Von Dr. Cornelius Renner
Zunächst soll die geplante EU-Datenschutzverordnung die Nutzer besser vor der Erstellung von Persönlichkeitsprofilen schützen. Der Regelungsvorschlag der EU-Kommission sieht vor, dass die Nutzer der Erstellung der Profile zustimmen. Insbesondere das Tracking der Nutzer über verschiedene Webseiten hinweg ist den Datenschützern ein Dorn im Auge. Da nur die wenigsten Nutzer die geforderte Einwilligung erteilen werden, bleibt den Targeting-Anbietern nur der Weg, die gesammelten Daten so zu anonymisieren, dass die betroffenen Personen nicht identifizierbar sind. Insbesondere müssen durch einen zwischengeschalteten Anonymisierungsdienst die IP-Adressen der Nutzer verschlüsselt werden. Zwar sieht die EU-Kommission eine IP-Adresse nicht zwangsläufig als personenbezogenes Datum; in Verbindung mit den anderen gesammelten Daten wird sich der Personenbezug der IP-Adressen aber kaum verneinen lassen.
Online Behavioural Advertising
Die Dienstleister werden nicht umhinkommen, ihre Erhebungsmodelle zu ändern: Anstatt Profile über einzelne Nutzer anzulegen, werden sie sich zukünftig auf bestimmte Nutzergruppen, in denen der Einzelne anonym bleibt, konzentrieren müssen. Bereits heute kommen einige Targeting-Dienste ohne personalisierte Nutzerprofile aus und bieten ihren Kunden mithilfe von ausgeklügelten statistischen Modellen trotzdem hohe Trefferquoten bei der Schaltung von nutzungsbasierter Onlinewerbung (Online Behavioural Advertising oder kurz OBA).
Wesentlich größere Probleme wird den OBA-Anbietern das Einwilligungserfordernis für Cookies bereiten. Dieses ist zwar schon längst von der EU in der E-Privacy-Richtlinie geregelt worden. Bisher hat sich der Gesetzgeber aber trotz Fristablauf beharrlich geweigert, die Regelung umzusetzen. Damit gilt derzeit noch das Telemediengesetz (TMG). Das sieht lediglich eine Pflicht vor, Nutzer über die Verwendung von Cookies zu informieren und ihnen ein Widerspruchsrecht einzuräumen.
Sollte Deutschland die Richtlinie umsetzen, wird der Cookies-Einsatz für Targeting-Dienste nur zulässig sein, wenn der Nutzer eingewilligt hat. Dies gilt im Übrigen unabhängig davon, ob der Targeting-Anbieter personenbezogene Daten verarbeitet oder nicht, da die E-Privacy-Richtinie eine generelle Einwilligungspflicht für Cookies vorsieht. Wie diese Einwilligung aussehen muss, darauf hat die „Artikel-29-Datenschutzgruppe“ in einer Stellungnahme einen Vorgeschmack geliefert. Das Gremium hat ausdrücklich darauf hingewiesen, dass eine wirksame Einwilligung nicht durch ein nachträgliches Opt-out erlangt werden könne, sondern unbedingt einvorheriges Opt-in erfordere, also eine aktive vorherige Zustimmung des Nutzers. Daran wird kaum zu rütteln sein, auch wenn sich die Werbewirtschaft im Wege der Selbstregulierung zu einem Opt-out verpflichtet hat.
Bislang völlig offen ist die Frage, wie die Einwilligung genau auszusehen hat. Popup- Fenster, die den Nutzer beim erstmaligen Besuch auffordern, mit einem Klick in das Setzen der Cookies einzuwilligen, würden den gesetzlichen Anforderungen zwar sicher gerecht, für die OBA-Anbieter und die Seitenbetreiber wären sie aber eine schlechte Lösung. Solche Pop-ups haben eher eine abschreckende Wirkung auf die Nutzer. Auch andere von der „Artikel-29-Datenschutzgruppe“ abgesegnete Wege, etwa eine vorgeschaltete Hinweisseite oder statische Banner auf der Seite selbst, die den Nutzer auf die erforderliche Einwilligung hinweisen und mit einer Informationsseite verlinkt sind, werden entweder als Störfaktor wahrgenommen oder animieren zu wenige Nutzer zu einer aktiven Einwilligung.
