Original-URL des Artikels: https://www.golem.de/news/orientierungshilfe-wie-webseiten-nutzer-tracken-duerfen-und-wie-nicht-1904-140588.html    Veröffentlicht: 10.04.2019 14:23    Kurz-URL: https://glm.io/140588

Orientierungshilfe

Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.

Längst ist es nicht mehr nur das einsame Cookie, das ein Website-Anbieter im Browser des Nutzers ablegt. Es sind Dutzende von Cookies und Trackern, die das Nutzerverhalten auswerten, um die gesammelten Informationen zu werbetauglichen Profilen zusammenzustellen. Für viele Anbieter dürfte es künftig schwieriger werden, solche Tools wie bisher auf ihrer Website einzusetzen und Nutzer mit Do-Not-Track-Einstellungen auszuschließen. Nach Ansicht der deutschen Aufsichtsbehörden ist die bisherige Praxis nicht mit der EU-Datenschutz-Grundverordnung (DSGVO) vereinbar. Eine 25-seitige "Orientierungshilfe" (PDF) soll den Anbietern von Telemedien nun die Einschätzung erleichtern.

Derzeit befassen sich die französischen und britischen Datenschutzbehörden mit der Frage, ob und wie Werbenetzwerke etwa von Google oder Vectaury legal betrieben werden können und haben teilweise auch schon bestimmte Anforderungen deutlich gemacht. Die deutschen Aufsichtsbehörden hielten sich bis jetzt mit Blick auf die E-Privacy-Verordnung zurück. Doch weil die Verabschiedung der Verordnung wohl kaum noch vor der Europawahl stattfinden und sie unter einem neuen Parlament neu verhandelt werden wird, ist von europäischer Seite erstmal keine Orientierung zu erwarten. Daher hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) sich doch noch zur Veröffentlichung einer Orientierungshilfe entschieden.

Opt-out-Regelung nicht mehr möglich

Die zentrale Feststellung lautet, dass die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) nicht anwendbar sind. Das hatte die DSK bereits in einem Positionspapier vom April 2018 festgehalten. Eine Opt-out-Regelung ist also nicht mehr möglich. Der deutsche Gesetzgeber hatte es versäumt, das TMG an die immer noch geltende E-Privacy-Richtlinie anzupassen. Die Richtlinie ist aber nicht mehr das Maß der Dinge, da inzwischen die Regelungen der Datenschutz-Grundverordnung (DSGVO) einen Anwendungsvorrang genießen.

Das TMG hat bislang die Erlaubnis, personenbezogene Daten zu verarbeiten, zu weit gefasst: So war die Datenverarbeitung ohne Einwilligung des Nutzers über den Nutzungsvorgang hinaus erlaubt, wenn die Daten die "generelle Funktionsfähigkeit der Dienste" gewährleisteten. Die bisher praktizierte Opt-out-Lösung ist mit Verweis auf Artikel 7 der DSGVO aber jetzt vom Tisch.

Nach der DSGVO ist eine Verarbeitung nur rechtmäßig, wenn sie sich entweder auf eine Einwilligung, einen Vertrag oder eine Interessenabwägung stützen kann. Die Website-Betreiber müssen demnach dokumentieren, auf welchen Erlaubnistatbestand sie sich stützen. Wobei die Nutzer darüber in jeden Fall für sämtliche Verarbeitungen ihrer personenbezogenen Daten informiert werden müssen.

Einfacher Okay-Button genügt nicht

Die Aufsichtsbehörden stellen klar, dass die bei vielen Cookie-Bannern gepflegte Praxis nicht reicht, das Setzen von Cookies mit einem Okay-Button zu verbinden und sich damit eine Einwilligung des Nutzers zu holen. Wenn die Nutzer keine Möglichkeiten erhalten, das Setzen von Cookies abzulehnen, gilt die mit dem Button eingeholte Einwilligung nicht. Der Nutzer muss nämlich die freie und echte Wahl haben, was bedeutet, dass er die Einwilligung auch verweigern kann, ohne dadurch Nachteile zu erleiden. Das heißt, der Besuch der Website muss auch dann möglich sein, wenn der Nutzer keine Einwilligung erteilt.

Tracking ist demnach nur dann möglich, wenn der Nutzer ausreichend informiert wurde und explizit seine Einwilligung in die geplanten Datenverarbeitungen gegeben hat. Überdies dürfen durch datenschutzfreundliche Voreinstellungen nur die Daten verarbeitet werden, die für einen bestimmten, klar benannten Verarbeitungszweck erforderlich sind.

