Webtracking ohne Einwilligung ist nach der „Cookie-Richtlinie“ verboten. Aktuelle Versionen neuer Browser offenbaren erste Techniken zur Einwilligungspflicht.
Der ursprüngliche Aufschrei der Werbetreibenden über die ePrivacy Änderungsrichtlinie 2009/136/EG, der sog. „Cookie-Richtlinie“, ist in Deutschland schnell verhallt. Zwischenzeitlich sind die Hersteller der meisten großen Internetbrowser für die Verbraucher in die Bresche gesprungen und versuchen auf verschiedenen Wegen das „behavioural targeting“ der diversen Werbenetzwerke und Analyseprogramme zu unterbinden.
Nach verschiedenen Ankündigungen von Mozilla (Firefox) und Microsoft (Internet Explorer) wurden nun tatsächlich Maßnahmen in den aktuellen Versionen der jeweiligen Browser eingesetzt, die zwar dasselbe Ziel der Verhinderung von Webtracking verfolgen, dabei jedoch grundverschiedene Techniken einsetzen.
Mozilla setzt auf Mitwirkung der Webseitenbetreiber
Während Microsofts Konzept „Tracking-Schutz“ auf Drittanbieter setzt, die anhand von Black- und Whitelists vorgeben, welche Webseiten welche Informationen über den Seitennutzer speichern dürfen, verlässt sich Mozillas „Do-Not-Track“ Funktion vollständig auf die Mitwirkung des jeweiligen Webseitenbetreibers und dessen eigener Umsetzung des Verbraucherwunschs, anonym zu bleiben. Mozilla sendet beim Seitenaufruf lediglich einen http-Header „do-not-track“ an die besuchte Webseite, wenn die Einstellung „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“ gesetzt wurde. Ob dieser Header jedoch ausgewertet wird oder ungelesen im Datennirvana verschwindet, obliegt jedem einzelnen Webseitenbetreiber.
Webseitenbetreiber in der Pflicht zur Implementierung
Da es sich bei den Anti-Tracking Maßnahmen der Browserhersteller jedoch weder um gesetzliche Regelungen noch Industriestandards handelt, mag sich so mancher Webseitenbetreiber fragen, ob und warum er sich überhaupt mit derartigen Neuerungen, insbesondere dem „do-not-track“ Header von Mozillas Firefox auseinandersetzen muss.
Die klare Antwort an dieser Stelle kann nur lauten: Ja! Und das so schnell wie möglich.
Denn sobald ein Cookie personenbezogene Daten speichert – und dazu genügt nach dem Verständnis der Datenschutzbehörden bereits die Speicherung der (ungekürzten) IP-Adresse oder eines Unique Identifiers (UID) – greift das deutsche Datenschutzrecht ein und die jederzeit widerrufliche Einwilligung des Nutzers ist notwendig. Diese Einwilligung muss dann vor allem vordem Beginn der Datenerhebung vorliegen und protokolliert sein; der Nutzer muss außerdem auf die Widerruflichkeit hingewiesen worden sein.
„Do-not-track“ ist wirksamer Widerspruch bzw. Widerruf
Abgesehen davon, dass eine wirksame Einwilligung in den seltensten Fällen vorliegen wird, stellt sich vor allem die Frage, ob das Aktivieren der „do-not-track“ Einstellung in Firefox als Widerspruch gegen die Datenerhebung bzw. der Widerruf einer erteilten Einwilligung angesehen werden kann. Der Widerspruch bzw. der Widerruf der Einwilligung durch den Nutzer unterliegt weder nach dem TMG (vgl. Spindler/Schuster – Recht der elektronischen Medien, 2. Aufl. 2011, 12. Teil, § 13 TMG Rn. 7) noch dem BDSG (vgl. Gola/Schomerus, BDSG 10. Aufl. 2010, § 28 Rn. 61) einer bestimmten Form und ist auch elektronisch möglich. Da hier gerade nicht die elektronische Form des § 126a BGB gemeint ist, sondern jede elektronische Erklärung ausreicht, lohnt sich also ein genauer Blick auf die „do-not-track“ Option in Firefox.
Die Einstellung „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“, wurde mit Firefox Version 4 eingeführt und befand sich gut versteckt im Einstellungsreiter „Erweitert“. In Version 5 ist die Option nun etwas besser sichtbar in den Reiter „Datenschutz“ gewandert. Entscheidend ist jedoch, dass diese Option im Auslieferungszustand deaktiviert ist. So muss der Nutzer zum einen selbst tätig werden und dieses Häkchen in den Einstellungen von Hand setzen. Zum anderen ist diese Option weder auf einen flüchtigen Blick hin erkennbar und noch besonders ausführlich beschrieben, so dass sie im Wesentlichen nur von Nutzern aktiviert wird, die sich mit der Materie zumindest oberflächlich auseinandergesetzt haben.
