Als ob die ab 25.Mai 2018 verbindlich geltende Datenschutzgrundverordnung (DSGVO) nicht schon genug hektische Betriebsamkeit auslösen würde, sorgt die sog. Datenschutzkonferenz (DSK), als gemeinsames Gremium der Datenschutzbehörden, mit ihrer aktuellen Stellungnahme vom 26.04.2018 nun für noch größere Verunsicherung.

In der Mitteilung, die für die datenschutzkonforme Ausgestaltung von Webseiten und Onlinemarketing unter der DSGVO eine erhebliche Bedeutung haben dürfte, formulieren die Datenschutzbehörden ihre Interpretation zu einigen elementaren Fragen.

So wird dort unter anderem Folgendes mitteilt:

• Mit Wirksamwerden der DSGVO können die §§ 12, 13, 15 TMG, die bisher die Grundlage für die Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen waren nicht mehr angewendet werden.
• Die ePrivacy Richtlinie (auch Cookie-Richtlinie genannt), die bis zum Wirksamwerden der ePrivacy Verordnung (wohl erst in 2019) die Anforderungen an Cookies formuliert, ist in Deutschland nicht direkt anwendbar.
• Werden personenbezogene Daten auf einer Webseite erhoben, kommt es ab 25.Mai 2018 folglich entscheidend darauf an, welcher Erlaubnistatbestand des Art. 6 Abs.1 DSGVO die Verarbeitung legitimiert.
• Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.

Und am gravierendsten:

• Der Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und/oder Nutzerprofile erstellen, bedarf immer einer vorherigen informierten Einwilligung (Opt-In)

Mit der letzten Feststellung lässt die Datenschutzkonferenz knapp einen Monat vor Wirksamwerden der DSGVO eine „Bombe platzen“, die für fast jeden Webseitenbetreiber erhebliche Auswirkungen hätte und folgende Fragen aufwerfen:

• Müssen Webseitenbetreiber zum 25.Mai 2018 jetzt alle Trackingmaßnahmen abschalten, um Bußgelder zu vermeiden ?
• Was fällt eigentlich alles unter Tracking ? Ist die übliche Webanalyse der Besucher auch Tracking ?
• Wie soll/muss eine wirksame Einwilligung eingeholt werden ?
• Welche Rechtsfolgen drohen ?

Zur Einordnung dieser Stellungnahme muss man sagen, dass es sich derzeit „nur“ um das Verständnis der deutschen Datenschutzbehörden handelt. Es spricht aus meiner Sicht einiges dafür, dass die Aussage zum Tracking in dieser Pauschalität nicht richtig ist. Insofern halte ich es für überwiegend wahrscheinlich, dass zukünftige Stellungnahmen der die EU beratenden Art.29 Datenschutzgruppe bzw. auch zukünftige Gerichtsurteile (z.B. des EuGH) diesbezüglich zu einem anderen Ergebnis kommen werden.

Bis zu entsprechenden Korrekturen birgt die Stellungnahme aber ein nicht unerhebliches Konflikt- und Risikopotenzial für alle Webseitenbetreiber die Tracking (z.B. Webanalyse) oder Targeting (z.B. Retargeting oder Online Behavioural Advertising) einsetzen.

Nachfolgend sollen deshalb die rechtlichen Anforderungen der DSGVO an Tracking und Targeting beschrieben und Empfehlungen für den Umgang mit der Stellungnahme der Datenschutzkonferenz gegeben werden.

A. Rechtliche Grundlagen für Tracking und Targeting unter der Datenschutzgrundverordnung

Werden auf oder über eine Webseite personenbezogene Daten erhoben oder verarbeitet, so ist dies nach dem Verbotsprinzip der DSGVO nur zulässig, wenn einer der Erlaubnistatbestände die jeweilige Datenverarbeitung legitimiert.

Die Frage, was alles als personenbezogenes Datum im Sinne der Datenschutzgrundverordnung anzusehen ist, wird in Art. 4 Ziff.1 DSGVO definiert. Neben Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden auch Betroffener) beziehen, fallen ausdrücklich auch Onlinekennungen in den Anwendungsbereich.

Entgegen einiger wilder Spekulationen in zahlreichen Internetforen reicht es für die Annahme eines Personenbezuges grundsätzlich schon aus, wenn die Person durch die jeweiligen Daten bestimmbar ist, weil die Information in Verbindung mit anderen Informationen eine Unterscheidung bzw. Identifizierbarkeit ermöglicht. Die Identifizierung einer Person setzt damit nicht die Kenntnis eines Namens voraus. So genügt es vielmehr schon, wenn eine Onlinekennung (z.B. eine Cookie-ID) einen Webseitenbesucher als „unique user“ identifizieren kann, der bestimmte Seiten angeschaut hat, ohne dass auch nur irgendeine tatsächlich Identifikation des Namens möglich ist. Der Anwendungsbereich ist also bewusst weit gewählt, weshalb ich meinen Mandanten zwischenzeitlich davon abrate, durch zweifelhafte Konstruktionen den Personenbezug vermeiden zu wollen.