Interessenabwägungen

Damit ruht die Hoffnung der Diensteanbieter auf dem Erlaubnistatbestand der Interessensabwägungen. Die Orientierungshilfe stellt klar, dass zunächst das Interesse des Datenverarbeiters an der Verarbeitung personenbezogener Daten "berechtigt" sein muss. Ein solches berechtigtes Interesse wäre beispielsweise eine nutzerfreundliche Wahrnehmung des Online-Angebots oder die Verhinderung von Betrug sowie die Direktwerbung. Illegale und diskriminierende Beweggründe können nicht angeführt werden.

Ein "berechtigtes Interesse" wäre beispielsweise auch die Warenkorb-Funktion mit einem Session-Identifier. Auch zählt das Interesse dazu, eine Website frei zu gestalten und beispielsweise Webfonts, Kartendienste oder Social-Plugins einzubinden. Auch könnten IT-Security-Maßnahmen als "berechtigtes Interesse" angeführt und Log-Dateien über einen längeren Zeitraum gespeichert werden. Reichweitenmessung und statistische Analysen wie auch individualisierte und werbefinanzierte Angebote können im berechtigten Interesse des Anbieters liegen.

Aus für invasive Reichweiten-Analysetools

Rechtlich zulässig sind all diese Anwendungen und Maßnahmen allerdings nur dann, wenn sie zweitens erforderlich sind und drittens einer Interessenabwägung standhalten. Als erforderlich wird nur eine Verarbeitung angesehen, wenn der Verarbeiter kein milderes und gleich effektives Mittel hat. Das bedeutet, dass die Verarbeitung immer auf das notwendige Maß zu beschränken ist.

Möchte beispielsweise ein Website-Betreiber die Reichweite messen und erfahren, wie er sein Angebot optimieren und die Darstellung an die Endgeräte anpassen kann, darf er ein Analysetool einsetzen. Wenn dieses Analysetool aber Daten über das Nutzungsverhalten an Dritte weitergibt wie etwa soziale Netzwerke oder externe Analysedienste, übersteigt dies die Erforderlichkeit. Denn das Ziel, die Reichweitenmessung, kann auch mit anderen Tools erreicht werden, die weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln. Auch ist die Erstellung von individuellen Nutzungsprofilen für die Reichweitenmessung nicht erforderlich.

Einsatz von Google Analyics wird schwieriger

Die Aufsichtsbehörden nennen hier keine Produktnamen, doch klar dürfte sein, dass beispielsweise der Einsatz von Google Analytics nach diesen Maßstäben nicht rechtskonform wäre, wohl aber der von Matomo. Sie haben die Orientierungshilfe dem Thema übrigens einen gelb markierten Beispielkasten gewidmet.

Schließlich gilt es, in einer dritten und entscheidenden Stufe die Interessenabwägung vorzunehmen, die auf einen konkreten Einzelfall bezogen sein muss. So stehen die "berechtigten Interessen" der Diensteanbieter den Interessen und Grundrechte der Nutzer gegenüber. Ein Käufer hat beispielsweise ein anderes Schutzbedürfnis als ein Suchtkranker, der eine Online-Beratungsstelle besucht. Die Aufsichtsbehörden warnen deshalb davor, pauschale Feststellungen zu machen.

Opt-out-Verfahren möglich

Bei der Abwägung hat das verfassungsrechtlich anerkannte Grundrecht des Nutzers auf Schutz seiner personenbezogenen Daten ein höheres Gewicht als ein Interesse, das nur einfachgesetzlich in der Rechtsordnung anerkannt ist. Auch ist ein Interesse gewichtiger, wenn es nicht nur dem verantwortlichen Diensteanbieter dient, sondern auch der Allgemeinheit. Das wäre beispielsweise bei Forschungstätigkeiten der Fall, wenn sie der medizinischen Vorsorge dienen. Die Anbieter können beispielsweise durch zusätzliche Schutzmaßnahmen wie eine Pseudonymisierung die Interessenabwägung zu ihren Gunsten gestalten.

