Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist unter anderem für dich relevant, wenn du auf deiner Website ein Analytics-Werkzeug eingebunden hast oder auf zielgruppen-spezifische Werbung setzt. Rechtsanwältin Nina Diercks erklärt zur Premiere ihrer UPLOAD-Kolumne, was es mit dem TTDSG auf sich hat, warum die Regelungen darin eigentlich niemanden überraschen sollten und wohin die Reise in diesem Bereich gerade geht.
TL;DR: Die wichtigsten Punkte auf einen Blick
Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ändert sich die bestehende Rechtslage im Online-Marketing nicht. Die zuvor mittelbar geltende ePrivacy-Richtlinie ist nunmehr in unmittelbar geltendes nationales Recht umgesetzt worden.
Einfache Webseiten-Analysen sind weiterhin ohne Einwilligungen möglich, da das TTDSG hierfür einen Ausnahmetatbestand enthält – auch wenn dieser in den Clickbait-Überschriften der Online-Marketing-Magazine kaum Platz eingeräumt wird.
Für alle weiteren Formen des Trackings, die Grundlage eines Behavioral Targetings sind, müssen jedoch Einwilligungen nach dem TTDSG eingeholt werden.
Das Handeln des europäischen wie auch nationalen Gesetzgeber zeigt insgesamt, dass diese dem datengetriebenen und zuweilen intransparenten Behavioral Targeting äußerst kritisch gegenüberstehen. Der europäische Gesetzgeber wird diese Formen der Informations- und Datenverarbeitung mit sehr hoher Wahrscheinlichkeit noch weiter mit der für 2023 oder 2024 erwarteten ePrivacy-Verordnung regulieren.
Verantwortliche in der Online-Marketing-Branche sollten sich daher die Frage stellen, ob Behavioral Targeting tatsächlich die Werbeform der Zunft bleibt oder ob es nicht vielmehr heißen sollte:
Zurück in die Zukunft! Lange lebe das Contextual-Marketing!
Inhaltsverzeichnis
Einführung
Aus Sicht des Online-Marketings taucht angesichts der DSGVO und des nun seit dem 1. Dezember 2021 geltenden TTDSG fast unweigerlich dieses Bild von Homer Simpson auf: Homer läuft durch die Straße der Stadt, läutet eine Glocke und ruft „The end is near! The end is near!“. Dass die belgische Datenschutzbehörde außerdem das IAB TCF 2.0 Framework für datenschutzwidrig erklärt hat, macht die Sache nicht besser.
Doch der Reihe nach. Von der DSGVO wird inzwischen wohl jede*r in der Online-Marketing-Branche gehört haben. Das TTDSG ist hingegen recht frisch auf dem Markt. Und eben deswegen soll es heute darum gehen. Um das Telekommunikation-Telemediendatenschutz-Gesetz verstehen und in seinen Auswirkung einordnen zu können, bedarf es jedoch etwas Kontext. Deswegen blicken wir zuvor auf den Ist-Zustand des Online-Marketings, den Begriff „Tracking“, die Schutzrichtungen von DSGVO und TTDSG (also welches Gesetz welchen Bereich regelt) sowie die historische Genese des TTDSG und dessen konkrete Regelungsinhalte bezüglich des Online-Marketings, um so dann zu ein paar ganz praktischen Anwendungsempfehlungen zu gelangen.
An dieser Stelle ein kleiner Spoiler: Das Online-Marketing wird natürlich fortbestehen. Mit etlichen Änderungen wird sich die Branche aber über kurz oder lang (besser kurz) anfreunden müssen. Welche das sein werden und aus welchen Gründen? Nun, genau das schauen wir uns jetzt an.
A N Z E I G E
1. Ist Zustand im Online-Marketing
Wir alle wissen: Der heiße Sch**ß im Online-Marketing ist die zielgruppen-spezifische Werbung mittels Behavioral Targeting, das über das Klick-Verhalten die Vorlieben potenzieller Kunden erkennen will und via real-time Auktionen im Hintergrund stets die richtige Werbung einblenden möchte. Dafür werden Cookies, LocalStorages und andere Technik-Schnipsel an allen möglichen Stellen gesetzt sowie Werbe-IDs von Endgeräten genutzt.
Das Versprechen der Vermarkter gegenüber den Werbetreibenden lautet, den Kunden werde nur noch die Werbung eingeblendet, die sie wirklich interessiert und so die Interaktions- bzw. Konversions-Rate erheblich gesteigert.
Aber stimmt das überhaupt?
