EU-Datenschützer nehmen Stellung zu Verhältnis zwischen ePrivacy-Richtlinie und DSGVO sowie zum Einsatz von Tracking-Tools

Europäischer Datenschutzausschuss äussert sich zum Verhältnis zwischen ePrivacy-Richtlinie und DSGVO

Der Europäische Datenschutzausschuss (EDSA) hat am 12. März 2019 seine Stellungnahme zum Verhältnis zwischen der ePrivacy-Richtlinie (ePrivacy-RL) und der am 25. Mai 2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO) veröffentlicht. Anlass zur Stellungnahme gaben verschiedene Anfragen der belgischen Datenschutzbehörde mit Bezug auf Abgrenzungs- und Zuständigkeitsfragen bei Sachverhalten, die sowohl von der DSGVO als auch von der ePrivacy-Richtlinie erfasst werden.

Die ePrivacy-RL aus dem Jahr 2002 wurde 2009 durch die sogenannte Cookie-Richtlinie ergänzt und hätte eigentlich zeitgleich mit der DSGVO durch die sog. ePrivacy-Verordnung (ePrivacy-VO) ersetzt werden sollen (vgl. MLL-News vom 2. Dezember 2017). Da die Inkraftsetzung der ePrivacy-Verordnung aber nach wie vor – voraussichtlich bis im Jahr 2021 – auf sich warten lässt, gelangen die ePrivacy-RL und die entsprechenden nationalen Umsetzungen parallel zur DSGVO zur Anwendung (vgl. Art. 95 DSGVO). Da die ePrivacy-RL und die DSGVO einen sich teilweise überschneidenden Anwendungsbereich haben, führt dies in der Praxis nicht selten zu Unklarheiten in Bezug das Verhältnis zwischen den beiden Regelwerken.

Der EDSA stellt in seiner Stellungnahme klar, dass die ePrivacy-RL die DSGVO sowohl konkretisiert als auch ergänzt. Ist eine Bestimmung der ePrivacy-Richtlinie in Bezug auf eine Form der Datenverarbeitung konkreter, so geht diese als lex specialis der allgemeineren Norm der DSGVO vor. Als prominentes und ebenso umstrittenes Beispiel des sich überschneidenden Anwendungsbereichs der beiden Regelwerke nennt der EDSA die Verwendung von Cookies. So besagt die ePrivacy-RL in Art. 5 Abs. 3, dass die Speicherung von bzw. der Zugriff auf Cookies nur gestattet ist, wenn der betreffende Nutzer zuvor auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat, während Art. 6 DSGVO eine Vielzahl von offen formulierten Erlaubnistatbeständen für die Verarbeitung von personenbezogenen Daten vorsieht (bspw. die Erlaubnistatbestände der Erforderlichkeit zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 lit. b DSGVO oder zur Wahrung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO).

Nach Auffassung des EDSA geht in dieser Konstellation Art. 5 Abs. 3 der ePrivacy-RL in Bezug auf das initiale Setzen bzw. Auslesen von Cookies als konkretere Norm vor und der Webseitenbetreiber kann sich „nur“ für nachfolgende Verarbeitungen der via Cookies erlangten Daten auf den weiter gefassten Katalog der Erlaubnistatbestände nach Art. 6 DGSVO beziehen.

In Bezug auf die Durchsetzung der ePrivacy-Richtlinie betont der EDSA zudem, dass nicht alle nationalen Datenschutzbehörden per se auch für bei Verletzungen der ePrivacy-Richtlinie zuständig seien. Entscheidend sei letztlich die konkrete Umsetzung der Richtlinie ins nationale Recht des jeweiligen Staates. Eine Verhaltensweise kann somit grundsätzlich gegen beide Regelwerke verstossen und auch von unterschiedlichen Stellen geahndet werden.

