nunmehr diese Auffassung im wesentlichen, verwies den Rechtsstreit aber zurück an das zuständige Gericht.

Im Wesentlichen kam der EuGH zu folgendem Ergebnis:

Facebook und Websitebetreiber sind zum Teil gemeinsam verantwortlich

Der Betreiber einer Website, der in diese Website ein Social Plugin (zum Beispiel den „Gefällt mir“-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist als „Verantwortlicher“ im datenschutzrechtlichen Sinne anzusehen. Diese Verantwortlichkeit ist jedoch auf die Vorgänge beschränkt, für die er tatsächlich über die Zwecke und Mittel entscheidet, das heißt

  • das Erheben der in Rede stehenden Daten und
  • deren Weitergabe durch Übermittlung an Facebook (beziehungsweise jeden anderen Anbieter eines Social Plugins).

Das „berechtigte Interesse“ muss bei Facebook und beim Website-Betreiber vorliegen

In einer Situation, in der der Betreiber einer Website in diese ein Social Plugin einbindet, ist es erforderlich, dass der Betreiber und der Anbieter (zum Beispiel Facebook) mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse (Art. 7 Buchst. f der Richtlinie 95/46) wahrnehmen, damit diese Vorgänge für jeden von ihnen gerechtfertigt sind. Dies gilt freilich nur dann, wenn es überhaupt auf ein solches berechtigtes Interesse ankommt.

Einwilligung nur beim Einsatz von Cookies erforderlich, dann aber vor Erhebung der Daten?

in einer Situation wie der des Fashion ID-Verfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, ist eine Einwilligung durch den Betreiber einzuholen, allerdings nur in Bezug auf den Vorgang, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Und nur unter der Voraussetzung, dass Cookies eingesetzt werden.

Was die Einwilligung selbst betrifft, so muss diese vor dem Erheben der Daten der betroffenen Personen und deren Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten schon dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.

Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Verarbeitungsvorgänge, für die er tatsächlich über die Zwecke und Mittel entscheidet.

Auch Informationspflichten sind vom Website-Betreiber zu erfüllen

Auch die gesetzlichen Informationspflichten betreffen den Betreiber der Website, wobei dieser die betroffenen Personen jedoch wieder nur in Bezug auf die Verarbeitungsvorgänge informieren muss, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Praktische Konsequenzen für die Onlinebranche

Das Urteil enthält für eingeweihte Branchenteilnehmer nichts wirklich Neues. Zunächst ist allerdings darauf hinzuweisen, dass die Klage sowie das Urteil auf Basis der alten EU-Datenschutzrichtlinie von 1995 erfolgten, die mit Wirkung vom 25. Mai 2018 durch die Datenschutzgrundverordnung ersetzt wurde. Vermutlich dürfte der EuGH aber auch auf der Basis der heutigen DSGVO ähnlich entscheiden. Dennoch enthält das Urteil einige Besonderheiten:

Der EuGH hatte bereits im Juni 2018 entscheiden, dass Fanpagebetreiber für die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (Rechtssache C-210/16 „Wirtschaftsakademie“). Nun hat der EuGH entschieden, dass dieses weite Verständnis gemeinsamer Verantwortlichkeit auch für die „Gefällt mir“-Buttons von Socialmedia-Plattformen gilt. Neu ist allerdings, dass die Verantwortlichkeit dort endet, wo die Daten den Facebook-Konzern erreicht haben.

Der EuGH lässt jedoch erstaunlicherweise eine der wichtigsten Fragen der Onlinebranche offen, nämlich ob die Websitebetreiber immer eine Einwilligung für die Einbindung von Social Plugins, wie zum Beispiel Facebooks Like-Button benötigen oder ob ein „berechtigtes Interesse“ (Im Sinne von Art. 7 Buchst. f der alten Richtline beziehungsweise heute Art. 6 Abs. 1 Buchst. f DSGVO) für den Betreiber als Rechtfertigungsgrund ausreichen kann. Zwar betont der EuGH indirekt (Randziffern 89, 91), dass das Setzen eines Cookies nach der Datenschutzrichtlinie immer eine Einwilligung voraussetze. Ob dies aber auch dann gilt, wenn, wie zum Teil auch bei einem Like-Button, kein Cookie gesetzt wird, lässt der EuGH offenbar bewusst offen. Er lässt auch offen, wie genau eine Einwilligung im Fall eines Cookies auszusehen habe und damit auch die umstrittene Frage, ob auch eine stillschweigende Einwilligung ausreichend sein könnte. Der EuGH gelangt nur zu dem Ergebnis, dass, sollte ein berechtigtes Interesse ausreichen, dieses sowohl bei Facebook als auch bei dem Betreiber der Website vorliegen müsse.

