Datenschutz: Pseudonymes Tracking ohne Bußgeld-Androhung?
22.06.2020
[IITR – 22.6.20] Der BGH hat in seiner Entscheidung vom 28.5.2020 (Az. I ZR 7/16) die Linie des EuGHs bestätigt, wonach Webseiten-Tracking zur Profilbildung von Webseiten-Besuchern der vorherigen Einwilligung der Webseiten-Besucher bedarf. Aufgrund einer besonderen rechtlichen Ausgestaltung in Deutschland in Zusammenspiel von Datenschutzgrundverordnung und Telemediengesetz entzieht der BGH allerdings damit im Ergebnis den Datenschutz-Aufsichtsbehörden sowohl die Zuständigkeit über pseudonymes Tracking als auch die generelle Grundlage, hierfür Bußgelder zu verhängen.
Was ist pseudonymes Tracking?
Das „pseudonyme Tracking“ auf Webseiten basiert auf der Bildung von so genannten Pseudonymen. Hierfür werden personenbeziehbare Daten von Webseiten-Besucher in einen Wert (so genanntes Pseudonym) umgewandelt, der für sich selbst ohne Verbindung mit anderen Daten zwar keine Zuordnung zu einem konkreten Nutzer zulässt, einen Nutzer bei Mehrfahr-Besuchen aber eindeutig identifizierbar macht.
Mit dieser Technik können wiederkehrende Besucher auf Webseiten erkannt und gezielt angesprochen werden. Auch können Webseiten-Besucher über erneute Ansprachen (so genanntes „Re-Targeting“) auf anderen Webseiten durchs Internet begleitet und auf anderen Webseiten werblich mit gezielten Werbe-Angeboten angesprochen werden.
§ 15 Absatz 3 Satz 1 TMG
In dem vor der Datenschutzgrundverordnung geschaffenen § 15 Abs. 3 S. 1 TMG wurde diese Art des pseudonymen Trackings explizit geregelt. Derartiges Tracking war (nach alter Lesart) danach ohne Einwilligung des Nutzers zulässig, soweit eine Austragungs-Möglichkeit („Opt-Out“) angeboten wurde.
Der exakte Wortlaut besagt:
“Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.”
Datenschutz-Aufsichtsbehörden im April 2018: TMG durch DSGVO verdrängt
Im April 2018 – kurz vor Geltung der Datenschutzgrundverordnung am 25. Mai 2018 – veröffentlichten die Datenschutz-Aufsichtsbehörden ein Positionspapier, in welchem Sie ihre Rechtsauffassung darlegten, dass nach der Datenschutzgrundverordnung auch für pseudonymes Tracking die explizite Einwilligung der Nutzer erforderlich sei. Nach Ansicht der Datenschutz-Aufsichtsbehörden sei § 15 Abs. 3 S. 1 TMG aufgrund seines entgegenstehenden Wortlauts mit der Datenschutzgrundverordnung als höherrangigem Recht nicht mehr anwendbar.
Zitat aus dem Positionspapier von April 2018:
“Im Verhältnis zum nationalen Recht kommt ab dem 25. Mai 2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung, es sei denn nationale Vorschriften sind aufgrund einer Kollisionsregel, eines Umsetzungsauftrages oder einer Öffnungsklausel der DSGVO vorrangig anwendbar. (…)
Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.”
EuGH im Oktober 2019: „Planet49“-Entscheidung: pseudonymes Tracking bedarf der vorherigen Zustimmung der Nutzer
Auch der EuGH teilte in seinem Urteil vom 1.10.2019 (Az. C-673/17) die Rechtsauffassung der Aufsichtsbehörden in Bezug speziell auf Cookies, dass zu einer werbenden Profilbildung gesetzte Cookies (wie z.B. beim pseudonymen Tracking üblich) der vorherigen Zustimmung der Nutzer bedürfen.
Mai 2020: BGH „dreht“ Wortlaut des § 15 Abs. 3 S. 1 TMG
Das in der Folge beim BGH zur Beurteilung anstehende Verfahren vom 28.5.2020 (Az. I ZR 7/16) (begleitende Pressemitteilung; Volltext, Link ergänzt am 6.7.2020) hatte nun die Frage zu behandeln, inwieweit der Wortlaut von § 15 Abs. 3 S. 1 TMG hiermit in Einklang gebracht werden könne. Nach Ansicht des BGH kann die Rechtsauffassung des EuGH noch unter den Wortlaut des § 15 Abs. 3 S. 1 TMG gefasst werden. Der BGH legt die Vorschrift dazu künftig in der Form aus, dass die Nicht-Einholung einer expliziten Einwilligung in Webseiten-Tracking zugleich als Widerspruch gegen das pseudonyme Tracking nach § 15 Abs. 3 S. 1 TMG zu verstehen ist.
Aus der Pressemitteilung der BGH-Entscheidung:
“§ 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.”
