Webanalyse: Was ändert sich durch die DSGVO?

Beitrag aus Ausgabe 75 / Dezember 2018
Recht
Martin Schirmbacher

ist Partner bei HÄRTING Rechtsanwälte, Berlin.

Es gibt wohl keinen Online-Marketer, der 2018 um die DSGVO herumgekommen ist. Die Datenschutzgrundverordnung hat gravierende Auswirkungen auf die tägliche Arbeit von Unternehmen mit personenbezogenen Daten und hat auch vor der Webanalyse nicht Halt gemacht. Welche Auswirkungen das neue Datenschutzrecht auf Tracking und Targeting hat, ist allerdings bei weiterem nicht klar. Der Stand der Dinge ergibt sich aus dem folgenden Beitrag.

Personenbezug beim Tracking

Die DSGVO findet nur Anwendung, wenn personenbezogene Daten verarbeitet werden. Viele Online-Marketer meinen deshalb, der Datenschutz greife nicht, weil nur pseudonyme oder anonyme Daten erhoben und ausgewertet würden. Das trifft indes meist nicht zu.

Egal ob Cookies, Pixel oder andere Technologien wie Fingerprinting eingesetzt werden: Personenbezogene Daten liegen immer vor. Es besteht Einigkeit, dass der Begriff des Personenbezugs aus Art. 4 Nr. 1 DSGVO weit auszulegen ist. Alles, was dazu dient, natürliche Personen zu identifizieren, ist tendenziell personenbezogen. Dabei ist nicht erforderlich, dass der Name der Person bekannt werden muss. Es genügt, dass beim nächsten Besuch weitgehend feststeht, dass es sich um die gleiche Person handelt. Genau darum geht es bei vielen Tracking-Formen aber. Ist insofern Personenbezug gegeben, sind zugleich alle Daten zu der jeweiligen Kennung oder dem jeweiligen Profil gespeichert werden (Interessen, Klickstrecken, Warenkörbe usw.), personenbezogen.

Insofern stellen die allermeisten Informationen, die durch die eingesetzten Tools erhoben werden, personenbezogene Daten dar. Und auch Pseudonyme sind personenbezogene Daten – weil es gerade nicht um die Auflösung des Pseudonyms gehen muss.

Rechtfertigung nötig

Wesentliches Grundprinzip des neuen (wie alten) Datenschutzrechts ist das Verbotsprinzip: Die Verarbeitung personenbezogener Daten ist verboten, sofern nicht eine Einwilligung des Nutzers oder eine gesetzliche Erlaubnis vorliegt. Wer seine Nutzer nicht nach einer Einwilligung fragen möchte, muss sich also auf die Suche nach einer gesetzlichen Rechtfertigung begeben. Art. 6 Absatz 1 DSGVO hält hier eine kleine Auswahl bereit.

So ist eine Verarbeitung zulässig, wenn das Tracking für die Erfüllung des Vertrages mit dem Nutzer erforderlich ist. Das ist etwa bei Running Apps (teilweise) der Fall: Ohne Aufzeichnung der Geodaten kann die Laufstrecke nicht angezeigt werden. Im Regelfall lässt sich ein Tracking aber nicht mit der vertraglichen Grundlage rechtfertigen. Häufig besteht nicht einmal ein Vertrag mit dem Nutzer.

Damit kommt nur ohne Einwilligung aus, wer das Tracking auf ein berechtigtes Interesse stützen kann (Art. 6 Absatz 1 Buchstabe f DSGVO). Ein berechtigtes Interesse an der Aufzeichnung der Besucherbewegung (und vielem mehr) wird in der Regel vorliegen. Die Datenverarbeitung muss zur Erreichung des Interesses auch notwendig sein. Auch das wird häufig der Fall sein. Allerdings dürfen nach dem Gesetzeswortlaut die Interessen der Nutzer nicht entgegenstehen. Notwendig ist also eine Abwägung der beteiligten Interessen. Entscheidend soll unter anderem sein, ob die Nutzer mit der Datenverarbeitung im konkreten Fall vernünftigerweise rechnen müssen. Hierbei gehen die Meinungen naturgemäß auseinander.

Beschluss der DSK: Tracking grundsätzlich nur mit Einwilligung

Entscheidend ist damit, ob bei dem jeweiligen Tracking-Tool die Unternehmensinteressen oder das Interesse der Nutzer daran, dass sie nicht getrackt werden, überwiegen. Dabei muss man jeweils genau differenzieren, welche Daten zu welchem konkreten Zweck erhoben werden und welche Auswirkungen das möglicherweise auf die Nutzer hat. Die Entscheidung kann daher je nach Tracking-Tool und verfolgtem Zweck unterschiedlich sein.