Die Frage, ob das berechtigte Interesse jedoch generell als Rechtsgrundlage ausreichend sein kann oder nicht, war nämlich nicht Gegenstand der Entscheidung. Diese Frage ist jedoch für die Onlinebranche von kaum zu überschätzender praktischer Bedeutung. Folgt man der Auffassung der deutschen Aufsichtsbehörden, ist die Einwilligung – nicht nur für Social-Media-Buttons, sondern bei sämtlichen Tracking-Maßnahmen – immer einzuholen. Das gilt auch für die Auffassung der Aufsichtsbehörden anderer EU-Länder wie zum Beispiel die französische CNIL oder das britische ICO.

Folgt man dagegen der Ansicht vieler betroffener Unternehmen und Branchenverbände, so lassen sich viele Datenverarbeitungen auch durch Art. 6 Abs. 1 Buchst. f DSGVO rechtfertigen und damit durch das „berechtigte Interesse“ des Verantwortlichen. Der entscheidende Unterschied: Eine Einwilligung würde dann für die Einbindung des Like-Buttons nicht benötigt.

Wer jedoch auf Nummer sicher gehen will, sollte zukünftig eine Einwilligung seiner Nutzer einholen, und zwar vor der eigentlichen Erhebung der Daten. Wie das am besten zu geschehen hat, lassen auch die Aufsichtsbehörden trotz der kürzlich veröffentlichen „Orientierungshilfe zu Telemedien“ (gemeint sind unter anderem Websites) offen. Eine technische Lösung, die diesen Anforderungen gerecht wird ist, allerdings nur für Social Plugins, schon heute die so genannte 2-Klick-Lösung. Dabei wird der Like-Button zunächst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Icon, wird die Einwilligung eingeholt, mit der dann der richtige Like Button nachgeladen wird. Wie aber im Übrigen, insbesondere beim Einsatz von Cookies, die Einwilligung einzuholen ist, bleibt auch nach dem Urteil des EuGH unklar. Es wird zukünftig sicherlich sinnvoll sein, hier mit so genannten Consent Management-Plattformen (CMPs) zu arbeiten oder noch besser das so genannte Transparency and Consent Framework (TCF) des Interactive Advertising Bureau zu nutzen.

Eines ist jedoch klar: In beiden Fällen (Einwilligung oder berechtigtes Interesse) haben die Betreiber Informationspflichten gegenüber ihren Besuchern zu erfüllen, allerdings nur für die die Daten, für die der Betreiber mitverantwortlich ist. Der Website-Betreiber muss dagegen keine Information darüber geben, wie Facebook diese Daten weiterverarbeitet. Diese Informationen muss Facebook selbst erteilen. Das ist jedenfalls eine gewisse Erleichterung.

Ferner führt die vom EuGH angenomme gemeinsame Verantwortlichkeit nach der DSGVO zu der  Verpflichtung für den Websitebetreiber, die datenschutzrechtlichen Pflichten in einer Vereinbarung gemäß Art. 26 DSGVO (ein Muster wird von den Aufsichtsbehörden zu Verfügung gestellt)  zu regeln. Eine solche Vereinbarung werden die Anbieter von Social Plugins vermutlich zukünftig bereitstellen.

Fazit: Was ist also zu tun bei Social Pugins?

  • mindestens 2- Klick Lösung anwenden
  • Entscheidung über generelle Einwilligungslösung fällen
  • beim Anbieter auf Vereinbarung nach Art. 26 DSGVO drängen
  • in der Datenschutzerklärung transparent auf Einbindung von Social Plugin hinweisen

Bei weiteren Fragen wenden Sie sich gerne an uns (eickmeier@unverzagt.law).

Kommt die ePrivacy-Verordnung – oder kommt sie nicht?

Erfreulicherweise hat sich die Bundesregierung am 29. März im Rahmen einer sogenannten kleinen Anfrage zum aktuellen Verfahrensstand der ePrivacy-VO geäußert. Kurz gefasst: Es wird noch lange Zeit dauern, bis die e Privacy-Verordnung wirklich kommt, jedenfalls geschieht das nicht mehr in diesem Jahr 2019.

