Telemediengesetz

Wirtschaftsministerium will im Herbst neue Regeln für Online-Tracking vorschlagen

Wer Website-Besucher:innen tracken und in Profilen speichern will, braucht dafür ihr expliztes Einverständnis. Mit dieser Position konnten sich die deutschen Datenschutzbehörden bisher nicht durchsetzen. Klarheit könnte bald eine Änderung des Telemediengesetzes bringen, die längst überfällig ist.

Ein Auge, dass durch einen Ausschnitt von Händen blickt
Fest im Blick: Beim Online-Tracking werden Informationen über die Nutzung von Websites gesammelt und in individuellen Profilen zusammengeführt. Gemeinfrei-ähnlich freigegeben durch unsplash.com NOTAVANDAL

„Diese Seite verwendet Cookies.“ Wer im Netz unterwegs ist, hat diesen Hinweis sicher schon hunderte Male gelesen. Manche Seiten verwenden solche Cookies, um sich Spracheinstellungen oder den Inhalt des Einkaufskorbes zu merken. Die meisten haben aber noch etwas anderes vor: das Verhalten der Besucher:innen auswerten. Interessant ist deshalb, wie es nach diesem vertrauten, ersten Satz weitergeht.

Während manche Seiten ihren Nutzer:innen eine echte Wahl lassen, gilt bei vielen Anbietern bis heute: „Friss (Cookies) oder stirb.“ Wer die Seite nutzen will, erklärt sich automatisch mit der Datensammlung einverstanden, heißt es dann oft.

Das könnte sich bald ändern, denn noch in diesem Jahr will das zuständige Wirtschaftsministerium Online-Tracking neu regeln und einen Entwurf zur Änderung des Telemediengesetzes (TMG) vorlegen. Das bestätigte ein Pressesprecher gegenüber unserer Reaktion. Die Gesetzesänderung könnte nicht nur für mehr Klarheit sorgen, sondern auch dem Friss-oder-Stirb-Prinzip endgültig ein Ende bereiten.

Daten fließen oft auch an Drittfirmen

Technisch gesehen gibt es diverse unterschiedliche Verfahren, um Nutzer:innen auf einer Website oder über mehrere Websites hinweg zu tracken: von Cookies und Tracking-Pixeln über Plug-Ins und Schnittstellen bis zum Browser-Fingerprinting. Fast allen Methoden ist gemeinsam, dass Seitenbetreiber dabei Dienste von Drittfirmen einbinden und die Daten der Nutzer:innen auch an diese fließen.

Vor allem im Online-Marketing werden individuelle Profile über mehrere Seiten hinweg erstellt, um einen größtmöglichen Werbeeffekt zu erzielen, indem Werbung auf Persönlichkeits- und Nutzungsmuster von Menschen abgestimmt wird.

Wen Facebook, Google und andere Werbenetzwerke als abenteuerlustigen Mittzwanziger identifizieren und wer auf einer Flugbuchungsseite nach Last-Minute-Angeboten sucht, bekommt bald vielleicht auf anderen Websites Werbung für einen Erlebnistrip nach Thailand angezeigt.

Unter welchen Bedingungen das zulässig ist, ist seit langem eine umstrittene, datenschutzpolitische Frage. Derzeit laufen mehrere Verfahren von Datenschutzbehörden, bei denen Nichtregierungsorganisationen die Prüfung solcher Systeme angeregt hatten. Im Netz gehören sie heute zum Standard, nur wenige Seiten verzichten darauf (netzpolitik.org ist eine von ihnen).

Veraltetes Telemediengesetz

Bei dem Thema herrscht in Deutschland trotz der Datenschutzgrundverordnung (DSGVO) Chaos, denn relevante Gesetze zum Online-Tracking wurden bisher nicht aktualisiert.

Im deutschen Telemediengesetz steht deshalb heute noch, dass die Betreiber:innen von Websites und anderen Telemediendiensten für Werbezwecke individuelle Nutzungsprofile erstellen dürfen. Einzige Einschränkung: Die Daten dürfen nicht unter Klarnamen gespeichert werden, sondern unter einem Pseudonym. Nutzer:innen haben außerdem ein Widerspruchsrecht. Für Seitenbetreiber:innen ist das eine ziemlich komfortable Regelung, doch mit der Datenschutzgrundverordnung ist sie nicht vereinbar.

Das jedenfalls sagen die deutschen Datenschutzbehörden. Einen Monat vor Inkrafttreten der DSGVO im Mai 2018 veröffentlichte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eine Positionsbestimmung zum Online-Tracking [PDF]. Die entsprechenden Regelungen des Telemediengesetzes seien unter der DSGVO nicht mehr anwendbar. Stattdessen bräuchten Tracking-Dienste, die individuelle Profile erstellen wollen, eine explizite und vorherige Einwilligung – Opt-In statt Opt-Out.