Für all die Verarbeitungsvorgänge, die auf der einen Webseite solche eindeutige Onlinekennungen einsetzen, ist zu prüfen, ob diese nach Art. 6 Abs.1 DSGVO rechtmässig eingesetzt werden können.

Damit ist die Erhebung und Verarbeitung von

• nutzerbasierten Cookie-IDs
• (pseudonymisierten) IP-Adressen oder
• anderen Onlinekennungen

nur zulässig, wenn einer der Erlaubnistatbestände des Art. 6 Abs.1 DSGVO die konkrete Datenverarbeitung legitimiert.

Wie die DSK in ihrer Stellungnahme richtig ausführt, kommen bei der Webseite bzw. für Onlinemarketing bezüglich der Verarbeitung der Daten der Webseitenbesucher in der Regel nur die Legitimationstatbestände

• Art. 6 Abs.1 lit. a) DSGVO (Einwilligung der betroffenen Person)
• Art. 6 Abs.1 lit. f) DSGVO (Berechtigte Interessen der verantwortlichen Stelle)

in Betracht.

Neben der Einwilligung (Opt-In) lässt Art.6 Abs.1 lit.f DSGVO aber eben auch ausdrücklich eine Legitimation  über berechtigte Interessen (also ohne Opt-In) zu. Erwägungsgrund (47) DSGVO, welcher Direktmarketing ausdrücklich als mögliches berechtigtes Interesse nennt und Art. 21 Abs.1 Satz 1 DSGVO, der ein Widerspruchsrecht für Werbeprofiling vorsieht, sind eindeutige Argumente dafür, dass auch Tracking und Targeting – je nach „Eingriffsintensität“ und Erwartbarkeit– auch über berechtigte Interessen legitimiert werden können sollen.

Die aktuelle Aussage der Datenschutzkonferenz, dass Tracking grundsätzlich immer einer Einwilligung (Opt-In) bedarf, widerspricht damit den Regelungen und den Erwägungsgründen der DSGVO.

Ob Tracking oder Targeting über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden kann oder einer Einwilligung (Opt-In) im Sinne des Art. 6 Abs.1 lit.f DSGVO bedarf, hängt von einer Abwägung der Interessen des Webseitenbetreibers mit denen der Besucher und deren berechtigten Nutzererwartung ab.

Während Argumente wie

• Verarbeitung pseudonymer Daten
• Umfassende Information auf der Webseite
• Verarbeitung vernünftigerweise erwartbar
• Einfache Opt-Out-Möglichkeit

bei Tracking und Targetingmaßnahmen Kriterien sind, die im Zusammenwirken eher dafür sprechen, dass diese Datenverarbeitung über berechtigte Interessen legitimiert werden kann, dürften Verarbeitungsvorgänge

• mit einem umfassenden Profiling (z.B. Zusammenführung von Online- und Offlinedaten)
• mit Standortdaten
• mit besonders sensiblen Daten

nicht mehr über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO legitimiert werden können. Wer entsprechende Maßnahmen einsetzen will, die der Nutzer vernünftigerweise nicht erwarten muss, sollte sich tatsächlich vorher eine Einwilligung (Opt-In) von den Betroffenen einholen.

Zusammenfassend muss man der Stellungnahme bezüglich der zwingenden Notwendigkeit einer Einwilligung bei Tracking und Targeting entschieden widersprechen. Sehr lesenswert sind hierzu auch die Beiträge der Kollegen/in Stephan Hansen-Oest, Martin Schirmbacher und Nina Diercks, die im Wesentlichen zu dem selben Ergebnis kommen.

B. Empfehlungen für die Praxis

Betreiber von Webseiten sollten sämtliche verwendeten Tracking und Targetingwerkzeuge nach den oben stehenden Maßstäben (neu) bewerten.

Bei Analysewerkzeugen wie Google Analytics (mit IP-Masking) oder Matomo (früher Piwik) lässt sich eine Legitimation über berechtigte Interessen aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings mit guten Argumenten begründen. Wer dem Art.13 DSGVO  entsprechend dann noch in der Datenschutzerklärung über diese Datenverarbeitung aufklärt und eine Widerspruchsmöglichkeit anbietet, dürfte auch in datenschutzrechtlicher Hinsicht gut aufgestellt sein.

