Nachdem die österreichische EU-Ratspräsidentschaft zu keinen Fortschritten bei der e-Privacy-Verordnung geführt hat, hat Finnland das Thema nun aktiv auf die Tagesordnung gesetzt. Der erste Vorschlag sieht einige wesentlichen Verbesserungen für Webseiten-Betreiber vor, wird aber derzeit heftig diskutiert.
Eine schnelle Lösung ist bitter nötig, denn zurzeit ist es recht schwer zu sagen, ob eine Website legal betrieben wird oder nicht, da sich hier auch Behörden und Gesetzgeber nicht einig sind.
So hat zum Beispiel die deutsche Datenschutzkonferenz in einer ihrer Orientierungshilfen aus dem März 2019 dargestellt, dass ein „komfortables OPT-OUT“ in einigen Fällen durchaus ein OPT-IN aufwiegen kann.
Der EU-GH kommt im August 2019 (auf Basis einer Gesetzmäßigkeit aus dem Jahr 2017) zum Schluss, dass Cookies nur mit aktiver Einwilligung im Browser abgelegt werden dürfen.
Aber wo bleibt da jetzt eigentlich das berechtigte Interesse des Verantwortlichen? Mit dieser Rechtsgrundlage werden Millionen von Webseiten betrieben, sind weltweit erreichbar. Warum gilt das nicht für die Cookies?
Die Antwort ist leicht: Das gilt auch für Cookies. Aber nur wenn sie die Interessen der Betroffenen tatsächlich auch einbezogen haben und eine „vernünftige Erwartungshaltung“ des Webseitenbesuchers nicht überstrapazieren.
Die Basis für europäische Webseiten, wie wir sie kennen, hat der EU-GH in seiner Entscheidung so begründet, dass Daten im Internet auf einer Webseite anzubieten nicht automatisch Drittland-Datentransfer ist. Gleichzeitig wird festgehalten, dass Aufzeichnungen von Webseitenbesuchern doch auch personenbezogene Daten und dementsprechend zu behandeln sind.Wie jede Verarbeitung braucht eine Webseite einen Zweck und eine Rechtsgrundlage, um nicht gegen die Grundsätze der Datenverarbeitung zu verstoßen.
Das berechtigte Interesse wird dabei oft als der „Joker“ der Rechtsgrundlagen gesehen und basiert auf dem Grundsatz: „Es hilft mir und schadet dir nicht!“.
Ob solch ein Schaden eintritt oder nicht, ist aber nicht einfach aus der Hüfte zu beantworten und eine Reihe von Aspekten muss Berücksichtigung finden.
Vernünftige Erwartung des Betroffenen
Der Besucher einer Webseite, muss damit rechnen dort Informationen über Produkte, Events, Sonderangebote und Mitarbeiter des Unternehmens zu finden.
Er muss damit rechnen, dass Bilder, Scripts und Cookies eingesetzt werden, die sicherstellen, dass die Seite funktioniert. Das sogenannten „Session-Cookie“ hilft z.B. die Verbindung zwischen Webserver und Web-Browser am Leben zu halten und sinnvolle Informationen schnell ohne User-Intervention auszutauschen. Nach dem Verlassen der Webseite wird dieses Cookie wieder automatisch gelöscht, weil es seinen Sinn erfüllt hat.
Berechtigtes Interesse? Klarer Fall.
Viele Webseiten verwenden sogenannte Web-Fonts – das sind öffentliche Bibliotheken die in der Darstellung der Webseite weitere Möglichkeiten liefern und das Sujet des Unternehmens so eigentlich erst möglich machen. Diese „funktionellen“ Cookies, sind unbedingt notwendig dafür, dass die Seite korrekt funktioniert und der Besucher muss damit rechnen, dass der Betreiber Schritte unternimmt, damit seine Seite richtig funktioniert.
Auch wenn Google dabei die IP-Adresse des Besuchers erhält.
Berechtigtes Interesse? Gut begründbar
Der Besucher muss aber auf der Seite seines Lieblingshandwerkers nicht damit rechnen, dass seine Daten unmittelbar Google oder Facebook ausgeliefert werden, dass sein Verhalten analysiert wird mit „Zielgruppen“ gematched wird und ihm dann zielgerichtet Werbung zu seinen unterstellten Interessen präsentiert wird. Nichts davon hat unmittelbar mit den gesuchten und besuchten Inhalten zu tun und berechtigtes Interesse ist hier schlecht darstellbar.
Wir brauchen also ein „OPT-IN/OPT-OUT“-Prozedere für Tracking-Tools wie Facebook-Pixel, Google-Analytics, usw.
Wie das wirklich auszusehen hat werden die weiteren Verhandlungen der EU-Präsidentschaft hoffentlich bald ergeben.
Autor: Wolfgang Mader
Seminartipp! Update Datenschutzrecht