Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
datenschutzerklärung generator tracking cookies analytics cookies piwik

“Do-Not-Track“ – das Aus für Consent-Manager?

24. November 2023/von Datenschutzbeauftragter/oba

Haben Sie sich schon mal durch die Einstellungen Ihres Internet-Browsers geklickt? Vielleicht ist Ihnen dabei ja diese verheißend klingende „Do-Not-Track“-Einstellung aufgefallen, die man anklicken kann. Welche rechtliche Bedeutung kommt dieser „Do-Not-Track“-Einstellung zu, die Nutzer*innen in ihrem Browser aktivieren können? Mit dieser Frage hatte sich im Kern das LG Berlin (Az.: 16 O 420/19) zu befassen, dem eine Unterlassungsklage des Verbraucherzentrale Bundesverbands eine Unterlassungsklage gegen die Microsoft-Tochter LinkedIn vorlag.

Worum geht es eigentlich bei „Do-Not-Track“?

Wer im Internet surfen möchte und dabei nicht getrackt, also digital verfolgt werden will, findet in den Einstellungen der gängigen Browser die Möglichkeit „Do-Not-Track“ einzustellen. Ist dies passiert und wird eine Internetseite aufgerufen, wird an den Webserver im Zuge der notwendigen Kommunikation ein entsprechendes Signal gesendet, welches den Willen der Nutzer*innen mitteilt. Die Nutzer*innen können dadurch zum Ausdruck bringen, dass ihr Nutzungsverhalten nicht verfolgt und analysiert werden soll (beispielsweise zur Erstellung von Profilen). Es ist wichtig zu wissen, dass es sich hierbei nicht um einen automatisierten Prozess handelt, der technisch sicherstellt, dass kein Tracking stattfindet. Es handelt sich lediglich um eine Mitteilung an den Webserver, dass man nicht getrackt werden möchte. Diese Mitteilung kann vom Webserver ausgelesen werden oder auch nicht. Ebenso kann diese Willensbekundung beachtet werden oder eben auch nicht. Eine Sicherheit gibt es für die Nutzer*innen nicht. Selbst eine Rückmeldung, ob denn der Webserver der gerade besuchten Webseite die „Do-Not-Track“-Anforderung berücksichtigt oder nicht, erhält man nicht. In der Praxis dürfte die Anforderung daher in vielen Fällen unbeachtet bleiben.

Insofern stellt sich die Frage, welcher rechtliche Status der „Do-Not-Track“-Anforderung zukommt. Muss „Do-Not-Track“ beachtet werden? Handelt es sich gar um einen rechtswirksamen Widerspruch gemäß Art. 21 DSGVO, der auch präventive Wirkung entfaltet?

Zurück zu unserem Beispiel

LinkedIn erklärte in seinen Datenschutzhinweisen, dass es sich nicht an etwaige „Do-Not-Track“-Anweisungen halte und tat dies in der Praxis auch nicht. Das rief den Verbraucherzentrale Bundesverband auf den Plan, der hierin eine Missachtung des Willens der Nutzer*innen witterte: „Wenn Verbraucher:innen die ‚Do-Not-Track‘-Funktion ihres Browsers aktivieren, ist das eine klare Botschaft: Sie wollen nicht, dass ihr Surfverhalten für Werbe- und andere Zwecke ausgespäht wird“, so eine Sprecherin des Verbraucherzentrale Bundesverbands.

Zur Einordnung: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und nur dann zulässig, wenn diese zu einem legitimen Zweck auf Basis einer gültigen Rechtsgrundlage erfolgt. Die Verarbeitung personenbezogener Surfer*innendaten zu Analyse- und/oder Werbezwecken bedarf regelmäßig einer Einwilligung der betroffenen Person. Deshalb empfangen ja zunehmend mehr Webseiten ihre Besucher*innen mit einem Consent-Manager. Es kommt also wesentlich auf den Willen der betroffenen Person an.

Das LG Berlin schloss sich der Rechtsmeinung des Verbraucherzentrale-Bundesverband an und entschied zu Gunsten der betroffenen Person: LinkedIn darf nicht mehr mitteilen, dass es nicht auf die „Do-Not-Track“-Signale reagiert, denn diese Aussage suggeriere, dass die Verwendung des Do-Not-Track-Signals in rechtlicher Hinsicht irrelevant sei.

Was heißt das jetzt über den Einzelfall hinaus?

Liegt stets ein Verstoß vor, wenn das „Do-Not-Track“-Signal nicht beachtet wird? Werden gar Consent-Manager bei aktivierter „Do-Not-Track“-Einstellung unzulässig, da eine betroffene Person ja bereits ihren Widerspruch erklärt hat? Eine erneute Frage, ob man denn nun doch getrackt werden möchte, sei aufgrund der zuvor abgegebenen Willenserklärung dann nicht mehr zulässig – so zumindest die Hardliner unter den Datenschützern.

