Real Time Advertising (RTA) ist in aller Munde. Nach den neuesten Erkenntnissen wird RTA die Zukunft des Online-Marketings gehören. Ob es sich hierbei bloß um einen aktuellen Trend oder tatsächlich um eine neue technische Entwicklung handelt, bleibt abzuwarten.
In loser Reihenfolge beschäftigen wir uns daher mit den rechtlichen Problemen, die im Rahmen des RTA entstehen. Das Thema des heutigen Artikels ist das Datenschutzrecht.
Um eine rechtliche Bewertung vornehmen zu können, bedarf es einer kurzen Skizzierung der technischen Abläufe. Auf eine weitergehende Darstellung wird im Folgenden bewusst verzichtet. Es sei an dieser Stelle vielmehr auf die hervorragende Einführung von Schroeter/Westermeyer/Müller/Schlottke/Wendels verwiesen, die es kostenlos im Netz zum Download gibt (PDF-Download unter www.rtb-buch.de).
Für unsere juristische Betrachtung gehen wir von nachfolgender vereinfachter Darstellung aus, wobei in der Praxis die Abläufe deutlich komplexer und umfangreicher sind:
Publischer <--> SSP <--> DSP <--> Advertiser
Bevor wir uns näher mit der Übermittlung der Daten zwischen den einzelnen Beteiligten beschäftigten, ist es zunächst wichtig zu wissen, welche Arten von Daten zwischen den Parteien überhaupt übermittelt werden. Diese Frage ist relevant für alle Vertragsverhältnisse zwischen sämtlichen Beteiligten, sei es nun das Verhältnis zwischen Publisher und SSP, die Beziehung zwischen SSP und DSP oder zwischen DSP und Advertiser.
Wie vom Autor bereits in einem früheren Website-Boosting-Artikel dargestellt (Rechtliche Zulässigkeit von Online-Benutzerprofilen – Teil 1, Website Boosting 03-04/2012, S. 101-104), wird zwischen drei Arten von Daten differenziert:
Bei anonymen Daten handelt es sich um Informationen, die keiner konkreten Person mehr zugeordnet werden können, sondern nur noch abstrakt vorliegen.
Beispiel:
Facebook hat aus seinen Benutzerprofilen einen eigenständigen neuen Datensatz erstellt. Darin enthalten ist die Information, dass 54 % der Leute gern Schokoladeneis essen, während hingegen nur 33 % der Nutzer Erdbeereis mögen. Es ist nicht mehr rückführbar, welcher der einzelnen User Erdbeere und wer Schokolade bevorzugt.
Pseudonymisierte Daten liegen vor, wenn bestimmte Identifikationsmerkmale in dem jeweiligen Datensatz durch ein Pseudonym ersetzt werden.
Beispiel:
Im Datensatz von Facebook ist die Information enthalten, dass der User „Martin Bahr“ von Beruf „Rechtsanwalt“ ist. Facebook entfernt nun den Namen und ersetzt ihn durch ein Pseudonym, z. B. eine Kennzahl wie „00001“. Dieses neue Pseudonym wird nur einmal vergeben. Ein anderer Facebook-Nutzer erhält z. B. die Zahl „00002“.
Das Internetunternehmen weiß also nicht mehr, wer sich hinter der Zahl „00001“ verbirgt, da der Name vollständig gelöscht wurde. Erkennbar sind jedoch weiterhin alle sonstigen Informationen.
Beispiel:
Es wird gespeichert, dass der Nutzer „00001“ von Beruf „Rechtsanwalt“ ist, Schokoladeneis mag, Erdbeereis hingegen nicht. Auch wird festgehalten, wie lange „00001“ täglich online ist, auf welchen Webseiten er sich aufhält usw.
Klardaten sind die Informationen, die zu einer bestimmten natürlichen Person gespeichert werden.
Beispiel:
Facebook speichert Vor- und Nachname, Straße, PLZ, Ort und Beruf, also: „Martin Bahr, Mittelweg 41a, 20148 Hamburg, Rechtsanwalt“.
Da anonyme Daten im RTA aufgrund der technischen Gegebenheiten keine Rolle spielen, bedarf es hier keiner weiteren Erörterung mehr. Relevant sind somit nur die beiden Bereiche pseudonymisierte Daten und Klardaten.
Im weiteren Verlauf gehen wir grundsätzlich davon aus, dass es sich bei den übertragenen Informationen um pseudonymisierte Benutzerprofile handelt, da dies in der Praxis der Regelfall ist. Überall dort, wo es im Falle von Klardaten zu einer Unterscheidung bei der rechtlichen Bewertung kommen könnte, wird dies im Nachfolgenden deutlich gemacht.