1.1. Die „Perfektion“ des Behavioral Targeting
Die „Perfektion“ dieser Technologie konnte ich erst gestern erneut bewundern. Ich war wieder einmal zu faul, mich mit den Cookie-Layern auseinanderzusetzen, klickte willenlos auf „Akzeptieren“ und schloss auch nicht zwischenzeitlich den Browser (so werden bei mir Cookies etc. gelöscht), sondern irrte den Tag weiter zwischen zig offenen Tabs.
Die Folge: Nach der Bestellung von Ski-Pullovern bei Bergfreunde erhielt ich den ganzen Tag überall Anzeigen zu exakt diesen Skipullovern von Bergfreunde eingeblendet. Ist das nicht großartig? Schließlich werde ich selbstverständlich unmittelbar nach meiner Bestellung das Gleiche noch einmal bestellen. Sicher. Nicht.
Der geneigten Leserschaft wird das, wenn auch mit anderen Produkten, vermutlich bekannt vorkommen.
Der Glaube in der Online-Branche an das Behavioral Targeting ist nahezu ungebrochen, obwohl die Funktionen der „personalisierten Werbung“ nicht im Ansatz ausgereift sind und viele weitere Probleme bestehen, wie etwa komplexe rechtliche Fragestellungen, Anzeigenbetrug oder die Macht der verschiedenen AdTech-Provider, die dazu führt, dass Werbetreibende und Werbekunde in keinem unmittelbaren (Verhandlungs-)Austausch mehr stehen.
1.2. Contextual Targeting – besser als der Ruf?
Die gute alte Umfeldwerbung gilt schließlich als unattraktiv. Bei dem Contextual Targeting wird – wie in der analogen Welt auch – nach den anzunehmenden Interessen der Leser- bzw. Nutzerschaft Werbung geschaltet.
Dies bedeutet, dass etwa in einem Wandermagazin für Outdoor-Equipment und in einem Magazin für Inneneinrichtung für Home Accessoires und Beautyprodukte geworben wird. Welche Themen von welchen Zielgruppen gelesen werden, ist aufgrund von langjährigen Studien (auch noch aus der analogen Welt) und aktuellen Umfragen bekannt.
Nun mag sich nicht jeder einzelne Besucher eines Magazins für Inneneinrichtungen auch für Gesichtsmasken, Bartpflegeprodukte oder Make-up interessieren, im Mittel wird das aber der Fall sein.
Behauptet wird, dass das Behavioral Targeting wesentlich zielgenauer sei und somit besser funktioniere, also effektiver bei der Umsatzsteigerung sei. Mein oben genanntes Beispiel lässt daran zweifeln.
Da anekdotische Evidenz aber weder bei Gesundheitsfragen noch bei Beurteilung von Werbeformen hilfreich ist, blicken wir lieber auf eine handfesten Fall, nämlich den niederländischen öffentlichen Rundfunk: NPO Radio startete im Jahr 2019 ein Experiment mit zehn Werbetreibenden, um die Wirkung von Contextual Targeting und Behavioral Targeting zu vergleichen. Das überraschende Ergebnis lautete, dass die Conversion-Rate bei der Umfeldwerbung mindestens gleich hoch oder sogar besser als die der personalisierten Werbung via Tracking war.
2020 beendete NPO Radio jegliches Tracking via Cookies und anderer technischen Mittel. Der Werbeumsatz von NPO stieg um 62% und um 79% im Vergleich zum letzten Vorjahr. (Ausführlich dazu: Edelmann, Wired, Can Killing Cookies Save Journalism, 05. August 2020 )
1.3. Der Branchenstandard TCF 2.0 des IAB Europe
Kann das nun jeder so umsetzen? Theoretisch ja, praktisch ist es nicht ganz so einfach. Wie eingangs bereits gesagt, ist die digitale Werbebranche seit Jahren derart auf das Behavioral Targeting fokussiert und der Markt derart von den Anbietern der dafür notwendigen technischen Infrastruktur dominiert, dass der gängige technische Standard zur Abwicklung hierfür inzwischen von einem europäischen Interessensverband für digitales Marketing und Werbesysteme festgelegt wird: dem IAB Europe. Es handelt sich um das sogenannte TCF 2.0 Framework.
Es wird damit geworben, dass das IAB Europe Transparency and Consent Framework (TCF) die einzige DSGVO-konforme Lösung sei, die von der Industrie für die Industrie gebaut worden sei und einen wahren Industrie-Standard geschaffen habe.
Ein Industriestandard ist tatsächlich geschaffen worden. Und zwar derart, dass es kaum möglich ist, Werbekunden zu gewinnen, ohne auf diese Strukturen zurückzugreifen. NPO Radio entwickelte einen eigenen AdServer, um die Werbeplätze ausschließlich im Rahmen von Umfeldwerbung erfolgreich selbst verkaufen zu können.