Wenig überraschend lehnt die Online-Werbewirtschaft diese Sichtweise der DSK ab. Viele Seiten haben daher ihre Praxis nicht geändert. Selbst wenn Einwilligungs-Banner erscheinen, sind sie oft vorausgefüllt oder lassen Nutzer:innen gar keine Entscheidungsmöglichkeit. Die Folge: allgemeine Einwilligungsmüdigkeit. Fast automatisch klicken wohl die meisten auf „Zustimmen“, sobald sich der Cookie-Hinweis ins Bild schiebt.

Auf einer Linie mit Frankreich und Großbritannien

Ein Jahr später hat die Datenschutzkonferenz deshalb nochmal nachgelegt. In einer ausführlichen Orientierungshilfe [PDF] stellten die Aufsichtsbehörden im April 2019 dar, unter welchen Bedingungen Tracking erlaubt ist. Wieder kommen die Datenschützer zu dem Ergebnis: In den allermeisten Fällen benötigen Anbieter eine explizite Einwilligung der Betroffenen. Eine Abwägung zwischen den Interessen der Betroffenen und denen der Werbetreibenden müsse in den meisten Fällen ergeben, dass das Schutzbedürfnis der Nutzer:innen überwiege.

Außerdem könne es nicht als Einwilligung angesehen werden, wenn Menschen nicht auf das Tracking-Banner reagieren, sondern einfach weiter auf der Seite surfen. Auch vorausgefüllte Kästchen seien nicht erlaubt. Tracking-Mechanismen müssten zudem komplett ausgesetzt werden, bis Betroffene zustimmen. Wer das Datensammeln vorher, also direkt beim Aufruf einer Seite beginnt, verstoße gegen die DSGVO.

Auch andere europäische Datenschutzbehörden haben sich inzwischen ähnlich positioniert.

Im Juli stellte etwa die französische Commission Nationale de l’Informatique et des Libertés (CNIL) klar, dass sie es nicht als ausreichende Einwilligung betrachtet, wenn Nutzer:innen auf einer Seite weiterscrollen oder -klicken. Die Seitenbetreiber:innen müssten nachweisen, dass sie eine explizite und informierte Einwilligung ihrer Besucher:innen haben. Auch das britische Information Commissioners Office (ICO) sieht das so.

Altmaier wartet auf den EuGH

Das Bundeswirtschaftministerium möchte sich allerdings nicht ohne Weiteres hinter die Datenschutzbehörden stellen. Stattdessen will das Haus von Peter Altmaier (CDU) eine Entscheidung des Europäischen Gerichtshofes (EuGH) abwarten.

Seit Jahren verhandeln Gerichte über eine Klage des Bundesverbands der Verbraucherzentralen gegen einen Gewinnspielanbieter namens Planet49. Dieser hatte sich in den Nutzungsbedingungen für ein Gewinnspiel nicht nur zwangsläufig das Recht zur Weitergabe von Daten an dutzende Drittfirmen zusichern lassen, sondern ein Zustimmungskästchen für Tracking-Cookies bereits vorausgefüllt.

In seinem Schlussgutachten empfahl EuGH-Generalanwalt Maciej Szpunar dem Gericht bereits, es nicht als aktive Einwilligung anzusehen, wenn Kästchen vorausgefüllt sind. Außerdem müssten Diensteanbieter mindestens darüber aufklären, wie lang ein gesetzter Cookie funktioniert und ob Dritte auf die Informationen zugreifen können.

Eine Entscheidung des EuGH wird Anfang Oktober erwartet. Danach soll dann auch die Rechtslage in Deutschland unmissverständlich geklärt werden. Das Wirtschaftsministerium bereite schon entsprechende Änderungen des Telemediengesetzes vor, teilte ein Sprecher des Wirtschaftsministeriums netzpolitik.org mit. Im Herbst wolle man den Gesetzentwurf vorlegen.

Unter dem Druck der Datenlobby

Es gibt bereits eine EU-Richtlinie, die das Thema Online-Tracking explizit regelt: die 2002 verabschiedete und 2009 überarbeitete ePrivacy-Richtlinie. Als kleine Schwester der Datenschutzgrundverordnung ergänzte und spezifizierte sie die alte EU-Datenschutzrichtlinie von 1995.

