DSGVO-konformes Webtracking- und Retargeting

Mit der DSGVO und dem EuGH-Urteil zu Facebook kommen auf das Internet-Marketing neue Herausforderungen zu. Hier erklären wir Ihnen, was Sie zukünftig beim datenschutz-konformen Einsatz von Webtracking und Retargeting zu beachten haben.

Webtracking und Retargeting im Einklang mit der DSGVO

Im Zeitalter des E-Commerce sind Webtracking- und Retargeting-Maßnahmen nicht mehr wegzudenken. Schließlich ermöglichen sie es einem Webseiten-Betreiber das Verhalten seiner Seitenbesucher genaustens zu untersuchen. Durch geschickte Werbe-Maßnahmen können so die Perfomance und vor allem die Conversion einer Webseite leicht optimiert werden. Allerdings sieht die Datenschutzgrundverordnung (DSGVO) wichtige Veränderungen vor, die Sie einhalten müssen. Nachfolgend wollen wir Sie über die wichtigsten Änderungen beim Webtracking und Retargeting aufklären! Wenn Sie Beratungsbedarf haben, können Sie sich gerne auch persönlich an uns wenden.
Das Erstgespräch ist unverbindlich und kostenfrei.

 

 

Zur Einwilligung beim Webtracking

Was ist Webtracking?

Das Webtracking ist auch unter den Begriffen Web-Analyse, Web Analytics, Datenverkehrsanalyse oder Tracking-Maßnahmen bekannt. Es ermöglicht das Verhalten des Internetnutzers durch dritte Personen zu verfolgen. Hierbei werden personenbezogene Daten gesammelt, durch die das Verhalten des Besuchers von Internetseiten ausgewertet und analysiert wird.

Verbot mit Erlaubnisvorbehalt

Immer dann, wenn personenbezogene Daten erhoben oder gespeichert werden, gilt der Grundsatz des „Verbotes mit Erlaubnisvorbehalt“. Danach ist jegliche Datenverarbeitung grundsätzlich verboten. Hiervon gibt es zwei Ausnahmen:

  1. Der Betroffene willigt ein - und zwar bevor die Daten erhoben werden.
  2. Es existiert eine gesetzliche Norm, die die Verarbeitung für die spezielle Fallgestaltung erlaubt.

Wie ist/war die bisherige Rechtslage?

Die bisherige Rechtslage richtet sich nach § 15 Abs. 3 TMG. Danach bedarf es keiner Einwilligung des Betroffenen, wenn Analysetools zum Webtracking eingesetzt werden, wenn bei der Verwendung von Pseudonymen ohne Speicherung der vollständigen IP-Adresse getrackt wird und der Betroffene dem nicht widerspricht. Dem Besucher muss eine Opt-Out-Möglichkeit angeboten werden, um von seinem Widerspruchsrecht Gebrauch machen zu können. Zudem hat der Webseitenbetreiber den Nutzer auf sein Widerspruchsrecht hinzuweisen, was über die Datenschutzerklärung erfolgen kann. Schließlich dürfen die Nutzungsprofile nicht mit Daten des Webseitenbesuchers zusammengeführt werden.

Was ändert sich nun?

Durch die Einführung der DSGVO wird insbesondere von den Datenschutzbehörden die Auffassung vertreten, dass die neuen Regelungen die § 15 Abs. 3 TMG überlagern bzw. ersetzen. Web-Tracking wäre dann nicht mehr an § 15 Abs. 3 TMG zu messen, sondern an den Vorschriften der DSGVO und der ePrivacy-Richtlinie. Diese stellen weitaus strengere Anforderungen an die Aktivitätenverfolgung der Internetnutzer und fordern eine informierte Einwilligung in die Tracking-Maßnahmen. Diese Ansicht teilt auch die Datenschutzkonferenz des Bundes und der Länder in ihrem Positionspapier vom 26.04.2018.