Und genau deshalb dürfte im Setzen der Anti-Tracking Option eine eindeutige und bewusste Willenserklärung des Nutzers zu sehen sein, die dazu (meist) noch auf einer informierten Entscheidung beruht, dass dieser Nutzer keiner Webseite die Verfolgung seines Surfverhaltens gestatten will.
Diese Erklärung wird bei jedem Seitenaufruf sowohl an den Betreiber der aufgerufenen Webseite als auch an den Betreiber des Werbenetzwerks gesendet. Somit wird jeder verantwortlichen Stelle im Sinne des BDSG bzw. jedem Diensteanbieter im Sinne des TMG gegenüber der Widerspruch gegen die Datenerhebung oder -verarbeitung zu Werbezwecken erklärt.
Obwohl die Widerruflichkeit der Einwilligung nach den verschiedenen anwendbaren Gesetzen kleinen Unterschieden unterliegt, dürfte ein Ausschluss der Widerruflichkeit der Einwilligung nur in wenigen Fällen relevant werden, in denen diese eine vertragliche Hauptleistungspflicht darstellt oder die Vertragsdurchführung ansonsten unmöglich würde – in vielen solchen Fällen wird jedoch auch ein gesetzlicher Ausnahmetatbestand eingreifen.
Soweit noch eingewendet wird, dass die „do-not-track“ Einstellung kein wirksamer Widerruf sei, da auch die Eintragung in eine sog. Robinsonliste nicht ausreiche, so kann dem nicht gefolgt werden, denn die „do-not-track“ Einstellung im Mozilla Firefox unterscheidet sich an der entscheidenden Stelle von derartigen Listen. Die Mozilla Einstellung sendet eben im Einzelfall einen Widerspruch an jeden einzelnen Webseitenbetreiber bzw. jede verantwortliche Stelle, ohne dass der Betreiber vorher eine Liste eines Dritten konsultieren müsste.
Im Falle der Aktivierung der „do-not-track“ Einstellung können sich Webseitenbetreiber für die Datenerhebung und -verarbeitung dementsprechend nur noch auf gesetzliche Erlaubnistatbestände berufen, nicht jedoch auf eine Einwilligung des Nutzers. Solche gesetzlichen Erlaubnistatbestände sind jedoch hinsichtlich des Werbezwecks rar gesät und erfassen vor allem nicht die Verhaltensanalyse zum Zweck der Schaltung individualisierter Werbung.
Datennutzung ohne Einwilligung ist bußgeldbewehrt
Webseitenbetreiber, die über Cookies oder andere Tracking- oder Analysewerkzeuge mit personenbezogenen Daten umgehen, sind daher gut beraten, auch die verschiedenen Anti-Tracking Mechanismen der Browser auszuwerten und dem Willen der Nutzer, nicht im Web verfolgt zu werden, zu entsprechen. Denn ohne wirksame Einwilligung ist die Erhebung, Nutzung oder das Unterlassen der rechtzeitigen Löschung von Identifikationsmerkmalen mit Bußgeld bis zu 50.000 € bewehrt.
Auch ausländische Webseiten sind erfasst
Die Nutzung von Cookies oder anderer clientbasierter Trackingwerkzeuge wirft jedoch das Augenmerk auch auf die internationale Komponente dieser Praxis, denn nicht immer werden diese Daten ausschließlich von deutschen Webseitenbetreibern genutzt. Zum einen muss der Anbieter der deutschen Webseite, die personenbezogene oder pseudonyme Daten, die innerhalb des Werbenetzwerks mit Klarnamen verknüpft werden könnten, erhebt oder verarbeitet, die Einwilligung des Nutzers einholen.
Zum anderen erstreckt sich diese Pflicht auch auf die ausländischen Werbepartner des Netzwerks, die durch die Erhebung und Verarbeitung bestimmter Daten über das Verhalten deutscher Nutzer dem deutschen Datenschutzrecht unterworfen sind. Nach § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) genügt als Anknüpfungspunkt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Inland. Diese Erhebung, Verarbeitung oder Nutzung geschieht jedenfalls dann im Inland, wenn der Rechner, auf dem sie ausgeführt wird, in Deutschland steht. Anders als Serverlogs ausländischer Webserver werden mit Cookies und bestimmten Javascript-Routinen Daten bereits auf dem Rechner des Nutzers in Deutschland erhoben oder verarbeitet, indem etwa ein Identifikationsmerkmal in einem Cookie gespeichert, oder durch eine Javascript Routine Einzelheiten über die zuletzt besuchten Webseiten vom Datenspeicher des PCs abgerufen werden, wobei es gerade nicht darauf ankommt, ob ein deutscher oder (außereuropäischer) ausländischer Anbieter die Daten speichert oder ausliest. Derartige Zugriffe auf das Gerät des Nutzers reichten den deutschen Datenschutzbehörden bereits in einem Fall aus, um auch gegen ausländische Webseitenbetreiber (in dem Fall Facebook) tätig zu werden und Bußgeldverfahren einzuleiten.