Rechtsfolge der BGH-Entscheidung: Zuständigkeit liegt nicht mehr bei Datenschutz-Aufsichtsbehörden
Mit der künftigen Anwendbarkeit von § 15 Abs. 3 S. 1 TMG auf pseudonymes Tracking entzieht der BGH damit im Ergebnis den Datenschutz-Aufsichtsbehörden insoweit ihre Zuständigkeit (hierauf hingewiesen hat u.a. auch Dr. Carlo Piltz). Denn § 59 RStV verortet die Zuständigkeit – je nach Bundesland unterschiedlich geregelt – vor allem bei den Landesmedienanstalten. Im Detail sind dies derzeit (Übersicht aus Wikipedia):
- Baden-Württemberg: Landesanstalt für Kommunikation
- Bayern: Regierung von Mittelfranken
- Berlin: Bezirke von Berlin
- Brandenburg: Ministerium für Wirtschaft, Arbeit und Energie
- Bremen: Bremische Landesmedienanstalt
- Hamburg: Medienanstalt Hamburg/Schleswig-Holstein
- Hessen: Hessische Landesanstalt für privaten Rundfunk und neue Medien
- Mecklenburg-Vorpommern: Medienanstalt Mecklenburg-Vorpommern
- Niedersachsen: Niedersächsisches Landesamt für Verbraucherschutz und Lebensmittelsicherheit
- Nordrhein-Westfalen: Landesanstalt für Medien Nordrhein-Westfalen
- Rheinland-Pfalz: Aufsichts- und Dienstleistungsdirektion
- Sachsen: Landesdirektion Sachsen
- Sachsen-Anhalt: Medienanstalt Sachsen-Anhalt
- Saarland: Landesmedienanstalt Saarland
- Schleswig-Holstein: Medienanstalt Hamburg/Schleswig-Holstein
- Thüringen: Thüringer Landesmedienanstalt
Dies wirft auch europarechtliche Fragen der im Datenschutz-Bereich geforderten größtmöglichen Unabhängigkeit dieser Behörden auf.
Pseudonymes Tracking nach TMG ohne Bußgeld-Androhung
Das TMG beinhaltet in den Bußgeld-Vorgaben zudem keine Bußgeldbewehrung bei Verstößen nach § 15 Abs. 3 S. 1 TMG (vgl. auch zur Frage des Zeitpunkts ab dem allein die DSGVO wieder greift den Client-Alert von Latham&Watkins). Dies bedeutet, dass pseudonymes Tracking ohne Einwilligung der Webseiten-Besucher nach dem TMG zwar untersagt, jedoch dagegen kein Bußgeld verhängt werden kann (hierzu auch Dr. Carlo Piltz in Folgen des BGH-Urteils zu Cookies – welche Aufsichtsbehörde ist zuständig und dürfen Datenschutzbehörden Bußgelder verhängen?).
Auch dieses Ergebnis stößt auf europarechtliche Fragezeichen. Nach meiner Ansicht beinhaltet die DSGVO keine Öffnungs- bzw. Spezifizierungsklausel, die es dem deutschen Gesetzgeber insoweit gestatten würde, das pseudonyme Tracking bußgeldfrei zu stellen.
Abmahnfähigkeit von TMG-Verstößen
Ebenfalls Bewegung bringt die BGH-Entscheidung hinsichtlich der Abmahnfähigkeit durch Wettbewerber. Ob und inwieweit Verstöße gegen die DSGVO abgemahnt werden können ist derzeit noch nicht abschließend geklärt. Hinsichtlich eines Verstoßes gegen § 15 Abs. 3 S. 1 TMG hingegen besteht die herrschende Meinung, dass diese durch Wettbewerber abgemahnt werden können. Wer also ohne Einwilligung von Nutzern pseudonymes Tracking betreibt, kann durch den Wettbewerb hierfür rechtlich zur Verantwortung gezogen werden.
Fazit: es ist kompliziert
Als Ergebnis lässt sich zusammenfassen:
- Pseudonymes Webseiten-Tracking bedarf der Einwilligung der Webseiten-Besucher
- Die Aufsicht hierüber ist den Datenschutz-Aufsichtsbehörden entzogen; anstelle dessen zuständig sind in der Regel die Landesmedien-Anstalten (dies allerdings in der Tendenz europarechtswidrig da die erforderliche größtmögliche Unabhängigkeit der Behörden in Frage steht); Nachtrag: diese Ansicht ist umstritten. Nach Ansicht der Datenschutz-Aufsichtsbehörden haben diese weiter die Aufsicht über § 15 Abs. 3 S. 1 TMG, da sie nach § 59 Abs. 1 RStV eine Allgemeinzuständigkeit für Datenschutz-Themen hätten, die auch nicht durch § 59 Abs. 2 RStV verdrängt sei
- Die nach TMG zuständigen Aufsichtsbehörden können das pseudonyme Tracking ohne Einwilligung zwar untersagen, aber hiergegen kein Bußgeld verhängen (auch hier mit Zweifeln hinsichtlich der Europarechtskonformität dieser Bußgeld-Freiheit)
- Pseudonymes Webseiten-Tracking ohne Einwilligung der Besucher kann durch den Wettbewerb abgemahnt werden
Bereits in der Vergangenheit war mehrfach die Forderung erhoben worden, das Telemediengesetz zu novellieren und an die europarechtlichen Rahmenbedingungen anzupassen.
