Online-Marketing unter der DSGVO
Dieser Beitrag behandelt, wie es aktuell um die einwilligungsfreie Platzierung von (Track- ing-)Cookies nach § 15 Abs. 3 TMG steht, und ob die damit verbundene Datenverarbeitung zum Zwecke der Aussteuerung verhaltensbezogener Online-Werbung auf berechtigte Interessen (Art. 6 Abs. 1 Buchst. f DSGVO) gestützt werden kann.
Verhaltensbezogene Werbung und Cookies
Das Tracking des Nutzerverhaltens im Netz ist für Unternehmen eine wichtige Informationsquelle, um Online-Werbemittel zielgerichtet und effektiv zu platzieren.
Hierzu wird das Nutzerverhalten analysiert, um Interessen und Vorlieben des Nutzers einzuschätzen. Das Ausspielen von Werbung auf Basis solcher Analysen nennt sich verhaltensbasierte Online-Werbung oder, branchentypisch in Englisch, Behavioral Targeting. Die Methode basiert darauf, dass mittels verschiedener Technologien – oft Cookies – Geräte von Nutzern markiert, ihr Verhalten und Interaktionen im Netz erfasst, analysiert und zum Teil auch als (geräteüber-greifendes) Nutzerprofil zusammengeführt werden. Die gesammelten Informationen können Rückschlüsse auf Produktinteressen, Kaufabsichten, Hobbies, aber auch auf Familienstand oder Einkommen zulassen. Ein wertvolles Knowhow, das es Unternehmen ermöglicht, Werbemittel auf das Verhalten der Internetnutzer effektiv und passgenau auszurichten.
Opt-in oder Opt-Out – Wie geht es jetzt weiter?
Der Rechtsrahmen für die Einbindung solcher (Tracking-)Cookies war in Deutschland vom sog. „Opt-Out“- Ansatz geprägt (§ 15 Abs. 3 Telemediengesetz – TMG). Diese Norm erlaubt(e) der deutschen Online-Werbeindustrie unter bestimmten Voraussetzungen (Pseudonymisierungspflicht, Transparenz, Widerspruchsmöglichkeit) Nutzungsdaten zu Werbezwecken ohne Einwilligung zu verwenden.
Auch wenn § 15 Abs. 3 TMG immer noch existiert ist es mittlerweile fraglich, ob sich Unternehmen noch auf ein „Opt-Out“ verlassen können. Jüngere Entscheidungen des Europäischen Gerichtshofs lassen es als zumindest sehr zweifelhaft erscheinen, dass es sich bei der Norm um eine richtlinienkonforme Umsetzung des Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation handelt (Richtlinie 2002/58/ EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation in der Fassung vom 25. November 2009 – Richtlinie 2009/136/EG). Denn schon im Jahr 2009 galt im Grundsatz ein „informed opt-in“, von dem es nur enge Ausnahmen gibt. Nach der "planet49"-Entscheidung des EuGH gilt dieser Grundsatz insbesondere losgelöst von der Frage, ob es sich bei der Speicherung und dem Auslesen von Information um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO handelt oder nicht (EuGH, 1.10.2019 – C-673/17 “planet49”).
Am 28. Mai 2020 wird der zuständige Bundesgerichtshof,("BGH") der dem EuGH die für das planet49-Verfahren maßgebliche Vorlagefrage vorgelegt hatte, nun endgültig darüber entscheiden, wie § 15 (3) TMG zukünftig zu verstehen ist.
Aufgrund der aktuellen Entwicklungen auf europäischer und nationaler Ebene ist nicht davon auszugehen, dass der BGH an dem "Opt-Out"-Ansatz festhält. Stattdessen wird der zuständige Senat mit hoher Wahrscheinlichkeit § 15 (3) TMG dahingehend auslegen, dass die Norm kein Opt-Out, sondern einen Einwilligungsvorbehalt normiert (sog. richtlinienkonforme Auslegung). In der Konsequenz würde diese - dogmatisch umstrittene - richtlinienkonforme Auslegung zu folgendem Rechtsrahmen in Deutschland führen:
- Die Erfassung und Verwendung von Nutzungsdaten (z.B. mittels Cookie-Technologien) ist einwilligungsfrei möglich, "soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen" (vgl. § 15 Abs. 1 TMG);
- Die Erfassung von Nutzerdaten (z.B. mittels Cookie-Technologien) zwecks Profilbildung, Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien ist nur mit der vorherigen Einwilligung des Nutzers möglich (erwartete richtlinienkonforme Auslegung des § 15 Abs. 3 TMG).
