Zum Inhalt springen Zur Navigation springen
Tracking rechtswidrig, wenn sich die E-Privacy-Verordnung verspätet?

Tracking rechtswidrig, wenn sich die E-Privacy-Verordnung verspätet?

Betreiben Unternehmen Tracking, analysieren also die Besucher ihrer Website auf deren Nutzerverhalten hin, müssen sie derzeit vor allem die Regelungen des TMG beachten. Verläuft alles nach Plan, soll am 25.05.2018 zusammen mit der Einführung der DSGVO auch die E-Privacy-Verordnung anwendbar werden und als sektorspezifische Regelung die nationalen Vorgaben beim Tracking ablösen. Was aber, wenn die Verordnung erst später wirksam wird?

Abstimmung im EU-Parlament

Heute erfolgte die Abstimmung des Innen- und Justizausschusses des EU-Parlaments (LIBE) über seine Position zur geplanten E-Privacy-Verordnung. Erfreulicherweise konnten sich die Vertreter, trotz zwischenzeitlicher zum Teil erheblicher unterschiedlichen Meinungen, einigen. Nunmehr wird es zu Verhandlungen zwischen Rat, Parlament und Kommission („Trilog“) kommen. Erst anschließend erfolgen die Verhandlungen über den finalen Gesetzestext. Dieser Vorgang dürfte noch einige Monate dauern.

Das Tracking nach derzeitigem Recht

Trackingdaten, welche die Abrufe eines einzelnen Nutzers wiedergeben, bezeichnet man als Nutzungsprofil. Die Erstellung von Nutzungsprofilen ist nur unter engen Voraussetzungen zulässig (§ 15 Abs. 3 TMG). Nutzungsprofile dürfen ausschließlich für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien erstellt werden. Erlaubt ist lediglich die Erstellung eines Profils unter Verwendung von Pseudonymen. Zudem ist der Nutzer über die Erstellung seines Nutzerprofils sowie über sein Recht zum Widerspruch hiergegen zu unterrichten.

Auswirkungen der E-Privacy-Verordnung

An die Stelle der abzuschaffenden, datenschutzrechtlichen Bestimmungen des TMG tritt zuvorderst die DSGVO. Diese enthält zwar keine Spezialbestimmungen über Nutzungsprofile, jedoch zahlreiche allgemeine Vorschriften, welche auch auf Nutzungsprofile abwendbar sind (u.a. Art. 6 Abs. 1 lit. f, 4 Nr. 4, Art. 21 Abs. 2 DSGVO). Als lex specialis wird die E-Privacy-Verordnung alle Regelungen verdrängen, die auf Grundlage der ePrivacyRL 2002/58 und der Richtlinie 2009/136 (sog. Cookie-Richtlinie) ergangen sind. Die Folge ist, dass die §§ 11 – 15 TMG, insbesondere der § 15 Abs. 3 TMG, keine Anwendung mehr finden.

Datenschutzrechtlich sind diese beiden gesetzlichen Regelungen, zusammen mit dem neuen BDSG, als ein ineinandergreifendes Gesamtpaket zu sehen, welche zusammen ab dem 25.05.2018 gelten sollen. Was aber, wenn die E-Privacy-Verordnung erst später wirksam wird? Kann dann weiterhin eine Analyse des Nutzerverhaltens erfolgen?

Rechtsgrundlage für Tracking bei verspäteter E-Privacy-Verordnung

Sollte die E-Privacy-Verordnung erst später, und somit nicht zeitlich mit der DSGVO, zur Anwendung kommen, – wovon inzwischen auszugehen sein dürfte – stellt sich die Frage, auf welcher rechtlichen Grundlage bis dahin ein rechtskonformes Tracking erfolgen könnte. Unter Beachtung der rechtpolitischen Zielsetzungen dürfte ein Nutzertracking auf Grundlage der DSGVO, konkret mittels Abwägung über Art. 5 Abs. 1 lit. a) i.V.m. 6 Abs. 1 lit. f) DSGVO, künftig in zulässiger Weise erfolgen.

In der Stellungnahme 06/2014 der Art. 29-Gruppe (WP 217) zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG hat diese bereits ein berechtigtes Interesse u.a. bejaht, um Vorlieben der Kunden zu erfahren, um dadurch ihre Angebote besser auf die jeweilige Person abzustimmen und schließlich Waren und Dienstleistungen anbieten zu können, die den Bedürfnissen und Wünschen der Kunden besser gerecht werden, sofern bestimmte Schutzmaßnahmen getroffen wurden.

Ein berechtigtes Interesse unter Berücksichtigung der Stellungnahme sowie der Schutzzielen des Art. 5 Abs. 1 lit. a) DSGVO scheidet hingegen aus, wenn ein komplexes Profile zu den konkreten persönlichen Besonderheiten und Vorlieben der betroffenen Person erstellt wird, mit einem Profil ohne Kenntnis der betroffenen Personen gehandelt wird oder die Möglichkeit zum Widerspruch fehlt. Zudem bei übertriebener Überwachung der Online- oder Offlineaktivitäten sowie der Zusammenführung großer Mengen Daten aus unterschiedlichen Quellen, die zuvor in einer anderen Kontextsituation und für verschiedene Zwecke gesammelt wurden.

2-Stufen-Prüfung während der Übergangszeit

Auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO kann bis zur Anwendbarkeit der E-Privacy-Verordnung eine Analyse des Nutzerverhaltens erfolgen, sofern der Verantwortliche de facto eine 2-Stufen-Prüfung durchführt. Zum einen bedarf es eines legitimen, rechtmäßigen Interesses und zum anderen bedarf es einer Abwägung mit den Interessen der betroffenen Person, wobei insbesondere Art. 5 Abs. 1 lit. a) DSGVO zu berücksichtigen ist.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sehr guter und hilfreicher Beitrag, vielen Dank!

  • Was heisst das konkret fuer Marketing Automation Lösungen a la Hubspot, Marketo (beide aus den USA oder Evalanche aus Deutschland? Kann man diese im jetzigen als auch zukünftigen Recht überhaupt rechtskonform implementieren? a) Mit Tracking Lösungen, werden Nutzerprofile aufgebaut und mit Hilfe von Lead Scoring Punkten ja weiterqualifiziert. b) Trigger E-Mails werden z.B. von einer bestimmten Aktion ausgelöst, z.B. Besuch einer Landing Page c) Account-based Marketing, nutzt tracking Technologien, um z.B. einem spezifischen Kunden, der z.B. durch IP Adresse identifiziert ist personalisierte Inhalte anzubieten usw.

    • Die Zulässigkeit der Analyse des Nutzerverhaltens bedarf entsprechend des geschilderten Szenarios einer sorgfältigen Abwägung. Es lässt sich daher nicht pauschal sagen, ob eine bestimmte Marketing-Automation weiterhin zulässig ist. Dies ist eine Entscheidung im Einzelfall. Hinzu kommt, dass sich auch die einzelnen Tools in unterschiedlicher Weise nutzen lassen. Daher sollte die Art und Weise der Nutzung genau geprüft und der Datenschutzbeauftragte rechtzeitig hinzugezogen werden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.