Die deutschen Datenschutzbehörden haben sich kurz vor Wirksamwerden der DSGVO ebenso deutlich wie zweifelhaft geäußert: In einem Beschluss der Datenschutzkonferenz (DSK) vom 26. April 2018 spricht sich diese gegen ein berechtigtes Interesse der Websitebetreiber beim Tracking aus. Laut den Behörden sollen nur „Verarbeitungen, die unbedingt erforderlich sind, damit der Anbieter den von den betroffenen Personen angefragten Dienst zur Verfügung stellen kann, … ggf. auf Art. 6 Absatz 1 Buchstabe b) oder Buchstabe f) DSGVO gestützt werden.“

Dies würde bedeuten, dass lediglich Session-Cookies, etwa für eine sinnvolle Warenkorbfunktion, auf berechtigte Interessen des Unternehmens gestützt werden können. Für alle anderen Cookies, die zu Tracking-Maßnahmen, zur Erstellung von Nutzerprofilen oder zu Targeting-Zwecken gesetzt werden, bedürfte es dann einer freiwilligen Einwilligung.

Oder doch alles anders?

Beschlüsse der DSK werden natürlich stark beachtet. Schließlich stammen sie von den Behörden, die später auch Bußgelder verhängen oder Datenverarbeitungsvorgänge verbieten können. Andererseits sind Äußerungen von Datenschutzbehörden eben genau das: Meinungen von Behörden. Kaum ein Unternehmen nimmt Äußerungen von Finanzbehörden für bare Münze, ohne vorher mit einem Steuerberater gesprochen zu haben. Und auch für Unternehmen und Gerichte sind Äußerungen der Datenschutzbehörden unverbindlich. Am Ende wird der Europäische Gerichthof entscheiden – und sich dabei nicht nach den Behördenmeinungen, sondern dem Gesetz richten.

Dementsprechend ist der Beschluss der DSK hoch umstritten und jedenfalls so allgemein, wie er formuliert ist, falsch. Schon die knappe Begründung der DSK ist nicht nachvollziehbar. Die DSGVO lässt nämlich in Erwägungsgrund (47) DSGVO explizit die Möglichkeit einer Rechtfertigung mit berechtigten Interessen des werbenden Unternehmens beim Direktmarketing zu, solange eine Interessenabwägung zugunsten des Unternehmens ausfällt.

Entscheidend für diese Interessenabwägung sind auf Seiten des Nutzers seine vernünftigen Erwartungen, also das Verhalten, womit der Nutzer rechnen kann und muss. Ein durchschnittlicher Nutzer wird heutzutage z. B. generell erwarten, dass ihm Produkte auf Websites angezeigt werden, die er in einem anderen Onlineshop angesehen und nicht erworben hat. Rechnet der Kunde mit einem Re-Targeting, muss er auch mit einem Tracking rechnen.

Insofern stellt das Tracking des Nutzerverhaltens eine Vorstufe zum Direktmarketing dar und wird konsequenterweise mit derselben Begründung ebenfalls über berechtigte Interessen gerechtfertigt sein können. Dies gilt jedenfalls für das „einfache“ Tracking, das deutlich weniger in das Persönlichkeitsrecht eingreift, als das – unter Umständen nach der DSGVO zulässige – Direktmarketing.

Obacht: Nicht alles ist zulässig

Auch wenn man etwa den Einsatz von Mamoto oder Google Analytics mit MaskIP für zulässig halten darf, ist eine umfangreiche Profilbildung im Rahmen von Tracking-Maßnahmen in jedem Falle einwilligungsbedürftig. Zwar ist die Speicherung von auf der Website erhobenen Daten zu einem Pseudonym noch von berechtigten Interessen gedeckt. Werden aber etwa Offline-Daten dazu gespeichert (etwa Location Data oder Kaufdaten aus stationären Geschäften), ist dies problematisch. Auch die Zusammenführung mit Klardaten wird häufig ohne Einwilligung unzulässig sein.

Was sagen die Gerichte?

Eine gerichtliche Entscheidung dazu, ob, wann und wie das Tracking einer Einwilligung bedarf, ist bisher noch nicht ergangen. Allerdings hat der Bundesgerichtshof dem Europäischen Gerichtshof mehrere Fragen zu Cookies vorgelegt (Beschluss vom 05.10.2017, Az. I ZR 7/16). In dem streitigen Fall geht es um die Einwilligung in eine Nutzeranalyse und damit einhergehende Werbung. Der Text war mit einem Kästchen versehen, indem das Häkchen bereits gesetzt war, sodass der Nutzer aktiv durch das Entfernen das Häkchens (sogenanntes Opt-out) widersprechen musste.

Nach altem Recht hat das Landgericht Frankfurt a. M. eine Opt-out-Lösung für unzulässig, das Oberlandesgericht Frankfurt jedoch für zulässig gehalten. Nun muss der EuGH entscheiden. Auch wenn die Entscheidung streng genommen zu altem Recht ergehen wird, darf erwartet werden, dass der EuGH hier zur DSGVO Stellung bezieht. Wann die Entscheidung ergeht, ist offen.

Spannend? Jetzt Artikel zu Ende lesen!

Lesen Sie den Artikel weiter in unserer suchradar Ausgabe 75 von Dezember 2018 mit dem Titelthema „Webanalyse für Einsteiger: Von Anfang an alles richtig machen“.

Kostenloses PDF-Magazin bestellen Online weiterlesen? Einfach kostenlos für den Newsletter anmelden. Kostenpflichtiges Print-Abo bestellen