Bisherige „Umsetzung“ der ePrivacy-RL in Deutschland ist nicht DSGVO konform

Aufgrund der komplexen Beziehung zwischen der ePrivacy-Richtlinie und der DGSVO sah sich kurz vor Inkrafttreten der DSGVO auch die Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) veranlasst, sich in einem Positionspapier zu dieser Frage zu äussern (vgl. MLL-News vom 15. Mai 2018). Dieses Positionspapier hat die DSK kürzlich deutlich erweitert und in Form einer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ veröffentlicht.

Im Fokus steht darin zunächst die Frage, ob § 15 Abs. 3 des deutschen Telemediengesetzes (TMG) als Umsetzungsnorm des besagten Art. 5 Abs. 3 der ePrivacy-RL verstanden werden kann. Der DSK verneint diese Frage und gelangt zum Schluss, dass die darin vorgesehene Opt-Out-Lösung spätestens seit dem 25. Mai 2018 nicht mehr zur Anwendung gelangen kann. Nach Auffassung der DSK ist somit für die Beurteilung der Zulässigkeit des Trackings im deutschen Recht somit allein die DSGVO entscheidend, wobei sie unter Tracking «Datenverarbeitungen zur – in der Regel websiteübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern» versteht.

In diesem Zusammenhang ist auch auf die kürzlich veröffentlichte Auffassung des Generalanwalts Szpunar hinzuweisen. Auch dieser geht davon aus, dass die Anforderungen aus Art. 5 Abs. 3 der ePrivacy-RL nicht in vollem Umfang in deutsches Recht umgesetzt worden seien und die Verwendung von Cookies nur zulässig sei, wenn der Nutzer eingewilligt hat, nachdem er klare und umfassende Informationen darüber erhalten hat, weshalb «seine Daten nachverfolgt» werden (vgl. Schlussanträge des Generalanwalts Szpunar vom 21. März 2019 zur (verneinten) Vorlagefrage des deutschen Bundesgerichtshofs, ob es sich bei einem voreingestellten Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Zustimmung abwählen muss und mit der Bestätigung der Teilnahme an einem Gewinnspiel verbunden ist, um eine wirksame Einwilligung in die Speicherung von Cookies handle).

Der Einsatz von Tracking-Tools verlangt Erlaubnistatbestand nach Art. 6 DSGVO

Für die Verarbeitung personenbezogener Daten durch nicht-öffentliche Verantwortliche bei der Erbringung von Telemediendiensten kommen dabei gemäss DSK insbesondere die Erlaubnistatbestände Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertrag (Art. 6 Abs. 1 lit. b DSGVO) sowie Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Dies ist in zweifacher Hinsicht interessant. Denn zum einen stehen insofern in Deutschland – anders als zur Stellungnahme der EDSA oben ausgeführt – bereits für das initiale Setzen und Auslesen von Cookies grundsätzlich sämtliche Erlaubnistatbestände zur Auswahl. Dies ist aber darauf zurückzuführen, dass diese Regelung in Art. 5 Abs. 3 ePrivacy-RL nach Ansicht der DSK in Deutschland nicht direkt zur Anwendung gelangen kann. Zum anderen wird damit die Auffassung des DSK im zuvor veröffentlichten Kurzpapier wieder relativiert, wonach nur eine Einwilligung für das User-Tracking in Frage komme (vgl. MLL-News vom 15. Mai 2018).

Ferner hat die DSK auf Ausführungen zur Frage der Anwendbarkeit des Art. 6 Abs. 1 lit. b) DSGVO im Zusammenhang mit der Bereitstellung von Online-Services mit Blick auf die andauernde Diskussion auf europäischer Ebene verzichtet (Hinweis: Der EDSA hat kurz nach der Veröffentlichung der Orientierungshilfe der DSK am 9. April 2019 seine Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen veröffentlicht).

(I) Zur Zulässigkeit der Datenverarbeitung durch wirksame Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

In Bezug auf den Erlaubnistatbestand der wirksamen Einwilligung führt die DSK aus, dass eine Verarbeitung personenbezogener Daten ohne ausreichende Kenntnis der betroffenen Personen über die jeweiligen Datenverarbeitungsvorgänge sowie über die jeweils einbezogenen Dritten zur Unwirksamkeit der Einwilligung führt und daher ohne Rechtsgrund erfolgt. Gleiches gilt, wenn die betroffenen Personen keine Möglichkeit der gesonderten Zustimmung haben, sie also zu verschiedenen Verarbeitungsvorgängen nicht gesondert zustimmen können.