Dazu ist der technologische wie auch der vertriebliche Verstand im eigenen Hause notwendig. Das ist zum einen nicht immer gegeben, zum anderen ist zu berücksichtigen, dass sich NPO Radio nicht wie private Magazine und Sender vollständig aus Werbung finanzieren muss.
Erklärt man heutzutage als privates Magazin einem Vermarkter, man wolle ausschließlich auf Umfeldwerbung setzen, wird abgewunken. Zu viele Werbekunden locken die Versprechungen des Microtargeting und zu wenige wollen ausschließlich auf Umfeldwerbung setzen. Vorhandene Werbeplätze sind – jedenfalls über Vermarkter – kaum in der Masse verkäuflich. Es ist ist ein perpetuum mobile des Glaubens an die personalisierte Werbung entstanden.
Hinzu kommt, dass Werbekunden von den Werbetreibenden verlangen, ein Consent-Management-Programm und das TCF 2.0 Framework zu nutzen. Die sind zwar gar nicht notwendig, wenn kein personalisiertes Tracking erfolgt. Da jedoch gelernt wurde, dass Behavioral Targeting ein „Must“ ist, ist inzwischen auch gelernt worden, dass das TCF 2.0 unabdingbar von Werbetreibenden zu fordern ist.
Ob die Lösung des IAB Europe – wie von dem Verband beworben – auch den Anforderungen der DSGVO entspricht, ist zumindest fraglich. Die belgische Datenschutzaufsichtsbehörde (BE DPA) hat am 2. Februar 2022 gegenüber dem IAB Europe einen Bußgeldbescheid in Höhe von 250.000 EUR wegen verschiedener Verstöße gegen die DSGVO verhängt, darunter mangelnde Transparenz und mangelhafte Umsetzung von Datensicherheit und Datenschutz by design und by default. Daneben hat die BE DPA das IAB Europe aufgefordert, Maßnahmen zu ergreifen, um die aus Sicht der BE DPA bestehenden Verstöße zu beseitigen.
Gegen den Bescheid können selbstverständlich Rechtsmittel eingelegt werden. Über die Rechtskonformität des TCF 2.0 und den Bußgeldbescheid der BE DPA könnte nicht nur ein eigener Artikel geschrieben werden, sondern vermutlich gleich eine Doktorarbeit. Doch darum soll es heute nicht gehen.
1.4. Der rechtliche Rahmen des Online-Marketing
Der Bußgeldbescheid der belgischen Datenschutzaufsichtsbehörde gegenüber dem IAB Europe wegen des TCF 2.0 Frameworks zeigt jedenfalls, dass sich das Online-Marketing und hier vor allem das Behavioral Targeting in einem zunehmenden rechtlichen Spannungsfeld befindet.
Die Verarbeitung von personenbezogenen Daten unterliegt dem Regime der DSGVO. Die Verarbeitung von Informationen im Endgerät der User (Cookies, LocalStorages und so weiter) richtet sich seit dem 1.12.2021 in Deutschland nach dem TTDSG.
Damit stellt sich die Frage unter welchen Umständen, auf welchen Rechtsgrundlagen ein Tracking von Usern zu Zwecken des Behavioral Targetings möglich ist.
2. „Tracking“ und „Tracking“
Bevor wir uns jedoch eben diesem Rechtsrahmen vertieft zuwenden, ist zu klären, was unter „Tracking“ zu verstehen ist.
Nach dem Verständnis der deutschen Aufsichtsbehörden handelt es sich bei „Tracking“ um Datenverarbeitungen zur – in der Regel websiteübergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern (siehe: DSK – Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 6 f.; DSK – Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021, S. 27.).
So weit so nicht falsch. Wie jeder weiß, der sich auch nur ansatzweise mit dem Thema Tracking befasst, existieren jedoch unterschiedlichste Tracking-Methoden. Diese reichen von einfachen Webseiten-Analysen bis hin zu höchst umfassender individueller und webseiten-übergreifender Nachverfolgung.
Zu den einfachen Webseiten-Analysen zählen datenreduzierte Varianten von Matomo (vormals: Piwik), e-tracker oder auch Google Analytics. Ein „individuelles Verhalten von Nutzern“ lässt sich hier nicht nachvollziehen und es findet kein webseiten-übergreifendes Tracking statt. Es ist auch nicht Sinn und Zweck dieser Form des Trackings bzw. der Webanalyse. Die französische Aufsichtsbehörde CNIL hat dementsprechend erklärt, dass derartige einfachen Webseiten-Analysen auch ohne Einwilligung der Nutzer durchgeführt werden können (siehe: CNIL, Guidelines on Cookies and Tracking Devices, 23. Juli 2019).