Eigentlich sollte sie im Anschluss an die Verabschiedung der Datenschutzgrundverordnung generalüberholt und spätestens im Frühjahr 2018 verabschiedet werden. Gerade in Sachen Online-Tracking sollte die Richtlinie, die dann zur ePrivacy-Verordnung aufgewertet worden wäre, Nutzer:innen mehr Selbstbestimmung ermöglichen.

Die EU-Kommission und das EU-Parlament hielten sich an den ambitionierten Zeitplan, doch die Mitgliedstaaten im Rat konnten sich unter dem Druck der Datenindustrie nicht auf eine Position einigen. Zur Online-Werbelobby gehören auch große Verlage und Medienhäuser, die die Reform dramatisch als „Angriff auf den freien Journalismus im Netz“ bezeichnen.

Mittlerweile hinkt die EU so dem früheren Zeitplan anderthalb Jahre hinterher und es dürften noch mehr werden: Damit, dass die Verordnung vor Ende 2020 verabschiedet wird, rechnet heute niemand mehr.

Das führt zu der bizarren Situation, dass die Datenschutzgrundverordnung dem Online-Tracking nach Auslegung der Datenschutzbehörden engere Grenzen setzt als es das deutsche Datenschutzrecht formell tut. Noch dazu kommt, dass bereits die deutsche Umsetzung der alten ePrivacy-Richtlinie mangelhaft gewesen ist. Denn schon in ihr heißt es seit 2009, dass Nutzer:innen Online-Tracking bewusst zustimmen müssen. Die deutsche Opt-Out-Regelung hat dieser Vorgabe nicht entsprochen. Das sagen die deutschen Datenschutzbehörden und das sagt auch EuGH-Generalanwalt Maciej Szpunar in seinem Gutachten im Fall Planet49.

Egal, wie das höchste EU-Gericht im Oktober entscheidet: Die angekündigte Änderung des Telemediengesetzes ist längst überfällig.

10 Ergänzungen
  1. Es sollte neben „Cookies“ u.ä. immer auch auf das E-Mail-Tracking gezeigt werden, bei dem über spezielle Links die Anfragen direkt über Drittfirmen geleitet werden.

    Dazu werden Adress-Sammlungen zunächst dort gespeichert.

    Alle diese Firmen berufen sich auf irgendwelche Zertifikate „Swiss- EU- Act“ die gar nichts garantieren.

  2. Ich bin professioneller Blogger und für mich ist wichtig, genaue Daten zu der Zahl der Besucher ermitteln zu können. Da erlaubt mir Werbung zu verkaufen, mit deren Einnahmen ich den Inhalt erstelle, den der Besucher kostenlos konsummiert.

    Daher finde ich, dass es mein volles und uneinschränkbares Recht ist, auf meiner eigenen Seite eine Friss-oder-Stirb-Regel zu etablieren. Denn wie ich meine Artikel veräussere (ob ich sie also gegen Geld oder Daten verkaufe oder sie verschenke) das ist meine ganz persönliche Geschäftsentscheidung, die niemanden was angeht.

    Andernfalls wäre es so, als würde ich in den Supermarkt gehen und an der Kasse entscheiden können, ob ich meine Waren bezahlen möchte oder nicht.

    Eine mögliche Gangart fände ich jedoch, dass ein Besucher, der nicht mit Daten bezahlen will, die Möglichkeit hat, die Lektüre mit einem Geldpreis zu bezahlen.

    1. @Swen Goldpreis
      Du beschreibst einen simplen Besucherzähler für Deine Webseite. Dies hat mit professionellem Tracking nichts zu tun.
      Auf Dein „Bezahlmodell“ würde ich mich an Deiner Stelle nicht verlassen. Könnte eine böse Überraschung werden, obgleich ich Deinen blog nicht kenne. Aber, versuche es doch einfach mal. Schalte einen Banner, in etwa
      Lieber Besucher,
      Du hast zwei Möglichkeiten:
      a) Bezahle mit Deinen Daten, die ich erhebe und an andere Firmen verkaufe, und zwar
      a) …
      b) …
      c) … usw
      oder
      b) Schliesse bei mir alternativ ein Abo für montal. € … ab.

      Um bei Deinem (allerdings hinkenden) Supermarktvergleich zu bleiben … könnte ich auch folgenden Vorschlag unterbreiten. Du kaufst im Supermarkt ein und beim Verlassen wird Dir eine Kamera unbemerkt auf die Schulter gesetzt, damit genau verfolgt werden kann, wohin Du gehst, mit wem Du kommunizierst und welche Waren Du noch und vor allem wo einkaufst.