Hinsichtlich des Kriteriums der „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung“ (Art. 4 Nr. 11 DSGVO) reiche ein Opt-Out-Verfahren gerade nicht. Dies spricht eine verbreitete Praxis an, bei denen eine ausdrückliche Einwilligung trotz Cookie-Banner nicht eingeholt wird, sondern ein „Weiternutzen der Seite“ als konkludente Einwilligung gewertet wurde. Die DSK bekräftigt nun, dass konkludente Verhaltensweisen wie bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person keine wirksamen Einwilligungen darstellen. Während das Banner angezeigt wird, müssen zudem alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert werden und der Zugriff auf Impressum und Datenschutzerklärung darf durch den Cookie-Banner nicht verhindert werden.

Ferner genüge es für eine wirksame Einwilligung auch nicht, wenn ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt. In diesen Fällen fehle es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen.

Hinsichtlich der Freiwilligkeit äussert sich die DSK ausserdem zum sog. „Kopplungsverbot“ (vgl dazu bereits MLL News vom 9.12.2018 sowie MLL News vom 20.01.2019). Nach Auffassung der DSK führe die «Koppelung der Erbringung einer vertraglichen Dienstleistung an die Abgabe einer datenschutzrechtlichen Einwilligung» regelmässig dazu, dass die Einwilligung aufgrund von Art. 7 Abs. 4 DSGVO nicht als freiwillig angesehen werden könne und damit unwirksam sei. Der Besuch einer Website müsse daher auch dann noch möglich sein, wenn betroffene Personen sich gegen das Setzen von Cookies entscheiden und nicht in die personenbezogene Datenverarbeitung einwilligen.

Die Tragweite des Kopplungsverbots war jüngst auch Gegenstand der erwähnten Schlussanträge des Generalanwalts Szpunar vom 21. März 2019. Anders als die DSK suggeriert, enthält die DSGVO nach Ansicht des Generalanwalts jedenfalls kein absolutes Kopplungsverbot. Im Zusammenhang mit der Teilnahme an einem Online-Gewinnspiel müsse daher bedacht werden, dass der hinter der Teilnahme stehende Zweck der „Verkauf“ personenbezogener Daten sei und die Verarbeitung dieser personenbezogenen Daten folglich für die Teilnahme am Gewinnspiel erforderlich sein kann.

Nicht zuletzt aufgrund der divergierenden Ansichten ist eine entsprechende höchstrichterliche Klärung dieser Frage durch den EuGH mit grosser Spannung zu erwarten.

(II) Zur Zulässigkeit der Datenverarbeitung durch Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO)

In Bezug auf den Erlaubnistatbestand der Interessenabwägung ist gemäss DSK anhand einer dreistufigen Prüfung zu ermitteln, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO im Einzelfall gegeben sind. Dabei sei zunächst das Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten (Stufe 1), anschliessend die Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen (Stufe 2) festzustellen und schliesslich die konkrete Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person vorzunehmen (Stufe 3).

Zu den berechtigten Interessen des Verantwortlichen oder eines Dritten auf Stufe 1 zähle beispielsweise die Erbringung des Dienstes in einer Form, die eine nutzerfreundliche Wahrnehmung des Online-Angebots möglich macht. Ausdrücklich benennt die DSGVO im Erwägungsgrund 47 zudem die Verhinderung von Betrug und die Direktwerbung als mögliche berechtigte Interessen.

Unter der Erforderlichkeit auf der Stufe 2 versteht die DSK, dass die Verarbeitung geeignet sein muss, das Interesse des Verantwortlichen zu erreichen, wobei hierfür kein milderes, gleich effektives Mittel zur Verfügung stehen darf, d.h. dass der Verantwortliche die Verarbeitung auf das notwendige Mass zu beschränken hat.

