News

Steht das Website-Tracking wie Google Analytics, Matomo (Piwik) & Co. vor dem Aus?

Liest man sich die Positionsbestimmung der DSK-Konferenz als Nicht-Jurist aufmerksam durch, so bleibt nur ein Rückschluss übrig: Website-Tracking erfordert ab dem 25. Mai 2018 die aktive Zustimmung des Seiten-Besuchers durch Opt-In!

Am 26. April 2018 - also nicht mal vier Wochen bevor die Übergangsfrist zur  Datenschutz-Grundverordnung endet, wurde eine Zusammenfassung (Positionsbestimmung) der kürzlichen
DSK-Konferenz veröffentlicht, deren Thema "Die Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018" ist.

Der Titel "Die Anwendbarkeit des TMG" klingt erst einmal unspektakulär, für die meisten geht es hierbei um Impressumsangaben und wilde Disclaimer, unter "nicht-öffentliche Stellen" sind alle Webseiten die nicht zu Behörden gehören zu verstehen. Dabei verbirgt sich dahinter ein ganz brisantes Thema.

Diese Zusammenfassung ist hier auf einer Seite des NRW als PDF zu finden, eine erste Vorschau:

Der Kommissionsentwurf zur ePrivacy-Verordnung vom Januar 2017 sieht vor, dass diese Verordnung, welche die ePrivacy-Richtlinie ersetzen soll, gemeinsam mit der DatenschutzGrundverordnung (DSGVO) ab dem 25. Mai 2018 in Kraft tritt und Geltung erlangt. Die ePrivacy-Verordnung soll die DSGVO im Hinblick auf die elektronische Kommunikation präzisieren und ergänzen. Das Gesetzgebungsverfahren zur ePrivacy-Verordnung verzögert sich jedoch erheblich, so dass voraussichtlich nicht mehr mit einem Inkrafttreten im Jahr 2018 zu rechnen ist.

Damit ergeben sich Fragen zur Anwendbarkeit nationalen Rechts neben der DSGVO. Der Gesetzgeber hat das Telemediengesetz (TMG) bisher nicht an die DSGVO angepasst, so dass die datenschutzrechtlichen Vorschriften des TMG (Abschnitt 4) voraussichtlich ab dem 25. Mai 2018 unverändert in Kraft sein werden. Für die Rechtsanwender stellt sich wegen des Anwendungsvorrangs der DSGVO daher die Frage, ob die datenschutzrechtlichen Regelungen des TMG weiterhin anwendbar sein werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vertritt hierzu folgende Position:

  1. Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung, es sei denn nationale Vorschriften sind aufgrund einer Kollisionsregel, eines Umsetzungsauftrages oder einer Öffnungsklausel der DSGVO vorrangig anwendbar.
  2. Die DSGVO enthält in Artikel 95 eine Kollisionsregel zum Verhältnis der DSGVO zur ePrivacy-Richtlinie, wonach natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union durch die DSGVO keine zusätzlichen Pflichten auferlegt werden, soweit sie besonderen in der ePrivacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
  3. Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen – da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen – demgemäß dem Anwendungsvorrang der DSGVO. Hiervon betroffen sind damit auch etwaige unvollständige Umsetzungen der ePrivacyRichtlinie in diesem Abschnitt, welche jedenfalls isoliert nicht mehr bestehen bleiben können.
  4. Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.
  5. Eine unmittelbare Anwendung der ePrivacy-Richtlinie für die unter Ziffer 4 genannten Verarbeitungsvorgänge kommt nicht in Betracht (keine horizontale unmittelbare Wirkung von Richtlinien).
  6. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1, insbesondere Buchstaben a), b) und f) DSGVO in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO, sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO einzuhalten.
  7. Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, können ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.
  8. Ob und inwieweit weitere Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden.
  9. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von TrackingMechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein „Opt-in“ entsprechend Artikel 5 Absatz 3 der Richtlinie. Da die Verweise in der ePrivacy-Richtlinie auf die Datenschutzrichtlinie gemäß Artikel 94 Absatz 2 DSGVO als Verweise auf die DSGVO gelten, muss eine Einwilligung i. S. d. ePrivacyRichtlinie europaweit ab dem 25.05.2018 den Anforderungen an eine Einwilligung nach der DSGVO genügen. Um in Zukunft einen einheitlichen Vollzug europäischen Datenschutzrechts zu gewährleisten, muss sichergestellt werden, dass auch Verantwortliche in Deutschland diese datenschutzrechtlichen Anforderungen umsetzen.

Das Fazit: Es dürfen demnach nur dann Nutzerdaten (auch die einfache, anonyme Zählung von Seitenbesuchern) erhoben werden, wenn diese davor explizit zugestimmt haben.
Nur - welcher Seitenbesucher wird dem zustimmen? Auch wenn es vielen erst einmal egal ist, ob ihr Besuch anonym erfasst wird - intuitiv werden die meisten Besucher dem nicht zustimmen. Man kann nur hoffen, das diese Vorgabe ganz schnell gekippt wird.

 

Alle News gibt es hier zu sehen, eine Suche lässt sich hier starten und zur Startseite geht es hier mit einem Klick!