DSK veröffentlicht neues Orientierungspapier zu DSGVO und Tracking

Michael Neuber

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 03. April 2019 eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht. Das Papier ergänzt und finalisiert die von der DSK am 24. April 2018 veröffentlichte Positionsbestimmung zur Anwendbarkeit der DSGVO und des TMG sowie zur Frage der Zulässigkeitsvoraussetzungen für Trackings.

Die Orientierungshilfe soll Grundlage für eine entsprechende Entschließung der DSK zur anstehenden Frühjahrskonferenz sein. Den Entschließungsentwurf wird die LfDI Bremen fertigen.

Wie auf ihrer Zwischenkonferenz am 22.März 2019 beschlossen, halten die Datenschutzausfsichtsbehörden inhaltich an den grundsätzlichen Auffassungen aus dem Positionspapier vom 26.04.2018 fest. Es enthält lediglich Klarstellungen und Konkretisierungen. Der BVDW hatte das im letzen Jahr veröffentlichte Papier unter anderem schon deswegen kritisiert, weil das Dokument allein eine Rechtsmeinung der deutschen Datenschutzbehörden ohne die notwendige Auseinandersetzung mit den sich stellenden Technik- und Rechtsfragen auf europäischer Ebene widerspiegelt.

Keine europäische Abstimmung

Nicht umsonst weist die DSK einleitend daher selbst darauf hin, dass die “…Orientierungshilfe [steht] unter dem ausdrücklichen Vorbehalt eines zukünftigen – möglicherweise abweichenden –Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss (EDSA) sowie einer etwaigen Rechtsänderung durch ein zukünftiges Inkrafttreten einer Überarbeitung der Richtlinie 2002/58/EG (sog. Cookie-Richtlinie) [steht]…”

Auf insgesamt 21 Seiten geht die DSK noch einmal auf die Vorrangwirkung der DSGVO gegenüber dem TMG ein und endet mit der Feststellung, dass eine Anwendung des Erlaubnisrahmens des § 15 Abs. 3 TMG weder direkt noch (richtlinienkonform in Frage kommt.

Pseudonymisierungsverständnis der DSK

Zum Thema Pseudonymisierung wird ein weiteres Mal davon ausgegangen, dass es sich bei Online-Kennungen nicht um Pseudonyme handeln soll. Die technische Adressierung einer Werbe-ID wird hier als Adressierung des Individuums charakterisiert, weshalb einer Online-Kennung keine Schutzwirkung wie ein Pseudoynm entfalte. Für diese These soll sprechen, dass sich Nutzer in den allermeisten Fällen früher oder später an irgendeiner Stelle im Web registrieren und in diesen Fällen auch eine Verknüpfung mit E-Mail-Adressen, Klarnamen oder Offline-Adressen möglich ist. Dass dies allerdings nicht automatisch passiert oder passieren kann war bereits nach Rechtslage des § 15 Abs. 3 TMG der Fall. Danach war es nur mit Einwilligung möglich, Klardaten mit pseudonymen Nutzungsdaten zu verbinden. Woher also die Annahme für das Argument kommt, eine solche Verbindung würde in den “allermeisten” Fällen hergestellt, erschließt sich nicht.

Die Folgen dieser Einschätzung spiegeln sich danach auch in der – nun weiter ausgeführten – Betrachtung der zulässigen Rechtsgrundlagen für Trackings wider. Sowohl werden die Fragen der Bedingungen zur Einwilligung nach DSGVO weiterhin kurzerhand auf ePrivacy-Sachverhalte übertragen als auch Interessenabwägungen für Zugriffe dem engstmöglichen Anwendungsverständis unterstellt.

Zweifelhaftes Rechtsverständnis zu Zugangsbeschränkungen bei Webseiten

Laut DSK soll “der Besuch einer Website [sollte] auch dann noch möglich sein, wenn betroffene Personen sich gegen das Setzen von Cookies entscheiden und nicht in die personenbezogene Datenverarbeitung einwilligen. Eine Einwilligung gilt nach Erwägungsgrund 43 DSGVOauch dann nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann. Wenn bei Websitesdurch vorgeschaltete Abfragen eine Einwilligung eingeholt wird, müssen die einzelnen Verarbeitungsvorgänge daher gesondert anwählbar sein.”

Diese Ansicht führt nicht nur dazu, dass Webseitenbetreiber die Finanzierung ihrer Angebote nichtmehr sicherstellen können – und diese daher schließen – würden. Sie steht auch im Wiederspruch zur geltenden ePrivacy-Richtlinie in deren Erwägungsgrund 25 steht: “Der Zugriff auf spezifische Website-Inhalte kann nach wie vor davon abhängig gemacht werden, dass ein Cookie oder ein ähnliches Instrument von einer in Kenntnis der Sachlage gegebenen Einwilligung abhängig gemacht wird, wenn der Einsatz zu einem rechtmäßigen Zweck erfolgt.” Genau aus diesem Grunde ist diese Klarstellung dort enthalten. Die Alternative, alle Angebote stattdesen z.B. einer Bezahlpflicht unterstellen zu wollen, kann wohl nicht ernsthaft die Zukunft sein.

