Tracking auf Websites – darauf kommt es bei der Interessenabwägung an

Welche Rechtsgrundlage eignet sich dafür, das Tracking von Nutzern zu rechtfertigen?

Einwilligung

Die Anforderungen an eine wirksame Einwilligung sind – zumindest in der Theorie – nicht über die Maßen hoch. Die Datenverarbeitung darf erst beginnen, wenn der Nutzer vorab in informierter Weise seine Einwilligung freiwillig erteilt hat.

Mittlerweile gibt es eine Vielzahl an Consent-Management-Tools auf dem Markt, die es dem Verantwortlichen erleichtern, die Anforderungen auch technisch umzusetzen.

Doch der Schuh drückt an ganz anderer Stelle. Wenn die Nutzer über die Datenverarbeitung, insbesondere über die Einbindung von Tracking-Tools transparent informiert werden und sie eine echte Wahl haben, so werden viele Webseiten-Nutzer ihre Einwilligung nicht erteilen und nein sagen. Das hat u.U. enorme Folgen für den Verantwortlichen.

Viele Digitalangebote sind für den Nutzer kostenlos, egal ob Online-Magazine, Tageszeitungen oder Blogs. Diese Angebote finanzieren sich überwiegend oder vollständig über Werbung.

Lässt der Nutzer keine Tracking-Tools zu und verweigert seine Einwilligung, kann das im schlimmsten Fall das Aus für digitale Geschäftsmodelle bedeuten.

Es liegt auf der Hand, dass die Einwilligung für den Verantwortlichen nicht das erste Mittel der Wahl ist.

Vertrag

Dieselben Probleme ergeben sich auch bei einem Vertrag zwischen Nutzer und Verantwortlichem.

Derzeit diskutieren die Aufsichtsbehörden die Reichweite von Art. 6 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) stark. Um hier Klarheit zu schaffen, wird es demnächst eine neue Leitlinie zu Art. 6 Abs. 1 Buchst. b DSGVO bei Online-Services geben.

Doch im Ergebnis bleiben dieselben Probleme bei der praktischen Umsetzung wie bei der Einwilligung. Auch hier muss der Nutzer durch eine aktive Handlung den Nutzungsbedingungen/AGB zustimmen.

Interessenabwägung in 3 Stufen

Aufgrund der Hürden bei der praktischen Umsetzung scheint es für viele Verantwortliche verlockend, die Datenverarbeitung auf die Interessenabwägung gemäß Art. 6 Buchst. f DSGVO zu stützen.

Das zeigt auch ein Blick auf die Datenschutzbestimmungen zahlreicher Websites. Viele Website-Betreiber geben an, den Einsatz von Tracking-Tools auf Art. 6 Abs. 1 Buchst. f DSGVO zu stützen, da sie ein „berechtigtes Interesse an Werbung“ haben.

Manch Website-Betreiber meint, damit sei es getan. Schließlich steht in der DSGVO Schwarz auf Weiß, dass Werbung ein berechtigtes Interesse ist (vgl. Erwägungsgrund 47).

Doch ganz so einfach ist es nicht. Die Aufsichtsbehörden haben in der Orientierungshilfe für Anbieter von Telemedien klargestellt, dass die Interessenabwägung deutlich umfangreicher ist.

Die dort genannten Grundsätze sind keinesfalls ein deutscher Sonderweg, sondern ergeben sich unmittelbar aus der DSGVO. Das hat auch der Europäische Gerichtshof (EuGH) mehrfach bestätigt.

Verantwortliche, die ihre Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO stützen, sollten die Interessenabwägung immer anhand der im Folgenden vorgestellten dreistufigen Prüfung durchführen.

1. Stufe: Berechtigte Interessen darlegen

Das berechtigte Interesse ist eng mit dem Zweck der Verarbeitung verbunden.

Die Anforderungen an ein berechtigtes Interesse sind nicht sonderlich hoch. Es muss sich um ein legitimes Ziel handeln, das im Einklang mit der Rechtsordnung steht. Problematisch wäre beispielsweise der Betrieb eines Waffen-Shops im Darknet.

