DSGVO und Telemedien: Cookies und Tracking nur noch mit expliziter Einwilligung?

Die Datenschutzkonferenz von Bund und Ländern geht davon aus, dass Tracker wie Google Analytics sowie Cookies selbst in pseudonymisierter Form bald nur noch mit ausdrücklichem Opt-in der Nutzer erlaubt sind. Praktiker aus der Industrie sehen das anders.

In Pocket speichern vorlesen Druckansicht 474 Kommentare lesen
DSGVO und Telemedien: Cookies und Tracking nur noch mit expliziter Einwilligung?

(Bild: janeb13)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Zwischen den unabhängigen Datenschutzbehörden des Bundes und der Länder und den Betriebsdatenschutzbeauftragten in Industrie und Verwaltung ist ein handfester Streit über die Zulässigkeit von Cookies und Online-Tracking entbrannt. Beide Seiten sind sich zwar einig, dass in dieser Frage künftig nicht mehr das hiesige Telemediengesetz (TMG) anwendbar ist, sondern die am 25. Mai in Kraft tretende neue EU-Datenschutzgrundverordnung (DSGVO). Völlig auseinander gehen dagegen die Einschätzungen, was dies für gängige Analyse von Nutzerverhalten im Web in pseudonymisierter Form bedeutet.

Bisher gilt hierzulande nach dem TMG: Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder "zur bedarfsgerechten Gestaltung der Telemedien" Nutzungsprofile erstellen, sofern er dafür Pseudonyme verwendet und der Betroffene dem nicht widerspricht. Es handelt sich also um ein Opt-out, auf das User aber hinzuweisen sind. Für das Setzen von Cookies gelten die gleichen Voraussetzungen.

Das deckt sich im Kern mit der E-Privacy-Richtlinie, die derzeit in eine Verordnung umgewandelt werden soll. Demnach ist es bislang nach vielfacher Auffassung nicht immer nötig, das Einverständnis der User für Cookies oder Tracking etwa über ein Pop-up-Element auf einer Webseite einzuholen. Auch Browser-Voreinstellungen sowie das "Do-not-Track"-Verfahren können eine Lösung darstellen.

Mehr Infos

Die Datenschutzkonferenz von Bund und Ländern hat nun herausgearbeitet, dass die DSGVO fortan sowohl das TMG als auch die bestehende E-Privacy-Richtlinie "übertrumpft". Demnach könnten Anbieter von Telemediendiensten persönliche Daten nur noch frei verarbeiten, wenn dies "unbedingt erforderlich" sei, um den angefragten Online-Service zur Verfügung stellen zu können. Für alle weiteren Nutzungen müsse "eine Interessensabwägung im Einzelfall" durchgeführt werden.

Beim Einsatz von Tracking-Mechanismen, "die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen", sowie beim Erstellen von Nutzerprofilen bedürfe es künftig jedenfalls einer vorherigen "informierten Einwilligung", unterstreichen die Aufsichtsbehörden. Vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von Werbetrackern müsse also vorab eine "Erklärung oder sonstige eindeutig bestätigende Handlung" eingeholt werden, auch wenn pseudonymisiert werde.

Diese Regel müssten Diensteanbieter auch beachten, bevor sie Cookies platzieren oder auf vergleichbaren Wegen "auf dem Endgerät des Nutzers gespeicherte Informationen" sammeln, heißt es in dem Positionspapier. Im überwiegenden Teil der EU-Staaten forderten die Kontrollinstanzen diese Opt-in-Vorgabe bereits. Es sei daher auch im Sinne eines "einheitlichen Vollzugs" des Rechts, dass Verantwortliche in Deutschland "diese datenschutzrechtlichen Anforderungen umsetzen". Andererseits arbeiten die EU-Gremien mit der geplanten E-Privacy-Verordnung gerade daran, die ungeliebten "Cookie-Mauern" doch noch abzuschaffen.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragten vertritt, verweist ihrerseits darauf, dass Werbung nach der DSGVO prinzipiell "ein berechtigtes Interesse" der Produkte oder Dienste anpreisenden Firmen darstelle und so gerade "grundsätzlich nicht von einer Einwilligung abhängig ist". Dies hätten die EU-Gesetzgeber zumindest für "Direktwerbung" klargestellt. Da pseudonymisiertes Tracking von Nutzerverhalten weniger stark in das Persönlichkeitsrecht eingreife als eine direkte Kundenansprache, müsse es ebenfalls prinzipiell zulässig sein.

Aus Sicht der GDD dürften auch für Werbezwecke eingesetzte Cookies, "die keine sensiblen Daten betreffen und nicht auf Personenbezug schließen lassen, ein berechtigtes Interesse der datenverarbeitenden Unternehmen darstellen". Die Anzeige etwaiger zielgerichteter Banner sei in der Regel transparent für die Betroffenen. Ferner seien selbst die beim Online-Tracking "webseiten- und sogar geräteübergreifend erstellten Nutzungsprofile" nicht sonderlich schwerwiegend, solange durch die Pseudonymisierung "den schutzwürdigen Interessen der Nutzer Rechnung getragen" werde.

Die Stellungnahme der Datenschutzbeauftragten von Bund und Ländern wirft zudem die Frage auf, was aus anderen Bestimmungen rund um die Privatsphäre im TMG wird. So werden Diensteanbieter darüber etwa bisher verpflichtet, "die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist". Gerichte haben daraus unter anderem ein Verbot der "Surfprotokollierung" abgeleitet. (mho)