Wortlaut der Richtlinie setzt aber enge Grenzen
Ein sinnvoller Kompromiss könnte der Weg über eine Einwilligung durch die Browsereinstellung sein. Allerdings darf es dann keine Browservoreinstellung geben, die das Setzen der Cookies standardmäßig ermöglicht; vielmehr wäre auch hier eine aktive Einwilligungshandlung des Nutzers notwendig.
Um die Einzelheiten dieser aktiven und vorherigen Einwilligung wird die Werbewirtschaft noch kräftig mit dem Gesetzgeber ringen. Der Wortlaut der Richtlinie setzt aber enge Grenzen, da er verlangt, dass die Nutzer ihre Einwilligung „auf der Grundlage von klaren und umfassenden Informationen (…) über die Zwecke der Verarbeitung“ erteilen. Eine strenge Auslegung des Wortlauts hätte sogar zur Folge, dass in jedes Cookie einzeln eingewilligt werden müsste – damit wäre die Lösung über die Browsereinstellungen hinfällig. Der Wortlaut ließe aber durchaus zu, dass die Einwilligung einmalig und zentral über die Browsereinstellungen für eine bestimmte Art von Cookies erteilt wird, wenn der Nutzer tatsächlich genau darüber informiert wird, welche Daten für welchen Zweck gesammelt werden, wie lange die Daten gespeichert werden und wie lange die Cookies auf den Endgeräten der Nutzer aktiv bleiben. Immerhin: Die „Artikel-29-Datenschutzgruppe“ hat in ihrer Stellungnahme darauf hingewiesen, sie halte es bei Cookies von externen Diensten nicht für erforderlich und eine einmalige Zustimmung für einen bestimmten Dienst reiche aus.
Wenn das Einwilligungserfordernis wie geplant umgesetzt wird, besteht die Gefahr, dass sich die Mehrzahl der Nutzer gegen das Setzen von Cookies entscheidet. Dies wäre ein schwerer Schlag für die Onlinewerbewirtschaft. Noch ist das letzte Wort aber nicht gesprochen. Die Bundesregierung will vor einer Umsetzung das Ergebnis der Diskussion auf europäischer Ebene abwarten und scheint eine Selbstregulierungslösung der Werbewirtschaft zu favorisieren. Die bisherigen Vorschläge für eine Selbstregulierung erfüllen aber die Vorgaben der Richtlinie nur teilweise. Welche Folgen das Einwilligungserfordernis mit sich bringt, ist in Großbritannien zu beobachten. Die Regierung hat die Richtlinie bereits umgesetzt, der Werbewirtschaft jedoch zur Entwicklung adäquater Lösungen eine einjährige Übergangsfrist gewährt. Die „Galgenfrist“ läuft jetzt aus, und bisher sind die Werbewirtschaft und der Information Commissioner, der Datenschutzbeauftragte, noch nicht auf einen gemeinsamen Nenner gekommen. Zwar sieht das britische Recht unter bestimmten Voraussetzungen ausdrücklich eine Einwilligung mittels Browsereinstellungen vor; derzeit sind die gängigen Browser aber nach Auffassung des Datenschutzbeauftragten technisch noch nicht so ausgestaltet, dass sie eine wirksame Einwilligung ermöglichen könnten. Die Browserhersteller arbeiten zusammen mit der Regierung daran, dies möglichst bald zu ändern.
Es bleibt abzuwarten, wie der deutsche Gesetzgeber auf den Selbstregulierungsvorschlag der Werbewirtschaft reagiert. Angesichts der noch nicht den Vorgaben der Richtlinie entsprechenden Regelungen sollte man in Zusammenarbeit mit den Behörden bemüht sein, Lösungen zu erarbeiten, die ihre eigenen Interessen und die Datenschutzinteressen der Nutzer in einen angemessenen Ausgleich bringen. Denn eine nutzungsbasierte Onlinewerbung, die Daten verantwortungsvoll sammelt und verarbeitet, kann für die Werbewirtschaft und für Onlinekunden von großem Nutzen sein.
Über den Autor: Dr. Cornelius Renner ist Anwalt für gewerblichen Rechtsschutz bei LOH Rechtsanwälte in Berlin.
Zuerst erschienen in absatzwirtschaft Nr. 01-02/2013