Am 25. Mai 2018 tritt die Datenschutzgrundverordnung der EU (DSGVO) in Kraft und ersetzt die geltende Datenschutzrichtlinie. Danach ist die Bearbeitung von personenbezogenen Daten nur noch zulässig, sofern ein Erlaubnistatbestand gegeben ist. Bereits zu diesem grundlegenden Punkt bestehen gerade im Online-Kontext zahlreiche offene Fragen. Insbesondere ist umstritten, welche Erlaubnistatbestände für das User-Tracking mit Tools wie Google-Analytics in Frage kommen. Die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden veröffentlichte hierzu ein Positionspapier, worin eine Einwilligung verlangt wird.

EU-DSGVO – relevante Änderungen auch für Nicht-EU-Unternehmen

Die neue Datenschutzgrundverordnung der EU (DSGVO) bringt im Vergleich zum geltenden Schweizer Datenschutzrecht zahlreiche Neuerungen mit sich (vgl. zum Ganzen MLL-News vom 14. Januar 2016; MLL-News vom 30. Juli 2017). Diese sind auch für Schweizer Unternehmen von grosser Bedeutung. Denn die neuen Vorgaben finden nicht nur auf im EU-Raum domizilierte Unternehmen Anwendung, sondern in einer Vielzahl von Fällen auch auf Nicht-EU-Unternehmen.

Jede Datenbearbeitung muss sich auf einen Erlaubnistatbestand stützen

Anders als im Schweizer Recht ist die Bearbeitung von Personendaten bereits nach der geltenden EU-Datenschutzrichtlinie grundsätzlich verboten. Nach der DSGVO sind deshalb Datenbearbeitungen nur dann zulässig, wenn sie auf einen Erlaubnistatbestand abgestützt werden können. Im Vordergrund stehen dabei die Einwilligung durch die betroffene Person, die Erforderlichkeit für die Vertragsabwicklung und die überwiegenden Interessen des Datenbearbeiters.

Fehlende Sonderregelung für elektronische Kommunikation

Zeitgleich mit der DSGVO hätte die ePrivacy-Verordnung in Kraft treten sollen, welche die ePrivacy-Richtlinie ersetzen wird (vgl. MLL-News vom 2.11.17). Voraussichtlich wird dies aber im Jahr 2018 nicht mehr der Fall sein. Die ePrivacy-Verordnung wird den Datenschutz in Bezug auf die elektronische Kommunikation präzisieren und ist als Ergänzung zur DSGVO gedacht.

Die hierfür bis auf Weiteres geltende EU-Regelung ist allerdings in einer Richtlinie enthalten und muss deshalb in den Mitgliedstaaten durch nationale Vorschriften umgesetzt werden. Es stellt sich nun die Frage, wie mit den nationalen Umsetzungsvorschriften bezüglich des Datenschutzes im Bereich der elektronischen Kommunikation zu verfahren ist, sobald die DSGVO in Kraft tritt. Die Deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) haben hierzu kürzlich ein Positionspapier veröffentlicht.

Nationale Sonderregelung in Deutschland nicht mehr anwendbar

Deutschland beruft sich für die Umsetzung der ePrivacy-Richtlinie unter anderem auf die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG). In ihrem Positionspapier hält die DSK nun fest, dass die am 25. Mai 2018 in Kraft tretende DSGVO Vorrang vor diesen nationalen Vorschriften habe. Die DSGVO erlaubt zwar in gewissen Bereichen weiterhin nationale Regelungen. Für die Datenverarbeitung durch Private im Kontext der elektronischen Kommunikation sei dies jedoch nicht der Fall. Daher können die massgebenden Bestimmungen des TMG nicht mehr zur Beurteilung der Rechtmässigkeit angewendet werden.

User-Tracking nur mit Einwilligung zulässig

Somit gelten ab dem 25. Mai 2018 für Datenbearbeitungen im Rahmen von Online-Diensten auch in Deutschland die Vorgaben der DSGVO. Für jede Bearbeitung von personenbezogenen Daten ist demnach ein Erlaubnistatbestand erforderlich. Die Frage, welche Erlaubnistatbestände für Tracking-Tools greifen können, ist in der Literatur umstritten. Insbesondere in Deutschland wird teilweise davon ausgegangen, dass eine Einwilligung nicht erforderlich sei. Vielmehr könnten sich die Datenbearbeiter generell bei Marketing-Massnahmen in einem weiteren Sinne auf ein überwiegendes Interesse berufen.

In dem Positionspapier erläutert die DSK in einem ersten Schritt allgemein, dass der Erlaubnistatbestand „Vertrag“ zur Anwendung kommen könne, wenn ein Dienst von der betroffenen Person angefragt werde und eine Datenverarbeitung durch den Anbieter der Dienstleistung unbedingt erforderlich sei, um diesen Dienst zur Verfügung stellen zu können. Ist eine Datenverarbeitung nicht unbedingt erforderlich für die angefragte Dienstleistung, so sei nur die Berufung auf ein überwiegendes Interesse, das in jedem Einzelfall geprüft werden müsse, oder auf eine Einwilligung möglich.

Konkret zur Frage des User-Trackings äussert sich die DSK sodann wie folgt:

„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.“

Da die DSK nicht präzisiert, was sie konkret unter Tracking-Mechanismen versteht, ist ihr Standpunkt nicht restlos klar. Jedenfalls dürfte sie damit auf Tracking-Tools wie Google Analytics abzielen. Die Datenbearbeitungen im Rahmen solcher Tools sind zur Erfüllung von Verträgen in aller Regel nicht erforderlich. Ferner erachtet die DSK implizit auch ein überwiegendes Interesse zur Nutzung dieser Dienste als ausgeschlossen. Vielmehr verlangen die deutschen Datenschützer demnach stets eine Einwilligung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung. Diese muss vor der Datenverarbeitung eingeholt werden, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Fazit

Nach den deutschen Datenschützern ist somit der Einsatz von Tracking-Tools ab dem 25. Mai 2018 nur noch gestützt auf eine vorherige Einwilligung der Betroffenen zulässig. Das Erfordernis eines solchen „Opt-In“ bestand zwar bereits in verschiedenen Mitgliedstaaten. Im Unterschied dazu gilt nach der DSGVO allerdings zweifellos nur eine „eindeutig bestätigende Handlung“ als Einwilligung. Das blosse Weitersurfen auf einer Website nach Einblendung eines Cookie-Banners wird deshalb künftig nicht mehr ausreichen, sofern man dem Standpunkt der DSK genügen will.