Datenschutzkonferenz (DSK) zum Einsatz von Tracking Technologien

Die Datenschutzkonferenz (DSK)  hat ein neues Dokument herausgegeben (vom 29.03.2019), in welchem Sie sich erneut damit beschäftigt, inwieweit nach - Inkrafttreten der Datenschutzgrundverordnung (DSGVO) - der Einsatz von Tracking-Technologien noch möglich ist.

Die (DSK)  ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Die Äußerungen haben keinen verbindlichen Rechtscharakter, lassen aber erkennen, in welche Richtung die Datenschutzbehörden die DSGVO auslegen. Über ein "Richtig" oder "Falsch" dieser Auslegung, entscheiden jedoch die Gerichte.

Das Dokument der DSK ("Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien") finden Sie hier.

Zusammenfassung der wesentlichen Punkte:

1. keine Anwendung der §§ 12, 15 TMG (Verdrängung durch die DSGVO):
Auch in dieser Stellungnahme bleibt die DSK dabei: §§ 12 und 15 des TMG sind durch die DSGVO verdrängt und finden somit keine Anwendung mehr. Pseudonyme nach § 15 Abs.3 TMG sollen somit nicht mehr zulässig sein.

2. "Tracking", was ist das eigentlich nach dem Verständnis der DSK?
 "...Datenverarbeitung zur -  in der Regel websiteübergreifenden - Nachverfolgung des individuellen Verhaltens von Nutzern."

3. Rechtfertigungsgründe, worauf kann "Tracking" gestützt werden?
Die DSK erkennt ausdrücklich an (anders als bislang), dass die verschiedenen Rechtfertigungsgründe (Einwilligung, Vertrag, berechtigte Interessen) gleichberechtigt sind. Bisher hieß es teilweise, dass webseitenübergreifendem Tracking nicht auf den Fall der berechtigten Interessen gestützt werden könne. Davon ist jetzt nicht mehr die Rede.

4. Wie muss eine Einwilligung für Tracking nach Auffassung der DSK ausgestaltet sein?

"Insbesondere wenn bei der betroffenen Person erhobene Daten von dem jeweiligen Diensteanbieter (inkl. eingebundener Dienste) website-übergreifend zusammengeführt und ausgewertet werden, ist zu berücksichtigen, dass die betroffenen Personen für eine wirksame Einwilligung vorab über jegliche Form der durchgeführten Datenverarbeitung sowie sämtliche Empfänger ausführlich informiert werden und die Möglichkeit erhalten müssen, in die einzelnen Formen der Datenverarbeitung spezifisch einzuwilligen.
In Fällen, in denen sich mehrere (gemeinsame) Verantwortliche auf die ersuchte Einwilligung stützen wollen, oder in denen die Daten an andere Verantwortliche übermittelt oder von anderen Verantwortlichen verarbeitet werden sollen, müssen diese Organisationen sämtlich genannt und die Verarbeitungsaktivitäten der einzelnen Organisationen hinreichend beschrieben werden."

Wichtig ist nach Auffassung der DSK, dass die betroffene Person

  • Vor Abgabe der Einwilligung eine ausführliche Information über jegliche Form der Datenverarbeitung erhält (Aufklärung Inhalt und Reichweite),
  • alle Empfänger genannt werden und
  • die Einwilligung bereichsspezifisch, in einzelne Formen der Datenverarbeitung erfolgen kann.

Anmerkung der DSK zum Thema "Cookie-Banner" auf Websites:

"Auch genügt es für eine Einwilligung i. S. d. DSGVO nicht, wenn, wie bei vielen einfachen Cookie-Bannern im Web, ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt.

In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen."

5. Prüfschema zum Rechtfertigungsgrund des berechtigten Interesses, Art. 6 Abs.1 f) DSGVO:

3-Stufiges Prüfungsschema der DSK:

"Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:

1. Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall"

Als berechtigte Interessen werden u.a. genannt:

  • " Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
  • Freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z. B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Web Fonts, Kartendiensten, Social-Plugins, etc.
  • Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von LogDateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
  • Reichweitenmessung und statistische Analysen,
  • Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer,
  • Wiedererkennung und Merkmalszuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten - Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken) und Bot-Nutzung"

Zum Merkmal der Erforderlichkeit:

"Allein das Vorliegen eines berechtigten Interesses reicht nicht aus, um die Datenverarbeitung zu legitimieren. Zwingend ist, dass die jeweilige Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist. Erforderlichkeit meint, dass die Verarbeitung geeignet ist, das Interesse (Motiv/Nutzen der Verarbeitung) des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung steht.

