23.01.2019 — Tobias Weilandt. Quelle: Verlag Dashöfer GmbH.
Haben Sie den 2. Teil dieses Interviews verpasst? Hier können Sie ihn nachlesen!
Tobias Weilandt: Die vielbeschworene Abmahnwelle mit Inkrafttreten der DS-GVO am 25. Mai 2018 blieb bisher aus. Woran liegt das?
Dr. Christian Velten: Von einer Abmahnwelle kann man sicher bisher nicht sprechen. Es sind zwar einige Abmahnungen auch wegen der Nutzung von Google Analytics ausgesprochen worden, aber sicher nicht in dem befürchteten Umfang. Ich vermute, dass dies an der bei allen Marktteilnehmern immer noch recht großen Unsicherheit bei der Anwendung der DS-GVO liegt. Wer selbst nicht sicher sein kann, die Vorgaben der DS-GVO gerade im Online-Bereich zu erfüllen, riskiert eher nicht einen Wettbewerber abzumahnen. Man würde sonst sehr schnell selbst eine Abmahnung provozieren. Mit den ersten Gerichtsentscheidungen ist aber auch nicht auszuschließen, dass zukünftig auch die Anzahl der Abmahnungen noch einmal steigen kann. Website-Betreiber sollten daher in regelmäßigen Abständen die Datenverarbeitungsvorgänge und insbesondere die Datenschutzerklärung darauf überprüfen, ob sie noch mit den aktuellen rechtlichen Rahmenbedingungen und der höchstrichterlichen Rechtsprechung in Einklang stehen.
Weilandt: Darf man Google Analytics und andere Webanalyse-Tools seit Inkrafttreten der DS-GVO überhaupt noch verwenden?
Velten: Kurz vor Ablauf der Übergangsfrist für die Umsetzung des DS-GVO haben in der Tat viele Unternehmen Google Analytics und andere Analysetools von Ihrer Website entfernt. Google Analytics ermöglicht zum einen, umfangreiche Statistiken zur Nutzung der Website zu erstellen und auszuwerten, aber zum anderen auch die Erstellung von Nutzerprofilen. Zudem nutzt Google die erhobenen Daten wohl auch für eigene Zwecke.
Da bei Google Analytics die IP-Adresse des Nutzers verarbeitet wird und es sich dabei nach der neueren Rechtsprechung von EuGH und BGH um personenbezogene Daten handelt, bedarf es einer datenschutzrechtlichen Rechtsgrundlage für den Einsatz von Google Analytics.
Bis zum 24.05.2018 galt insofern § 15 Abs. 3 TMG. Dieser ermöglichte die Erstellung von Nutzerprofilen durch den Websitebetreiber unter anderem auch für Werbezwecke. Voraussetzung war, dass die Profilerstellung pseudonymisiert erfolgte und die Profile nicht mit anderen Daten des Trägers des Pseudonyms zusammengeführt wurden. Außerdem musste dem Nutzer ein Widerspruchsrecht eingeräumt werden. Dieser § 15 Abs. 3 TMG ist seit Inkrafttreten der DS-GVO nicht mehr anwendbar, weil die DS-GVO im Bereich datenschutzrechtlicher Regelungen Anwendungsvorrang genießt. Also muss sich die Rechtsgrundlage für die Nutzung von Google Analytics nunmehr aus der DS-GVO ergeben.
Hierbei stößt man auf Art. 6 I lit. f. DS-GVO, das sog. berechtigte Interesse. Danach ist eine Datenverarbeitung zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, und nicht entgegenstehende Interessen oder Grundfreiheiten und Grundrechte des Betroffenen überwiegen. Es ist also eine Interessenabwägung durchzuführen. Auf Seiten des Websitebetreibers steht natürlich, dass dieser seine Website möglichst bedarfsgerecht und nutzerfreundlich gestalten möchte. Sie soll möglichst für die angesprochenen Marktteilnehmer optimiert sein. Andererseits hat die betroffene Person ein berechtigtes Interesse daran, dass nicht alle Internetaktivitäten nachverfolgt werden und umfangreiche Daten über Vorlieben, Aufenthaltsorte, und vielleicht sogar religiöse oder sexuelle Vorlieben von Websitebetreibern in Nutzerprofilen gespeichert werden. Je mehr über die betroffene Person im Nutzerprofil zusammengeführt wird, desto eher überwiegen die Interessen des Nutzers, dass seine Daten nicht verarbeitet werden.
