Aufsichtsbehörden für Datenschutz verlangen Einwilligung für Tracking
Bereits in früheren Artikeln (siehe hier und hier) hatten wir darauf hingewiesen, dass das Telemediengesetz (TMG) nicht vollumfänglich den Anforderungen der ePrivacy-Richtlinie (Achtung, bitte nicht verwechseln mit der ePrivacy-Verordnung, die aktuell gerade in den Gremien der EU verhandelt wird) entspricht.
Diese Situation wurde dadurch weiter verschärft, dass die EU Datenschutz-Grundverordnung (DSGVO) Regelungen geschaffen hat, welche deutlich strenger sind, als die im Deutschen TMG. Insbesondere die §§ 13 und 15 TMG widersprechen den Regelungen der DSGVO. Unseres Erachtens haben diese Regelungen auch bereits der zugrunde liegenden ePrivacy-Richtlinie widersprochen.
Die DSK hat sich positioniert
Die Aufsichtsbehörden, genauer die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat in einem Positionspapier unter anderen folgende Position klargestellt:
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
Damit ist klar, dass die bislang im TMG geregelte Opt-Out-Lösung nach Ansicht der Aufsichtsbehörden nicht mehr zulässig ist.
Kein Tracking ohne Einwilligung
Die Aufsichtsbehörden erwarten zukünftig, dass für jegliches Tracking zukünftig im Vorfeld eine der DSGVO (s. Art. 6 und 7 DSGVO) genügende Einwilligungserklärung eingeholt wird.
Weiter wird ausgeführt:
Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.
Wir lesen hier die unterschwellige Drohung heraus, dass man sich nicht nur positionieren möchte, sondern auch gewillt ist, zu sanktionieren.
Schlechter Zeitpunkt
So kurz vor Anwendbarkeit der DSGVO (das Positionspapier wurde am 26.04.2018 veröffentlicht, ab 25.05.2018 gilt die DSGVO) erscheint das Timing der Aufsichtsbehörden zumindest nicht optimal.
Bitte handeln Sie… JETZT
Auf jeden Fall ist nun kurzfristig Aktion gefragt: Mindestens muss entschieden werden, ob auf die neuen Entwicklungen kurzfristig Rücksicht genommen werden soll. Eine Entscheidung dagegen birgt hauptsächlich das Risiko, sich Ärger mit den Aufsichtsbehörden einzuhandeln, welcher auch in einem Rechtsstreit enden könnte. Die Gefahr von Abmahnungen halten wir für eher gering, da es immer noch eine Deutsche Bundesgesetzgebung gibt, auf die man sich berufen könnte.
Abschalten oder ändern?
Bei einer Entscheidung, kurzfristig handeln zu wollen, gibt es unseres Erachtens mindestens zwei Optionen:
- Abschalten jeglicher Tracking-Funktionalität bis zur endgültigen Klärung des Sachverhalts durch Gerichte bzw. bis zu einer Relativierung des Positionspapiers durch die Aufsichtsbehörden. Unserer Meinung nach ist diese Option insbesondere für kleinere Unternehmen ohne eigene Marketingabteilung die Option der Wahl. Wir kennen zahlreiche Unternehmen, die Tracking-Tools wie Google Analytics einsetzen, aber die gewonnenen Daten nicht wirklich nutzen. Hier sollte über eine Abschaltung nachgedacht werden;
- Anpassung der Funktionalität: Implementierung von Opt-In-Lösungen inkl. Dokumentation der Opt-Ins in Datenbanken. Diese Lösung ist mit Programmieraufwand verbunden dürfte relativ aufwändig werden, sofern kein Standard-CMS eingesetzt wird.
Und was ist mit Sammel-Opt-Ins?
Wir stellen uns außerdem die Frage, inwiefern zukünftig ein Sammel-Opt-In für alle Trackingverfahren eingeholt werden kann. Letztlich verlangt Art. 25 DSGVO ein datenschutzfreundliches Design und datenschutzfreundliche Voreinstellungen. Hierzu gehört unseres Erachtens auch, dass es möglich ist, der Verwendung einzelner Trackingverfahren zuzustimmen, ohne gleich alle akzeptieren zu müssen. Direkte Folge wäre, dass die Einwilligungserklärungen auf Seiten mit mehreren Trackingverfahren oder mehreren Cookies zukünftig sehr lang ausfallen müssten.
Es gilt, die Entwicklungen zu dieser Fragestellung weiter zu beobachten. Wir werden das selbstverständlich tun und uns bei passender Gelegenheit wieder zu Wort melden.
Bis dahin empfehlen wir Ihnen, Ihre Situation zu analysieren und angemessen zu reagieren. Im Zweifel mehrstufig, beginnend mit einem temporären Abschalten von Trackingfunktionalität, um Zeit zu gewinnen, die notwendigen Anpassungen vorzunehmen. Die schlechteste aller Lösungen scheint uns jedenfalls aktuell eine rein abwartende Haltung zu sein.