Bei den umfassenden Analysen sind die Bewegungen einzelner Nutzer webseitenübergreifend bis hin zu Interaktionen und Konversionen nachzuvollziehen und damit gar einzelnen Individuen zuzuordnen. Auch derartige Analysen sind mit etwa e-Tracker und Google Analytics möglich.
Welche Form des Trackings vorliegt, hängt von den technisch gewählten und genutzten Mitteln ab. Sehr vereinfacht ausgedrückt:
Werden nur einfache Session-Cookies angelegt, die augenblicklich mit dem Schließen der Seite gelöscht werden und auch im Übrigen nur eine kurze Lebensdauer aufweisen, können die Besucherströme in einfachen Analysen gemessen werden. Sobald persistente Cookies oder LocalStorages gesetzt werden, die entweder selbst persistente User-IDs zum webseitenübergreifenden Tracking enthalten oder aber bspw. die Werbe-IDs der Nutzer auslesen und speichern, ermöglichen diese ein individuelle Tracking.
Leider nehmen deutsche Aufsichtsbehörden trotz der von ihnen selbst vorgebrachten Definitionen diese notwendige Differenzierung nicht vor. Für deutsche Aufsichtsbehörden stellt – jedenfalls bislang – jede Form der Webseitenanalyse ein „Tracking“ dar – unabhängig davon, ob dieses ihrer eigenen Definition der „individuellen und regelmäßig webseitenübergreifenden Nutzungsverfolgung“ entspricht oder nicht.
Dabei ist der Blick auf die konkrete Art und Weise des Trackings unabdingbar für die rechtliche Einordnung.
3. Schutzrichtungen der Gesetze
Für die rechtliche Einordnung ist weiter wichtig zu verstehen, warum nunmehr zwei Gesetze, die DSGVO und das TTDSG, im Rahmen des Online-Marketing zu betrachten sind:
- Die Datenschutzgrundverordnung bezweckt die Wahrung des Schutzes personenbezogener Daten, damit das Persönlichkeitsrecht und das Recht auf Informationelle Selbstbestimmung natürlicher Personen.
- Das Telekommunikations-Telemedien-Datenschutz-Gesetz bezweckt im Bereich der Telemedien hingegen den Schutz der Integrität und Privatsphäre von Endgeräten der Nutzer, und zwar unabhängig davon, ob personenbezogene Daten verarbeitet werden oder nicht.
Und damit ist der Unterschied auch schon erläutert. Das TTDSG regelt das Setzen und Auslesen von Cookies und ähnlichen Technologien im Endgerät der Nutzer. Die DSGVO regelt das Verarbeiten von personenbezogenen Daten, solche können via Cookies und ähnlichen Technologien gewonnen werden.
Für das Setzen von Cookies und ähnlichen Technologien bedarf es also einer Rechtsgrundlage nach dem TTDSG. Für die Verarbeitung von damit gewonnener personenbezogener Daten weiterhin einer Rechtsgrundlage aus der DSGVO.
4. TTDSG
Das TTDSG regelt Fragen des Daten- bzw. vielmehr des Vertraulichkeitsschutzes im Bereich des Telekommunikation- und des Telemedienrechts.
Mit dem Telekommunikations-Telemedien-Datenschutz-Gesetz werden die folgenden Bereiche geregelt:
- Datenschutz und Schutz der Privatsphäre in der Telekommunikation
- Vertraulichkeit der Kommunikation (Fernmeldegeheimnis, Abhörverbot)
- Verkehrsdaten, Standortdaten
- Verbindungen, Rufnummernunterdrückung
- Endnutzerverzeichnisse (nur auf Antrag)
- Telemediendatenschutz
- TOM, Datenverarbeitung zum Zweck des Jugendschutzes
- Endeinrichtungen
Und genau dieser letzte Punkt des „Telemediendatenschutzes“ in „Endeinrichtungen“, welcher maßgeblich in § 25 TTDSG geregelt ist, betrifft das Online-Marketing. Deswegen schauen wir uns diesen nun weiter an.
5. § 25 TTDSG
In § 25 TTDSG heißt es wörtlich:
- Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. 2 Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
- Die Einwilligung nach Absatz 1 ist nicht erforderlich,
- […]
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Übersetzt bedeutet dieses Juristen-Kauderwelsch:
Wenn ein Cookie oder eine ähnliche Technologie in einem Endgerät wie einem Mobiltelefon, einem Computer, einem Smart-TV oder einem IoT-Kühlschrank gesetzt und ausgelesen werden soll, muss in der Regel eine Einwilligung des Users eingeholt werden.
