Datenschutz durch Pseudonyme – so tracken Sie ihre Nutzer richtig

Fachbeitrag

Das Internet ist ohne Analysetools und Online-Werbung, insbesondere Remarketing und Behavioural Targeting, kaum mehr vorstellbar. Die Zulässigkeit einer solchen Verarbeitung, sofern es sich um personenbezogene oder personenbeziehbare Daten handelt, bestimmt sich nach §15 Abs. 3 TMG oder der Einwilligung des Nutzers. Aus diesem Grund möchte sich dieser Artikel etwas näher mit den Anforderungen des §15 Abs. 3 TMG beschäftigen und einen Ausblick auf die Möglichkeit der Verarbeitung nach in Kraft treten der Datenschutz-Grundverordnung (DSGVO) geben.

Voraussetzungen des §15 Abs. 3 TMG

Nach §15 Abs. 3 TMG können Nutzungsprofile für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erstellt werden, wenn

  • diese auf pseudonymer Basis erstellt werden,
  • der Nutzer dem nicht widersprochen hat und er auch über sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hierauf hingewiesen worden ist.
  • Zudem dürfen die Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Zweckbindung

Die Erstellung von Nutzungsprofilen ist strikt zweckgebunden. D.h. sie dürfen lediglich zu den in §15 Abs. 3 genannten Zwecken – der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien – verwendet werden. Sollen die Nutzungsprofile für andere Zwecke verwendet werden, müssen sie vorher anonymisiert werden oder es ist eine Einwilligung des Nutzers für die Zweckänderung einzuholen.

Verwendung von Pseudonymen

Die Hauptvoraussetzung um Nutzungsprofile erstellen zu können ist, dass diese unter der Verwendung von Pseudonymen erstellt werden. Was ein Pseudonym jedoch ist, bleibt das TMG schuldig. In Art. 4 Nr. 5 DSGVO findet sich nun eine europaweit einheitliche Definition.

Ohne die Hinzuziehung zusätzlicher Informationen darf hiernach eine Zuordnung der Daten zu einer spezifischen Person nicht möglich sein. Um dies zu gewährleisten, muss eine getrennte Aufbewahrung der zusätzlichen Informationen sichergestellt werden. Dabei kann dies auch durch Gewährleistung technischer und organisatorischer Maßnahmen erfolgen.

Also ist die kennzeichnende Eigenschaft von pseudonymen Daten über eine einzelne natürliche Person die Funktionstrennung zwischen dem Dateninhaber, der die pseudonymen Daten innehat und verwendet, und einem Inhaber der Information, dem die Zuordnung dieser Daten zur Person möglich ist (Schleipfer in ZD 2015,399 Rn 401).

Folglich können Nutzungsprofile dann erstellt werden, wenn als Identifikator ein Pseudonym verwendet wird, welches der Ersteller des Nutzungsprofils nicht dem Nutzer zuordnen kann.

Möglichkeit des Widerspruchs und deren Beachtung

Bei der Erstellung von Nutzungsprofilen unter Verwendung von Pseudonymen wird das Verhalten des Nutzers analysiert. Dabei verhindert das Pseudonym lediglich, dass kein unmittelbarer Rückschluss auf das Verhalten einer hinter dem Pseudonym stehenden natürlichen Person gezogen werden kann. Die Gefahr, dass diese Informationen jedoch zusammengeführt werden, ist evident. Dies gilt insbesondere dann, wenn der Ersteller des Nutzungsprofils und der Anbieter des Dienstes in Personenunion auftreten. Wie dies heute etwa bei vielen Webshops der Fall ist.

Da auch dem Gesetzgeber bei Schaffung der Norm diese Gefahr bewusst war und er die Persönlichkeitsrechte des einzelnen Nutzers waren wollte, entschied er sich für die sog. Opt-Out Lösung. Demnach ist die Erstellung von Nutzungsprofilen nur dann zulässig, wenn der Nutzer dem jederzeit widersprechen kann und der Widerspruch für die Zukunft beachtet wird. Hierüber ist der Nutzer bereits zu Beginn des Nutzungsvorgangs zu informieren, vgl. §13 Abs. 1 TMG.