Die DS-GVO enthält somit keine explizite Aussage darüber, ob die Nutzung von Google Analytics auf das berechtigte Interesse im Sinne von Art. 6 Abs. 1 lit. f. gestützt werden kann. Im Erwägungsgrund 47 findet sich lediglich die Aussage, dass die Verarbeitung von personenbezogenen Daten zum Zwecke des Direktmarketings als einem berechtigten Interesse dienend betrachtet werden kann. Diese Aussage darf aber nicht in der Absolutheit verstanden werden, dass in jedem Fall Direktmarketing ein berechtigtes Interesse darstellt.
Die Aufsichtsbehörden sind hier der Auffassung, dass die Nutzung von Google Analytics nicht auf ein berechtigtes Interesse gestützt werden kann, weil eine Profilbildung erfolgt und die Daten von Google auch für eigene Zwecke genutzt würden. Danach sind wohl nur solche Analyse Tools auf ein berechtigtes Interesse zu stützen, die eine rein statische Auswertung, etwa die angesteuerte Seite auf der Website, das benutzte Betriebssystem und Endgerät, die Verweildauer u.ä. erheben. Ob diese Auffassung rechtlich halten wird, dürfte wohl in ein paar Jahren erst von EuGH geklärt werden. In der juristischen Literatur wird durchaus auch damit argumentiert, dass die Rechtsgedanken, die in § 15 Abs. 3 TMG zu Grunde gelegen haben, im Art. 6 Abs. 1 lit. f DS-GVO bei der Prüfung des berechtigen Interesses weiterhin hineinzulesen sind. Sie stellen ja durchaus eine Ausprägung einer Interessenabwägung dar.
Wer auf der sicheren Seite sein möchte, sollte sich aber für die Nutzung von Google Analytics eine informierte Einwilligung des Nutzers einholen.
Weilandt: Wenn ich Daten von Websitebesuchern mit Google Analytics tracke, muss ich dem User die Möglichkeit bieten, dem Tracking der Nutzer- und Verhaltensdaten zu widersprechen. Muss ich bei jeder Websitesitzung eines Users erneut fragen, auch, wenn schon ein Opt-In von einer vorherigen Session vorliegt?
Velten: Ja die Opt-Out-Möglichkeit muss auch weiterhin gewährt werden. Wenn Sie Google Analytics entgegen der Auffassung der Aufsichtsbehörden auf Grund eines berechtigten Interesses nutzen, müssen Sie dem Nutzer gemäß Art. 21 Abs. 1 bzw. 2 DS-GVO die Möglichkeit eines Widerspruchs gewähren. Wenn Sie die Nutzung auf eine Einwilligung des Nutzers stützen, hat der Nutzer gem. Art. 7 Abs. 3 DS-GVO das Recht, seine Einwilligung jederzeit zu widerrufen. Der Widerruf muss dabei so einfach wie die Erteilung der Einwilligung sein.
Wenn ich schon ein dokumentiertes Opt-in habe und sich an der Datenverarbeitung auch nichts geändert hat, benötige ich kein erneutes Opt-in.
Weilandt: Ab wann kann ich einen bestimmten User wieder auffordern, einen Opt-In bzw. Opt-Out vorzunehmen?