Am einfachsten ist das berechtigte Interesse mit dem „Warum“ der Verarbeitung zu erklären. Warum verarbeitet der Verantwortliche die Daten? Warum setzt er gerade dieses Tracking-Tool ein?

Das berechtigte Interesse eines Website-Betreibers kann z.B. sein:

• Werbefinanzierung
• Betrugsprävention
• Sicherheit (z.B. Abwehr von Bot-Angriffen)
• Reichweitenanalyse
• Produktverbesserung
• Benutzerfreundlichkeit
• Reduzierung von Ladezeiten
• Auffindbarkeit bei Suchmaschinen

2. Stufe: Erforderlichkeit prüfen

Auf der nächsten Stufe prüft der Verantwortliche, ob das eingesetzte Tracking-Tool für den genannten Zweck erforderlich ist.

Erforderlich im Sinne der DSGVO bedeutet, dass es kein milderes, gleich geeignetes Mittel gibt. Streng genommen bedeutet das, dass der Verantwortliche nur solche Tracking-Tools einsetzen darf, die nicht mehr Daten verarbeiten als für den Zweck nötig.

Die deutschen Aufsichtsbehörden sind der Auffassung, dass der Einsatz von Google Analytics nicht erforderlich ist, wenn der Betreiber nur die Reichweite seiner Website messen möchte.

Die Behörden begründen dies damit, dass Google Analytics – je nach Konfiguration – deutlich mehr Daten erfasst als für diesen Zweck erforderlich. Stattdessen wäre z.B. Matomo ein geeignetes Tool, da es nicht mehr Daten verarbeitet als für die statistische Analyse nötig.

3. Stufe: Im konkreten Einzelfall abwägen

Die letzte der drei Stufen ist der Kern der Abwägung. Hier entscheidet sich, ob sich eine Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO stützen lässt.

Es liegt auf der Hand, dass aus der Perspektive des Verantwortlichen seine berechtigten Interessen stets überwiegen. Doch eine subjektive Betrachtung genügt hier nicht.

Idealerweise kommt die Aufsichtsbehörde zum selben Ergebnis. Damit das gelingt, sollte sich der Verantwortliche an objektiven Prüfkriterien orientieren. Hierbei unterstützt ebenfalls die Orientierungshilfe für Anbieter von Telemedien (s.o.).

Die Aufsichtsbehörden haben eine Reihe von Kriterien entwickelt, die dabei helfen können, die Interessenabwägung objektiv durchzuführen.

Der Kriterienkatalog ist keinesfalls abschließend, sondern dient nur als Orientierung. Bewährt haben sich folgende Kriterien für die Interessenabwägung:

a) Eingriffsmöglichkeiten

Stützt ein Verantwortlicher die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO, hat die betroffene Person gemäß Art. 21 DSGVO ein Widerspruchsrecht. Dieses Widerspruchsrecht gilt jedoch nicht bedingungslos, sondern nur, wenn der Betroffene besondere Gründe vortragen kann.

Damit bestehen aus Sicht des Betroffenen gewisse Hürden. Dem Verantwortlichen steht es jedoch frei, diese Hürden abzusenken, indem er ein bedingungsloses Widerspruchsrecht gewährt.

Der Betroffene kann also jederzeit, ohne dass er einen Grund nennen muss, widersprechen. Dies ist eine zusätzliche Maßnahme, die dem Verantwortlichen positiv anzurechnen ist.

b) Verkettung von Daten

Immer dann, wenn Verantwortliche Daten aus Drittquellen hinzuspeichern, wächst die Beeinträchtigung für den Betroffenen.

Besonders hoch ist die Beeinträchtigung, wenn ein Anbieter Pseudonyme auflöst, indem er Klardaten hinzufügt.

c) Umfang der Datenverarbeitung

Gleiches gilt für den Umfang der Datenverarbeitung. Je mehr Daten eines Betroffenen ein Webseiten-Anbieter verarbeitet und je länger er die Daten speichert, desto eher fällt die Interessenabwägung zugunsten der betroffenen Person aus.

d) Anzahl der Datenempfänger

Je mehr Akteure an der Datenverarbeitung beteiligt sind, desto größer ist das Risiko für Betroffene. Das gilt unabhängig davon, ob es sich um gemeinsam Verantwortliche, Auftragsverarbeiter oder Dritte handelt.

