Datenschutzkonferenz sieht Einwilligungserfordernis bei Reichweitenmessung und Targeting

Michael Neuber

DSK sieht ab 25. Mai Einwilligungserfordernis  bei Reichweitenmessung und Targeting

Am 26. April hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Positionspapier zur Frage der Anwendbarkeit des Telemediengesetzes (TMG) unter der ab 25.Mai geltenden EU-Datenschutzgrundverordnung (DSGVO) mit Blick auf Reichweitenmessungen und Targeting beschlossen. Die Positionierung spiegelt das künftige Anwendungsverständnis datenschutzrechtlicher Erlaubnisse wider. Die Frage, auf welche Rechtsgrundlage die Verarbeitung pseudonymer Nutzungsdaten künftig erfolgen kann, ist von wesentlicher Bedeutung für die gesamte digitale Wirtschaft.

Dazu positioniert sich die DSK wie folgt:

“Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.”

Aus dem Papier ergbit sich allerdings auch, dass man sich wohl – zu recht – nicht sicher ist, ob diese Meinung tatsächlich trägt. Die DSK hat deshalb keine entsprechende Entschließung gestätigt, sondern sich zunächst auf die Darstellung ihrer aktuellen Positionierung beschränkt. Weitere Konsultationen zu diesem Thema sollen folgen. Dies ist nicht nur zu begrüßen sondern auch unbedingt erforderlich.

Gelegenheit dazu wird unter anderem der auch dieses Jahr wieder organiserte

 

BVDW Data-Summit am 05. Juni 2018 in Berlin [TICKETS HIER]

geben, auf welchem wir uns u.a. mit Datenschutzbeauftragten aus Niedersachsen und Berlin austauschen wollen.

Denn die geäußerte Position dürfte in dieser pauschalen Aussage nicht zu halten sein. Zwar wird die Datenschutzgrundverordnung (DSGVO) ab 25.Mail 2018 Teile der aktuellen telemedienrechtlichen Regelungen überschreiben. Jedoch kennt auch die DSGVO neben der Einwilligung eine Vielzahl gleichberechtigter Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Neben vertraglichen Konstellationen berücksichtigt und erlaubt sie insbesondere solche Verarbeitungen, die auf Basis eines legitimen Interesses nach Art. 6 Abs. 1 f) erfolgen. Hierzu muss grundsätzlich auch die Reichweitenmessung und werbemittelbezogenes Targeting auf Basis von Informationen gehören können, die über Cookies erhoben wurden. Da der datenschutzrechtliche Verarbeitungsbegriff ausdrücklich auch das Erheben von Daten regelt, sind die hier behandelten Prozesse voll erfasst.

Das TMG gilt bislang auch für Fragen, die Gegenstand der sog. Cookie-Richtlinie waren. Die EU-Kommission hatte die Rechtslage in Deutschland nach Ablauf der Umsetzungsfrist für die ePrivacy-Richtlinie (RL 2002/58 – ePR) im Mai 2011 intensiv hinterfragt und gegenüber dem BVDW im Jahre 2014 selbst bestätigt, dass die Regelungen der §§ 12ff TMG einer Umsetzung der ePrivacy-Richtlinie entsprechen.

Die hier erfolgte Positionierung der DSK erscheint nun als Vorgriff auf Regelungsinhalte, die Gegenstand von – noch schwebenden – Verhandlungen zu einer neuen ePrivacy-Verordnung sind. Im Verlaufe dieser Verhandlungen zeigt sich jedoch, dass die – sicher gut gemeinte – Fokussierung auf Einwilligungen im Bereich von Angeboten der Dienste der Informationsgesellschaft (Webseiteninhalte) und strikte Zugriffsbeschränkungen weder rechtlich, noch vor dem Hintergrund der heutigen Marktgegebenheiten geboten und sinnvoll erscheint. Während Einwilligungen bei Verarbeitungen mit Bezug auf den Vertraulichkeitsschutz sicherlich notwendig sind (Fernmeldegeheimnis) bedarf es im Online-Bereich statt Einwilligugnen – die Nutzer mit einem Klick für alle möglichen Verarbeitungen geben – vielmehr eindeutig geregelter, gesetzlicher Erlaubnisse, die gezielte Anforderungen an die eingesetzen Prozesse und Technlogien stellen.

Die bulgarische Ratspräsidentschaft hatte in ihrem Fortschrittsbericht zur ePV vom 11.Januar 2018 die zahlreichen Zweifel auch der anderen Mitgliedstaaten an einer verengten, mit der DSGVO inkohärenten Ausgestaltung der Datenverarbeitungsbefugnisse für endgerätebezogene Informationsverarbeitungsvorgänge zum Ausdruck gebracht. Die auch von deutscher Seite aus geforderten besseren Optionen liegen auf dem Tisch, darunter praktikable und datenschutzfreundliche Ansätze, die Kohärenz zur DSGVO und dem Rechtsgedanken von § 15 Abs. 3 TMG sowie dem Grundsatz von echtem „privacy-by-design“ aufzeigen.

Angesichts der nun präsentierten, einwilligungszentrierten Sichtweise stellte sich ansonsten die Frage, welchen Stellenwert dann noch solche – als „privacy-by-design“ gesetzlich sogar unterstützen – Maßnahmen haben sollen, bei denen die Betroffenenrechte durch technische Vorkehrungen wie Pseudonymisierung und transparente Verarbeitungsprozesse sichergestellt sind. Da die DSGVO eindeutig einen risikobasierten Ansatz gewählt hat muss es bei der Einschätzung darauf ankommen und in der Bewertung berücksichtigt werden, welche Sicherungsmaßnahmen geeignet und ausreichend sind, etwaige Betroffenenrechte effektiv zu schützen. Dass Targeting unter Erstellung von Segmenten oder Profilen auch ohne Einwilligung bei Beachtung dieser Vorgaben weiterhin möglich sein kann, ergibt sich bereits aus der DSGVO selbst. Wäre bereits auf der Stufe der Erhebung die Einwilligung vonnöten, bedurfte es keiner weiteren Verarbeitungserlaubnisse mehr, sie wären entwertet. Dies bestätigt auch ein Blick in Art. 21 abs. 2 DSGVO der bestimmt, dass eine Person berechtigt ist “[]…. jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.” Hier wird ausdrücklich auf einwilligungslose Verarbeitungen Bezug genommen, soweit sie die an sie gestellten Anforderungen an Transparenz und Verarbeitungssicherheit erfüllen.

Aber auch für den Nutzer ist eine Einwilligung in solchen Situationen nicht immer die datenschutzfreundlichste Variante. Abgesehen von der “Click-Through-Realität”, die die informierte Einwilligung jedenfalls fragwürdig erscheinen läßt, würde ein komplettes Einwilligungsprimat wegen des zumeist gesteigerten Umfangs der erhobenen Daten auch einen Rückschritt in Bezug auf das Gebot der Datensparsamkeit bedeuten. Wo Unternehmen die Identität einer Person weder kennen wollen noch effektiv können, sollten sie sich im Sinne des Datenschutzrechts auf Prozesse beschränken können müssen, bei denen weniger Daten in sicherer Umgebung verarbeitet werden. Pseudonyme und transparente Verarbeitungen unterstützen nämlich vor allem ein wesentliches Ziel nicht nur des TMG sondern auch der DSGVO; Zu verhindern, dass Nutzer über die Zusammenführung von Identität und Nutzungshandlungen tatsächlich “gläsern” werden. “Privacy-by-consent” ist daher gerade nicht gleich “privacy-by-design”.

 

Kommentar schreiben