Velten: Hat ein User von seinem Opt-Out-Recht Gebrauch gemacht, sollte der User auch zukünftig nicht mehr um seine Einwilligung gebeten werden. Schon gar nicht darf er getrackt werden. Dies zu verhindern kann über ein Opt-Out-Cookie geschehen. Dann ist es dem Nutzer letztlich selbst überlassen, ob er dieses Cookie wieder löscht. Dies würde dann bedeuten, dass er typischerweise beim nächsten Besuch der Website wieder mit Einblendung des Consent-Banners um seine Einwilligung gebeten wird. Hier müsste der Nutzer dann wieder aktiv werden und sein Opt-out ausüben.
Weilandt: Benötigt man einen Opt-In, um eine Person für Remarketing, etwa Google Remarketing, zu markieren oder reicht der Hinweis, dass es eine Opt-Out Möglichkeit gibt?
Velten: Google Remarketing ermöglicht insbesondere Onlineshop-Betreibern, Nutzer der Seite, über Werbeanzeigen etwa im Rahmen der Google Suche oder anderer Partnerseiten von Google gezielt wieder anzusprechen. Das werden Sie sich selbst schon einige Male beobachtet haben. Sie haben sich in einem Online-Shop für ein Produkt interessiert und bekommen dieses nun als Werbung auf einer anderen Seite, die Sie besuchen, angezeigt. Auch hier lässt sich diskutieren, ob eine solche Marketing-Maßnahme auf ein berechtigtes Interesse gestützt werden kann. Der Gedanke des Online-Shop-Betreibers ist ja, Kunden, die zum Beispiel einen Kauf nicht abgeschlossen haben immer wieder an das Produkt zu erinnern, in der Hoffnung, dass dieser sich doch noch zum Kauf entschließt.
Auch hier ließe sich wieder argumentieren, dass Direktmarketing nach Erwägungsgrund 47 auch vom Verordnungsgeber als berechtigtes Interesse angesehen wird. Damit müsste dann auch die Nutzerprofilerstellung und auch die Ansprache auf anderen Websites erfasst sein. Allerdings sind auch an diesem Punkt die Aufsichtsbehörden wieder einmal anderer Auffassung und halten für Remarketing-Maßnahmen eine Einwilligung des Nutzers – in informierterweise und vor Beginn von Profilbildung und Tracking – für erforderlich. Wer auf Nummer sicher gehen will, sollte sich hier wiederum an der Auffassung der Aufsichtsbehörden orientieren und sich über einen Consent-Banner die Einwilligung des Nutzers einholen.
Weilandt: Darf ich noch meine alten Remarketing-Listen verwenden, die vor der DSGVO in Verwendung waren?
Velten: Hier stellt sich die Problematik, dass zumeist keine wirksame Einwilligung des Nutzers in das Remarketing vorliegt oder nicht mehr beweisbar ist. Ob man die weitere Verarbeitung auf das berechtigte Interesse im Sinne von Art. 6 Abs. 1 lif. f DS-GVO stützen kann, ist bisher höchstrichterlich ungeklärt. Die Aufsichtsbehörden stehen dem kritisch gegenüber. Wer also rechtssicher handeln will, holt sich eine erneute Einwilligung für das Remarketing ein.
Das Interview führte Tobias Weilandt
Der zweite Teil des Interviews erscheint im kommenden VideoCampus-Newsletter Ende Februar. Hier spricht Dr. Christian Velten über den Einsatz von facebook-Kampagnen und das DS-GVO-konforme Anlegen von facebook-Fanpages.
Der Autor:
Rechtsanwalt Dr. Velten ist seit 2011 als Rechtsanwalt tätig. Als Fachanwalt für Arbeitsrecht liegt sein Schwerpunkt im Bereich des Arbeitsrechts. Er berät zudem in allen Bereichen des IT-Rechts, wobei insbesondere das Datenschutzrecht und die Vertragsgestaltung zu den Schwerpunkten von Herrn RA Dr. Velten gehören. Herr Dr. Velten ist zertifizierter Datenschutzbeauftragter.
Sie möchten sich von Herrn Dr. Velten beraten lassen? Klicken Sie hier!