Die ePrivacy-Verordnung, so die Bundesregierung, wurde unter der österreichischen Ratspräsidentschaft im 2. Halbjahr 2018 auf der Ebene der Ratsarbeitsgruppe weiter beraten. Österreich hat für den Ministerrat (Telekommunikation) am 4. Dezember 2018 einen Fortschrittsbericht vorgelegt und eine Aussprache durchgeführt.

Nachdem die derzeit amtierende rumänische Ratspräsidentschaft angekündigt hatte, die Themenfelder rund um den digitalen Binnenmarkt voranzutreiben, ist nun beabsichtigt, auch die Verhandlungen zur ePrivacy-Verordnung in diesem Halbjahr so weit wie möglich voranzubringen, gegebenenfalls auch bis hin zu einer Einigung im Rat. Derzeit wird der Vorschlag auf der Grundlage aktueller Präsidentschaftstexte weiterhin auf der Ebene der Ratsarbeitsgruppe diskutiert (die aktuellen Vorschläge der rumänischen Präsidentschaft sind online abrufbar). Ein genauer Zeitplan der Ratspräsidentschaft liegt jedoch nicht vor.

Ein Abschluss der Verhandlungen, so die Bundesregierung, vor den Europawahlen ist nach gegenwärtigem Sachstand eher unwahrscheinlich. Die Dauer der Beratungen sei dem Bemühen geschuldet, die unterschiedlichen Interessen aller beteiligten Kreise angemessen zum Ausgleich zu bringen. Käme es zu einer Einigung auf einen Ratstext, wäre dieser erst einmal Grundlage für weitere Verhandlungen mit dem Europäischen Parlament.

Was wird aus dem für die Werbewirtschaft so bedeutsame Kopplungsverbot bei der Einwilligung?

Auch dazu hat sich die Bundesregierung noch einmal geäußert: Die Bundesregierung hat im Zuge der Beratungen auf Ratsebene vorgeschlagen, dass werbefinanzierte Onlinedienste die Möglichkeit haben sollten, ihre Nutzung von der Einwilligung in Cookies für Werbezwecke abhängig zu machen. In diesem Zusammenhang hat die Bundesregierung weiterhin eine Regelung in der ePrivacy-Verordnung vorgeschlagen, dass Endnutzer im Browser selbst wirksame Einstellungen zum Schutz ihrer Privatsphäre vornehmen können. Dadurch sollen Anreize im Markt für verschiedene Optionen gesetzt werden, so auch für eine Bezahlvariante ohne Tracking.

Die Bundesregierung verweist insoweit auf die weiterhin laufenden Verhandlungen. Ziel ist vor allem, ein hohes Schutzniveau für die Vertraulichkeit von Kommunikationsdaten und zugleich den Spielraum für Innovation und digitale Geschäftsmodelle zu erhalten und die Datensouveränität zu stärken. Eine abschließende Meinungsbildung dazu steht noch aus.

Immerhin stellt sich die Bundesregierung mit dieser Aussage auf die Seite der Onlinewerbewirtschaft – die dringend auf eine Klärung dieser Frage angewiesen ist.

Was bedeutet die ePrivacy-Verordnung genau für die Onlinebranche ?

Bereits am 10. Januar 2017 hat die EU-Kommission Ihren ersten offiziellen Entwurf der neuen ePrivacy Verordnung vorgestellt (Az: 2017/003 (COD). Es handelte sich um den Vorschlag für eine Verordnung des europäischen Parlamentes und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2008/58/EG (sog. ePrivacy Richtlinie, nachfolgend auch: „ePV“). Gem. Ziffer 1.2. dieses Entwurfes dient der Vorschlag als „lex specialis“ zur DSGVO dar und soll diese im Hinblick auf die elektronischen Kommunikationsdaten, die als personenbezogene Daten einzustufen sind, präzisieren und ergänzen. Alle Fragen der Verarbeitung personenbezogener Daten, die in diesem Vorschlag nicht spezifisch geregelt sind, sollen weiterhin von der Datenschutzgrundverordnung (DSGVO), die bekanntlich ab Mai diesen Jahres gilt,  erfasst werden. Dieser Entwurf der geplanten ePrivacy Verordnung wurde dem EU-Parlament und dem EU-Rat zugestellt.

