Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (= DSK) veröffentlichte im März 2019 eine Orientierungshilfe für Anbieter von Telemedien. Darin wird die Anwendbarkeit des Telemediengesetzes unter der Datenschutz-Grundverordnung und in Abhängigkeit dazu der Einsatz von Cookies zu Analysezwecken thematisiert. Neuste Erkenntnis: Nutzeranalysen durch Cookies können im berechtigten Interesse des Anbieters von Telemedien liegen. Das Telemediengesetz (= TMG) regelt u.a. den Umgang mit personenbezogenen Daten von Nutzern von Telemedien (wie dem „Internet“). Mit Wirkung der Datenschutz-Grundverordnung (DSGVO) steht unstreitig fest, dass das TMG vom Datenschutz überlagert wird und keine Anwendung mehr findet. Die Zulässigkeit der Datenverarbeitung durch Cookies richtet sich somit allein nach der DSGVO. Mögliche Erlaubnistatbestände für den Einsatz von Cookies sind damit die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) und das berechtigte Interesse des verantwortlichen Telemedienanbieters (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Bisher hat die DSK die Auffassung vertreten, Nutzeranalyse – unabhängig davon, ob es sich lediglich um eine Reichweitenmessung handelt oder um komplexes Webtracking - sei nur mit Einwilligung des Nutzers möglich (Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen vom 26. April 2018). In der kürzlich veröffentlichten Orientierungshilfe (= OH) wurde nun die Thematik erneut aufgegriffen und vertieft. In der OH stellt die DSK noch einmal das Verhältnis von TMG und DSGVO fest und unterlegt die Auffassung in einem ausführlichen Beitrag. Auch die Rechtsgrundlagen „Einwilligung“ und „berechtigtes Interesse“ für den Einsatz von Cookies zu Analysezwecken sind erneut Teil der OH. Anhand eines Beispiels zur Reichweitenmessung werden die beiden Rechtsgrundlagen ausführlich durchgeprüft. Die für die Praxis wohl interessanteste Erkenntnis aus der OH ist das Prüfungsergebnis des berechtigten Interesses. Anders als noch nach der bisher vertretenen Auffassung, eine Reichweitenmessung dürfe ausschließlich mit Einwilligung des Nutzers erstellt werden, relativiert die DSK diesen Standpunkt und wägt im Einzelfall ab. So soll es nun durchaus möglich sein, ein berechtigtes Interesse an der Reichweitenmessung zu haben. Ob das berechtigte Interesse besteht, muss anhand der Voraussetzungen Vorliegen eines berechtigten Interesses, Erforderlichkeit der Reichweitenmessung und einer Abwägung zwischen den Interessen des Verantwortlichen und den Interessen des Nutzers (z. B. anhand der Erwartungen des Nutzers, der Vorhersehbarkeit, Transparenz, Dauer der Verarbeitung, Datenkategorien und Umfang der Datenverarbeitung) geprüft werden. Die OH führt schließlich zu der Erkenntnis, dass Verantwortliche weiterhin zwingend eine Einwilligung der Nutzer einholen müssen, da die Prüfung des berechtigten Interesses zum einen regelmäßig an der Erforderlichkeit scheitern wird, nämlich immer dann, wenn der Verantwortliche ein Analyse-Tool eines Dritten einsetzt. „Die Messung der Reichweite und die sich daraus ergebenden Informationen sind geeignet, um das Webangebot anzupassen (berechtigtes Interesse). Setzt der Website-Betreiber hierfür ein Analyse-Tool ein, welches Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt, ist dies nicht mehr erforderlich. Das Ziel – Reichweitenmessung – kann auch mit milderen, gleich geeigneten Mitteln erreicht werden, die deutlich weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln (z. B. ohne Einbindung Dritter über eine lokale Implementierung einer Analysesoftware).“ Zum anderen wird auch die vernünftige Erwartungshaltung des Nutzers an die Analyse regelmäßig gegen einen rechtskonformen Einsatz der Reichweitenmessung sprechen, da er in der Regel nicht mit eingebundenen Diensten Dritter rechnet. „Im Hinblick auf die Einbindung von Diensten Dritter erwartet ein Nutzer üblicherweise nicht, dass an diese Dritten, zu denen der Nutzer regelmäßig keine Beziehungen unterhält, Informationen darüber weitergegeben werden, welche Websites er besucht oder welche Apps er nutzt.“ Fazit: Hat die OH zunächst einen Hoffnungsschimmer für den rechtskonformen Einsatz von Cookies zur Nutzeranalyse erzeugt, führt die Einzelfallprüfung zu einem nüchternen Ergebnis. Die Nutzeranalyse kann nun zwar unter das berechtigte Interesse fallen, liegen die engen Voraussetzungen jedoch nicht vor, muss (weiterhin) eine Einwilligung des Nutzers eingeholt werden. Ein positives berechtigtes Interesse kann allerdings nur in Fällen vorliegen, in denen der Verantwortliche die Analyse ohne Einbindung von Diensten Dritter über eine lokal implementierte Analysesoftware durchführt. Sobald personenbezogene Daten an Drittanbieter übermittelt werden, ist ein berechtigtes Interesse an der Datenverarbeitung nicht mehr möglich, die Einholung einer vorherigen Einwilligung ist notwendig. So hat sich die Auffassung der DSK in der Orientierungshilfe für Anbieter von Telemedien zwar relativiert, die Interessenabwägung dürfte jedoch in der Praxis aufgrund der überwiegend eingebundenen Dienste Dritter in den wenigsten Fällen zugunsten des verantwortlichen Telemediendienstanbieters ausfallen. Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >