Die wenig invasive Reichweitenmessung auf Websites durch die Verarbeitung von IP-Adressen der Besucher bedarf bisher keiner Einwilligung.
Nun allerdings hat der Europäische Datenschutzausschuss (EDSA) in seinen Guidelines zur Interpretation des Art. 5 Abs. 3 der ePrivacy-Richtlinie Aussagen getroffen, die an diesem Grundgedanken rütteln. Laut einer daraufhin aktualisierten Orientierungshilfe für Anbieter von digitalen Diensten der deutschen Datenschutzkonferenz (DSK) scheint dennoch alles wie gehabt zu bleiben.
EDSA-Guidelines fordern für Reichweitenmessung eine Einwilligung
Am 7. Oktober 2024 veröffentlichte der Europäische Datenschutzausschuss (EDPB) die finale Version der Guidelines 2/2023 on the Technical Scope of Art. 5(3) of the ePrivacy Directive (englisches PDF). Ein erster Entwurf war bereits Ende 2023 zur öffentlichen Diskussion veröffentlicht worden. Dazu hatten knapp 60 Akteure aus Wissenschaft und Wirtschaft Stellungnahmen eingereicht.
Allgemein begrüßt wurde der Ansatz des EDSA durch seine Hinweise zum einheitlichen Verständnis und damit zur einfacheren Anwendung beizutragen.
Für große Überraschung und auch erhebliche Kritik sorgte aber das sehr weite Verständnis des EDSA was den „Zugang zu Informationen“ (gaining access) betrifft. Statt wie bislang nur den aktiven Zugriff in den Anwendungsbereich fallen zu lassen, scheint der EDSA nunmehr auch passive Methoden einbeziehen zu wollen. Kapitel 3.3, konkret Randnummer 54 und die dazugehörige Fußnote 28, sprechen davon, dass eine Einwilligung notwendig sein kann, wenn keine Ausnahme im Sinne des Art. 5 Abs. 3 der ePrivacy-Richtlinie vorliegt. Und es soll hierbei gerade keinen Unterschied machen, dass die Übermittlung der IP-Adresse nicht vom Anbieter als Empfänger ausgelöst wurde.
Dieses Verständnis hätte erhebliche Auswirkungen, insbesondere im Bereich der sogenannten Reichweitenmessung von Onlineinhalten, da es den Geltungsbereich von Art. 5 Abs. 3 ePrivacy-Richtlinie auch auf eine passive Nutzung von IP-Adressen oder anderer Informationen, die im Rahmen der Kommunikation per Internet bestimmungsgemäß und automatisch fließen, erstreckt.
Das bloße Erfassen von IP-Adressen, die von einem Gerät über das Internet gesendet werden, würde als Zugang gewertet. Damit dürften sämtliche Informationen, die im Rahmen der Kommunikation zwischen Endgerät und Server über Netzwerkprotokolle bestimmungsgemäß ausgetauscht werden,
- zum einen nur genutzt werden, soweit das technisch notwendig ist, damit sich diese beiden Geräte unterhalten können,
- oder aber zum anderen, soweit dies unbedingt erforderlich ist, um den vom Nutzer gewünschten Dienst zur Verfügung zu stellen.
Alles andere wäre nur mit Einwilligung erlaubt.
Mit anderen Worten: Die einwilligungsfreie Reichweitenmessung wäre so betrachtet am Ende.
DSK-Orientierungshilfe widerspricht EDSA-Auslegung zur Reichweitenmessung
In ihrer kürzlich aktualisierten Orientierungshilfe (PDF) vertritt die DSK allerdings eine andere Ansicht. Demnach bleibt es wohl dabei: Reichweitenmessung per IP-Erfassung bedarf regelmäßig keiner Einwilligung.
Die Erfassung von IP-Adressen ist eine der häufigsten Methoden, um auszuwerten, wie Besucher ein Webangebot annehmen und nutzen. Die IP-Adresse wird ohne Zutun und automatisch bei einem Besuch an den Webserver des Anbieters übertragen. Der Anbieter muss nichts unternehmen, um die Übertragung auszulösen. Er greift auch nicht auf Informationen auf dem Endgerät zu, sondern liest nur aus, was ohnehin und bestimmungsgemäß übertragen wird.
Die Integrität des geschützten Endgeräts (des Websitebesuchers) bleibt also unangetastet. Es wird nicht manipuliert und es wird keinerlei Information dort gespeichert.
Nach solchem – und wohl richtigem – Verständnis unterfällt solch eine serverseitig betriebene Reichweitenanalyse daher nicht dem Einwilligungsvorbehalt, wie er in § 25 Abs. 1 TDDDG im deutschen Recht Eingang gefunden hat.
Die aktualisierte DSK-Orientierungshilfe spricht vor diesem Hintergrund – aber in leicht anderem Zusammenhang – nun auch davon, dass ein Zugriff voraussetzt, dass Eigenschaften des Endgerätes „aktiv“ ausgelesen werden.
Fazit
Es gibt einen Widerspruch oder zumindest Unklarheiten zwischen den Guidelines des EDSA zum Verständnis des Art. 5 Abs. 3 der ePrivacy-Richtlinie und der DSK-Orientierungshilfe. Das überrascht, da letztere nach Nr. 8 ihrer Einleitung ausdrücklich als Ergänzung der Guidelines gemeint ist. Es wäre daher schön gewesen, wenn es eine klare Antwort auf die aufgezeigte Frage gegeben hätte. Ob diese später noch kommt, bleibt abzuwarten.
Für Verantwortliche, die unter der der Aufsicht der deutschen Datenschutzbehörden liegen, besteht nun wohl vorerst kein Handlungsbedarf. Die alten Regeln können wohl weiter angewandt werden. Solange die Übermittlung von Eigenschaften des Endgerätes nicht aktiv angestoßen wird, findet zumindest § 25 TDDDG keine Anwendung und eine Verarbeitung kann alleine unter den Regelungen des Datenschutzes erfolgen, sofern personenbezogene Daten betroffen sind.
Abschließend aber auch noch der klare Hinweis: Was der EDSA sagt, ist kein Gesetz und auch kein bindendes Urteil. Es handelt sich um eine Stellungnahme der Exekutive und damit natürlich eigentlich auch um einen klaren Hinweis auf die zu erwartende Praxis der Aufsichtsbehörden. Diese scheint sich nun zumindest in Deutschland nicht zu ändern.
Zudem müsste das Vorgehen von Aufsichtsbehörden auch immer noch einer gerichtlichen Überprüfung standhalten, was zumindest in diesem Fall nicht gesagt ist. Ob Unternehmen es auf einen Rechtsstreit ankommen lassen wollen, ist aber eine ganz andere Frage. Nach der aktualisierten Orientierungshilfe besteht hier aber offenbar derzeit wenig Risiko.