Im EU-Parlament war der federführende EU-Ausschuss der sog. LIBE-Ausschuss. Nach langen Verhandlungen hat am 19. Oktober 2017 der LIBE-Ausschuss über den Entwurf für eine Verordnung über den Schutz der Privatsphäre im Internet, also über die ePrivacy Verordnung, abgestimmt (Protokoll der Plenarsitzung, Az: A8-0324/2017). Parallel dazu hat sich auch der EU-Rat in einer Arbeitsgruppe mit dem Verordnungsentwurf beschäftigt. Die Mitgliedsstaaten waren aufgefordert, ihre Stellungnahmen bis zum 14.08.2017 dorthin zu übersenden.  Der abgestimmte Entwurfstext des LIBE-Ausschusses wurde am 26.10.2017 zur Überraschung der Onlinebranche quasi unverändert durch das EU-Parlament angenommen (A8-0324/2017).

Mit diesem Ergebnis erfolgte zugleich das Mandat, das für den nächsten Verfahrensschritt nötig ist, für die Verhandlungen des Europäischen Parlaments mit dem Rat der Europäischen Union. 2018 dann sollen die sogenannten Trilog-Verhandlungen abgeschlossen sein und die Verordnung in Kraft treten. Ob die Kommission ihr angepeiltes Ziel, den Mai, als Datum halten kann, ist aber höchst unklar.

Wesentliche Inhalte des Entwurfs des LIBE-Ausschusses:

Die für die Onlinemarketingbranche wesentlichen Inhalte sind folgende:

  1. Die neue Definition des Begriffs „Direktvermarktung“ in Art. 4 Abs. 3 f stellt klar, dass hierin auch Onlinewerbung enthalten ist, die als Direktmarketing-Kommunikation verstanden wird.
  2. Cookies dürfen ohne ausdrückliche Einwilligung nur noch verarbeitet werden, wenn sie „streng erforderlich“ oder zwingend technisch notwendig sind um einen Dienst zu erbringen (Art. 8 Abs. 1 a, 2).
  3. Die Verwendung von „Cookie-Walls“ soll verhindert werden. Eine damit erzwungene Einwilligung soll unwirksam sein. Das mehrfache Bitten zur Zustimmung wird als missbräuchlich angesehen. Um solche missbräuchlichen Anfragen zu verhindern, sollen Nutzer Diensteanbieter beauftragen können, sich an ihre ablehnende Entscheidung zu erinnern und durch technische Spezifikationen, die die Nichtzustimmung signalisieren, sicherstellen. Dies könnte zum Beispiel „Dont ask me again“- Schaltfläche sein um auszuschließen, dass ein Diensteanbieter von Zeit zu Zeit nachfragt, ob die Nichtzustimmung nach wie vor gilt.
  4. Es muss vielmehr im Falle der Ablehnung des Einsatzes von Cookies die alternative Möglichkeit gegeben werden, das jeweilige Angebot auch ohne den Einsatz von Cookies nutzen zu können (Art. 9 Abs. 2).
  5. Der Einsatz von Cookies ist zulässig, wenn der Nutzer seine Einwilligung erteilt hat. Die neue Formulierung besagt aber jetzt, dass die Einwilligung für spezifische Zwecke gegeben werden muss und dass die Einwilligung keine Bedingung für den Zugang zu dem Service war.
  6. Der Entwurf sieht vor, dass Nutzer bei erstmaliger Installation des Browsers (oder bei einem neuen Update) „einstellen“ müssen, ob sie Cookies und wenn ja, welche Art von Cookies sie zulassen. Da 90 % der Nutzer eine restriktive Einstellung wählen werden, also insbesondere keine Third-Party Cookies zulassen werden, „schließt die Verordnung das Endgerät faktisch ab“ (so der VPRT). Die Verordnung sieht keinen Automatismus vor, der bei nachträglicher Einwilligung des Nutzers den Browser wieder aufschließt.
  7. Untersagt ist damit faktisch insbesondere das domainübergreifende Tracking und die Speicherung von Informationen über das Endgerät durch Dritte.
  8. Retargetingmodelle werden faktisch kaum noch umsetzbar.
  9. Erteilte Einwilligungen müssen jederzeit widerrufen werden können. Zudem muss in regelmäßigen Abständen von sechs Monaten an diese Möglichkeit erinnert werden.
  10. Cookies sind nur noch in Ausnahmen zulässig, nämlich (Art. 8 I): a) sie sind für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder b) der Endnutzer hat seine Einwilligung nach Maßgabe von Art. 9 gegeben (und damit – sehr unwahrscheinlich –  faktisch über den Browser) oder c) sie sind für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig oder d) sie sind für die Messung des Webpublikums nötig, sofern der Betreiber des vom Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung durchführt oder sie sind für die Sicherheit und Integrität des Dienstes erforderlich (…)