In Anlehnung an aktuelle Diskussionen der Datenschutzbehörden zum Kriterium der Erforderlichkeit von Cookies, wird man eine einwilligungsfreie Einbindung von Cookies zumindest dann annehmen können, soweit die Erfassung und Verwendung von Nutzungsdaten für die technische Bereitstellung der vom Nutzer angefragten Onlineinhalte erforderlich ist (z.B. Warenkorb-Cookies im Onlineshop; Sprachauswahl).
Cookie-basiertes Tracking von Nutzerverhalten zur Analyse-, und Werbezwecken wäre hingegen streng genommen nur noch mit der vorherigen Einwilligung (Opt-In) der Nutzer möglich. Wie der deutsche Markt einen solchen Richtungswechsel in der Praxis annimmt und auslegt, bleibt abzuwarten. Ein Blick auf unsere Nachbarn in Frankreich mutet erste Ansätze und Argumentationsspielräume an zumindest die Einbindung sog. First-Party Analysecookies als "erforderlich" und damit einwilligungsfrei anzusehen.
Auch wenn der derzeitige Rechtsrahmen (§ 15 Abs. 3 TMG) in Deutschland ein Vorgehen auf Opt-Out-Basis noch rechtfertigt, steht eine abändernde, abschließende Entscheidung des Bundesgerichtshofs nunmehr unmittelbar bevor.
Unternehmen wird empfohlen, die weiteren Entscheidungen und Entwicklungen auf nationaler und internationaler Ebene zu beobachten. Dies betrifft neben der ausstehen den BGH-Entscheidung insbesondere die ebenfalls verkündeten Bestrebungen des Bundeswirtschaftsministeriums Änderungen am Telemediengesetz vorzunehmen.
Wer kein Risiko eingehen möchte, sollte seine aktuellen Cookies-Praktiken bereits jetzt am Maßstab der Erforderlichkeit auf den Prüfstand stellen. Der deutsche Markt hat und wird an seinen Opt-Out Praktiken festhalten – solange er kann. Spätestens allerdings ab dem 28. Mai 2020 ist davon auszugehen, den Schalter in Deutschland auf ein Opt-In umzustellen, welches die Anforderungen des EuGHs entsprechend berücksichtigt.
Wo immer automatisierte Verarbeitungen von Nutzerdaten „im Hintergrund“ laufen, gelten (auch) die Spielregeln der DSGVO
Die Verarbeitung von Cookie-basierten Nutzerdaten zum Zwecke der Aussteuerung verhaltensbezogener Werbung umfasst eine Vielzahl an Datenverarbeitungsvorgängen, z.B.
- die Analyse und Auswertung von Nutzerverhalten,
- die Erstellung (pseudonymer) Nutzerprofile und ggf. die Verknüpfung mit anderen Datensätzen (z.B. Kundenprofil),
- die Aussteuerung von Online-Werbemitteln an ausgewählte Zielgruppen sowie
- die Einschränkung der Ausspielung von Online-Werbemitteln an einzelne Nutzer (sog. Frequency Capping).
Auf welche Rechtsgrundlage sich ein Unternehmen für diese Datenverarbeitungsvorgänge stützen kann, richtet sich vornehmlich nach Art. 6 der DSGVO. Neben der Einwilligung, die sich aufgrund ihrer Anforderungen nicht immer als „Königsweg“ auszeichnet, spielt insbesondere das berechtigte Interesse gemäß Art. 6 Abs. 1 Buchst. f) DSGVO als Rechtsgrundlage für die Datenverarbeitung zu Werbezwecken eine besondere Rolle.
Fazit
Ob die Interessenabwägung im konkreten Einzelfall zugunsten des Unternehmens ausfällt, hängt von der Intensität der Datenverarbeitung und den Möglichkeiten zur Risikobegrenzung ab. Werbetreibende Unternehmen sollten sich deshalb der von Ihnen genutzten (Dritt-)Technologien bewusst sein, die weiteren rechtlichen Entwicklungen im Auge behalten und jedenfalls die Risiken adressieren, die in ihrer Einflusssphäre liegen (Transparenz gegenüber und Wahlmöglichkeiten für den Nutzer).
Letztlich kann aber gerade beim Einsatz von aktueller Werbetechnologie hundertprozentige Rechtssicherheit kaum erreicht werden, bevor die Datenschutzbehörden eine europaweit einheitliche Handhabung abgestimmt haben.