Stellungnahme zum DSK Positionspapier
Home Ressourcen Blog Kundeninformation und Stellungnahme zum DSK Positionspapier

Kundeninformation und Stellungnahme zum DSK Positionspapier

von Usercentrics
16. Apr 2019
Stellungnahme zum DSK Positionspapier
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Um was geht es?

Die Datenschutzkonferenz (DSK) hat ein neues Papier „Orientierungshilfe für Anbieter von Telemedien“ veröffentlicht, in dem sie unter anderem klar stellt, dass die DSGVO Anwendungsvorrang vor datenschutzrechtlichen Vorschriften des Telemediengesetz (TMG) hat und ausführt, wann „Tracking“ noch rechtmäßig durchgeführt werden kann und wie „Consent-Tools“ hier helfen.

Was ist die DSK?

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), also ein Gremium in dem sich alle deutschen Datenschutzaufsichtsbehörden abstimmen.

Relevante Punkte des Papiers für Usercentrics Kunden:

Anwendungsvorrang d. DSGVO vor TMG für Tracking

Rechtlicher Hintergrund: In §15 Abs. 3 TMG ist Tracking in Telemedien gestattet, wenn eine Widerspruchsmöglichkeit besteht. Es ist somit nach dem Telemediengesetz (TMG) nicht erforderlich, für Tracking eine vorherige Einwilligung des Nutzers einzuholen (sog. Widerspruchslösung).

Dem TMG zugrunde liegt die ePrivacy-Richtlinie, welche für Tracking die Einwilligung erfordert, was § 15 Abs. 3 TMG aber nicht umgesetzt hatte. Die Kollisionsregel in Art. 95 DSGVO sieht vor, dass die DSGVO hinsichtlich solcher Rechtsnormen zurücktreten muss, welche die ePrivacy-RL umsetzen, wodurch große Unsicherheit entstand, welche Norm bei Webtracking greift.

Die DSK Orientierungshilfe stellt deutlich klar: § 15 Abs. 3 TMG ist keine mögliche Rechtsgrundlage für Webtracking mehr. Derselben Ansicht ist auch der Generalanwalt des EuGH, der vor drei Wochen in der Rechtssache Planet49 eine Einwilligung im Sinne der DSGVO als Rechtsgrundlage für Cookies festgestellt hat.

Die DSK hat sich sehr konkret zu Kriterien für „Cookie-Banner“ und „Consent-Tools“ auf Webseiten und in Apps geäußert. Sofern eine Einwilligung für die Datenverarbeitung nötig ist, verlangt die DSK die Erfüllung folgender Anforderungen:

  • Beim erstmaligen Öffnen soll eine Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge inklusive aller beteiligten Provider und deren Funktionsweise erscheinen.
  • Diese sollen über ein Auswahlmenü einzeln aktiviert werden können und dürfen nicht „vor-aktiviert“ sein.
    Bis zur Aktivierung müssen alle einwilligungsbedürftigen Technologien blockiert werden.
  • Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verdeckt werden.
  • Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, zum Beispiel mit Häkchen im Banner oder den Klick auf einen Button abgegeben hat, darf die Datenverarbeitung tatsächlich stattfinden.
  • Um der Nachweispflicht gerecht zu werden ist es nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung ist ausreichend.
  • Damit die Nutzerpräferenzen bei einem weiteren Aufruf berücksichtigt werden und das Banner nicht erneut erscheint, können die Präferenzen auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen, also dem Betreiber der Webseite oder App, abgelegt werden. Das genügt, um den Nachweis einer vorliegenden Einwilligung zu erbringen.
  • Es muss eine entsprechende Möglichkeit zum Widerruf implementiert werden, der so einfach wie die Erteilung der Einwilligung sein muss.

“Nutzung von Cookies ist nicht per se einwilligungsbedürftig“: 3-stufige Prüfung für Interessenabwägung im Rahmen von Berechtigtem Interesse

Wann und inwieweit das berechtigte Interesse als Rechtsgrundlage für Webtechnologien trägt, wird seit Inkrafttreten der DSGVO heiß diskutiert. Die DSK stellt eine dreistufige Prüfung auf, „die die Anwendung erleichtern soll und zugleich helfen kann, die Rechenschaftspflichten nach der DSGVO zu erfüllen.“ Die DSK orientiert sich dabei an bereits bestehender Rechtsprechung des EuGH sowie der Auffassung europäischer Aufsichtsbehörden.

    1. „Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
    2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
    3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall“

Pseudonymisierung kein Argument für legitimes Interesse

Bei der Abwägung betont die DSK, dass ohnehin bestehende Pflichten aus der DSGVO, z.B. Informationspflichten oder die Sicherheit der Verarbeitung durch Pseudonymisierung, nicht zugunsten des Verantwortlichen ins Gewicht fallen.

„Die allgemeinen Pflichten der DSGVO stellen keine „best practices“ dar, sondern sind gesetzliche Anforderungen, die in jedem Fall zu erfüllen sind. Gleichwohl können durch zusätzliche Schutzmaßnahmen die Beeinträchtigungen durch die Verarbeitung derart reduziert werden, dass die Interessenabwägung zugunsten des Verantwortlichen ausfallen kann.“

Berechtigtes Interesse für Reichweitenmessung zulässig, wenn „Interventionsmöglichkeit“ besteht

Die DSK exerziert die dreistufige Prüfung auch einmal durch und kommt zu dem Ergebnis, dass sich die Erhebung von statistisches Angaben zu Zwecken der reinen Reichweitenmessung auf berechtigtes Interesse stützen lässt.