Auf Stufe 3 müssen die zuvor ermittelten Interessen gewichtet werden, wobei als Faustregel gelte, dass ein spezifisch, verfassungsrechtlich anerkanntes Interesse ein höheres Gewicht hat, als ein Interesse, das nur gesetzlich in der Rechtsordnung anerkannt ist. Ebenso sei ein Interesse gewichtiger, wenn es nicht nur dem Verantwortlichen dient, sondern gleichzeitig auch der Allgemeinheit, z.B. bei Forschungstätigkeiten, deren Erkenntnisse für medizinische Vorsorge genutzt werden sollen.

Bei der Anwendung des Erlaubnistatbestands der Interessenabwägung seien ferner sämtliche Erwägungsgründe der DSGVO unterstützend bei der Interessenabwägung heranzuziehen. Genannt werden dabei u.a. die vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz, die Verkettung von Daten oder die beteiligten Akteure.

Fazit und Anmerkungen

Mit der Orientierungshilfe der DSK und der Stellungnahme des EDSA werden wichtige Beiträge zur Diskussion über die vielen datenschutzrechtlichen Fragezeichen im Zusammenhang mit der Tracking-Praxis der Webseitenbetreiber geleistet. Bis zum Inkraftreten der ePrivacy-VO gilt es, die Anforderungen der beiden Regelwerke aufeinander abzustimmen und gesamteuropäisch einheitlich auszulegen.

Im Zusammenhang mit der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bietet die DSK interessante Hinweise für eine DSGVO- bzw. ePrivacy-RL-konforme Verwendung von Webseiten-Analysetools. Demgegenüber fallen die Vorgaben für die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO eher allgemein gehalten aus. Massgebliche Kriterien wie die „vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit“ bleiben grob skizziert und abstrakt gehalten. Immerhin betont die DSK explizit, dass die Nutzung von Cookies nicht per se einwilligungsbedürftig sei und entsprechende Cookie-Banner oder Consent-Tools daher nur eingesetzt werden müssen bzw. sollen, wenn tatsächlich eine Einwilligung nach Art. 6 Abs. 1 lit a. DSGVO notwendig ist. Zudem handelt es sich nach dem Verständnis der Aufsichtsbehörden beim Tracking um Datenverarbeitungen zur – in der Regel webseitenübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern. Dies spricht dafür, dass der Einsatz „zurückhaltender“ Tools ohne andauernde Wiedererkennung, ohne umfangreiche Profilbildung und insbesondere ohne Weitergabe an Dritte über den Erlaubnistatbestand der Interessenabwägung legitimiert sein kann.

Die DSGVO, die ePrivacy-Richtlinie sowie die darauf basierende Praxis der Europäischen Datenschützer haben auch für zahlreiche Schweizer Unternehmen ohne Niederlassung in der EU Geltung (vgl. MLL-News vom 14. Januar 2016 sowie MLL-News vom 30. Juli 2017). Dementsprechend sind einheitliche Interpretationen unbestimmter Normen durch die Europäischen Gerichte sowie Handlungsempfehlungen der Aufsichtsbehörden auch für hiesige Unternehmen von grosser Bedeutung.

Weitere Informationen:

• Orientierungshilfe der DSK für Anbieter von Telemedien
• Stellungnahme des EDSA zum Verhältnis zwischen ePrivacy-Richtlinie und DSGVO (engl.)
• Positionspapier der DSK vom 26. April 2018
• EU-Datenschutzgrundverordnung (DSGVO)
• MLL News vom 25. Mai 2018: „DE-Datenschützer: User-Tracking unter DSGVO nur mit Einwilligung zulässig“
• MLL-News vom 14. Januar 2016: „EU-Datenschutzgrundverordnung ( DSGVO ): Alles Neue zur Datenschutzreform“
• MLL-News vom 20. Januar 2019: „DSB: Kopplung von Zugriff auf Website an Cookie-Einwilligung ist zulässig“
• MLL-News vom 30. Juli 2017: „Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab”