Skip to content
BY 4.0 license Open Access Published by De Gruyter May 7, 2022

Third-Party-Tracking – ein Problem aus Sicht des Datenschutzes?

Interview mit Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit

Alexander Roßnagel
From the journal ABI Technik

ABI Technik: Tracking wird u. a. eingesetzt, um Webseiten und andere digitale Inhalte auf Basis der getrackten Daten zu optimieren, interaktiver zu gestalten oder zu personalisieren. Dabei werden personenbezogene Daten verarbeitet. Wie ist das Verhältnis von Datenschutz und Tracking zu sehen?

Alexander Roßnagel: Tracking kann mit einem tiefen Eingriff in Persönlichkeitsrechte verbunden sein, weil die Datensammlung eine Profilbildung über Verhaltensweisen, Gewohnheiten, Interessen, Präferenzen und andere Persönlichkeitseigenschaften ermöglicht. Die Grundrechte auf Datenschutz und informationelle Selbstbestimmung gewährleisten die Befugnis, selbst darüber zu bestimmen, ob eine solche Profilbildung erfolgen darf. Ein Tracking ohne ausdrückliche Einwilligung verstößt daher gegen die grundrechtlich gewährleistete Selbstbestimmung. Zulässig kann ein solches Tracking allenfalls sein, wenn es die Voraussetzung ist, einen selbstgewählten Dienst zu nutzen. Dient das Tracking aber dem Interesse des Datenverarbeiters, ist es ohne spezifische Einwilligung grundsätzlich rechtswidrig. Ein Überwiegen berechtigter Interessen des Trackers über die Grundrechte und Grundfreiheiten der betroffenen Person kann im Regelfall nicht festgestellt werden.

A.T.: Spielt es für den deutschen Datenschutz eine Rolle, ob für das Tracking Software von Unternehmen außerhalb der Europäischen Union eingesetzt wird und die gesammelten Daten auf Servern außerhalb der EU gespeichert werden?

A.R.: Ja, das macht sogar einen sehr großen Unterschied. Durch die Übermittlung von personenbezogenen Daten auf Server in einem Staat, der über kein anerkanntes angemessenes Datenschutzniveau verfügt, kann es zu einem Verlust an Grundrechtsgewährleistungen kommen. Einen solchen Verlust hat der EuGH in seinem sog. Schrems II-Urteil vom 16. Juli 2020 für die USA festgestellt, weil dort die zuständigen Behörden unverhältnismäßig weite Rechte zum Zugriff auf Daten aus dem US-Ausland haben und für US-Ausländer dagegen keinen Rechtsschutz bieten.

A.T.: Was müssen Websiteanbieter in Deutschland gewährleisten, die zur Verarbeitung der gesammelten Daten Dienste aus den USA, z. B. von Google Analytics, nutzen?

A.R.: Die Verantwortlichen in Deutschland müssen verhindern, dass personenbezogene Daten in die USA übermittelt werden und dass US-Behörden von US-Unternehmen oder deren Tochterunternehmen in Europa die Herausgabe personenbezogener Daten verlangen können. Dies kann dadurch geschehen, dass sie mit solchen Unternehmen nicht zusammenarbeiten oder dass sie durch technisch-organisatorische zusätzliche Schutzmaßnahmen (z. B. Anonymisierung oder Verschlüsselung) verhindern, dass US-Behörden personenbezogene Daten verarbeiten können.

A.T.: Stellt das Tracking von Forschenden im Forschungsprozess, insbesondere beim Recherchieren von Publikationen auf Webseiten oder der Weiterverarbeitung von publizierten Inhalten mithilfe von Online-Tools, einen Sonderfall dar?

A.R.: Nur insofern, als dies nicht nur gegen das Grundrecht auf Datenschutz und informationelle Selbstbestimmung verstoßen, sondern auch das Grundrecht auf Wissenschafts- und Forschungsfreiheit verletzen kann.

