Tracking rechtswidrig, wenn sich die E-Privacy-Verordnung verspätet?

Fachbeitrag

Betreiben Unternehmen Tracking, analysieren also die Besucher ihrer Website auf deren Nutzerverhalten hin, müssen sie derzeit vor allem die Regelungen des TMG beachten. Verläuft alles nach Plan, soll am 25.05.2018 zusammen mit der Einführung der DSGVO auch die E-Privacy-Verordnung anwendbar werden und als sektorspezifische Regelung die nationalen Vorgaben beim Tracking ablösen. Was aber, wenn die Verordnung erst später wirksam wird?

Abstimmung im EU-Parlament

Heute erfolgte die Abstimmung des Innen- und Justizausschusses des EU-Parlaments (LIBE) über seine Position zur geplanten E-Privacy-Verordnung. Erfreulicherweise konnten sich die Vertreter, trotz zwischenzeitlicher zum Teil erheblicher unterschiedlichen Meinungen, einigen. Nunmehr wird es zu Verhandlungen zwischen Rat, Parlament und Kommission („Trilog“) kommen. Erst anschließend erfolgen die Verhandlungen über den finalen Gesetzestext. Dieser Vorgang dürfte noch einige Monate dauern.

Das Tracking nach derzeitigem Recht

Trackingdaten, welche die Abrufe eines einzelnen Nutzers wiedergeben, bezeichnet man als Nutzungsprofil. Die Erstellung von Nutzungsprofilen ist nur unter engen Voraussetzungen zulässig (§ 15 Abs. 3 TMG). Nutzungsprofile dürfen ausschließlich für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erstellt werden. Erlaubt ist lediglich die Erstellung eines Profils unter Verwendung von Pseudonymen. Zudem ist der Nutzer über die Erstellung seines Nutzerprofils sowie über sein Recht zum Widerspruch hiergegen zu unterrichten.

Auswirkungen der E-Privacy-Verordnung

An die Stelle der abzuschaffenden, datenschutzrechtlichen Bestimmungen des TMG tritt zuvorderst die DSGVO. Diese enthält zwar keine Spezialbestimmungen über Nutzungsprofile, jedoch zahlreiche allgemeine Vorschriften, welche auch auf Nutzungsprofile abwendbar sind (u.a. Art. 6 Abs. 1 lit. f, 4 Nr. 4, Art. 21 Abs. 2 DSGVO). Als lex specialis wird die E-Privacy-Verordnung alle Regelungen verdrängen, die auf Grundlage der ePrivacyRL 2002/58 und der Richtlinie 2009/136 (sog. Cookie-Richtlinie) ergangen sind. Die Folge ist, dass die §§ 11 – 15 TMG, insbesondere der § 15 Abs. 3 TMG, keine Anwendung mehr finden.

Datenschutzrechtlich sind diese beiden gesetzlichen Regelungen, zusammen mit dem neuen BDSG, als ein ineinandergreifendes Gesamtpaket zu sehen, welche zusammen ab dem 25.05.2018 gelten sollen. Was aber, wenn die E-Privacy-Verordnung erst später wirksam wird? Kann dann weiterhin eine Analyse des Nutzerverhaltens erfolgen?

Rechtsgrundlage für Tracking bei verspäteter E-Privacy-Verordnung

Sollte die E-Privacy-Verordnung erst später, und somit nicht zeitlich mit der DSGVO, zur Anwendung kommen, – wovon inzwischen auszugehen sein dürfte – stellt sich die Frage, auf welcher rechtlichen Grundlage bis dahin ein rechtskonformes Tracking erfolgen könnte. Unter Beachtung der rechtpolitischen Zielsetzungen dürfte ein Nutzertracking auf Grundlage der DSGVO, konkret mittels Abwägung über Art. 5 Abs. 1 lit. a) i.V.m. 6 Abs. 1 lit. f) DSGVO, künftig in zulässiger Weise erfolgen.

In der Stellungnahme 06/2014 der Art. 29-Gruppe (WP 217) zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG hat diese bereits ein berechtigtes Interesse u.a. bejaht, um Vorlieben der Kunden zu erfahren, um dadurch ihre Angebote besser auf die jeweilige Person abzustimmen und schließlich Waren und Dienstleistungen anbieten zu können, die den Bedürfnissen und Wünschen der Kunden besser gerecht werden, sofern bestimmte Schutzmaßnahmen getroffen wurden.

Ein berechtigtes Interesse unter Berücksichtigung der Stellungnahme sowie der Schutzzielen des Art. 5 Abs. 1 lit. a) DSGVO scheidet hingegen aus, wenn ein komplexes Profile zu den konkreten persönlichen Besonderheiten und Vorlieben der betroffenen Person erstellt wird, mit einem Profil ohne Kenntnis der betroffenen Personen gehandelt wird oder die Möglichkeit zum Widerspruch fehlt. Zudem bei übertriebener Überwachung der Online- oder Offlineaktivitäten sowie der Zusammenführung großer Mengen Daten aus unterschiedlichen Quellen, die zuvor in einer anderen Kontextsituation und für verschiedene Zwecke gesammelt wurden.

2-Stufen-Prüfung während der Übergangszeit

Auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO kann bis zur Anwendbarkeit der E-Privacy-Verordnung eine Analyse des Nutzerverhaltens erfolgen, sofern der Verantwortliche de facto eine 2-Stufen-Prüfung durchführt. Zum einen bedarf es eines legitimen, rechtmäßigen Interesses und zum anderen bedarf es einer Abwägung mit den Interessen der betroffenen Person, wobei insbesondere Art. 5 Abs. 1 lit. a) DSGVO zu berücksichtigen ist.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Was heisst das konkret fuer Marketing Automation Lösungen a la Hubspot, Marketo (beide aus den USA oder Evalanche aus Deutschland? Kann man diese im jetzigen als auch zukünftigen Recht überhaupt rechtskonform implementieren? a) Mit Tracking Lösungen, werden Nutzerprofile aufgebaut und mit Hilfe von Lead Scoring Punkten ja weiterqualifiziert. b) Trigger E-Mails werden z.B. von einer bestimmten Aktion ausgelöst, z.B. Besuch einer Landing Page c) Account-based Marketing, nutzt tracking Technologien, um z.B. einem spezifischen Kunden, der z.B. durch IP Adresse identifiziert ist personalisierte Inhalte anzubieten usw.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.