Man könnte beinahe paranoid werden: Gestern bei amazon nach Kaffeeautomaten gesucht, heute Schuhe bei Zalando gekauft - und nun verfolgen mich Werbeanzeigen mit den von mir aufgerufenen Artikeln und ähnlichen Angeboten quer durch das ganze Internet.
Möglich wird diese Verfolgung durch die eigenen Abrufe durch sog. "Tracking Cookies". Tracking Cookies dienen dazu, Daten über das Verhalten und die Vorlieben des Nutzers einer Website zu gewinnen. Im Ergebnis wird durch das Setzen des Cookies in den Browser des Nutzers ein Nutzungsprofil über diesen angelegt – kurz: es wird festgehalten, welche Kaffeeautomaten mein näheres Interesse geweckt haben und für welche Schuhe ich mich interessiert habe. Diese Daten werden sodann auch anderen Websites zur Verfügung gestellt, die mir dann bei Aufruf der Seite das zu meinem früheren Nutzerverhalten erhobene Nutzerprofil zuordnen und Werbeanzeigen ausgeben, die meinem Nutzerprofil entsprechen. Die Ausgabe der Werbeanzeigen folgt dabei einem automatisierten Auktionsverfahren in Echtzeit, dem sog. "Realtime Bidding", bei dem die passende Werbeanzeige des Höchstbietenden eingeblendet wird. Laut Wikipedia gehört das Realtime Bidding mit zu den am stärksten wachsenden Trends des Online-Werbemarktes.
Doch ist das vom Realtime-Bidding untrennbare Setzen und Auslegen von sog. Tracking Cookies datenschutzrechtlich überhaupt ohne Einwilligung der betroffenen Nutzer zulässig?
Hierbei stellt sich zunächst die Frage, ob hierdurch überhaupt personenbezogene Daten erhoben werden, denn der Personenbezug setzt die Bestimmbarkeit einer individuellen Person voraus. Die Bestimmbarkeit einer individuellen Person hängt von der Art der erhobenen Daten ab. Lassen die Daten die Identifizierung einer Person zu, handelt es sich um personenbezogene Daten. Diese unterliegen den Bestimmungen des Bundesdatenschutzgesetzes, welches die Erhebung und Verarbeitung der Daten, von wenigen Ausnahmen abgesehen, von der Einwilligung des Nutzers abhängig machen. Diese Einwilligung müsste nach dem deutschen datenschutzrechtlichen Einwilligungsbegriff durch einen bewussten Akt erteilt werden, sie entspricht daher dem umgangssprachlich so genannten "Opt-In".
Aber selbst wenn keine per se personenbezogenen Daten erhoben werden, ist der Einsatz von Tracking-Cookies, durch die zumindest eine spätere Identifizierung des Nutzers möglich sein kann (z.B. spätere Registrierung auf der Website, Newsletteranmeldung, Kauf), an bestimmte rechtliche Voraussetzungen gebunden.
Unterrichtung des Nutzers erforderlich!
Speziell für den Datenschutz im Internet gelten in Deutschland die Vorschriften des Telemediengesetzes (TMG). § 13 Abs. 1 TMG schreibt dem Websitebetreiber (Publisher) vor, dass er den Nutzer vor Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten unterrichten muss. Jede Website, über die Nutzerdaten verarbeitet werden, muss also mit einer Datenschutzerklärung ausgestattet sein.
Speziell für automatisierte Verfahren, die eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung oder Verwendung personenbezogener Daten vorbereiten, sieht § 13 Abs. 1 TMG darüber hinaus vor, dass der Nutzer vor Beginn der Nutzung über dieses Verfahren zu unterrichten ist und dass der Inhalt der Unterrichtung für den Nutzer jederzeit abrufbar sein muss. Nur durch diese Unterrichtung hat der Nutzer die Möglichkeit, die Nutzung zu unterbrechen und den Einsatz von Cookies oder vergleichbaren automatisierten Verfahren über seine Browser-Einstellungen zu unterbinden.
Wie die Information nun genau zu erteilen ist (Bereitstellung eines Links, Öffnung eines Pop-Up-Fensters) ist jedoch im Gesetz nicht geregelt.
Mittlerweile finden findet man auf einigen Websites Pop-Up-Fenster, in denen sich eine entsprechende Unterrichtung findet. Diese kann z.B. wie folgt lauten:
"XXX.de nutzt auf der Website Cookies, um Ihnen an Ihren Informationsbedarf angepasste Inhalte zu vermitteln. Mit der weiteren Nutzung Website stimmen Sie in Bezug auf die Verwendung von Cookies zu. Weitere Informationen erhalten Sie über unsere Datenschutzerklärung."
Da der Nutzer klar und umfassend darüber informiert werden muss, welche Daten aus seinem Browser ausgelesen und zu welchen Zwecken sie verwendet werden, sowie die Information darüber, wie diese Datennutzung verhindert werden kann, muss die Datenschutzerklärung entsprechend genau sein.
Weitergabe personenbezogener Daten ohne Einwilligung unzulässig
Sobald die Daten jedoch personenbezogen werden, etwa weil der Nutzer sich einloggt, sieht die Rechtslage wieder etwas anders aus.
Für personenbezogene Daten gilt weiterhin die Vorschrift des § 15 TMG, wonach diese Daten ohne Einwilligung des Nutzers nur erhoben werden dürfen, soweit dies für den Nutzungszweck erforderlich ist. Danach wäre z.B. Die Nutzung von Cookies möglich, die ein registriertes Mitglied identifizieren und ihm die mitgliedspezifischen Funktionen zur Verfügung zu stellen. Das Auslesen von personenbezogenen Daten zu sonstigen Zwecken (z.B. Verkauf von Kundendaten mit Nutzungsprofil), wäre ohne Einwilligung des betreffenden Nutzers jedoch rechtswidrig
Über Tracking-Cookies dürfen also ausschließlich solche Daten ausgelesen werden, die keinen Bezug zur Person erlauben. Wird ein solcher Bezug hergestellt (Nutzer loggt sich ein, Nutzer registriert sich für einen Newsletter, Nutzer legt ein Profil an etc.) müssen die erhobenen Daten anonymisiert werden. Kundendaten und Nutzerprofile müssen daher streng getrennt bleiben.
© 2014 Katja Chudoba, Rechtsanwältin
Kanzlei Karsten & Chudoba
Unsere Partnerkanzlei Karsten & Chudoba beleuchtet regelmäßig branchenrelevante Themen in der aktuellen Rechtsprechung.
www.karsten-chudoba.de