Es sei für den Nutzer vorhersehbar, dass der Verantwortliche die Reichweite seines Online-Angebots messen würde, etwa um das Online-Angebot bedarfsgerecht zu gestalten. Für diesen Zweck sei keine „andauernde Wiedererkennung und stetig umfangreichere Profilbildung sowie keine Weitergabe von Daten an Dritte“ nötig, da statistische Angaben hinreichend Aufschluss über das allgemeine Nutzungsverhalten geben.

Nichtsdestotrotz muss dem Nutzer eine „Interventionsmöglichkeit“ gegeben werden. Gemeint ist im Falle der Online Reichweitenmessung ein Opt-Out-Verfahren. Wichtig ist, dass die DSK scharf gegen vom Anbieter des Tools zur Verfügung gestellte Opt-Out-Verfahren schießt:

„Das Opt-Out-Verfahren wurde vom Website-Betreiber vorab geprüft. Verantwortlich für die Umsetzung des Widerspruchs bleibt der Website-Betreiber, auch wenn der Anbieter des Tools zur Reichweitenmessung ein Opt-Out-Verfahren zur Verfügung stellt. Nach Anklicken des Links wird der Widerspruch unmittelbar umgesetzt.“

Beispiel Tracking-Pixel – „wenn überhaupt“ – nur mit Einwilligung

Um klar zu machen, wann berechtigtes Interesse nicht trägt, hängt die DSK noch ein ausformuliertes Gutachten zum Beispiel „Tracking-Pixel“ an. Das Ergebnis nach gut zwei Seiten Auslegung und Abwägung ist deutlich:

„Eine Abwägung der o.g. Interessen im konkreten Einzelfall ergibt, dass die Interessen der betroffenen Personen die Interessen des Unternehmens überwiegen und folglich die Einbindung des Pixels nicht gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist. Als Rechtsgrundlage käme dann – wenn überhaupt – nur die Einwilligung in Betracht.“

Rechtsverbindlichkeit

Die Orientierungshilfe steht unter dem ausdrücklichen Vorbehalt eines zukünftigen – möglicherweise abweichenden – Verständnisses der maßgeblichen Vorschriften durch den Europäischen Datenschutzausschuss (EDSA) sowie einer etwaigen Rechtsänderung durch ein zukünftiges Inkrafttreten einer Überarbeitung der Richtlinie 2002/58/EG.

Was das für Sie bedeutet

Webseitenbetreiber sollten prüfen, ob die Rechtsgrundlage für die verwendeten Technologien sauber vorliegt und nachgewiesen werden kann. Beim berechtigten Interesse muss eine Argumentation in Form der dreistufigen Prüfung vorliegen, sowie ein Opt-Out-Verfahren ermöglicht und dokumentiert werden. Bei der Einwilligung sollten die Anforderungen an eine gültige Einwilligung umgesetzt werden.

FAQ & Stellungnahme Usercentrics

Grundsätzlich lassen sich alle Anforderungen des DSK Positionspapiers mit der Usercentrics Software erfüllen. Wir zwingen aber unsere Kunden nicht, die Positionen 1:1 umzusetzen und bieten vielmehr nach wie vor komplette Flexibilität und sämtliche Möglichkeiten für Individualisierung – rechtlich wie technisch.

Im Einzelnen:

  • Die Usercentrics Software ermöglicht die Erfüllung aller Anforderungen aus dem Kriterienkatalog der DSK für Consent-Tools auf Seite 9 des Positionspapier.
  • Die Usercentrics Software ermöglicht die Erfüllung aller Anforderungen an eine gültige Einwilligung im Sinne des DSK Positionspapiers S. 8-9
  • Insbesondere die Anforderungen an die Informiertheit gemäß DSK Positionspapier (die jeweiligen Datenverarbeitungsvorgänge, die jeweils einbezogenen Dritten, Möglichkeit der gesonderten Zustimmung) lassen sich über die Usercentrics Software erfüllen
  • Der Kunde entscheidet, wann für ihn eine aktive Handlung vorliegt, die zur Einwilligung führt. Neben einem Klick auf eine Schaltfläche, vgl. DSK Positionspapier S.8,9, kann der Kunde auch eine implizite Einstellung vornehmen. Hierfür übernimmt Usercentrics keinerlei Haftung im Falle einer Ungültigkeit.
  • Pro Technologie obliegt es dem Kunde, ob er den Einsatz auf berechtigtes Interesse oder die Einwilligung stützt.
  • In der Usercentrics Datenbank ist per default die Rechtsgrundlage Art. 6 a DSGVO Einwilligung hinterlegt. Davon kann der Kunde abweichen.
  • Entscheidet sich der Kunde für berechtigtes Interesse, obliegt ihm die vorherige Durchführung der 3-stufigen Prüfung gemäß DSK Positionspapier S. 11-14.
  • Usercentrics prüft nicht, ob der Kunde tatsächlich ein berechtigtes Interesse hat und ob die Argumentation den Anforderungen der DSK genügt.
  • Die Technologie kann mit Usercentrics verknüpft werden, dass das Opt-Out-Verfahren im Sinne des berechtigten Interesses entsprechend umgesetzt wird

Bei weiteren Fragen können Sie jederzeit auf uns zukommen. Falls Sie rechtliche Beratung wünschen, stellen wir gerne einen Kontakt zu einem Datenschutzexperten aus unserem ausgewählten Kanzleinetzwerk her.

 

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.

Ähnliche Artikel

Südafrikas ‘Protection of Information Act’ (POPIA)

Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

POPIA ist das südafrikanische Datenschutzgesetz, das bereits fünf Jahre vor der DSGVO verfasst wurde. Wir untersuchen,...

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Wir erläutern, was Chinas ‘Personal Information Protection Law’ für die Datenschutzrechte seiner Bürger bedeutet und...