Wenn ein Cookie jedoch gesetzt und ausgelesen wird, weil dies für die Erbringung des vom User gewünschtes Dienstes unbedingt erforderlich ist, bedarf es ausnahmsweise keiner Einwilligung des Users.
Es handelt sich um eine klassische Regel-Ausnahme-Norm. Grundsätzlich bedarf es zum Setzen von Cookies zur Speicherung und zum Auslesen von Informationen einer Einwilligung, ausnahmsweise darf auf den gesetzlichen Erlaubnistatbestand des Art. 25 Abs. 2 Nr. 2 DSGVO zurückgegriffen werden.
Klassisches Beispiel für ein „unbedingt erforderlich“ für den „ausdrücklich gewünschten“ Telemediendienst ist der Warenkorb-Cookie, ohne den der Einkauf über einen Online-Shop schwerlich möglich ist.
Doch wie sieht das nun im Bereich des Online-Marketing aus? Was gilt hinsichtlich des Tracking?
5.1. Das sind doch olle Kamellen! Oder auch: Historische Genese
Was nun gilt, sollte bereits jeder für das Online-Marketing Verantwortliche wissen. Inhaltlich sind die Regelungen des § 25 TTDSG schließlich nichts Neues. Bereits seit 2009 heißt es in Art. 5 Abs. 3 S. 3 ePrivacy-Richtlinie, dass es keiner Einwilligung zum Setzen von Cookies bedarf, „wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ . Wie unschwer zu erkennen ist, entspricht das exakt der Regelung im heutigen TTDSG.
Die auch als Cookie-Richtlinie bekannte ePrivacy-Richtlinie hätte an sich in deutsches Recht umgesetzt werden müssen. Das ist jedoch nie passiert. In § 15 Abs. 3 S. 1 TMG-alt stand vielmehr exakt das Gegenteil, nämlich:
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Das ist eine klassische Opt-Out-Regelung. Und so wurde ebenso fröhlich wie großflächig die Regelung der ePrivacy-Richtlinie ignoriert und von Seiten der Werbeindustrie selbstverständlich auch dahingehend argumentiert, dass aufgrund von § 15 Abs. 3 TMG keine Einwilligung notwendig sei. Dass § 15 Abs. 3 TMG gegen EU-Recht verstieß und Deutschland wegen der mangelhaften Umsetzung der ePrivacy-Richtlinie bereits gerügt wurde, nun, darüber redete man besser nicht.
Ende 2019 war dann ganz „überraschend“ überall zu lesen: „EuGH urteilt: Cookies brauchen immer einer Einwilligung“. Das hatte der EuGH im Planet49-Urteil zwar nicht gesagt, aber es machte die Headlines schön und schreckte die Online-Werbe-Branche auf.
Wenig überraschend urteilte darauf hin auch der BGH Ende Mai 2020, dass für Cookies im Sinne von Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie eine Einwilligung eingeholt werden müsse. Dabei schaffte der BGH in seiner Entscheidung „Cookie II“ die Volte, dass § 15 Abs. 3 TMG einfach richtlinienkonform im Sinne von Art. 5 Abs. 3 S. 1 ePrivacy-Richtlinie auszulegen sei. Schrödingers Rechtslage: Die Regelung meint einfach etwas ganz anderes als dort steht. Hätte ein Examenskandidat in einer der juristischen Staatsprüfungen derart argumentiert, wäre er oder sie ohne Federlesens durchgefallen. Aber ein Examenskandidat ist natürlich nicht der BGH.
Lange Rede, kurzer Sinn: Neu ist das alles also nicht, nach geltendem Recht sind seit 2009 für das Setzen der meisten Cookies Einwilligungen einzuholen. Dennoch scheint § 25 TTDSG Teile der Online-Branche noch zu überraschen. Vielleicht weil man meinte mit der DSGVO sowie dem Ein- und Umsetzen des TCF 2.0 Frameworks bereits der Welt genüge getan zu haben?
5.2. Tracking-Cookies ohne Einwilligung: Speicherung von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG
Ob neu oder nicht neu, gemäß § 25 Abs. 2 Nr. 2 TTDSG dürfen Informationen weiterhin ohne Einwilligung gespeichert bzw. auf diese im Endgerät des Nutzers zugegriffen werden, wenn diese „unbedingt erforderlich“ sind um den „vom Nutzer ausdrücklich gewünschten Dienst“ erbringen zu können.