Begründet wird der Anwendungsvorrang der DSGVO damit, dass das TMG zwar der Umsetzung der ePrivacy-Richtlinie dient, diese aber nicht korrekt umsetzt (siehe hierzu auch unseren Beitrag ("Besteht für Webseiten eine Cookie-Hinweis Pflicht?"). Das TMG fordert eine Opt-Out-Lösung während die Richtlinie eine Opt-In-Lösung vorschreibt. Bei der Opt-Out-Lösung können personenbezogene Daten erhoben und gespeichert werden, solange der Betroffene dem nicht aktiv widersprochen hat. Nach der Opt-In-Lösung dagegen muss der Nutzer der Erhebung seiner Daten vorher ausdrücklich zustimmen. Die Opt-In-Lösung stellt daher höhere Anforderungen an die Datenverarbeitung, die das TMG damit umgeht.

Auf der verzweifelten Suche nach der Erlaubnisnorm

Da die ePrivacy-Richtlinie aber einer Umsetzung in nationales Recht gem. Art. 288 AEUV bedarf, darf sie nicht selbst als Rechtsgrundlage herangezogen werden. Auch eine richtlinienkonforme Auslegung des § 15 Abs. 3 TMG soll angesichts der dadurch erfolgenden kompletten Umdeutung ausscheiden. § 15 Abs. 3 TMG entspräche nach dieser Auffassung nicht der europarechtlichen Vorgabe aus der ePrivacy-Richtlinie.

Andererseits wird aber auch vertreten, dass das TMG bis die ePrivacy-Richtlinie tatsächlich eingeführt wird, neben der DSGVO gilt. Das Web-Tracking wäre dann weiterhin nach § 15 Abs. 3 TMG gestattet und das Erfordernis einer Einwilligung würde entfallen. Dies wird damit begründet, dass die §§ 12 ff. TMG schon Ausdruck der Umsetzung der ePrivacy-Richtlinie sind und daher bis zur Einführung einer neuen Richtlinie weitergelten.

Hinsichtlich des Webtrackings kann die Einwilligung außerdem gem. Art. 6 Abs. 1 lit. f DSGVO durch berechtigte Interessen gerechtfertigt sein. Auch enthält die Neuregelung der DSGVO keine Vorschriften, die denen aus §§ 12 ff. TMG entgegenstehen. Vor allem für die Messung von Besucheraufkommen auf Webseiten vertritt auch die EU-Kommission und das EU-Parlament bisher die Ansicht, dass eine Einwilligung für die rechtmäßige Datenerhebung nicht notwendig ist (vgl. Art. 8 Abs. 1 lit. d des Kommissionsentwurfs zur ePrivacy-Verordnung der EU-Kommission und des Entwurfes des EU-Parlaments).

Fazit zu derzeitigen Rechtslage 

Die Rechtslage hat sich durch die DSGVO nicht grundlegend geändert. Die Problematik wird sich letztlich dann klären, wenn die neue ePrivacy-Verordnung in Kraft treten und die Regelungen des TMG ablösen wird. Die ePrivacy-Verordnung die im Jahr 2019 kommen soll, bedarf keiner Umsetzung ins nationale Recht und entfaltet nach Inkrafttreten und Ablauf der zugebilligten Umsetzungsfrist ähnlich der DSGVO unmittelbar Wirkung.

Es ist auch kaum vorstellbar, dass mit der geplanten ePrivacy-Verordnung der EU-Kommission eine entsprechende Verpflichtung auf die Werbewirtschaft zukommt. Denn Analysetools sind nur dann sinnvoll einsetzbar, wenn sich das Cookie unmittelbar beim Besuch der Webseite setzt. Nur so sind beispielsweise Absprünge messbar. 

Kann ich weiter tracken?

