Wenige Tage vor dem Gültig werden der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) haben sich die deut­schen Auf­sichts­be­hör­den in einer ge­mein­sa­men Po­si­ti­ons­be­stim­mung zur An­wend­bar­keit des Te­le­me­di­en­ge­set­zes (TMG) ab dem 25. Mai 2018 ge­äu­ßert. In der Praxis hat dies nach unserem Ver­ständ­nis er­heb­li­che Aus­wir­kun­gen für deut­sche Webei­ten­be­trei­ber, die Besuche Ihrer Web­sei­te mit Hilfe von Ana­ly­se­tools messen.

Bisher konnte eine Messung der Web­sei­ten­be­su­che mit Hilfe von Ana­ly­se­tools, z. B. Google Ana­ly­tics, Matomo, auf Grund­la­ge von § 15 Abs. 3 TMG er­fol­gen, wenn einige Vor­aus­set­zun­gen ein­ge­hal­ten wurden:

  • Track­ing nur anhand von Pseudonymen,
  • An­ony­mi­sie­rung der IP-Adresse,
  • Auf­nah­me eines Hin­weis­tex­tes in der Da­ten­schutz­er­klä­rung mit wirk­sa­mer Opt-Out-Möglichkeit,
  • ggf. Ab­schluss eines Ver­trags zur Auftragsverarbeitung.

Sofern sich Web­sei­ten­be­trei­ber daran hielten, ver­tra­ten deut­sche Auf­sichts­be­hör­den die Ansicht, dass ein be­an­stan­dungs­frei­er Betrieb möglich sei. Die jetzige Po­si­ti­ons­be­stim­mung der deut­schen Auf­sichts­be­hör­den ent­zieht diesem Vor­ge­hen nun die Grund­la­ge und stellt fest, dass die “§§ 12, 13, 15 TMG bei der Be­ur­tei­lung der Recht­mä­ßig­keit der Reich­wei­ten­mes­sung und des Ein­sat­zes von Track­ing-Me­cha­­nis­­men, die das Ver­hal­ten von be­trof­fe­nen Per­so­nen im In­ter­net nach­voll­zieh­bar machen, ab dem 25. Mai 2018 nicht mehr an­ge­wen­det werden“ können.

Diese o. g. Ansicht ändern nun die Auf­sichts­be­hör­den mit fol­gen­der Auffassung:
„Ob und in­wie­weit […] Ver­ar­bei­tungs­tä­tig­kei­ten recht­mä­ßig sind, muss durch eine In­ter­es­sen­ab­wä­gung im Ein­zel­fall auf Grund­la­ge des Artikel 6 Absatz 1 Buch­sta­be f) DSGVO geprüft werden. Es bedarf je­den­falls einer vor­he­ri­gen Ein­wil­li­gung beim Einsatz von Track­ing Me­cha­nis­men, die das Ver­hal­ten von be­trof­fe­nen Per­so­nen im In­ter­net nach­voll­zieh­bar machen und bei der Er­stel­lung von Nut­zer­pro­fi­len. Das be­deu­tet, dass eine in­for­mier­te Ein­wil­li­gung i. S. d. DSGVO, in Form einer Er­klä­rung oder sons­ti­gen ein­deu­tig be­stä­ti­gen­den Hand­lung vor der Da­ten­ver­ar­bei­tung ein­ge­holt werden muss, d. h. z. B. bevor Cookies plat­ziert werden bzw. auf dem End­ge­rät des Nutzers ge­spei­cher­te In­for­ma­tio­nen ge­sam­melt werden.“

Aus Da­ten­schutz­sicht kann Web­sei­ten­be­trei­ben nur emp­foh­len werden, ent­spre­chen­de Ein­wil­li­gun­gen ein­zu­ho­len. Dies führt in der Praxis zu einer wei­te­ren Zunahme von so ge­nann­ten „Cookie-Bannern“, deren Wirk­sam­keit al­ler­dings eben­falls frag­lich ist. Ggf. muss das Web­track­ing kom­plett ein­ge­stellt werden.
Der Ge­setz­ge­ber oder die Ge­rich­te greifen hof­fent­lich schnell kor­ri­gie­rend ein. Oder die Auf­sichts­be­hör­den für Daten­schutz re­la­ti­vie­ren ihre Po­si­ti­on und das Ein­wil­li­gungs­er­for­der­nis z. B. nur auf den Einsatz von web­site­über­grei­fen­den Re­­mar­ke­­ting-Tech­­no­­lo­­gien beziehen.

Po­si­ti­kon­spa­per der Da­ten­schutz­kon­fe­renz (DSK) vom 26. April 2018: An­wend­bar­keit des TMG ab 25. Mai 2018

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!