Zum Inhalt springen
Jetzt starten

EuGH sorgt für Klarheit beim berechtigten Interesse

Blog
3 min Lesezeit

von Olaf Brandt

Der Europäische Gerichtshof (EuGH), also das höchste europäische Gericht, hat am 4. Juli 2023 im Verfahren von Meta gegen das Bundeskartellamt sein Urteil verkündet (Rechtssache C‑252/21). Das Urteil beantwortet jenseits von Facebook, Whatsapp und Instagram auch Fragen zum berechtigten Interesse beim Tracking auf Websites und Apps.

Die vier Kriterien für das überwiegende berechtigte Interesse

Der EuGH gibt in seinem Urteil vier konkrete Prüfkriterien an:

  1. Ein echtes Interesse des Verantwortlichen (Website-Betreiber) muss auf der Website bzw. in der App mitgeteilt werden.
  2. Die Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung) und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Erforderlichkeit).
  3. Eine Abwägung der gegenüberstehenden Interessen muss die vernünftigen Erwartungen der betroffenen Personen sowie den Umfang der fraglichen Verarbeitung berücksichtigen.
  4. Der Verantwortliche (Website-Betreiber) muss die Einhaltung durch eigene Prüfung des Anbieters oder durch ein unabhängiges Testat belegen können (Rechenschaftspflicht).

Meta, Google, TikTok & Co. nur nach Einwilligung!

Der EuGH benennt sogar explizit die Direktwerbung als berechtigtes Interesse. Somit besteht die Herausforderung von Punkt 1 hauptsächlich darin, die spezifischen Zwecke konkret genug in den Datenschutzhinweisen zu kommunizieren.

Jetzt kommt es aber: Der EuGH legt den Grundsatz der Notwendigkeit sehr eng aus und verlangt, nachzuweisen, dass die genannten Zwecke nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen. Es darf also keine mildere vergleichbare Lösung geben. Eine Argumentation nach dem Motto „dieses Analyse-Tool ist zwar deutlich Datenschutz-unfreundlicher, dafür aber kostenlos“, scheidet ganz klar aus. Sobald der Anbieter auch eigene Zwecke verfolgt, fällt die Lösung ebenfalls in Punkt 2 durch.

In Sachen vernünftige Erwartungen legt der EuGH einen ebenso harten Maßstab an und widerspricht der Ansicht, dass Nutzer unentgeltlicher Dienste mit der Weitergabe ihrer Daten oder personalisierter Werbung rechnen müssten:

„Insoweit ist darauf hinzuweisen, dass, auch wenn die Dienste eines sozialen Online-Netzwerks wie Facebook unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen kann, dass der Betreiber dieses sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet.“

Im Hinblick auf den Umfang der Datenverarbeitung der großen Marketing-Plattformen führt das EuGH aus:

„Im Übrigen ist die im Ausgangsverfahren in Rede stehende Verarbeitung besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Online-Aktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von Meta Platforms Ireland aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird.“

Fazit: Nach diesem Urteil dürfte es nahezu ausgeschlossen sein, den Einsatz von Tags oder Tools der großen Marketing-Plattformen unter dem berechtigten Interesse laufen zu lassen.

etracker analytics ohne Einwilligung!

Die Grundlage für den einwilligungs-freien Einsatz von etracker analytics wurde mit dem Urteil hingegen bestätigt:

Denn das berechtigte Interesse an der Analyse von Nutzungsdaten auf Websites und in Apps gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist nach dem EuGH eine legitime Rechtsgrundlage, sofern eine Prüfung die Einhaltung der genannten Kriterien nachweist. Bei Nutzung von etracker analytics wird dies unter anderem durch folgende Grundsätze gewährleistet:

  • Elektronischer Abschluss eines AV-Vertrags mit der Account-Anmeldung
  • Automatische Kürzung der IP-Adresse vor dem Persistieren
  • Anonymisierte Nutzer-Kennungen automatisch auf 24h begrenzt im einwilligungs-freien Standardmodus
  • Reporting mit anonymisierten Daten ohne Re-Identifikationsmöglichkeit des Nutzers
  • Keine Nutzung der Daten zu eigenen Zwecken
  • Keine Verknüpfung mit anderen Datenquellen oder Daten anderer Kunden
  • Keine Weitergabe an Dritte
  • Weder Session Recording noch Mausbewegungs-Aufzeichnung
  • Direkte Widerspruchsfunktion für die Datenschutzerklärung
  • Optionale serverseitige Anbindung an Marketing-Plattformen zum automatischen Hochladen von minimalen Conversion-Daten ohne Nutzer-Kennungen
  • Optionale Weiterverarbeitung von anonymisierten Daten in Reporting-Lösungen wie Google Looker Studio oder Microsoft Power BI

Zur Erfüllung der geforderten Rechenschaftspflicht bietet etracker eine Vorlage für die Interessenabwägung sowie das Zertifikat der unabhängigen Prüfung durch ePrivacy Consult an.

Insofern: Danke an den EuGH für die Klarstellungen zum berechtigten Interesse!

Mehr zum Thema