Nachweisanforderungen an Einwilligung durch Technikgestaltung nebulös

Beim Thema Erteilung der Einwilligung verweist die DSK auf die DSGVO, wonach dies “beispielweise durch Anklicken eines Kästchens beim Besuch einer Website, durch die Auswahl technischer Einstellungen oder durch eine andere Erklärung oder aktive Verhaltensweise geschehen, mit der die betroffene Person eindeutig ihr Einverständnis hinsichtlich der angekündigten und beabsichtigten Datenverarbeitung ausdrückt.” Wie man aber den Nachweis führt und sicherstellt, dem betroffenen Individuum gegenüber die Betroffenenrechte tatsächlich gewähren zu können, erfährt man nicht. Auch im WP 259 beziehen sich alle entsprechenden Beispiele (Beispiele 15 und 16) sich allein auf eine Online-Situation, in der personenbezogene Klardaten einer bestimmten und identifizierbaren Person gesammelt werden, die die Identifizierung einer bestimmten natürlichen Person ermöglichen.

Auch das in diesem Rahmen zitierte Papier der Artikel-29-Datenschutzgruppe (WP259) befasst sich zudem gar nicht erst mit der Frage technischer Zugriffe in pseudonymen Umgebungen. Auch wenn WP29 anerkennt, dass “die Pflicht zum Nachweis, dass eine gültige Einwilligung von einem für die Verarbeitung Verantwortlichen eingeholt wurde, nicht zu einer übermäßigen zusätzlichen Datenverarbeitung führen sollte“, wird keine klare Aussage über die Qualität des Nachweises gemacht (S.20). Es bleibt vielmehr unklar, welche Daten tatsächlich benötigt werden, um eine wirksame Einwilligung des Einzelnen dann auch nachweisen zu können.

In einer regulären Online-Umgebung (Website) verlassen sich Controller fast immer – außer wenn der Nutzer Online-Formulare ausfüllen oder sich in Systeme einloggen muss – auf pseudonymisierte oder sogar anonymisierte Nutzungsdaten, die niemals eine bestimmte Person identifizieren, sondern nur ein Spiegelbild einer Aktivität sind, die von einer beliebigen – und damit nicht identifizierbaren – natürlichen Person zu einem bestimmten Zeitpunkt unter einer bestimmten IP-Adresse ausgeführt wird.

In solchen Fällen kann der technische Akt der Einwilligung – laut DSK ja auch über Browsereinstellungen vornehmbar – nicht auf die einzelne natürliche Person zurückgeführt werden. Dem Papier WP 259 zufolge soll der “Controller über genügend Daten verfügen, um einen Link zur Verarbeitung zu zeigen (um zu zeigen, dass die Einwilligung eingeholt wurde), aber er sollte nicht mehr Informationen sammeln als nötig. Es muss geklärt werden, welcher Datensatz dann die konkret Voraussetzung für eine gültige Einwilligung erfüllt. Es muss klar sein, dass unter Umständen, in denen der für die Verarbeitung Verantwortliche nicht in der Lage ist, die betroffene Person zu identifizieren (wie in Art. 11 DSGVO beschrieben), z.B. eine gerätebezogene Einwilligungserhebung, die in einem Cookie auf der Festplatte eines Geräts gespeichert ist, die Anforderungen an den Einwilligungsnachweis erfüllt.

Andernfalls wird die verantwortliche Stelle mit unlösbaren Schwierigkeiten konfrontiert, wenn die Einwilligung von nicht identifizierten Personen erteilt wird, z.B. im Falle von Cookie-basierten Einwilligungen und wenn ein einzelner Betroffener bestreitet, dass er seine Einwilligung erklärt hat. Genau um dieses Problem geht es aber, wenn man die DSGVO-Einwilligung und ihre Funktionsbestimmung anschaut. Sie soll Ausrduck des höchstpersonlichen Selbststimmungsrechts sein. Im Rahmen der – von der DSK hier augenscheinlich vorweggenommenen – Diskussion um die Bedingugnen einer Einwilligung in den Zugriff auf Endgeräte muss gesetzlich geklärt werden, welche Nachweise ausreichen sollen. Anders als auf einem Stammdatenbogen in der analogen Welt muss das Gesetz selbst – und in Abgrenzung bzw. Präzisierung der Anforderungen des Art. 7 Abs. 4 DSGVO – festlegen, welche Nachweisanforderungen eine Einwilligungserklärung in technischen/digitalen Zugriffsszenarien wie beim Platzieren von Cookies gelten sollen.

Dies würde umgekehrt sogar den Datenschutz der betroffenen Personen stärken, da Einwilligungen ansonsten wohl hinter Registrierungswänden platziert werden müssten, hinter welchen sich die konkret EInwilligenden zu erkennen geben müssten – vergleichbar mit E-Mail-Verifizierung/Double-Opt-In-Anforderungen für E-Mail-Marketing. Das kann nicht die Absicht sein und würde ansonsten Art. 11 DSGVO funktionslos machen.