Ausblick: ePrivacy Richtlinie geht noch weiter
Sobald die bereits angesprochene ePrivacy Richtlinie auch in Deutschland umgesetzt wird, dürfte sich im Bereich des Webtrackings die Situation nochmals verschärfen, denn die Richtlinie stellt anstelle von personenbezogenen Daten, wie sie das deutsche Datenschutzrecht kennt, auch die „Speicherung von Informationen oder de[n] Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ unter Einwilligungsvorbehalt. Durch diese Anknüpfung an „Informationen“ wird der Anwendungsbereich sehr weit gefasst. Obwohl der Begriff der „Informationen“ in der Richtlinie nicht definiert ist, deutet schon die Verwendung dieses Begriffs in der Richtlinie darauf hin, dass keine wesentliche Einschränkung des natürlichen Sprachgebrauchs erfolgen soll, also gerade keine Beschränkung auf persönliche oder personenbezogene Daten intendiert ist.
Diesem weiten Begriffsverständnis entsprechend wird auch in dem auf Veranlassung der hessischen Landesregierung vom Bundesrat am 17.06.2011 vorgelegten Entwurf zur Änderung des Telemediengesetzes (Drucksache 156/11) nur von „Daten“ gesprochen, ohne Einschränkung auf ihren Personenbezug. Ein Unterschied zwischen „Informationen“ und „Daten“ ergibt sich indes aus dem Entwurf nicht, da zur Begründung der Regelung lediglich die Umsetzung der Richtlinie angeführt wird. Eine Eingrenzung nur auf personenbezogene Daten würde voraussichtlich einer gerichtlichen Überprüfung – spätestens durch den EuGH – auch nicht standhalten.
Daher werden von der deutschen Umsetzung der „Cookie“-Richtlinie nicht nur personenbezogene, sondern auch andere Daten erfasst, die beim Nutzer erhoben werden und die nicht zwingend für die Bereitstellung des Angebots notwendig sind, beispielsweise in Cookies gespeicherte Nutzungs- oder Verhaltensdaten, selbst wenn diese keinesfalls einem Nutzer zuzuordnen sind.
In Erwägungsgrund 66 geht die Richtlinie zudem davon aus, dass auch durch Browsereinstellungen die (fehlende) Einwilligung des Nutzers zur Verwendung von Webtracking zu Analyse- und Marketingzwecken ausgedrückt werden kann. Diese Browsereinstellung entfaltet dann nach dem Willen der Richtlinie dieselbe Wirkung wie ein in anderer Weise erklärter Widerspruch gegen oder eine Einwilligung in das Webtracking zu Werbe- und Analysezwecken, ist also ebenso bindend für die Webseitenbetreiber und Betreiber von Werbenetzwerken.
Diese Aufwertung des Konsumentendatenschutz wird in Erwägungsgrund 69 noch dadurch verstärkt, dass den Mitgliedstaaten aufgegeben wird, die nationalen Datenschutzbehörden entsprechend besser auszustatten, um Verstöße gegen das Datenschutzrecht in diesem Bereich wirksam verfolgen zu können.
Die Behandlung von Browsereinstellungen werden jedoch im Gesetzesentwurf nicht explizit aufgegriffen, vielmehr werden nur bestimmte Dienstanbieter mit gesteigerten Informationspflichten belastet. Somit wird der Gesetzgeber einen anderen Weg finden müssen, Webseitenbetreiber zu verpflichten, vom Nutzer gesetzte Browsereinstellungen zum Tracking auszuwerten und zu berücksichtigen.
Fazit: Mozillas „do-not-track“ Einstellung ist unbedingt zu beachten
Auch wenn die „do-not-track“ Einstellung der neuen Firefox Browser selbst keine gesetzliche Regelung darstellt, so ist sie doch schon jetzt bei der Erhebung und Verarbeitung personenbezogener Daten als Widerspruch bzw. Widerruf des Nutzers zu beachten.
Die Umsetzung der „Cookie“-Richtlinie wird den Anwendungsbereich dieses Widerspruchs per Browsereinstellung noch maßgeblich erweitern, so dass Webseitenbetreiber und Werbenetzwerke schlussendlich nicht die Wahl haben werden, die Firefox „do-not-track“ Option oder ähnliche Browsereinstellungen zu ignorieren.
GABOR Rechtsanwälte sind auf Datenschutzrecht spezialisiert. Wir beraten Sie gerne.