Wie oben dargestellt, gehen wir im Nachfolgenden davon aus, dass der Publisher der SSP bestimmte pseudonymisierte Benutzerdaten weiterreicht. Ist eine solche Informationsübertragung datenschutzrechtlich unbedenklich?
Um die Antwort vorwegzunehmen: Ja, sie ist es.
Zwar gibt es bislang zu dieser Frage keine einzige Gerichtsentscheidung, jedoch sprechen sehr gute Argumente dafür, dass eine solche Datenübertragung rechtlich einwandfrei ist. Unklar ist nur der juristische Weg, auf dem dieses Ziel erreicht wird.
Die erste Frage, die sich der Jurist stellt, ist die, ob überhaupt im rechtlichen Sinne eine Datenübermittlung vorliegt. Qualifiziert man nämlich das Verhältnis zwischen Publisher und SSP als Auftragsdatenverarbeitung, so handelt es sich nach dem Gesetz um keine Datenübermittlung (§ 3 Abs. 4 Nr. 3 iVm. Abs. 8 S. 3 BDSG). Die Handlungen wären damit rechtlich gesehen weitgehend unproblematisch.
Die Möglichkeiten und Grenzen der Auftragsdatenverarbeitung hatten wir bereits in einem vorherigen Artikel ausführlich besprochen. Bedenken bestehen jedoch, dass die SSP in ihrer Funktion nicht nur die Interessen des Publishers wahrnimmt, sondern zumindest wirtschaftlich gleichgewichtig auch eigene kommerzielle Interessen im Auge hat. Eine solche Geschäftsbeziehung als Auftragsdatenverarbeitung iSd. § 11 BDSG zu qualifizieren, dürfte nur außerordentlich schwer möglich sein, denn die SSP erhebt und verarbeitet die Daten auch zu eigenen Zwecken. Dies ist insbesondere dann der Fall, wenn die SSP die Daten für Zwecke verwendet, die das Geschäftsverhältnis zwischen dem einzelnen Publisher und ihr übersteigt.
Eine Bewertung als Auftragsdatenverarbeitung dürfte daher in aller Regel rechtlich kaum möglich sein. Somit bedarf es einer gesetzlichen Erlaubnisnorm für die Datenübermittlung.
Nach § 15 Abs.5 TMG dürfen „zum Zwecke der Marktforschung anonymisierte Nutzungsdaten an andere Diensteanbieter übermittelt werden“.
Unklar ist nun, wie diese Rechtsnorm auszulegen ist. Nach dem Wortlaut dürfen lediglich anonyme Daten übermittelt werden. Der Text äußert sich jedoch sprachlich nicht zu den für den RTA-Bereich relevanten pseudonymen Daten.
Es würde die gesetzgeberische Wertung unterlaufen, würde man die Übermittlung nicht schützenswerter anonymer Daten lediglich zu Marktforschungszwecken erlauben, andererseits die Übertragung deutlich schützenswerterer pseudonymer Daten aber auch zum Zwecke der Werbung zulassen. Dies wäre ein eindeutiger Wertungswiderspruch.
Eine Anwendung des § 15 Abs.5 TMG scheidet daher aus.
Denkbar erscheint jedoch ein Rückgriff auf § 28 Abs. 2 Nr. 1 iVm. Abs. 1 Nr. 2 BDSG. Danach darf der Publisher die Daten übermitteln, wenn dies zur Wahrung seiner berechtigten Interessen erforderlich ist und kein Grund zu der Annahme besteht, dass schutzwürdige Belange des Users betroffen sind.
Zu den berechtigten Interessen des Publishers gehören nach ständiger Rechtsprechung auch finanzielle Aspekte. Dabei ist im Rahmen einer umfassenden Interessenabwägung zu analysieren, ob die Interessen des einzelnen Users überwiegen oder die des Publishers. Für den Publisher sind hier seine wirtschaftlichen Interessen ins Feld zu führen, für den User hingegen sein grundsätzliches Recht auf informationelle Selbstbestimmung. Wie eine Abwägung im Einzelfall ausfällt, ist daher kaum vorhersagbar.
Rechtliche Bedenken hinsichtlich eines solchen Rückgriffs bestehen insbesondere unter dem Einwand, dass durch einen Rückgriff auf eine allgemeinere Norm, nämlich das BDSG, die spezielleren Regelungen des TMG ausgehebelt würden. Wollte der Gesetzgeber nämlich – wie oben dargestellt – nach den Regelungen des TMG keine Übermittlung der pseudonymisierten Daten zu Werbezwecken, dann verbietet sich die Anwendung der herkömmlichen Regelungen des BDSG, da ansonsten der abschließende Zweck des TMG unterlaufen würde.
