Weitgehend unbemerkt werden durch internetfähige Alltagsgegenstände immer neue technische Mechanismen etabliert, welche die heimliche Erfassung und Auswertung von Nutzerverhalten ermöglichen. Die DSGVO hat zu solchen Praktiken eine erfrischend klare Meinung.
Der Inhalt im Überblick
Tracking durch internetfähige Geräte
Unter dem Begriff Tracking versteht man tradtionell Verfahren der Webanalyse, mit denen das Verhalten von Nutzern beim Besuch der Website erhoben und ausgewertet wird.
Durch das Internet der Dinge (Internet of Things, kurz „IoT“), worunter allgemein internetfähige Geräte verstanden werden, weiten sich die Tracking-Möglichkeiten für Unternehmen nun deutlich aus. Moderne internetfähige Kühlschränke haben längst Kameras installiert, die den Kühlschrankinhalt erfassen und per App dem Nutzer zurückmelden, wenn bestimmte Waren fehlen. Für den Anbieter des Kühlschranks ist es hierdurch potentiell möglich zu erfassen, wann und wie oft der Nutzer zum Kühlschrank greift, welche Waren er bevorzugt in welchen Intervallen einkauft etc. Selbiges trifft für eine Vielzahl von anderen Produktkategorien zu wie etwa Sexspielzeuge, Zahnbürsten, Module für Heimautomation, Smart-TVs etc. Die Liste internetfähiger Geräte und der potentiellen Erfassungsmöglichkeiten von Nutzerverhalten „außerhalb des Webbrowsers“ durch Unternehmen ist mittlerweile schier unbegrenzt.
Derzeit keine Abwehrmöglichkeiten
Bedenklich ist, dass zwar die Möglichkeiten des Trackings immer stärker erweitert werden, faktisch jedoch die Abwehrmöglichkeiten des Nutzers sinken. Dem Nutzer wird es regelmäßig unmöglich sein, die Datensammelei seines unschuldig brummenden internetfähigen Kühlschranks, der Spielekonsole, oder Zahnbürste einzuzäunen und das jeweilige Gerät daran zu hindern, die gemessenen Nutzerdaten an den Hersteller zu übermitteln. Er kann hier – salopp gesprochen – kein Anti-Tracking-Plugin installieren. Dem Nutzer bleibt höchstens noch, proaktiv z.B. über Filtereinstellungen des verwendeten Routers oder zusätzliche Hardware das Gerät daran zu hindern „nach Hause zu funken“. Diejenigen, die an diese Möglichkeit nicht denken oder nicht wissen wie dies technisch umzusetzen ist, dürften den sammelwütigen Voreinstellungen des Geräts ausgeliefert sein.
Zweck des Trackings
Dem Einsatz des Trackings wird regelmäßig der Zweck zugrunde liegen, ein differenziertes Bild der Kunden zu erlangen und letztlich für effizienteres Marketing nutzen zu können.
„Marktforschung“ war auch das Zauberwort für den kanadischen Sexspielzeug-Hersteller „We-Vibe“, der ohne jede Rechtsgrundlage unerlaubt intime Daten seiner Nutzer sammelte, wofür er im Rahmen einer Sammelklage eine Millionenentschädigung an Betroffene auszahlen musste.
Privacy by Design & Privacy by Default
Vor diesem Hintergrund dürfte künftig Art. 25 DSGVO eine größere Bedeutung zukommen. Die Vorgaben zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung stellen praktisch eine echte Neuerung im Datenschutzrecht dar. Zwar gab es in § 3a BDSG a.F. eine Regelung, wonach
„die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten sind, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“
Jedoch war diese gesetzliche Vorgabe nicht bußgeldbewehrt und wurde daher in der Vergangenheit eher als unverbindlicher Programmsatz, denn als konkrete Pflicht wahrgenommen. Dies dürfte sich mit der DSGVO ändern. Hier zeigt sich, dass die DSGVO Betroffenenrechte effektiv schützen kann, soweit sie denn durch die Aufsichtsbehörden gegenüber allzu neugierigen Herstellern auch durchgesetzt wird. Zwar ist Art. 25 DSGVO nicht direkt auf Hersteller anwendbar, sondern adressiert nur Verantwortliche im Sinne des Art. 4 Nr.7 DSGVO. Bei Geräten mit Smartfunktionen erhebt jedoch regelmäßig der Hersteller selbst die Daten für eigene Zwecke, wie etwa im genannten Fall von „We-Vibe“. Hier wäre der Hersteller gleichzeitig Verantwortlicher hinsichtlich der Datenerhebung und dann auch selbst von Art. 25 DSGVO adressiert.