Beim Warenkorb-Cookie eines Online-Shops ist das einleuchtend. Doch wie sieht es mit Tracking-Cookies aus? Hier kommt die klassische Juristen-Antwort: Kommt darauf an. Und zwar darauf, ob das zu setzende Tracking-Cookie unter die Tatbestandsvoraussetzungen des § 25 Abs. 2 Nr. 2 TTDSG zu subsummieren ist. Und das hängt wiederum zum einen davon ab, wie die Tatbestandsmerkmale ausgelegt werden und zum anderen, was für ein Tracking erfolgt, also welche Informationen mittels Cookies (oder sonstiger Technologien) im Gerät des Endnutzers gespeichert und ausgelesen werden.
5.2.1. Definition „gewünschter Telemediendienst“
Die Frage ist, was ein „gewünschter Telemediendienst“ sein soll. Muss von dem Wunsch des Users der konkrete einzelne „Dienst“ wie etwa eine Warenkorb-, eine Kommentar- oder eine Tracking-Funktion umfasst sein? Oder ist der gewünschte Telemediendienst globaler, d.h. bspw. eine Webseite als eine Funktionseinheit zu betrachten?
Die deutschen Aufsichtsbehörden versuchen sich hier in ihrer Orientierungshilfe für Anbieter*innen von Telemedien grundsätzlich an einem Mittelweg. Sie erklären, dass zwischen sogenannten „Basisdiensten“, „Zusatzdiensten“ und „allgemeinen Diensten“ zu unterscheiden sei.
Der Basisdienst sei beispielsweise ein Nachrichtenmagazin mit seinen Artikeln, ein Zusatzdienst etwa die Push-Funktion. Allgemeine Funktionen seien A/B-Testing-Funktionen oder Messung und Analyse von Besucherzahlen. Wörtlich heißt es zu letzteren: „Diese sind nicht per se dem Basisdienst zuzurechnen. […]. Hier kommt es für die Bewertung darauf an, ob die konkreten, sehr differenziert zu betrachtenden Zwecke der Funktionen nutzerorientiert erfolgen.“
Das klingt sehr gut und sehr vernünftig. Eine Differenzierung ist gerade bei komplexen Webseiten angebracht. Und es könnten einfache Webseiten-Analyse unter zulässige allgemeine Dienste subsummiert werden. Schließlich stellt eine einfache Webseiten-Analyse für den Betreiber die einzige Möglichkeit dar, erkennen zu können, welche Bereiche, Themen und/oder Aktionen von den Nutzern goutiert werden. Denn anders als ein Offline-Shop kann kein Markleiter in der Mitte stehen und beobachten, ob der Point-of-Interest so angenommen wird wie gedacht und ob die Marketing-Aktion tatsächlich zu mehr Interesse bei den Kund*innen führt. Der Betreiber einer Webseite ist an dieser Stelle ohne eine einfache Webseiten-Analyse blind und kann den Dienst nicht – wie vom User gewünscht – derart anbieten.
5.2.2. Definition „unbedingt erforderlich“
Damit schließen wir direkt an das zweite Tatbestandsmerkmal an. Das Setzen des Cookies muss „unbedingt erforderlich“ sein.
Wie zuvor dargestellt, ist eine einfache Webseiten-Analyse unbedingt erforderlich, um als Webseitenbetreiber überhaupt erkennen zu können, wie sich die Besucherströme auf der Webseite oder Applikation verhalten. Eine Kenntnis dieses Verhaltens ist wiederum unbedingt erforderlich, um das Produkt, die Webseite, entsprechend an den Bedürfnissen der Nutzer und den eigenen Zwecken (Generierung von Leser*innen, Umsatz etc. pp.) optimieren zu können.
Für eine einfache Nutzeranalyse ist die Implementierung von einfachen Cookies regelmäßig unabdingbar, da hiermit eben diese Besucherströme gemessen und insoweit getrackt werden. Insoweit liegt eine technische Erforderlichkeit vor.
5.2.3. Fazit zum einwilligungsfreien Tracking nach § 25 Abs. 2 Nr. 2 TTDSG
Mit dem Vorstehenden ist deutlich geworden, dass ein Tracking ohne Einwilligung durchaus weiterhin möglich ist. Allerdings muss es sich dabei um ein banales, äußerst daten- und informationsreduziertes Tracking handeln, das ein individuelles Nutzerverhalten nicht nachvollziehen lässt. Es muss sich also um eine einfache Webseiten-Analyse, eine einfache Reichweitenmessung handeln.
Für jedwedes andere Tracking bedarf das Setzen der dafür notwendigen Cookies oder sonstigen technologischen Hilfsmittel einer Einwilligung im Sinne von § 25 Abs. 1 TTDSG.