A.T.: Unternehmen wie Clarivate und Elsevier beschäftigen sich schon lange nicht mehr allein mit dem Verlegen von wissenschaftlichen Datenbanken und Zeitschriften. Sie erstellen Zitationsdatenbanken und verkaufen Online-Werkzeuge zur Unterstützung des kompletten Forschungszyklus. Außerdem sind sie führende Anbieter für Analysetools zur Forschungsbewertung und -evaluation. Wie schätzen Sie auf diesem Hintergrund die Praxis dieser Unternehmen sowie von anderen Wissenschaftsverlagen ein, auf ihren Webseiten Web-Tracking durchzuführen?

A.R.: Wie bereits ausgeführt, ist ein solches Tracking nur dann datenschutzrechtlich zulässig, wenn die hierüber ausreichend informierte betroffene Person hierzu freiwillig eine spezifische Einwilligung erteilt hat, wenn das Tracking notwendig ist, um einen von der betroffenen Person bestellten Dienst zu erbringen, oder wenn berechtigte Interessen ausnahmsweise die Grundrechte auf Datenschutz, informationelle Selbstbestimmung, Wissenschafts- und Forschungsfreiheit überwiegen.

A.T.: Sehen Sie Forschende derzeit bei diesen Fragestellungen ausreichend informiert und unterstützt?

A.R.: Im Regelfall wird man dies nicht annehmen können.

A.T.: Welche Rolle haben Bibliotheken, die externe Webseiten für den Bereich ihrer Hochschule lizenzieren und verlinken, bei der Sicherstellung des Schutzes der persönlichen Daten ihrer Nutzerinnen und Nutzer?

A.R.: Die Bibliotheken bzw. die Hochschulen können leicht eine gemeinsame Verantwortung für die Datenerhebung durch die verlinkten Webseiten tragen, wenn sie diese in ihr Angebot einbinden (s. EuGH vom 5. Juni 2018 zu Fanpages). Dann gelten auch für sie die Antworten zu den vorhergehenden Fragen. Außerdem müssen sie mit den Betreibern der eingebundenen Webseiten einen Vertrag über die gemeinsame Verantwortung abschließen. Zusätzlich trifft die Bibliotheken und Hochschulen eine Schutz- und Fürsorgepflicht für ihre Mitglieder und Nutzer.

A.T.: Welche praktischen Schritte wären für Bibliotheken damit verbunden? Könnten regionale Datenschutzbeauftragte oder der Bundesdatenschutzbeauftragte für solche Fragestellungen Ansprechpartner sein?

A.R.: Die Bibliotheken und Hochschulen müssen durch die Auswahl ihrer Vertragspartner und die Vereinbarungen mit ihnen verhindern, dass es zu Grundrechtsverletzungen kommt. Im Zweifel dürfen sie Dienste, deren Grundrechtskonformität sie nicht sicherstellen können, nicht nutzen.

Für die Kontrolle des Datenschutzes in den Bibliotheken und Hochschulen ebenso wie in Verlagen und Internet-Unternehmen ist die Aufsichtsbehörde des Landes zuständig, in dem der Verantwortliche hauptsächlich niedergelassen ist. Der Bundesdatenschutzbeauftragte ist nur zuständig, sofern es um öffentliche Stellen des Bundes geht. Die Aufsichtsbehörden kontrollieren nicht nur den Datenschutz, sondern sind auch für Beratung und Unterstützung in der datenschutzgerechten Gestaltung der Angebote zuständig.

A.T.: Besteht darüber hinaus eine Fürsorgepflicht der Hochschulen, ihre Hochschulangehörigen über das Datentracking von Diensten zu informieren, die diese im Forschungsprozess nutzen? Oder müssten Hochschulen ihre Forschenden sogar zur Nutzung von bestimmten Hilfsmitteln, z. B. Webbrowsern, verpflichten?