      Grüsse von

      GustavMahler

  3. Ich betrachte das Tracking und die Weitergabe/Verarbeitung meiner persönlichen Daten, vor allem an und durch unbekannte Dritte, als eklatanten Einruch in meine Privatsphäre und digitales Stalking.
    Was mich wundert. Kann nicht ein Programm entwickelt werden, dass den „Abfragen“ zusätzlich Datenmüll hinzufügt, so dass die Daten im Endeffekt wertlos sind?

    1. Sofern die Daten etwas zuordnebares enthalten, wird „Müll“ nicht viel daran ändern.

      Erst die Menge des Mülls würde die Verarbeitung teurer machen, aber die Möglichkeit hat man hier kaum. Man muss bei einer Bestellung einen Namen eingeben, nicht tausende. Man kommuniziert mit einer Webseite usw.

      Man kann versuchen Sachen wegzulassen, Daten nicht entstehen zu lassen. Nicht eingeben, Plugins oder Browser benutzen, die wenig mitteilen, orbital relay/proxies (da sieht einen bestimmt keiner), ….

      Ich habe noch nicht von dem Browser/JavaScript-Engine gehört, die in der Lage sind, von mir persönlich als privat markierte Eingabefelder, aber auch allg. so gestezte Abfragedaten/Methoden so zu verfolgen, dass verhindert oder zumindest detektiert werden kann, dass die Abgefragt und auch gesendet werden, bzw. noch indirekt zu Rückmeldungen durch das Script führen… Dann braucht Pacman auch 350 MB Ram oder so, aber es muss ja nicht der debugging Modus mit voller Datenfahne sein.

      Das wäre vielleicht ein lustiger, mathematisch gfls. nicht zielführender, Schritt, der aber nicht verhindert, dass ein supi signierter Installer über eine Website heruntergeladen werden muss, auf der per unverschlüsseltem HTTP übertragenen Skriptkomponenten laufen müssen, um das (verschlüsselt übertragene) Google Captcha anzuzeigen, nach desen Absolvierung dann der Download Link erst angezeigt wird. Natürlich kann man alleine an den Mausbewegungen, noch besser mit aber eigentlich schon bereits ohne Interaktion mit der von Google kontrollierten Bilderauswahl, Menschen weitestgehend wiedererkennen.

      1. Ein Mausbewegungsobfuskator liefe natürlich Gefahr als Bot erkannt zu werden, so dass man das Captcha nicht schafft. Man könnte alle Eingaben verzögert und variiert an das Skript weiterreichen, für Mausbewegungen und Clickpositionen ginge da einiges, so eine Art Besoffenensimulation, oder auswählbare Persönlichkeiten … aber bei Tastatureingaben wird es dann schwierig mit den Variationen. Wäre vielleicht einmal einen Protoypen wert, oder ein bis zwei Kaltgetränke.

  4. Das wird doch darauf hinaus laufen das man neben dem nervigen DSGVO Cookie Banner noch einen zweiten Tracking Banner weglicken/bestätigen muss bevor man die Webseite dann lesen darf. Die meisten werden sowieso „ok“ klicken ohne nachzudenken, wenn die großen Verlage sich zusammen tun dann wird kaum eine Seite mehr funktionieren ohne „ok“ geklickt zu haben.

    Somit wird der Datenschutz nur noch eine nervige Klickorgie zur Folge haben ohne das sich was ändert in Bezug auf die Daten.

    Daher. Lieber auf solche pseudo Gesetze verzichten und den Torbroser verwenden so das eben nicht mehr getrackt bzw. identifiziert werden kann.

      1. Kann man doch. Jede dieser Seiten hat mindestens einen (ähnlichen) Satz der da lautet „Wir respektieren eure Privatsphäre“…. und dass ist zum Großteil… wer hätte das gedacht? Erstunken und erlogen. Würden diese Seiten unsere „Privatsphäre“ respektieren, müssten sie so etwas gar nicht erst schreiben.

        Ergo? Verlagsseiten blocken. Ganz einfach. Und wer wegen Werbeeinnahmen heult oder dass Server nicht mehr finanziert werden können wegen schöngemaltem „Verlust“, dann soll der oder die jenige aus dem Netz verschwinden. Wer sich Tricks einfallen lässt Reglementierungen zu umgehen oder durch Wortklauberei einem wieder etwas unterzujubeln? Ebenfalls blockieren.

        Parasiten braucht niemand. Ob das nun Verlag, Entwickler, Privat oder sonstiger Auftritt ist.

        Diesselbe Diskussion nur im anderen Konsenz hatten wir schon als es bei dem „Adblocker machen uns obdachlos“ Gezeter. Allmählich wird das langweilig. Vor allem wenn Datenschutz oftmals nur die Sympthome (halbherzig) bekämpft, nicht aber die Ursache.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.