Nach Art. 10 muss zukünftig bei der Installation eines Browsers der Endnutzer über die Einstellungsmöglichkeiten zur Privatsphäre informiert werden und zudem muss zukünftig zur Fortsetzung der Installation vom Endnutzer die Einwilligung zu einer Einstellung verlangt werden.

In Verkehr gebrachte Software muss zudem darüber hinaus von Anfang an als Voreinstellung die Möglichkeit bieten zu verhindern, dass Dritte Informationen speichern können. Laut Entwurf muss Software, die den Zugang zum Internet ermöglicht (also Browser), künftig „standardmäßig […] verhindern, dass andere Parteien Informationen über das Endgerät eines Nutzers übertragen oder speichern und Informationen verarbeiten, die bereits auf dem Endgerät gespeichert oder von diesem Gerät gesammelt wurden“. Diese Default-Vorgabe verhindert standardmäßig die Verwendung aller Cookies, es sei denn, dass dies für das Funktionieren eines Online-Service technisch unbedingt erforderlich ist

Es wurde ein neuer Absatz eingeführt, in dem es heißt: „keinem Nutzer darf der Zugang zu Diensten oder Funktionen der Informationsgesellschaft verwehrt werden, unabhängig davon, ob diese Dienste vergütet werden oder nicht, mit der Begründung, dass sie ihre Einwilligung zur Verarbeitung personenbezogener Daten und/oder zur Nutzung der Verarbeitungs- oder Speicherfähigkeit ihrer Endgeräte nicht erteilt haben, die für die Bereitstellung dieser Dienste oder Funktionen nicht erforderlich ist“. Dies würde es nach Ansicht des BVDW den Publishern wohl weiterhin ermöglichen, Benutzer von der Nutzung ihres Dienstes auszuschließen, solange sie den Zugriff auf ihre Website ohne Datenerhebung im Rahmen eines Bezahlmodells ermöglichen.

Die „Ausnahme der Reichweitenmessung“ wurde so geändert, dass sie nicht mehr auf die „Messung von Webpublikum“ beschränkt ist, sondern auch von einer ersten Partei oder im Auftrag der „ersten Partei“ oder einer „Web-Analytics-Agentur im öffentlichen Interesse“ durchgeführt werden kann. Dritten, die Reichweitenmessungen im Auftrag Dritter durchführen, ist es untersagt, Daten mit Daten anderer zu verschmelzen.

Haben Sie weitere Fragen zur ePrivacy Verordnung ? Dann melden Sie sich bei uns, eickmeier@unverzagt.law oder 040 414 00034.

 

EuGH: Sind IP Adressen immer personenbezogene Daten? Und was ist mit der User ID?

In einem der für die Onlinebranche wichtigsten Urteile des europäischen Gerichtshofs seit Jahren hat der EuGH zu der Frage Stellung genommen, ob es sich bei dynamischen IP-Adressen um personenbezogene Daten handelt oder nicht (Urteil vom 19. Oktober 2016, Az. C-582/14). Hintergrund war ein Vorlagebeschluss des Bundesgerichtshofs vom 28. Oktober 2014. Dem BGH ging es insbesondere um eine Frage: Ist eine IP-Adresse, die ein Anbieter von Online-Diensten im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen ein personenbezogenes Datum, selbst wenn nur ein Dritter (hier: ein Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?

Diese Frage ist für die Onlinebranche natürlich von herausragender Bedeutung. Wäre eine IP-Adresse ein personenbezogenes Datum, dann benötigte jeder, der eine solche IP-Adresse verarbeitet und zum Beispiel speichert, eine gesetzliche Rechtfertigung oder die Einwilligung der betroffenen Person. Wäre eine IP-Adresse dagegen ein anonymes Datum, würden die Datenschutzgesetze nicht zur Anwendung gelangen. Die Verarbeitung einer IP-Adresse wäre dann ohne Zustimmung des Betroffenen zulässig.