Wir halten es im Moment für nicht sehr wahrscheinlich, dass die Datenschutzbehörden, die (teilweise) auch schon vor Inkrafttreten der DSGVO die Auffassung vertreten haben, das Webtracking sei ohne informierte Einwilligung der Nutzer nicht zulässig, nun massenweise mit Bußgeldbescheiden gegen Webseitenbetreiber vorgehen, die Analysetools lediglich mit einem Opt-Out betreiben, also keine informierte Einwilligung des Nutzers einholen. In der Regel werden seitens der Datenschützer Musterverfahren angestrebt, in deren Rahmen eine solche Frage zunächst geklärt wird.

Auch die Gefahr von Abmahnungen stufen wir als ehe gering ein. Da die Rechtslage unklar ist, trägt der Abmahnende ebenfalls ein gewisses Risiko bei der Durchsetzung der Abmahnung. Aus diesem Grunde halten wir das Webtracking für kein besonders geeignetes Thema für Massenabmahnungen.

 

Machen Sie Ihren Online-Auftritt DSGVO-konform!

  • In wenigen Minuten erstellt.
  • Von Anwälten entwickelt.
  • Hoher Individualisierungsgrad.

Zur Einwilligung beim Retargeting

Fraglich ist allerdings, ob Retargeting-Maßnahmen ebenfalls auf § 15 Abs. 3 TMG oder Art. 6 Abs. 1 lit f DSGVO gestützt werden können, diese also durchgeführt werden dürfen, ohne zuvor die Einwilligung des Nutzers einzuholen. Dies war schon vor Einführung der DSGVO heiß umstritten.

Was ist Retargeting?

Beim Retargeting wird der Nutzer einer Webseite markiert und anschließend beim Besuchen anderer Webseiten gezielt mit Werbung wieder angesprochen. Dies geschieht unter zu Hilfenahme von HTML Cookies, Fingerprints, Trackingpixel, Evercookies oder ähnlichen Programmen. Hierbei erfolgt das Tracking auch geräteübergreifend.

Wie ist die Rechtslage?

Gegen eine Anwendung des § 15 Abs. 3 TMG spricht, dass die Retargeting-Maßnahmen erfolgen, ohne dass der am Werbenetzwerk teilnehmende Webseitenbetreiber Einfluss auf die erfolgende Datenverarbeitung hat. Da er nur die Inhalte Dritter in die Webseite integriert, könnte eine datenschutzrechtliche Verantwortlichkeit ausscheiden. Dem steht aber entgegen, dass der Webseitenbetreiber erst die Möglichkeit für das Retargeting schafft und die Datenverarbeitung auslöst.

Da das Retargeting außerdem geräteübergreifend erfolgt, soll § 15 Abs. 3 TMG schon deshalb nicht in Frage kommen, weil dieser nur dem jeweiligen Dienstanbieter gestattet Nutzerprofile durch die Verwendung von Pseudonymen anzulegen, sofern dieser nicht widerspricht und dieses Recht nicht auch Dritten – den Betreibern der Retargeting-Maßnahmen – einräumt.

Welche Interessen überwiegen?

Da sich das geräteübergreifende Tracking außerhalb des Anwendungsbereichs von § 15 Abs. 3 TMG befindet, spricht viel dafür, dass sich jedenfalls auf diese Vorschrift eine einwilligungslose Retargeting-Maßnahme nicht stützen lässt. Es verbleibt dann nur noch die Generalklausel des Art. 6 Abs. 1 lit. f DSGVO. Danach muss bei einer datenschutzrelevanten Maßnahme, die ohne die Einwilligung des Betroffenen durchgeführt werden soll, stets eine Abwägung durchgeführt werden, im Rahmen derer die Interessen des Betroffenen gegen die Interessen des Werbetreibenden gestellt werden. Überwiegen die Interessen des Werbetreibenden, dann ist die Maßnahme zulässig.

Rettung Cookie-Banner?