6. Die Haltung der Aufsichtsbehörden
Die deutschen Datenschutzaufsichtsbehörden verweigern in der hier schon genannten Orientierungshilfe aus Dezember 2021 leider eine klare Stellungnahme zu einfachen Webseiten-Analysen. Es wird vielmehr über zweieinhalb Seiten erklärt, warum keine konkreten Anwendungsbeispiele genannt werden können.
Weiter wird pauschal behauptet, dass per se auch bei einfachen Webseiten-Analysen stets vielfach noch weitere Informationen erhoben und Zwecke verfolgt würden. Dazu könnten Drittanbieter – wie Google Analytics – möglicherweise noch weitere eigene Zwecke verfolgen. Schließlich könnten die Nutzer all dies nicht überblicken.
Gleich drei Annahmen, die (leider) vermuten lassen, dass einige der Aufsichtsbehörden sich bis heute nicht vertieft mit den Möglichkeiten von Webseiten-Analyse-Tools auseinandergesetzt haben. Darüber hinaus erstaunt, dass die Annahme genügt, ein Tool könnte vielleicht und unter Umständen (rechtswidrig) eigene Zwecke verfolgen, um dies wie eine Tatsache in die Bewertung mit einfließen zu lassen.
Auch erstaunt, dass die Aufsichtsbehörden die Nutzer selbst im Jahr 2021 noch für grundsätzlich zu unfähig halten, längst bekannte Verarbeitungsprozesse wie bei einfachen Webseiten-Analysen zu durchdringen.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
7. Kein Ende des Online-Marketing
Ein Ende des Online-Marketing droht – allen Unkenrufen zum Trotz – selbstverständlich auch mit dem TTDSG nicht.
Schlagkräftiger und bedrohlicher ist hier nach wie vor die DSGVO, die mit wesentlich höheren Bußgeld-Androhungen aufwartet, wenn personenbezogene Daten rechtswidrig verarbeitet werden. Während die DSGVO-Bußgelder in Höhe von bis zu 2% bzw. 4 % des weltweiten Jahresumsatzes eines Unternehmens als Maximalstrafe vorsieht, sind es bei einem Verstoß gegen das TTDSG maximal 300.000 EUR. Unangenehm kann selbstverständlich auch diese Summe werden.
Deutlich wird aber, dass europäische wie nationale Gesetzgeber das informations- und datengetriebene Online-Marketing außerordentlich kritisch betrachten. Die Anforderungen an ein rechtskonformes Behavioral Targeting sind hoch.
Zurecht betonen die Aufsichtsbehörden, dass etwa allein der Einsatz einer Consent-Management-Plattform nicht genügt. Diese muss auch entsprechend konfiguriert werden. Dazu muss der Webseitenbetreiber seinen Informationspflichten aus der DSGVO und dem TTDSG nachkommen.
Daneben steht ein weiteres europäisches Gesetzesvorhaben im Raum: die ePrivacy-Verordnung. Mit dieser wird die Informationsgewinnung via Cookies und andere technische Methoden noch weiter reguliert.
Die Datenschutzaufsichtsbehörden stehen dem Online-Marketing bzw. dem Tracking zur personalisierten Werbung ebenfalls äußerst kritisch gegenüber. Dies zeigt das Verfahren der belgischen Aufsichtsbehörde gegenüber dem IAB Europe hinsichtlich des TCF 2.0 Frameworks sowie die länderübergreifende Kontrolle von Webseiten bzw. Webseitenbetreibern durch die deutschen Aufsichtsbehörden, die hierbei auch das Tracking in den Fokus nehmen, so wie hier der Hamburger Datenschutzbeauftragte.
Vor diesem Hintergrund sollte sich die gesamte Online-Marketing-Branche allerdings die Frage stellen, ob mit dem Behavioral Targeting, wie es heute praktiziert wird, nicht doch zunehmend auf das falsche Pferd gesetzt wird. Es bringt mannigfaltige Probleme mit sich, wird vom europäischen wie nationalen Gesetzgeber als äußerst problematisch erachtet und wird in den kommenden Jahren sicher noch weiter reguliert werden. Vor allem da die Ergebnisse dieser Werbeform bei weitem nicht das Ausmaß der Verheißungen der letzten Jahre erreichte.
8. Empfehlungen für die Praxis
Theoretisch ändert das TTDSG die vorhandene Rechtslage nicht. Praktisch ist nun endgültig klar, dass für das Setzen von Cookies und ähnlichen Technologien grundsätzlich eine Einwilligung einzuholen ist, es sei denn es liegt eine Ausnahme des § 25 Abs. 2 Nr. 2 TTDSG vor.
