Die wenig invasive Reichweitenmessung auf Websites durch die Verarbeitung von IP-Adressen der Besucher bedarf bisher keiner Einwilligung. Nun hat der Europäische Datenschutzausschuss (EDSA) dem vorerst einen Riegel vorgeschoben. Langfristig dürfte diese Interpretation der Aufsichtsbehörde den Websitebesuchern jedoch einen Bärendienst erweisen.
Die Guidelines des EDSA zum Verständnis des Art. 5 Abs. 3 der ePrivacy-Richtlinie
Am 7. Oktober 2024 veröffentlichte der Europäische Datenschutzausschuss (EDPB) die finale Version der Guidelines 2/2023 on the Technical Scope of Art. 5(3) of the ePrivacy Directive (englisches PDF) veröffentlicht. Ein erster Entwurf war bereits Ende 2023 zur öffentlichen Diskussion veröffentlicht worden. Dazu hatten knapp 60 Akteure aus Wissenschaft und Wirtschaft Stellungnahmen eingereicht.
Allgemein begrüßt wurde der Ansatz des EDSA durch seine Hinweise zum einheitlichen Verständnis und damit zur einfacheren Anwendung beizutragen.
Für große Überraschung und auch erhebliche Kritik sorgte aber das sehr weite Verständnis des EDSA was den „Zugang zu Informationen“ (gaining access) betrifft. Statt wie bislang nur den aktiven Zugriff in den Anwendungsbereich fallen zu lassen, möchte der EDSA nunmehr auch passive Methoden einbeziehen.
Dieses Verständnis hat erhebliche Auswirkungen, insbesondere im Bereich der sogenannten Reichweitenmessung von Onlineinhalten.
Status quo: Reichweitenmessung per IP-Erfassung bedarf regelmäßig keiner Einwilligung
Die Erfassung von IP-Adressen ist eine der häufigsten Methoden, um auszuwerten, wie Besucher ein Webangebot annehmen und nutzen. Die IP-Adresse wird ohne Zutun und automatisch bei einem Besuch an den Webserver des Anbieters übertragen. Der Anbieter muss nichts unternehmen, um die Übertragung auszulösen. Er greift auch nicht auf Informationen auf dem Endgerät zu, sondern liest nur aus, was ohnehin und bestimmungsgemäß übertragen wird.
Die Integrität des geschützten Endgeräts (des Websitebesuchers) bleibt also unangetastet. Es wird nicht manipuliert und es wird keinerlei Information dort gespeichert.
Nach bisherigem Verständnis unterfällt solch eine serverseitig betriebene Reichweitenanalyse daher nicht dem Einwilligungsvorbehalt, wie er in § 25 Abs. 1 TDDDG im deutschen Recht Eingang gefunden hat.
Neues Verständnis des EDSA zum Auslesen von IP-Adressen
Das neue Verständnis der EDSA-Richtlinie erweitert nun aber den Geltungsbereich von Art. 5 Abs. 3 ePrivacy-Richtlinie auch auf solch eine passive Nutzung von IP-Adressen oder anderer Informationen, die im Rahmen der Kommunikation per Internet bestimmungsgemäß und automatisch fließen.
Laut den neuen Richtlinien ist jede Art von Zugang zu Informationen in Endgeräten, die durch das Terminalgerät eines Nutzers generiert oder übermittelt wird, im Rahmen von Art. 5 Abs. 3 ePrivacy-Richtlinie zu betrachten. Dies bedeutet, dass das bloße Erfassen von IP-Adressen, die von einem Gerät über das Internet gesendet werden, als ein Zugang gewertet wird. Dies gilt insbesondere dann, wenn die IP-Adresse direkt von dem Endgerät stammt und damit zur Identifikation des Nutzers beiträgt. Folglich sagen die EDSA-Guidelines, dass eine Einwilligung des Nutzers notwendig ist, sofern keine Ausnahme nach Abs. 2 greift.
Im Klartext bedeutet dies: Sämtliche Informationen, die im Rahmen der Kommunikation zwischen Endgerät und Server über Netzwerkprotokolle bestimmungsgemäß ausgetauscht werden,
- dürfen zum einen nur genutzt werden, soweit das technisch notwendig ist, damit sich diese beiden Geräte unterhalten können,
- oder aber zum anderen, soweit dies unbedingt erforderlich ist, um den vom Nutzer gewünschten Dienst zur Verfügung zu stellen.
Alles andere ist nur mit Einwilligung erlaubt! Allein entscheidend ist der Wille des Besuchers, Interessen des Anbieters sind weitestgehend irrelevant.
Mit anderen Worten: Die einwilligungsfreie Reichweitenmessung wäre so betrachtet am Ende.
Dies stellt Unternehmen, die bislang auf solche wenig invasiven Methoden gesetzt haben, vor die Herausforderung, nun zusätzliche Zustimmungsmechanismen in ihre Websites und Onlinedienste zu integrieren – was vorhersehbar die Nutzererfahrung beeinträchtigen wird.
Dass mittlerweile eine Consent Fatigue (Zustimmungsmüdigkeit) besteht und Nutzer durch die Flut von Zustimmungsanfragen (Stichwort: Cookie-Consent-banner) überfordert sind und diese oft nur noch möglichst schnell ablehnen bzw. wegklicken, ist bekannt.
Auch dürfte vorhersehbar sein, dass nun die Diskussion, was nicht alles „unbedingt erforderlich“ ist, um dem Besucher den gewünschten Dienst nicht nur überhaupt, sondern sogar bestmöglich anzubieten, viele neue, sehr bunte Blüten treibt.
Fazit
Die neuen Guidelines des EDSA zum Verständnis des Art. 5 Abs. 3 der ePrivacy-Richtlinie haben erhebliche Auswirkungen auf die Art und Weise, wie Unternehmen Tracking-Technologien, insbesondere die IP-Erfassung, zur Reichweitenanalyse nutzen dürfen. Da selbst grundlegende Internetprotokolle unter die neuen Regelungen fallen könnten, wird es für Unternehmen unerlässlich sein, ihre Datenschutzpraktiken zu überdenken.
Es bleibt abzuwarten, wie sich die EDSA-Richtlinien in der Praxis durchsetzen lassen und ob es zu einer weiteren Überarbeitung der ePrivacy-Richtlinie kommen wird, um die Balance zwischen Datenschutz und Geschäftsinteressen zu wahren.
Da die Hinweise nicht invasiven und schonenden Methoden nun ebenfalls einen Riegel vorschieben, werden sich nicht wenige Unternehmen fragen, ob man dann mit einer ohnehin unvermeidlichen Einwilligung nicht auf deutlich detailliertere Trackingmethoden schwenkt. Den hiervon stärker betroffenen Websitebesuchern wäre so – insbesondere vor dem Hintergrund der Einwilligungsmüdigkeit – ein Bärendienst erwiesen.
Abschließend aber auch noch der klare Hinweis: Was der EDSA sagt, ist kein Gesetz und auch kein bindendes Urteil. Es handelt sich um eine Stellungnahme der Exekutive und damit natürlich auch um einen klaren Hinweis auf die zu erwartende Praxis der Aufsichtsbehörden. Dass diese einer gerichtlichen Überprüfung standhält, ist vor allem in diesem Fall nicht gesagt. Ob Unternehmen es auf einen Rechtsstreit ankommen lassen wollen, ist aber eine ganz andere Frage.