Sofern eine Einwilligung als nötig erachtet wird, wäre zu klären, ob diese ausdrücklich erfolgen muss oder ob das Schalten eines Cookie-Werbebanners, wie er schon jetzt häufig verwendet wird, ausreicht. Dabei wird dem Nutzer der Internetseite ein Banner angezeigt, dass auf die Verwendung von Trackingmechanismen hinweist und deutlich macht, dass dem durch die weitere Verwendung der Website zugestimmt wird. Allerdings werden beim Retargeting die Tracking-Mechanismen schon durch den Besuch der Webseite ausgelöst. Eine Einwilligung wäre aber noch vor der Nutzung der Webseite einzuholen. Technisch könnet dies so umgesetzt werden, dass ein Banner geschaltet wird, auf dem der Nutzer ausdrücklich durch Betätigung eines Zustimmungsfeldes in die Vornahme von Retracking-Mechanismen einwilligt, bevor diese in Gang gesetzt werden.

Fazit

Letztlich wird die Frage, ob und gegebenenfalls wie Retageting-Manahmen datenschutz-konform umzusetzen sind, von Gerichten zu klären sein. Der Umstand, dass es Retargeting ermöglicht, Nutzer geräteübergreifend wiederzuerkennen und Profile zu bilden, machen solche Maßnahmen in datenschutzrechtlicher Hinsicht besonders sensibel. Ob damit aber gleich ein Verbot ins Haus steht, ist zu bezweifeln, denn auf der anderen Seite stehen hier die Interessen eines jedenfalls per se nicht unzulässigem Geschäftsmodell der Werbewirtschaft. Die Rechtsprechung der Vergangenheit zu anderen Fragen, in denen eine solche Abwägung vorzunehmen und ein Interessenkonflikt aufzulösen war, hat gezeigt, dass sich Lösungen finden lassen, die beiden Seiten gerecht werden.

 

Lösung: Echter Cookie-Banner

Wir haben am Ende dieses Artikels (Besteht für unsere Webseite eine Cookie-Hinweis Pflicht?) beschrieben, wie das Problem der Einwilligung mit einem "echten" Cookie-Banner gelöst werden kann. Im Unterschied zu den herkömmlichen Cookie-Bannern setzt sich das jeweilige Cookie erst dann auf dem Endgerät des Nutzers, wenn der Nutzer den Hinweis mit einem Opt-In bestätigt. Hiermit wäre für die Retargeting-Maßnahmen dann eine informierte Einwilligung des Nutzers technisch möglich. 

 

Verwandte Themen

Das könnte Sie auch interessieren

Besteht für unsere Webseite eine Cookie-Hinweis Pflicht?

Eine der häufigst gestellten Fragen in unserer Beratungspraxis: Müssen wir einen Cookie-Hinweis auf unsere Webseite einbinden? Hier finden Sie die Antwort und die Hintergründe zum Cookie-Banner verständlich erklärt.

Mehr

Datenschutzgrundverordnung - Webseitenbetreiber müssen handeln

Die bereits im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) gilt mit dem Stichtag ab dem 25. Mai 2018 in der gesamten EU. Sie betrifft alle Unternehmen, die personenbezogenen Daten von Mitarbeitern oder Kunden verarbeiten. Weil die Änderungen verpflichtend sind, müssen Unternehmer und Webseitenbetreiber umfangreiche Änderungen vornehmen.

Mehr

Google Tools DSGVO-konform einsetzen

Unternehmer, Online-Händler und Webseitenbetreiber müssen mit dem 25.05.2018 bei der der Verwendung von Google-Tools wie Google AdWords oder Google Analytics die Vorgaben der DSGVO umsetzen. Hier gehen wir darauf ein, was es für Webseitenbetreiber und Online-Shops bei der Verwendung der gängigsten Google-Programme in Bezug auf die DSGVO zu beachten gibt.

Mehr

Zeugnis

Dies ist ein Typoblindtext. An ihm kann man sehen, ob alle Buchstaben da sind und wie sie aussehen. Manchmal benutzt man Worte wie Hamburgefonts, Rafgenduks oder Handgloves, um Schriften zu testen. Manchmal Sätze, die alle Buchstaben des Alphabets enthalten - man nennt diese Sätze »Pangrams«.

Mehr