A.R.: Die Hochschulen trifft eine Fürsorge- und Schutzpflicht für ihre Mitglieder. Diese Pflicht umfasst die Aufklärung und auch allgemein Warnungen über Grundrechtsgefährdungen. Sie betrifft auch die Systemgestaltung des Internetangebots der eigenen Bibliothek. Die Hochschule muss ihre Kooperationspartner daraufhin überprüfen, ob sie die DSGVO einhalten, bevor sie deren Dienste in ihr Internet-Angebot einbindet. Schließlich hat sie die Zusammenarbeit mit Diensten zu unterlassen, die rechtswidriges Tracking ihrer Mitglieder durchführen.

Sie hat keine Verpflichtung, ihre Mitglieder gegen ihre eigene Selbstbestimmung zu schützen. Es würde jedoch ihren Aufgaben entsprechen, wenn sie ihrer Mitgliedern Angebote macht, sich selbst zu schützen.

A.T.: Lizenzverträge müssen in Deutschland in jedem Fall DGSVO-konform sein, d. h. es muss aktiv den Datenschutzregeln zugestimmt werden können. Ergibt sich darüber hinaus aber noch eine weitere Fürsorgepflicht für Bibliotheken, und wie weit könnte diese gehen? Sie haben festgestellt, dass es den Aufgaben der Hochschule entspricht, wenn sie ihren Mitgliedern Angebote macht, sich selbst zu schützen. Ist das eine fakultative Aufgabe, oder aus Sicht des Datenschutzes obligatorisch? Wie weit würde diese Verpflichtung reichen? Wäre ein genereller Hinweis auf der Eingangsseite zum Angebot ausreichend, oder sollte eine konkrete Handlungsanleitung gegeben werden (z. B. einen bestimmten Browser mit bestimmten Einstellungen zu verwenden)?

A.R.: Die Verpflichtungen aus der gemeinsamen Verantwortung habe ich ja genannt. Bei der Aufgabe, ihre Mitglieder zu schützen und für ihr Wohlergehen zu sorgen, handelt es sich um eine Aufgabe, die im Regelfall den Bibliotheken in der Umsetzung einen Ermessensspielraum gibt. Diese Aufgabe ermöglicht ihnen, die in der Frage angesprochenen Vorsorgemaßnahmen zu ergreifen. Eine Pflichtverletzung wäre es jedoch nur, wenn sie diese Aufgabe ignorieren oder in ihrer Erfüllung von falschen Annahmen ausgehen.

A.T.: Und eine zweite Frage, die sich auf das Benutzungsverhältnis bezieht. Dieses ist ja öffentlich-rechtlich ausgestaltet. Könnte es dennoch ein privatrechtlich durchsetzbares Haftungsrisiko geben für Bibliotheken, die zu Datenbanken verlinken, die – aus welchem Grund auch immer – ihre Dienstleistungen nicht DSGVO-konform anbieten?

A.R.: Die Bibliotheken würden grundsätzlich nach § 839 BGB nur haften, wenn sie eine Amtspflichtverletzung begehen. Dies wäre nur dann der Fall, wenn ihnen ein Ermessensfehler nachgewiesen werden könnte. Soweit sie gegen die Pflichten aus Art. 26 DSGVO bezogen auf ihre gemeinsame Verantwortung mit Webseitenbetreibern verstoßen, können sie nach Art. 82 DSGVO für einen daraus entstehenden materiellen oder immateriellen Schaden haften.

A.T.: Denken Sie, dass die ePrivacy-Verordnung der EU mehr Klarheit bringt, hinsichtlich der notwendigen Schutzmechanismen, die von den Webanbietern selbst gewährleistet werden müssen? Was wäre hier wünschenswert?

A.R.: Es wäre zu wünschen, dass die ePrivacy-Verordnung einen für alle Beteiligten klare Regulierung enthält, dass Tracking nur zulässig ist, wenn es für einen selbstgewählten Dienst erforderlich ist und ansonsten nur nach einer informierten und freiwilligen Einwilligung.

A.T.: Herzlichen Dank, Herr Prof. Roßnagel!

Published Online: 2022-05-07
Published in Print: 2022-05-05

© 2022 Alexander Roßnagel, publiziert von De Gruyter.

Dieses Werk ist lizensiert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Scroll Up Arrow