Nunmehr hat auch Google Chrome (als letzter der „grossen“ Browser) die „Do not Track„-Abfrage aufgenommen. Damit kann der Nutzer in seinem Browser ganz generell einstellen, ob seine „Aktivitäten“ erfasst werden dürfen oder ob er explizit widerspricht. Dazu geht wählt man in den Browser-Einstellungen die entsprechende Option, die als Standard deaktiviert, also das Tracking erlaubt ist.
Die Einstellung überträgt der Browser dann an Webseiten in den HTTP-Headern, so dass jede Webseite darauf Zugriff nehmen kann.
Interessant ist die Frage, ob diese Funktionalität – die bisher wohl nur wenig Beachtung gefunden hat – rechtliche Konsequenzen mit sich bringt?
Grundsatz im Datenschutzsystem des Telemediengesetzes: Opt-In
Der rechtliche Grundsatz der Datenerhebung im deutschen Telemediengesetz ist das Opt-In: Entweder ein Gesetz erlaubt die Verarbeitung der gewünschten Daten in der gewünschten Form, oder der Nutzer hat hierin eingewilligt. Man braucht also nicht zwingend eine Einwilligung, wenn man auf Basis einer gesetzlichen Erlaubnis Daten erhebt. Anders herum kann sich ein Widerspruch bei dieser Systematik nur dort entfalten, wo
- das Gesetz ausdrücklich einen Widerspruch benennt oder
- vorher eine Einwilligung nötig war und erteilt wurde.
Dies vor Augen gehalten ergeben sich einige Konsequenzen.
Option 1: Einwilligung erteilt
Grundsätzlich hätten Webmaster die Möglichkeit, die im Browser erteilte Einwilligung abzufragen und auf dem Weg die Möglichkeit eines Trackings datenschutzkonform auszugestalten. Aber: Das Datenschutzrecht schafft hier ein Problem. Nach §13 II Nr.2 TMG hat der Diensteanbieter die erteilte Einwilligung zu protokollieren. Das funktioniert nicht, wenn einfach nur die im Browser gesetzte Präferenz ausgelesen wird, sonst aber keine individualisierten Daten erhoben werden. Wie will man bei einem anonymen Nutzer denn eine Einwilligung protokollieren, die zwar erteilt wird aber keinem Nutzer zuzuordnen ist? Letztlich erscheint es mir daher abwegig, hier eine positive Möglichkeit der Verarbeitung personenbezogener Daten zu erkennen.
Option 2: „Do not Track“ bzw. Widerspruch
Was ist wenn jemand die Einstellung gewählt hat, dass er nicht erfasst werden will? Wikipedia meint kurzum dazu: „Derzeit sind Internetseiten gesetzlich nicht verpflichtet, DNT-Anfragen zu respektieren und zu beachten.“. Ich finde das schwierig.
Der Blick in §15 II TMG zeigt:
„Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Nun ist die DoNotTrack-Option gerade dafür geschaffen, zumindest dem Webtracking ausdrücklich zu widersprechen (siehe die Webseite dazu), so dass ich wenig Möglichkeiten an einer besonders engen Auslegung sehe. Ich erkenne hier einen eindeutigen Widerspruch, der mit dem TMG auch zu respektieren ist, jedenfalls im Rahmen des §15 II TMG, der auf jeden Fall im Bereich der Webanalyse-Software (Piwik, Google Analytics & Co.) zwingend zu beachten ist.
Bei der Frage, ob eine – etwa in AGB -abgerungene Einwilligung des Nutzers auf dem Weg zurückgenommen werden kann, bin ich skeptisch. Denn die Rücknahme muss sich auf die konkrete Einwilligung beziehen. Hier muss dann ausgelegt werden, wie die „DoNotack“-Preferenz zu verstehen ist und sodann im Einzelfall entschieden werden, ob dies tatsächlich mit der bisherigen Einwilligung kollidiert. Da „DoNotTrack“ im Kern alleine auf Webanalyse ausgelegt ist, neige ich an dieser Stelle dazu, es nicht übergreifend auf jede andere Einwilligung auszudehnen. In dem Sinne würde ich es auch nicht ausufernd betrachten und etwa den Widerspruch einer Erfassung in Server-Logfiles zwingend darin erkennen. Dies ist aber eine Auslegungsfrage, die sich hier nicht abschliessend klären lassen wird.
Fazit: Schwierig
Das von mir gefundene Ergebnis ist gelinde ausgedrückt schwierig umzusetzen, entspricht aber meiner Wertung der rechtlichen Lage: Jedenfalls bei Webanalyse-Software ist nach meiner Sicht der Dinge die vom Nutzer in seinem Browser gesetzte Einstellung zwingend zu beachten. Ich denke, es wäre Klüger wenn Standard-Software sich darauf einstellt. Piwik etwa beachtet DoNotTrack bereits.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.