Daher sprechen ganz überwiegende Gründe gegen eine Anwendung des § 28 BDSG.
Des Rätsels Lösung findet sich jedoch in § 15 Abs. 3 TMG, wonach die SSP auf der Webseite des Publishers selbst Informationen erhebt. Nach dieser Norm darf der Diensteanbieter nämlich zu Werbezwecken Nutzungsprofile mit pseudonymisierten Daten erstellen und verwenden. Eine Speicherung ist jedoch nur dann erlaubt, wenn der Nutzer dem nicht widersprochen hat. Damit der User überhaupt von der Möglichkeit des Widerspruchs Kenntnis erlangt, muss also die SSP den einzelnen User vorab informieren. Die SSP muss also auf der Webseite selbst neben dem Publisher genannt werden.
Bei Internetportalen, die Nutzerprofile lediglich von registrierten Nutzern erheben, ist dies unproblematisch möglich. Im Rahmen der Anmeldung wird einfach auf diese Umstände hingewiesen, mehr ist nicht erforderlich.
Problematisch hingegen sind die Fälle, in denen Unternehmen Daten auch von nicht registrierten Usern speichern, z. B. von allen Personen, die eine Webseite ansurfen. Hier stellt sich die entscheidende Frage, an welcher Stelle die rechtliche Aufklärung zu platzieren ist: direkt auf der Startseite mittels eines großen, bunt blinkenden Pop-up-Fensters? Oder reicht auch die dezente Platzierung im Impressum aus? Und reicht es aus, den Widerspruch in Form eines Opt-out-Cookies auf dem lokalen Rechner des Users zu speichern?
Eine weitere wichtige Frage ist: Erlaubt § 15 Abs. 3 TMG auch eine Speicherung durch die SSP, da in der Regel nicht die SSP, sondern der Publisher die Webseite betreibt?
Überraschenderweise existiert zu diesem gesamten Themenkomplex bislang keine bzw. kaum relevante Rechtsprechung in Deutschland. So unbefriedigend diese Tatsache auf den ersten Blick ist, sollten Sie als Internetunternehmer diesem Umstand vielmehr eine positive Seite abgewinnen: Wenn nämlich alles ungeklärt ist, so kann es Ihnen niemand vorwerfen, wenn Sie diesen Freiraum nutzen.
Nach der hier vertretenen Auffassung reicht es also aus, wenn auf der Webseite des Publishers darauf hingewiesen wird, dass pseudonymisierte Daten auch durch die SSP erhoben werden und die Möglichkeit eines Widerspruchs besteht.
§ 15 Abs. 3 TMG ist also eine ausreichende Rechtsgrundlage für die SSP zur Erhebung von pseudonymisierten Daten. Eine Rechtsgrundlage für Klardaten hingegen existiert nicht, da § 15 Abs. 3 TMG nur pseudonymisierte Daten privilegiert.
Für das Verhältnis zwischen SSP und DSP kann spiegelbildlich auf die Ausführungen zwischen SSP und DSP zurückgegriffen werden. Auch hier scheitert eine Auftragsdatenverarbeitung an der Tatsache, dass die DSP primär eigene wirtschaftliche Ziele verfolgt. Eine Anwendung des § 15 Abs. 5 TMG scheidet – wie oben dargestellt – auch in dieser Konstellation aus. Denkbar wäre hier die Lösung nach § 15 Abs. 3 TMG, jedoch setzt dies voraus, dass die DSP ebenfalls auf der Webseite des Publishers genannt wird, was aus technischen und logistischen Gründen jedoch entfällt.
In Betracht kommt somit nur ein Rückgriff auf § 28 BDSG. Gegen die Anwendung dieser Norm sprechen jedoch – wie oben dargestellt – ebenfalls erhebliche Gründe. Ob und wie ein angerufenes deutsches Gericht einen solchen Rückgriff verbieten wird, erscheint aus heutiger Sicht nur schwer prognostizierbar.
Da zwischen DSP und Advertiser keine personenbezogenen Daten, die den einzelnen User betreffen, ausgetauscht werden, ist dieses Vertragsverhältnisverhältnis datenschutzrechtlich unbedenklich.
Die derzeit gelebte Anwendung des RTA in der Praxis hat mit erheblichen datenschutzrechtlichen Unsicherheiten zu kämpfen. Dies betrifft vor allem die Informationsübertragung zwischen SSP und DSP. Diese Problematik wird sich im Zeitalter von Big Data und Internationalisierung noch verschärfen.