Wir meinen, dass man mit einer solch strengen Interpretation etwas über das Ziel hinausschießt. Sie stellt nach unserer Auffassung auch eine Fehlinterpretation des ergangenen Urteils dar. Das LG Berlin hat zwar entschieden, dass der Hinweis auf die Nichtbeachtung von „Do-Not-Track“ unzulässig ist. Zu der eigentlichen Praxis, die Einstellung zu ignorieren, hat sich das Gericht jedoch nicht geäußert. Es geht dem Gericht hier also eher darum, dass durch den Hinweis, „Do-Not-Track“ nicht zu beachten, den Nutzer*innen suggeriert wird, dass diese Einstellung unerheblich ist und damit versucht wird, sie davon abzuhalten, diese Funktion zu nutzen. Für datenschutzrechtliche Laien klingt das Ergebnis sicherlich sehr seltsam, denn etwas überspitzt könnte man sagen: Man darf „Do-Not-Track“-Anforderungen zwar ignorieren – aber darüber sprechen darf man nicht 🤨! Und gab es in der DSGVO nicht auch so etwas wie ein Transparenzgebot? Eigentlich kann es doch nicht besser sein, etwas heimlich zu tun, als darüber offen zu sprechen?

Insbesondere sind wir der Auffassung, dass eine „Do-Not-Track“-Anforderung nicht ausschließt, das Einholen einer Einwilligung über einen Consent-Manager ausschließt. Dazu einige Überlegungen:

  • Die Einstellung im Browser heißt recht allgemein „Do-Not-Track“. Diese Einstellung kann man entweder aktivieren oder es lassen. Eine granulare Feineinstellung ist nicht möglich. Es ist für einen Webseitenbetreiber also nicht ersichtlich, was die Nutzer*innen genau mitteilen möchten, wenn sie dieses Häkchen setzen. Dass klassische Tracking-Tools wie Google-Analytics gemeint sein werden, davon wird man wohl schon ausgehen können. Aber schon beim Meta-Pixel könnte man diskutieren ob hier Tracking oder zielgruppenorientierte Ausspielung von Werbung im Vordergrund steht. Und spätestens bei der Einbindung von YouTube-Videos geht es nicht mehr um Tracking im eigentlichen Sinn. Consent-Manager dürften also mindestens in solchen Fällen weiterhin der adäquate Weg sein, um eine Einwilligung zu ersuchen.
  • Fraglich ist auch, ob die „Do-Not-Track“-Anforderung so interpretiert werden kann, dass sie lediglich eine Bitte darstellt, auf Trackingtechniken zu verzichten, die nicht auf Basis einer Einwilligung erfolgen, sondern die auf Basis eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO durchgeführt werden (beispielsweise bei „cookieless“ Varianten).
  • Handelt es sich bei „Do-Not-Track“ eigentlich um einen technischen Standard, dessen Umsetzung für Webseitenbetreiber verpflichtend ist? Dafür spricht, dass eigentlich alle gängigen Browser über diese Möglichkeit der Einstellung verfügen. Andererseits: Warum muss ein Webseitenbetreiber, alle technischen Möglichkeiten, die ein Browser bietet, auch umsetzen?
  • Und selbst, wenn man tatsächlich zu dem Schluss kommt, dass mit „Do-Not-Track“ eine verbindliche Willensäußerung getätigt werden kann: Wo steht eigentlich, dass man nicht doch noch mal erklären darf, weshalb man ein bestimmtes Tracking gerne durchführen möchte und dafür um Zustimmung bittet?

 

Die Diskussionen um die Konsequenzen des Berliner Urteils haben gerade erst begonnen. Insbesondere die strengen Interpretationen des Urteils überzeugen uns nicht. Dennoch sollten hier die weitere Diskussion und insbesondere diesbezügliche Äußerungen der Aufsichtsbehörden beobachtet werden. Sollte es zu dem Thema Neuigkeiten geben, werden wir selbstverständlich wieder darüber berichten.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2015/03/analytics.jpg 480 830 Datenschutzbeauftragter/oba /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/oba2023-11-24 16:01:022023-11-29 15:02:51“Do-Not-Track“ – das Aus für Consent-Manager?
Das könnte Sie auch interessieren
Einwilligung PIMS 26 ttdsg tdddg einwilligungsverwaltungsverordnung werbeanrufe opt-in generierung Anforderungen an Einwilligungen in Werbeanrufe
rechte- und rollenkonzept einsicht personalakte beschäftigungsverhältnis Einsicht in die Personalakte und weitere Unterlagen durch Führungskräfte
Datenschutzerklärung Datenschutzhinweise nur auf englisch LG Hamburg: Datenschutzhinweise müssen in der Sprache der Nutzer*innen geschrieben sein
Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anrede Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg
Einsatz von Tag-Management-Tools und der Datenschutz
Telemetriedaten microsoft 365 dsk verboten auskunft selfservice tool online DSK verbietet (mehr oder weniger) den Einsatz von Microsoft 365

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Ist die Einwilligung in den Verzicht auf Datenschutz möglich? Link to: Ist die Einwilligung in den Verzicht auf Datenschutz möglich? Ist die Einwilligung in den Verzicht auf Datenschutz möglich?widerruf einwilligung double opt in verzicht auf datenschutz consentmanager Link to: Nachrichten über Social Media und Messenger unzulässig?! Link to: Nachrichten über Social Media und Messenger unzulässig?! direktmarketing orientierungshilfe dsk werbung kurznachrichtNachrichten über Social Media und Messenger unzulässig?!
Nach oben scrollen Nach oben scrollen Nach oben scrollen