Je weniger Betroffene die Möglichkeit haben sich gegen weitreichende Datenerhebungen zu wehren (wie dies etwa im Rahmen der Browser-Nutzung möglich ist), desto wichtiger wird es sein, Verantwortliche hinsichtlich datenschutzfreundlicher Voreinstellungen in die Pflicht zu nehmen. Da Verstöße gegen Art. 25 DSGVO gem. Art. 83 Abs.4 lit.a DSGVO bußgeldbewehrt sind, gibt es im Gegensatz zu § 3a BDSG a.F. nun auch eine effektive Handhabe gegen solche Praktiken.
Fehlende Rechtsgrundlagen und evidente Verstöße gegen das Transparenzgebot
Praktiken, die ohne vorherige Informationen das Nutzerverhalten messen und auswerten, stellen evidente Verstöße gegen das Transparenzgebot aus Art. 5 Abs.1 lit. a DSGVO dar, welches auch Ausdruck in den Informationspflichten gem. Art. 12, 13 DSGVO Ausdruck gefunden hat.
Darüber hinaus werden sich heimliche Tracking-Mechanismen vielfach nicht auf das berechtigte Interesse aus Art. 6 Abs.1 lit. f DSGVO stützen lassen. Hier gilt: Je eingriffsintensiver die Messung, desto mehr überwiegen die schutzwürdigen Interessen der Betroffenen das Interesse an der Auswertung ihres Nutzerverhaltens. Hier sind die Hersteller gefordert, hinsichtlich der Datensammelei Maß zu halten und auf dem Boden der DSGVO zu bleiben.
Die Vertragserfüllung gem. Art. 6 Abs.1 lit.b DSGVO dürfte ebenfalls nicht in Betracht kommen, da es für den Betrieb einer Zahnbürste oder der Nutzung einer mitgelieferten App nicht erforderlich sein wird, umfangreiche Nutzungsgewohnheiten der Zahnbürste für Marketingmaßnahmen zu sammeln.
Hier wäre an eine wirksame Einwilligung als Mittel der Wahl zu denken. Doch eine Einwilligung kann nur wirksam erfolgen, wenn sie im Sinne des Art. 4 Nr.11 DSGVO freiwillig für den bestimmten Fall und in informierter Weise abgegeben wird. Dies dürfte bei einem heimlichen und uferlosen Nutzertracking wohl kaum anzunehmen sein.
Problematik Kopplungsverbot
Darüber hinaus stellt auch das Kopplungsverbot gem. Art. 7 Abs.4 DSGVO hohe Hürden für eine Einwilligung auf. Hiernach darf der Abschluss eines Vertrages nicht von der Verarbeitung weiterer Daten abhängig gemacht werden, die für die Vertragsdurchführung gar nicht benötigt werden.
Bei der rechtlichen Bewertung fällt auf, dass sich viele der rechtlichen Probleme (und damit auch deren Lösungen) rund um die Transparenz des Vorgehens der Hersteller drehen. Man kann sagen: Solange hinsichtlich der Datenerhebung keine Transparenz gewährleistet wird, sieht es datenschutzrechtlich düster aus. Und dies dürfte für die Hersteller durch die DSGVO nicht folgenlos bleiben.
Klare Ansagen durch die DSGVO
Oft genug wurde die DSGVO dafür kritisiert, zu abstrakt und vage zu sein. Doch am Beispiel des Nutzertracking zeigt sich, dass die DSGVO an verschiedenen Stellen ausgewogene und sinnvolle Regelungen zum Schutz Betroffener enthält. Man muss zumindest kein Rechtswissenschaftler sein, um dahinter zu kommen, dass heimliche Verhaltensmessungen für Marketingzwecke gem. Art. 83 DSGVO bußgeldbewehrt sein werden. Was die DSGVO von solchen Praktiken hält, sieht man auch an den angedrohten Bußgeldrahmen: Erfolgt das Tracking ohne Rechtsgrundlage oder hinreichende Informationen gegenüber dem Betroffenen, greift der erhöhte Bußgeldrahmen gem. Art. 83 Abs.5 DSGVO (Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes). Verstöße gegen Art. 25 DSGVO werden entgegen dem alten BDSG nunmehr nach Art. 83 Abs.4 DSGVO zumindest noch mit Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes.