Das bedeutet, dass der Verantwortliche die Verarbeitung auf das notwendige Maß zu beschränken hat."

"Beispiel:
Die Messung der Reichweite und die sich daraus ergebenden Informationen sind geeignet, um das Webangebot anzupassen (berechtigtes Interesse). Setzt der Website-Betreiber hierfür ein Analyse-Tool ein, welches Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt (z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen), ist dies nicht mehr erforderlich.

Das Ziel – Reichweitenmessung – kann auch mit milderen, gleich geeigneten Mitteln erreicht werden, die deutlich weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln (z. B. ohne Einbindung Dritter über eine lokale Implementierung einer Analysesoftware)."

Prüfschema der DSK: Abwägung mit den Interessen des Nutzers 

a) Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz 
b) Interventionsmöglichkeiten der betroffenen Personen  
c) Verkettung von Daten 
d) Beteiligte Akteure 
e) Dauer der Beobachtung 
f) Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen) 
g) Datenkategorien  
h) Umfang der Datenverarbeitung 

6. Wann ist Pseudonymisierung gegeben?

Aufassung DSK: Keine Pseudonymisierung, wenn die Nutzer anderweitig identifizierbar sind

"Im Hinblick auf die Verwendung von Pseudonymen ist generell anzumerken, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt. Zudem handelt es sich nicht um geeignete Garantien zur Einhaltung der Datenschutzgrundsätze  oder zur Absicherung der  Rechte betroffener Personen, wenn zur (Wieder-) Erkennung der Nutzer IP-Adressen, Cookie-IDs, Werbe-IDs, Unique-User-IDs oder andere Identifikatoren zum Einsatz kommen.

Denn, anders als in Fällen, in denen Daten pseudonymisiert werden, um die identifizierenden Daten zu verschleiern oder zu löschen, so dass die betroffenen Personen nicht mehr adressiert werden können, werden IDs oder Kennungen dazu genutzt, die einzelnen Individuen unterscheidbar und adressierbar zu machen. Eine Schutzwirkung stellt sich folglich nicht ein. Es handelt sich daher nicht um Pseudonymisierungen i. S. d. ErwGr 28, die die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer  Datenschutzpflichten unterstützen.

Darüber hinaus ist zu berücksichtigen, dass sich Nutzer in den allermeisten Fällen früher oder später an irgendeiner Stelle im Web registrieren und in diesen Fällen auch eine Verknüpfung mit E-Mail-Adressen, Klarnamen oder Offline-Adressen möglich ist. Auf die Kenntnis des bürgerlichen Namens zur Identifikation von betroffenen Personen kommt es aber beim Personenbezug nicht an. Wenn die Nutzung des Webs, wie bei vielen Menschen, einen großen Teil der Lebenswirklichkeit widerspiegelt, dann ist es relevant, ob die Nutzer über ihre Online-Kennungen bestimmbar oder adressierbar sind. Die DSGVO geht davon aus, dass eine indirekte Identifizierung auch durch Aussondern erfolgen kann."

Weitere Beispiele hat die DSK im Dokument aufgeführt.

 

Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema. 

Letzte News

DSGVO | Alle News & Artikel zum Thema
Datenschutz und Datensicherheit

Erfahren Sie News und Wissenswertes zum Thema Datenschutz-Grundverordnung.

Anwaltliche Beratung im Arbeitsrecht - Wir bieten Ihnen schnelle und kompetente Beratung im Arbeitsrecht
Kirschenhofer Rechtsanwälte München

Wir beraten Sie zum Kündigungsschutz, zum Thema Abfindungen und Verhandlung von Abfindungen, zur Gestaltung von Arbeits-, Vorstands- und Geschäftsführerverträgen, Beratung des Aufsichtsrats, Mitarbeiterbeteiligung, Arbeitsrechtliche Fragen der Unternehmensgründung bzw. bei Umwandlungen.

Datenschutz-Grundverordnung (DSGVO) - Kanzlei für Datenschutz und Sicherheit

Wir bieten Ihnen Unterstützung und weitreichende Information zum Thema EU-Datenschutz-Grundverordnung an. Die DSGVO ist für alle Unternehmer, Shopbetreiber und Dienstleister ein wichtiges Thema - Wir helfen Ihnen personenbezogene Daten souverän zu schützen und rechtssicher einzusetzen.