Dorda: Tracking: Verboten, erlaubt oder was g...
 
Dorda

Tracking: Verboten, erlaubt oder was gilt jetzt?

Michael Himml
Dr Axel Anderl, LL.M. (IT-Law) © Michael Himml
Dr Axel Anderl, LL.M. (IT-Law) © Michael Himml

Der Beobachtung, Aufzeichnung und Analyse des Kunden- und Nutzerverhaltens kommt in der unternehmerischen Praxis eine zentrale Rolle zu. Insbesondere für Zwecke der Werbung, der Marktforschung und der bedarfsgerechten Gestaltung von Produkten und Dienstleistungen ist das Tracking – sowohl online als auch offline – kaum mehr wegzudenken.

Mit der ab 25.5.2018 anwendbaren Datenschutz-Grundverordnung ("DSGVO") sowie der in den Startlöchern stehenden ePrivacy-Verordnung werden die rechtlichen Grenzen weiter verschärf. 

Datenschutzrechtliche Zulässigkeit des Tracking
Tracking bedeutet im Wesentlichen die Beobachtung und Analyse des Verhaltens von (potentiellen) Kunden und Interessenten. Anhand der aus dem Nutzerverhalten erhobenen Daten wird in der Regel ein individuelles Kundenprofil erstellt. Auf dieser Basis können etwa ein möglicher (zukünftiger) Bedarf nach bestimmten Produkten bzw Dienstleistungen sowie persönliche Präferenzen der Betroffenen eruiert werden. Die Online- und Offline-Verfolgung von Kundenaktivitäten durch Tracking- und Analysetools dient daher im Wesentlichen der Absatzsteigerung durch gezieltere (Werbe-)Maßnahmen.  

Auch wenn die DSGVO keine ausdrücklichen Spezialbestimmungen für Tracking vorsieht, sind einige allgemeine Regelungen zur Datenverarbeitung auch auf diese Form der Marketingaktivität anwendbar: So ist die Verfolgung und Überwachung der Aktivitäten von Kunden und Interessenten – je nach Intensität und Umfang – datenschutzrechtlich nur zulässig, wenn (i) der Verantwortliche (dh das trackende Unternehmen) ein überwiegendes berechtigtes Interesse an der Datenverarbeitung hat, (ii) der Betroffene seine Einwilligung erteilt oder (iii) ausdrücklich einwilligt.

Minimalinvasives Tracking: Berechtigte Interessen
Bislang war die österreichische Datenschutzbehörde auf Basis des derzeit noch geltenden Datenschutzregimes sehr zurückhaltend bei der Annahme eines überwiegenden berechtigten Interesses bei Marketingaktivitäten. In der Regel akzeptiert sie rein wirtschaftliche Zwecke (etwa Absatzsteigerung) nicht zur Rechtfertigung von Datenverarbeitungen. Das ändert sich ab Mai 2018 allerdings: Die DSGVO ist diesbezüglich nämlich liberaler und sieht die Verarbeitung von Daten zum Zweck der Direktwerbung durch berechtigte Interessen gedeckt (ErwG 47). Nach dem neuen Regime kann daher ein berechtigtes Interesse von Unternehmen, die Vorlieben ihrer Kunden durch zurückhaltendes Tracking zu erfahren, argumentiert werden. Das allerdings nur für den Zweck, damit ihre Angebote besser auf die jeweilige Person abzustimmen und schließlich Waren und Dienstleistungen anbieten zu können, die den Bedürfnissen und Wünschen ihrer Kunden besser gerecht werden. Ein berechtigtes Interesse setzt allerdings voraus, dass die Datenverarbeitung auf das erforderliche Minimum beschränkt ist und nur die absolut notwendigen Informationen genutzt werden (Datenminimierungsgrundsatz nach Art 5 DSGVO). Daher kann es beispielsweise zulässig sein, dass ein Essenslieferservice die Bestellungen seiner Kunden analysiert und ihnen anhand des bisherigen Konsumverhaltens passende Rabattcoupons für Speisen ihres Lieblingsanbieters oder Vorschläge für neue Restaurants mit ähnlicher Küche per Post zusendet.

Allerdings dürfen auf Basis dieser Rechtsgrundlage nicht ausufernde Mengen an Daten über die Online- und/oder Offlineaktivitäten von Kunden gesammelt und zu komplexen Profilen zusammengefasst werden. Außerdem müssen die Betroffenen in verständlicher Form über das Tracking informiert werden und jederzeit die Möglichkeit haben, der Datenverarbeitung zu widersprechen.  

In der Praxis wird aufgrund der fehlenden Spezialbestimmungen in der DSGVO und dem damit einhergehenden Argumentationsspielraum, der bisher strengen Ansicht der Datenschutzbehörde und der noch fehlenden Judikatur aber oft ein Rückgriff auf eine Einwilligung sinnvoll sein, um Trackingaktivitäten abzusichern. Dies gilt insbesondere dann, wenn der Minimalansatz überschritten wird und doch umfangreichere Analysen durchgeführt werden.