Demnach kann ein Cookie gesetzt und die Information gespeichert und ausgewertet werden, wenn dies für die Erbringung des vom User gewünschten Telemediendienstes unbedingt erforderlich ist. Der Einsatz eines Cookies für eine einfache Webseiten-Analyse kann demnach auf § 25 Abs. 2 Nr. 2 TTDSG gestützt werden. Wichtig ist hierbei, dass tatsächlich nur eine äußerst reduzierte Webseitenanalyse erfolgt. Ein individuelles, gar webseitenübergreifendes Tracking darf hier nicht stattfinden. Die User müssen über das Tracking des Weiteren transparent aufgeklärt werden und es muss die Möglichkeit des Widerspruchs zu diesem Tracking geben. All das ist altbekannt, ist nun mehr jedoch zwingend umzusetzen.
Daneben muss selbstverständlich über die etwaige Verarbeitung von personenbezogenen Daten aufgeklärt werden und für die Verarbeitung einer Rechtsgrundlage vorhanden sein. Im besten Fall werden bei dem reduzierten Tracking keine personenbeziehbaren Daten verarbeitet. Regelmäßig wird zwar für einen kurzen Moment die IP-Adresse verarbeitet. Nach der Breyer-Rechtsprechung des EuGH ist eine solche jedoch nur dann ein personenbezogenes Datum, wenn eine reale Möglichkeit der Identifizierung für den Verantwortlichen besteht. Das ist bei dynamischen IP-Adressen mangels Ansprüchen gegenüber den Providern regelmäßig nicht der Fall.
Sollte die IP-Adresse dennoch als personenbezogenes Datum von einer Behörde qualifiziert werden, so kann hier die Verarbeitung im Rahmen von Art. 6 I f) DSGVO, dem berechtigten Interesse des Verantwortlichen erfolgen. Auch über diese Datenverarbeitung muss der User transparent aufgeklärt und ihm ein Widerspruchsrecht eingeräumt werden.
(Ein weiterer Aspekt ist ein möglicher Drittstaatentransfer im Sinne der Art. 44 ff. DSGVO. Auf diesen kann hier aber nicht auch noch eingegangen werden. Nur so viel: Einzig die Übermittlung einer IP-Adresse aus technischen Gründen an einen Drittdienstleister in einen Drittstaat führt nach Rechtsauffassung der Autorin nicht zu einer rechtswidrigen Datenübermittlung in einen Drittstaat nach der DSGVO).
In allen anderen Fällen bedarf es tatsächlich für das Setzen von Cookies zu Werbezwecken einer Einwilligung des Users im Sinne von § 25 Abs. 1 TTDSG. Ein Cookie-Banner, auf dem steht „Hiermit willige ich in alle Cookies ein, wenn ich weiter surfe“ genügt den Anforderungen des Gesetzes allerdings bei weitem nicht. Hier gelten nämlich die gleichen Anforderungen wie an die Einwilligung nach der DSGVO. Das heißt, der User muss eine informierte, freiwillige Entscheidung treffen können.
All dies bedeutet, dass einer einfachen Webseiten-Analyse auf Basis von § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung der User rechtlich nichts im Wege steht. Etwaige Tools müssen aber sorgfältig konfiguriert und User transparent aufgeklärt werden.
Dieser Artikel gehört zu: UPLOAD Magazin 101
Im Schwerpunkt der neuen Ausgabe „Content 101“ erklären wir dir, wie du deine Zeit beim Content-Marketing effizient einsetzt und welche Vor- und Nachteile fünf wesentliche Wege haben, an Inhalte für deine Website zu kommen. In ihrer neuen UPLOAD-Kolumne erklärt dir Rechtsanwältin Nina Diercks außerdem, was das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) für Webanalyse und Onlinewerbung bedeutet. Und wir zeigen dir, wie du mit Google Trends Suchbegriffe bewertest und auf Themenideen kommst.
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Nina Diercks, M.Litt (University of Aberdeen) ist seit 2010 als Rechtsanwältin tätig und führt die Anwaltskanzlei Diercks in Hamburg. Sie arbeitet bundesweit, jedoch ausschließlich in den Bereichen des IT-, Medien-, Datenschutz- und des angrenzenden Arbeitsrechts. Daneben veröffentlicht Nina Diercks regelmäßig Fachbeiträge und betreibt – ebenfalls seit 2010 – den Blog Diercks Digital Recht. Dazu ist sie als (Fach-)Referentin, Interviewpartnerin und (Gast-)Autorin gefragt.