Einwilligung en masse

Das DSK-Papier fordert weiterhin gesonderte Einwilligungen für jeden Verarbeitungsschritt und jede Stelle. Die Leitlinien aus WP 259 bestimmen, dass die Einwilligung im Sinne der Anforderungen zur Vermeidung gebündelter Zustimmungen und zur Sicherstellung der Spezifität nur dann gültig sein soll, wenn die betroffenen Personen wählen können, welchen Verarbeitungszwecken sie zustimmen, anstatt hier Optionen angeboten zu bekommen, die mehrere Zwecke “zusammenführen” (S.12). Gleichzeitig soll auch gemäß der DSK eine gültige Einwilligung durch bloße Browsereinstellung möglich sein. Beide Papiere enthalten jedoch keine Hinweise darauf, wie man eine dies rechtswirksam tun kann, ohne das Gesetz zu verletzen. Nutzer werden im Zweifel in Einwilligungen ertrinken. Consent-Fatigue und weniger Datenbewußtsein sind – schon heute – die Folge.

Vertrag als Rechtsgrundlage nicht behandelt

Die Kopplung von Einwilligung und Angebot bzw. die Möglichkeit vertraglicher Nutzung personenbezogener Daten wird dann gar nicht erst weiter besprochen. Hier wird es in Zukunft aber eindeutig Gestaltungen geben können müssen. Schon der Düsseldorfer Kreis hat in einem Papier von 2012 zu verstehen gegeben, dass die Verarbeitung für Werbezwecke neben der Einwilligung nach § 28 Abs. 3 BDSG (alt) auch auf § 28 Abs. 1 S. 1 1 Nr. 1-3 BDSG (u.a. Vertrag) gestützt werden könne. Entsprechende vertragliche Nutzungsbedingungen könnten demnach eine weitere Rechtsgrundlage nach DSGVO eröffnen.

Gesetzgeber muss spezifische Erlaubnistatbestände entwickeln

Würde man diese in dem Papier nun weiter beschriebenen Verbots- und Abwägungsansätze als “alternativlos” auf die heutige Digitallandschaft übertragen, fielen wir in Netzstrukturen der 90er Jahre (Stichwort: Besucherzähler) zusätzlich verbunden mit der Folge zurück, das Anwender personalisierte Angebote vor Einwilligungsabfragen kaum noch nutzen können werden. Ob so “Privacy by Design” und effektiver Datenschutz als Konzepte funktionieren sollen, ist mehr als fraglich. Ob dies außerdem der Transparenz und einer tatsächlichen Informiertheit dient, die einer solchen Einwilligung zugrunde liegen soll, läßt sich weiterhin fragen. Die oft diskutierte und festgestellte “Consent-Fatigue” wird damit ohne Gewinn für die Beteiligten einfach weiter zunehmen.

Hier ist zweifellos die Politik gefragt, diesem unnachhaltigen Konzept durch eindeutige gesetzgeberische Wertungen zugunsten echter Erlaubnistatbestände für digitale Datenverarbeitungen – neben Einwilligung und legitimem Interesse – entgegenzutreten und für Klarheit zu sorgen. Privacy-by-Design verlangt – wie schon einmal bei § 15 Abs. 3 TMG in Ansätzen erfolgreich festgeschrieben – nach verarbeitungsspezifischen Kriterien (Sicherungsmaßnahmen, Datenkategorien, Rechtewahrungsgarantien) die auf Tatbestandsebene festgeschrieben werden. Nur so können Unternehmen wie auch Betroffene digitale Angebote rechtssicher und ohne überbordende Anstrengungen entwicklen und nutzen. Solche Erlaubnisnormen, die konkrete Anforderungen an spezifische Verarbeitungssituationen stellen könnten dann auch dazu führen, dass Nutzer in ihrem “Computergrundrecht” gestärkt würden und Unternehmen endlich verläßliche Leitplanken für digitale Angebote in der Data Economy bekommen. Diese Diskussion muss bei der Evaluierung der DSGVO eine zentrale Rolle einnehmen. Dann käme man weg von Privacy-by-Consent hin zu echtem Privacy-by-Design.

Comments
pingbacks / trackbacks
  • […] Wie hier bereits des Öfteren beschrieben bedarf es – wie schon einmal bei § 15 Abs. 3 TMG in Ansätzen erfolgreich festgeschrieben – ausgewogener Gestaltungen gesetzlicher Erlaubnisse nach verarbeitungsspezifischen Kriterien (Sicherungsmaßnahmen, Datenkategorien, Rechtewahrungsgarantien) die auf Tatbestandsebene festgeschrieben werden. Nur so können Unternehmen wie auch Betroffene digitale Angebote rechtssicher und ohne überbordende Anstrengungen entwickeln und nutzen. Solche Erlaubnisnormen, die konkrete Anforderungen an spezifische Verarbeitungssituationen stellen, könnten dann auch dazu führen, dass Nutzer in ihrem (eigentlich gegenüber dem Staat bestehenden) “Computergrundrecht” auch im Privaten gestärkt würden und Unternehmen endlich verlässliche Leitplanken für digitale Angebote in der Data Economy bekommen. […]

Kommentar schreiben