Umfassenderes Tracking: Einwilligung 
Möchte ein Unternehmen also die persönlichen Vorlieben und Verhaltensweisen einzelner Kunden bzw Interessenten detaillierter analysieren oder gar vorhersagen, so ist aufgrund des Umfangs der Datenverarbeitung und der Eingriffsintensität in der Regel eine Einwilligung der Betroffenen erforderlich.  

Eine solche Einwilligung muss nach der DSGVO in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen (Art 7 Abs 2 DSGVO). Sie muss außerdem (i) auf einer umfassenden Information des Betroffenen beruhen, (ii) vom Betroffenen freiwillig erteilt werden und (iii) den Betroffenen über die jederzeitige, grundlose Widerrufbarkeit aufklären. Nach der Rechtsprechung sind diese Voraussetzungen streng auszulegen: Der Betroffene muss im Detail informiert werden (i) welche seiner Daten (ii) zu welchen Zwecken (inkl möglichst detaillierte Beschreibung des Trackings und der Analysemethoden) und (iii) von welcher Gesellschaft verwendet werden sollen.  

In der Praxis ist eine Einwilligung insbesondere beim Tracking für Zwecke der Direktwerbung per E-Mail, bei zielgruppengerechtem Marketing auf Basis einer Fülle an Daten, bei standortbasierter Werbung oder trackinggestützter Marktforschung erforderlich.

Sensible Bereiche: ausdrückliche Einwilligung 
Noch strengere Anforderungen sieht die DSGVO bei Tracking anhand von besonderen Kategorien personenbezogener Daten (nach Art 9 DSGVO etwa Informationen über Herkunft, politische Meinung und Gesundheitsdaten) vor. Solche Daten dürfen grundsätzlich nur mit einer ausdrücklichen Einwilligung des Betroffenen verarbeitet werden. Diese sollte insbesondere aus Beweissicherungsgründen schriftlich erteilt und gesondert unterzeichnet werden. Es genügt allerdings etwa auch das Anklicken einer nicht bereits voraktivierten Checkbox.

Sonderbestimmungen für Online-Tracking 
Das Erhebung und Analysieren von Daten von Websitebesucher durch Cookies und Plugins ist nur auf Basis einer Einwilligung samt umfassender Information des Users zulässig, sofern die Datenverarbeitung nicht technisch erforderlich ist (§ 96 Abs 3 Telekommunikationsgesetz und Art 8 des Entwurfs der ePrivacy-Verordnung). Diese Einwilligung wird derzeit in der Regel über einen Button im Cookie-Banner auf der Startseite der Website eingeholt. Dabei ist der Nutzer mit einer Datenschutzerklärung detailliert über die Verwendung seiner Daten zu informieren. Nach dem Entwurf der ePrivacy-Verordnung gelten für diese Einwilligung die strengen Voraussetzungen der DSGVO (siehe oben). Gleichzeitig sieht der Verordnungsentwurf allerdings eine Erleichterung der Cookie-Setzung vor: Demnach reichen – wie vor der Verschärfung der Cookiebestimmungen durch die Novelle des TKG im Jahr 2011 – bereits die Browsereinstellungen des Besuchers für eine Zustimmung. Damit wären die unschönen und unpraktikablen, gerade erst eingeführten Banner wieder Geschichte. Es ist freilich noch offen, ob diese Erleichterung wirklich umgesetzt wird. Derzeit wird die ePrivacy-Verordnung nach Überarbeitung durch das EU Parlament noch auf EU-Ebene abgestimmt und weiter verhandelt. Aktuell ist geplant, dass sie gemeinsam mit der DSGVO am 25.5.2018 anwendbar sein wird. Womöglich erforderliche Änderungen müssen daher voraussichtlich sehr kurzfristig umgesetzt werden.

Folgen unzulässiger Trackingmaßnahmen
Eine fehlende oder ungültig eingeholte Einwilligung führt zur Unzulässigkeit der Datenverarbeitung. Gleiches gilt bei Überschreiten der Grenzen des berechtigten Interesses. Die aktuellen Verwaltungsstrafen von bis zu EUR 25.000 bei Datenschutzverstößen werden mit der DSGVO und dem Entwurf der ePrivacy-Verordnung ab 25.5.2018 auf bis zu EUR 20 Mio bzw 4% des weltweiten Konzernumsatzes erhöht. Zusätzlich bestehen Schadenersatzansprüche von Betroffenen und drohen – neben Kundenverlust – auch PR-Schäden. Angesichts der bald ansteigenden Strafen ist es daher sehr zu empfehlen, die bestehenden Trackingmaßnahmen sowie dazugehörige Einwilligungserklärungen zu überprüfen und bei Bedarf anzupassen.

Über die Autoren

Axel Anderl ist Partner und Leiter des IT/IP und Datenschutzdesk bei DORDA. axel.anderl@dorda.at
 
Dominik Schelling ist auf Datenschutz spezialisierter Rechtsanwaltsanwärter im Team von Axel Anderl. dominik.schelling@dorda.at



Mag. Dominik Schelling © Wilke
Wilke
Mag. Dominik Schelling © Wilke
stats