Die Zulässigkeit anderer Werkzeuge (wie Online Behavioural Advertising, Retargeting) hängt sehr von der konkreten Ausgestaltung ab, insbesondere welche Daten (pseudonyme Daten oder nicht) erhoben werden, ob diese mit anderen Daten zusammengeführt werden und wie diese genutzt werden. Je nach „Eingriffsintensität“ und Erwartbarkeit lassen sich manche Tracking- und Targetingmaßnahmen also wohl noch über berechtigte Interessen im Sinne des Art. 6 Abs.1 lit.f DSGVO argumentieren, andere bedürfen dann tatsächlich eine Einwilligung, um sie datenschutzkonform einsetzen zu können. Im letzteren Fall sollte vor der Datenverarbeitung (z.B. über ein Cookieoverlay) eine wirksame Einwilligung eingeholt werden.

Diese Ausführungen und die Stellungnahme der Datenschutzkonferenz zeigen, dass hier einiges vertreten werden kann. Die Rechtsprechung wird zeigen, wo genau die Grenze verläuft.

Webseitenbetreiber sollten sich auf der Grundlage einer Risikoabwägung entscheiden, welche Werkzeuge eingesetzt werden sollen und welche nicht. Während das Risiko bei einigen Werkzeugen (z.B. pseudonyme Webanalyse) eher überschaubar ist, verbleibt bei einigen anderen ein größere Rechtsunsicherheit.

C. Potentielle Risiken bei Tracking und Targeting

Ein mögliches Risiko ist die Verhängung von Bußgeldern durch die Datenschutzbehörde. Entgegen der weit verbreiteten Befürchtung, dass es für Webseitenbetreiber nun haufenweise Millionenbußgelder geben könnte, sei darauf hingewiesen, dass Bußgelder zwar abschreckend wirken sollen, nach Art. 83 DSGVO aber auch im Verhältnis zur Schwere des Verstoßes und den weiteren Umständen stehen müssen. Danach wird sich jeweilige Bußgeld wohl auch von der Größe eines Unternehmens orientieren.
Auch kommt es darauf an, ob der Verstoß vorsätzlich oder fahrlässig begangen worden ist. Dabei wird es wohl auch eine Rolle spiele (müssen), ob ein Verstoß eindeutig oder (wie oben ausgeführt) durchaus diskutiert werden kann.

Wer sich also hier vorbereitet und mit vertretbarer Argumentation zur Zulässigkeit eines Targeting- oder Trackingmechanismus kommt, der braucht auch keine unverhältnismäßigen Bußgelder zu fürchten.

Als weiteres potentielles Risiko werden häufig Abmahnungen genannt. Tatsächlich werten einige Gerichte Datenschutzverstöße (auch) als Wettbewerbsverstöße, mit der Folge dass die eigenen Wettbewerber gegen das Unternehmen vorgehen könnten, das eine Webseite betreibt. Da die meisten Unternehmen zwischenzeitlich entsprechende Tracking- und Targetingmaßnahmen einsetzen, erscheint das Risiko (außer systematischen Massenabmahnern) eher unwahrscheinlich. Zudem „riskiert“ der Abmahner eine gerichtliche Klärung, die aufgrund der oben stehender Argumentation bei sachkundigem Vortrag bei Gericht, auch gegen Abmahner ausgehen kann. Spannend wird auch die Frage, welche Datenschutzverstöße tatsächlich auch aus wettbewerbsrechtlicher Sicht spürbar sind. Ansonsten scheitern nämlich die wettbewerbsrechtlichen Ansprüche.

D. Zusammenfassung zu Targeting und Tracking unter der DSGVO

Zusammenfassend muss man also sagen, dass die tatsächlichen Risiken davon abhängen, welche Tools man einsetzt und wie gut man diese über berechtigte Interessen legitimieren kann.

Bei Einsatz entsprechender Tools sollte – unabhängig von den oben stehenden Fragestellungen – stets darauf geachtet werden, dass die Webseitenbesucher gemäß Art. 13 DSGVO über die Datenverarbeitung und bestehende Widerspruchsrechte informiert werden.

Schlussendlich wird dann die weitere Entwicklung in Form von zukünftige Stellungnahmen und Gerichtsentscheidungen zeigen, welche Tracking- und Targetingmaßnahmen (noch) über berechtigte Interessen legitimiert werden können, weil der Nutzer sie vernünftigerweise erwarten muss und welche Werkzeuge zwingend einer Einwilligung bedürfen. Schlussendlich wird hier nicht die deutsche Rechtsauffassung, sondern eine einheitliche europäische Auslegung zugrunde zu legen sein.

Bis dahin bleibt es eine Frage der konkreten Argumentation und einer Risikoabwägung, welche Werkzeuge eingesetzt werden. Ob man also nur die einsetzt, die relativ eindeutig zulässig sind oder ob man auch andere Tracking- und Targetingmaßnahmen einsetzt. Im letzteren Fall sollte man die der eigenen Argumentation zugrundeliegende Interessenabwägung, die zur Zulässigkeit über berechtigte Interessen führt, der Rechenschaftspflicht des Art.5 Abs.2 DSGVO entsprechend schriftlich dokumentieren.