Wenige Tage vor dem Gültig werden der Datenschutz-Grundverordnung (DS-GVO) haben sich die deutschen Aufsichtsbehörden in einer gemeinsamen Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes (TMG) ab dem 25. Mai 2018 geäußert. In der Praxis hat dies nach unserem Verständnis erhebliche Auswirkungen für deutsche Webeitenbetreiber, die Besuche Ihrer Webseite mit Hilfe von Analysetools messen.
Bisher konnte eine Messung der Webseitenbesuche mit Hilfe von Analysetools, z. B. Google Analytics, Matomo, auf Grundlage von § 15 Abs. 3 TMG erfolgen, wenn einige Voraussetzungen eingehalten wurden:
- Tracking nur anhand von Pseudonymen,
- Anonymisierung der IP-Adresse,
- Aufnahme eines Hinweistextes in der Datenschutzerklärung mit wirksamer Opt-Out-Möglichkeit,
- ggf. Abschluss eines Vertrags zur Auftragsverarbeitung.
Sofern sich Webseitenbetreiber daran hielten, vertraten deutsche Aufsichtsbehörden die Ansicht, dass ein beanstandungsfreier Betrieb möglich sei. Die jetzige Positionsbestimmung der deutschen Aufsichtsbehörden entzieht diesem Vorgehen nun die Grundlage und stellt fest, dass die “§§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden“ können.
Diese o. g. Ansicht ändern nun die Aufsichtsbehörden mit folgender Auffassung:
„Ob und inwieweit […] Verarbeitungstätigkeiten rechtmäßig sind, muss durch eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden. Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Aus Datenschutzsicht kann Webseitenbetreiben nur empfohlen werden, entsprechende Einwilligungen einzuholen. Dies führt in der Praxis zu einer weiteren Zunahme von so genannten „Cookie-Bannern“, deren Wirksamkeit allerdings ebenfalls fraglich ist. Ggf. muss das Webtracking komplett eingestellt werden.
Der Gesetzgeber oder die Gerichte greifen hoffentlich schnell korrigierend ein. Oder die Aufsichtsbehörden für Datenschutz relativieren ihre Position und das Einwilligungserfordernis z. B. nur auf den Einsatz von websiteübergreifenden Remarketing-Technologien beziehen.
Positikonspaper der Datenschutzkonferenz (DSK) vom 26. April 2018: Anwendbarkeit des TMG ab 25. Mai 2018