Grundsätzlich sind im Rahmen der Interessenabwägungen Opt-out-Verfahren möglich. Als Kompensationsmaßnahme können Nutzer die Möglichkeit erhalten, die Bedingungen der personenbezogenen Datenverarbeitung festzulegen oder diese zu unterbinden. Beispielsweise kann der Nutzer in den Datenschutzbestimmungen Hinweise zu einem Opt-out-Verfahren erhalten, das er jederzeit ausführen kann.

Werbe-IDs keine ausreichende Pseudonymisierung

Bei Direktwerbung oder Profiling besteht in jedem Fall ein Widerspruchsrecht, was sich nicht auf die Interessenabwägung auswirkt. Do-Not-Track-Einstellungen müssen hier in jedem Fall respektiert werden. Auch ist es nicht zulässig, First-Party-Cookies zu verwenden, um die Blockierung von Third-Party-Cookies zu technisch zu umgehen.

Apropos Pseudonymisierung: Die Aufsichtsbehörden stellen klar, dass, wenn Nutzer über IDs oder Kennungen bestimmbar sind, dies keine Pseudonymisierungsmaßnahme im Sinne der DSGVO darstellt. Das gilt also auch für IP-Adressen, Cookie-IDs, Werbe-IDs und ähnliche Identifikatoren. Sie dienen ja dem Zweck, die Nutzer unterscheidbar zu machen und nicht um einen besseren Grundrechteschutz zu erreichen. Es kommt also nicht darauf an, ob ein Diensteanbieter den bürgerlichen Namen des Nutzers kennt, sondern ob der Nutzer bestimmbar und adressierbar ist.

Diese Klarstellung ist vor allem für Werbenetzwerke relevant, die mit solchen Identifikatoren arbeiten. Sie müssen den Personenbezug frühestmöglich beseitigen und - wenn überhaupt - mit echten Pseudonymen arbeiten.

Orientierungshilfe als Prüfmaßstab

Es ist ein juristisches Papier, das ohne die Nennung bestimmter Anbieter und ohne Empfehlungen bestimmter Lösungen auskommt. Der Einsatz von Google Analytics etwa dürfte damit ohne Einwilligung und Widerrufsmöglichkeit tabu sein, ebenfalls das Einbetten von Facebook-Buttons ohne eine Zwei-Klick-Lösung, mit der der Nutzer seine ausdrückliche Einwilligung erteilt.

Unternehmen sollten die Vorgaben der Orientierungshilfe berücksichtigen, wenn sie nicht in Konflikt mit den Aufsichtsbehörden kommen wollen. Es gilt unter Vorbehalt, bis entweder die E-Privacy-Verordnung in Kraft tritt oder der europäische Datenschutzausschuss, in dem alle Aufsichtsbehörden vertreten sind, zu einer gemeinsamen Positionierung kommen.

Ob und wie die Vorgaben durchgesetzt werden, hängt von den Kapazitäten der Behörden ab. Das Bayerische Landesamt für Datenschutzaufsicht wollte angeblich schon im vergangenen Jahr mit dem automatisierten Abfragen von Internetseiten überprüfen, ob die Diensteanbieter tatsächlich die Zustimmung der Nutzer einholen. Bei Verstößen sollten dann automatisch Verwarnungen verschickt werden. Die Regel ist derzeit, dass die Behörden Beschwerden nachgehen. Die Kontrollen sollen sich jedoch ändern, da die Behörden ihre Prüfkapazitäten und -ressourcen besser koordinieren wollen. Vorbild sind sogenannte Sweeps, die bisher vor allem an Aktionstagen national, europaweit oder international von vielen Aufsichtsbehörden und Verbraucherschutzorganisationen gleichzeitig durchgeführt wurden.  (csh)


Verwandte Artikel:
Cookie-Banner: Deutsche Datenschützer spielen bei Nutzertracking auf Zeit   
(14.02.2019, https://glm.io/139374 )
Telemetrie-Daten: EU prüft Datenschutz bei Microsoft-Produkten   
(09.04.2019, https://glm.io/140566 )
Strahlenbelastung: Brüssel will strenge Grenzwerte für 5G nicht ändern   
(09.04.2019, https://glm.io/140575 )
Realtime-Bidding: Werbenetzwerke im Visier der Datenschützer   
(13.02.2019, https://glm.io/139340 )
IT-Konzerne: Einigung auf europaweite Digitalsteuer gescheitert   
(13.03.2019, https://glm.io/139975 )

© 1997–2020 Golem.de, https://www.golem.de/