* * *
Nachtrag: Anmerkung nach Hinweis der Bayerischen Landesamts für Datenschutzaufsicht (22.6.2020, 16:30 Uhr)
Auf Hinweis des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) ist die Frage des geschilderten Verlusts der Zuständigkeit umstritten. Das BayLDA geht davon aus, dass es auch für § 15 Abs. 3 S. 1 TMG zuständig sei.
Der diese Frage regelnde Rundfunkstaatsvertrag besagt dazu in § 59 Abs. 1 RStV: „Die nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden überwachen für ihren Bereich die Einhaltung der allgemeinen Datenschutzbestimmungen und des § 57.“
Und in § 59 Abs. 2 RStV heißt es weiter: „Die Einhaltung der Bestimmungen für Telemedien einschließlich der allgemeinen Gesetze und der gesetzlichen Bestimmungen zum Schutz der persönlichen Ehre mit Ausnahme des Datenschutzes wird durch nach Landesrecht bestimmte Aufsichtsbehörden überwacht.“
Maßgeblich ist also, ob es sich bei § 15 Abs. 3 S. 1 TMG um eine Regelung zur Einhaltung für allgemeine Bestimmungen für Telemedien oder der allgemeinen Datenschutzbestimmungen für Telemedien handelt. Das BayLDA schreibt uns dazu:
“Bei § 15 Abs. 3 TMG handelt es auch um Telemedien, aber wir sehen hier die datenschutzrechtliche Komponente im Vordergrund. Generell sind wir der Auffassung, dass § 15 Abs. 3 TMG der Aufsicht der Datenschutzbehörden unterstellt ist, da hier der Schutz von personenbezogenen Daten im Vordergrund steht, welcher gemäß Art. 8 GrChr von „unabhängigen“ Stellen überwacht werden soll. Hierfür besteht das Erfordernis der unabhängigen Aufsichtsbehörden, welches von den für das TMG zuständigen Stellen nicht eingehalten werden kann.”
* * *
Nachtrag (23.6.2020)
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.
V. C.
Meines Erachtens geht die Frage noch viel weiter:
Sind die Datenschutz-Aufsichtsbehörden überhaupt zuständig für das TMG?
Reicht der Verweis auf die "allgemeinen Datenschutzbestimmungen" in § 59 RStV wirklich aus, um diese Zuständigkeit zu begründen?
Reichen die Verweise auf "andere datenschutzrechtliche Bestimmungen" in den Landesdatenschutzgesetzen (gemäß dem im Beitrag oben zitieren Blogartikel von Carlo Piltz so (nur) in Niedersachsen, Brandenburg, Thüringen, Hessen, Saarland) aus, um diese Zuständigkeit zu begründen?
Ist der eigentliche Kern der Position, das TMG sei keine Umsetzung der RL 2002/58/EG und werde durch die DSGVO verdrängt (DSK, Orientierungshilfe für Anbieter von Telemedien), der, dass die Landesdatenschützer selbst fürchten nicht mehr für den Bereich Telemedien zuständig zu sein, wenn das TMG, wie der EuGH offenbar annimmt (jedenfalls bezüglich § 15 Abs. 1 und 3 TMG), die ePrivacy-RL umsetzt?
Hat der EDSA den Finger in eine offene Wunde gelegt, mit der Auffassung: "Wenn eine Datenschutzbehörde nach nationalem Recht als zuständige Behörde nach der e-Datenschutz-Richtlinie eingesetzt wurde, besitzt sie die Zuständigkeit, nationale e-Datenschutz- Vorschriften unmittelbar und zusätzlich zur DSGVO durchzusetzen (andernfalls besitzt sie diese Zuständigkeit nicht)" (Stellungnahme 5/2019, Rn. 90)?
Sind nur noch die Landesdatenschützer von Bayern, Bremen, Hamburg, NRW und Sachsen berechtigt die Aufsicht über Belange der eprivacy-RL und damit des TMG auszuüben, weil (nur) ihnen die Zuständigkeit für das Verhängen von Bußgeldern gemäß § 16 Abs. 2 Nr. 2-5 TMG im jeweiligen Landesrecht explizit zugewiesen ist (s. den oben zitierten Blogartikel von Piltz)? Reicht diese Zuweisung aus, wo doch § 16 Abs. 2 bezogen auf § 15 Abs. 3 allein Verstöße gegen dessen Satz 3 sanktioniert?
Irgendwie habe ich den Eindruck, dass die Datenschutz-Aufsichtsbehörden hier auf sehr dünnem Eis unterwegs sind. Und das liegt nicht an den Gerichten, sondern an müßigen Gesetzgebern.