Grund hierfür ist u.a., dass durch die steigende Anzahl an Beteiligten das Risiko einer Datenschutzverletzung wächst.

e) Kreis der Betroffenen

Zudem spielt es eine Rolle, wer von der Verarbeitung betroffen ist. Kinder sind nach der DSGVO besonders geschützt.

Das gilt auch für andere schutzbedürftige Personen in Fällen, in denen ein Machtungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht, z.B. im Arbeitsverhältnis oder bei Unternehmen mit einer Monopolstellung.

f) Erwartungen des Nutzers

Entscheidend ist darüber hinaus, ob die Datenverarbeitung für den Nutzer vorhersehbar ist. Muss ein durchschnittlicher Nutzer damit rechnen, dass eine Datenverarbeitung in dieser Weise stattfindet?

Kann der Verantwortliche diese Frage bejahen, so spricht das für seine Interessen. Kritisch ist hingegen, wenn die Datenverarbeitung im Hintergrund stattfindet und der Nutzer keine Kontrollmöglichkeiten hat.

Das ist z.B. der Fall, wenn website- oder geräteübergreifend Nutzungsdaten durch Dritte erfasst werden. Diese Form des Tracking ist nicht per se einwilligungspflichtig. Dennoch spricht an dieser Stelle vieles zugunsten der Nutzerinteressen.

g) Datenkategorien

Schließlich spielt es eine entscheidende Rolle, welche Daten eine Webseite verarbeitet. Handelt es sich nur um technische Informationen, die Auskunft darüber geben, woher ein Nutzer kommt (Land/Region), welche Spracheinstellungen er hat und von welchem Endgerät er auf eine Website zugreift, so ist dies unproblematisch.

Handelt es sich hingegen um Daten, die Auskunft über die wirtschaftliche Lage, die Arbeitsleistung, persönliche Vorlieben und Interessen geben, so ist die Beeinträchtigung für den Nutzer höher.

ACHTUNG: Ein K.o.-Kriterium ist, wenn Daten verarbeitet werden, die Rückschluss auf besondere Kategorien gemäß Art. 9 DSGVO geben.

Das ist z.B. der Fall bei Gesundheitsportalen, Online-Apotheken, Websites von politischen Parteien oder Dating-Portalen.

Geht es um ein solches Webangebot, ist nach der DSGVO eine Einwilligung erforderlich, es sei denn, es liegt eine der wenigen Ausnahmen gemäß Art. 9 Abs. 2 DSGVO vor.

Wichtig zu wissen ist, dass die Interessenabwägung immer in der Gesamtschau erfolgen muss. Es reicht nicht aus, sich ein oder zwei Kriterien herauszugreifen.

Entscheidend ist allein, dass im Gesamtergebnis die Interessenabwägung zugunsten des Verantwortlichen ausfällt. Erst dann kommt Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage infrage.

Übrigens sind die oben genannten Kriterien nicht auf Websites beschränkt, sondern gelten für jede Interessenabwägung.

Was passiert, wenn die Behörde anderer Meinung ist?

Kommt die Aufsichtsbehörde im Rahmen der Prüfung zu einem anderen Ergebnis und ist der Auffassung, dass die Interessen der Betroffenen überwiegen, so wird sie ggf. die Datenverarbeitung untersagen.

Mit einem Bußgeld ist nur zu rechnen, wenn der Verantwortliche die Abwägung ungenügend oder gar nicht durchgeführt und zugleich seine Rechenschaftspflicht verletzt hat.

Damit es nicht so weit kommt, sollten Verantwortliche ihre Interessenabwägung immer dokumentieren, z.B. mit unserer Checkliste.

Kristin Benedikt