Der EuGH gelangte zu dem Ergebnis, dass eine dynamische IP-Adresse für den Anbieter einer Webseite ein personenbezogenes Datum darstelle, wenn er „über rechtliche Mittel“ verfüge, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen. Allerdings könnten die Betreiber von Websites ein „berechtigtes Interesse“ haben, solche Daten zu speichern. Eine nationale Vorschrift wie zum Beispiel § 15 TMG (Telemediengesetz), die eine solche Speicherung verbiete, würde daher gegen europäisches Recht verstoßen.

Zwar sei eine dynamische IP-Adresse unstreitig keine Information, die sich auf eine bestimmte natürliche Person beziehen, da sich aus ihr unmittelbar weder die Identität der natürlichen Person ergäbe, der der Computer gehört, von dem aus eine Webseite aufgerufen wird, noch die Identität einer anderen Person, die diesen Computer benutzen könnte. Die IP-Adresse stelle jedoch unter gewissen Voraussetzungen Informationen über eine bestimmbare natürliche Person dar. Dies sei dann der Fall, wenn eine dynamische IP-Adresse mit Zusatzinformationen verknüpft sei, über die der Internetzugangsanbieter verfüge und welche „vernünftigerweise“ zur Bestimmung der betreffenden Person eingesetzt werden können. Deshalb sei eine dynamische IP-Adresse dann ein personenbezogenes Datum, wenn der Anbieter von Onlinediensten „über Mittel verfüge, die vernünftigerweise eingesetzt werden können“, um mithilfe Dritter, und zwar der zuständigen Behörde und dem Internetzugangsanbieter, die betreffende Person anhand der gespeicherten IP-Adresse bestimmen zu lassen. Dies sei bei dem Anbieter einer Website der Fall, denn dieser verfüge über rechtliche Mittel, die es ihm erlauben, die betreffende Person anhand der zu Informationen, über die der Internetzugangsanbieter dieser Person verfüge, bestimmen zu lassen, zum Beispiel im Rahmen eines Strafverfahrens.

Der EuGH machte aber auch deutlich, dass dort, wo diese rechtlichen Mittel nicht bestünden, davon auszugehen sei, dass entsprechende Daten als anonym zu betrachten wären.

Dieser Nebensatz hat für die Onlinebranche möglicherweise eine äußerst wichtige Bedeutung. Denn damit eröffnet der EuGH den Spielraum, Online-Identifier wie Cookie-IDs als anonymes Datum zu betrachten. Denn in diesen Fällen bestehen gerade keine rechtlichen Mittel, die es jemanden erlauben würden, die betreffende Person anhand der Informationen, über die ein anderer verfüge, bestimmen zu lassen. Der EuGH machte deutlich, dass ihm die nur die theoretische Möglichkeit einer De-Anonymisierung nicht ausreiche. Im Klartext wendete sich der EuGH damit von der auch in Deutschland vertretenen sogenannten „absoluten Theorie“ ab. In Teilen der Literatur wird deshalb bereits die Schlussfolgerung gezogen, der EuGH gestattete die Verarbeitung von anonymen Onlinekennummern, zum Beispiel im Rahmen von Big Data, zur Verarbeitung von Gesundheitsdaten oder – weitaus wichtiger – im Rahmen von Onlinewerbemaßnahmen (z.B. beim Re-Targeting, OBA etc.). Ob der EuGH wirklich so weit gehen wollte, bleibt abzuwarten. Aber eines steht jedenfalls fest: Es ist seit der Entscheidung des EuGH mehr als zweifelhaft, ob die von den deutschen Aufsichtsbehörden vertretene absolute Theorie noch aufrecht erhalten werden kann. Und ebenso zweifelhaft ist es, ob die Ausführungen des EuGH zu IP-Adressen auf Online-Identifier wie Cookie-IDs ohne weiteres übertragen werden können.

Möchten Sie noch mehr zu diesem Thema wissen, insbesondere zu der Frage, wie sich das Urteil auf Ihr Geschäftsmodell auswirkt, dann rufen Sie uns an.

Dr. Frank Eickmeier, Tel. 040 414 0000, Eickmeier@unverzagt.law