Diese Unterrichtung hat folglich in der Datenschutzerklärung zu erfolgen und es müssen dem Nutzer, um eine freie Entscheidung gewährleisten zu können, auch alle zur Entscheidung relevanten Fakten mitgeteilt werden. Deshalb sind alle Analyse, Retargeting oder sonstige Webtools, die Nutzungsprofile auf pseudonymer Basis erstellen, vollständig darzustellen. Zudem muss der Widerspruch für den Betroffenen einfach handhabbar möglich sein.

Zusammenführungsverbot

In Satz 3 wird schließlich noch gesetzlich fixiert, dass Nutzungsprofile auf pseudonymer Basis nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden dürfen. Dieser Grundsatz ist strikt zu beachten. Andernfalls kann die gesamte Erstellung der Nutzungsprofile nicht auf §15 Abs. 3 TMG gestützt werden, da es sich nicht länger um pseudonyme Nutzungsprofile handelt.

Aus diesem Grund sind technische und organisatorische Maßnahmen zu treffen, die eine getrennte Aufbewahrung von Nutzungsprofilen und zusätzlichen Informationen sicherstellen.

Die Beachtung dieses Grundsatzes ist insbesondere dann von Bedeutung, wenn der Inhaber der zusätzlichen Information, mit welcher eine Zuordnung der Daten zur Person möglich ist, auch Zugriff auf die Nutzungsprofile erhält, beispielsweise durch Exportmöglichkeiten oder direktem API-Zugriff.

In diesen Fällen muss gewährleistet sein, dass eine weitere Verwendung der Nutzungsprofile nur auf anonymer Basis erfolgt, bzw. dass organisatorisch andere Fachabteilungen die Daten unter strikter Zweckbindung verwenden und zu keinem Zeitpunkt die Nutzungsprofile in Kundenprofile überführt werden.

Ausblick auf die DSGVO

Die neuen Spielregeln für die Verarbeitung von personenbezogenen Daten stellt der Art. 6 DSGVO, insbesondere der Absatz 1 lit. f), auf. (Etwas anderes könnte sich nur noch aus der e-Privacy-Verordnung ergeben, wenn diese doch noch bis zum 25. Mai 2018 in Kraft tritt.)

So besteht demnach zunächst die Möglichkeit, dass Nutzungsprofile nicht länger auf pseudonymer Basis erhoben werden müssen. Dies ist jedoch nach heutiger Rechtslage ebenfalls möglich und erfordert die Einwilligung des Betroffenen. Hieran wird m.E. auch die DSGVO nichts ändern, da nach Art. 6 Abs. 1 lit. f DSGVO nach wie vor eine Interessenabwägung vorzunehmen ist und hierbei die Grundrechte und Grundfreiheiten der betroffenen Person zu beachten sind. Daher wird die Erstellung von Nutzungsprofilen ohne Einwilligung auch weiterhin unter Verwendung von Pseudonymen möglich sein.

Im Rahmen der Interessensabwägung wird auch die Widerrufsmöglichkeit des Nutzers zu berücksichtigen sein. Denn das wirtschaftliche Interesse des Webseitenanbieters dürfte dem schützenswerten Interesse des Betroffenen nur dann überwiegen, wenn dieser der Nutzungsprofilerstellung auch widersprechen kann.

Denkbar wäre jedoch, dass die Erstellung der Nutzungsprofile nicht mehr auf die in §15 Abs. 3 TMG genannten Zwecke beschränkt ist. Dabei ist jedoch darauf zu achten, dass die berechtigten Interessen des Verantwortlichen oder des Dritten für die Datenverarbeitung im Rahmen der Informationspflichten gemäß Art. 13 Abs. 1 lit. e) DSGVO dem Betroffenen transparent zu kommunizieren sind.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.