Vor kurzem hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen LIA-Fragenkatalog veröffentlicht. LIA steht für "Legitimate Interests Assessment", also die Bewertung von "berechtigtem Interesse" im Sinne der DSGVO.
Spannend an dem Fragenkatalog sind die Beispiele, die der HmbBfDI dabei verwendet. (HmbBfDI ist übrigens bestes deutsches Behördenabkürzungsgold. Aber beim Schreiben dieses Artikels traf mich mehrfach die komplexe Fragestellung, ob das hier Singular ist, weil ich mit der Abkürzung die Person Thomas Fuchs meine, oder Plural, weil die ganze Dienststelle gemeint ist. (Bei einem Artikel über Datenschutz ist das eher unwichtig, zugegeben, aber für den Datenschutz ist es häufig von zentraler Bedeutung, ob es sich um Daten einer Person handelt, die dann entsprechend personenbezogen sind, oder ob es keine Einzelperson ist)). Diese Beispiele geben Einblick darin, was aus Sicht der Hamburger Kontrollinstanz berechtigte Interessen sein könnten.
Was steht Spannendes in den Beispielen des LIA-Fragenkatalogs?
Gleich in den ersten Fragen wird "Vermarktung von Produkten" mit dem konkreten Zweck "Direktwerbung an eigene Kunden per postalischem Anschreiben (z.B. ein Werbekatalog)" als Beispiel aufgeworfen.
"Für die Ausspielung von Werbung auf 3rd-Party-Webseiten einen pseudonymen Hashwert speichern" (Remarketing) oder "pseudonyme ID für Erfolgsbewertung von Marketingmaßnahmen" (Conversion-Tracking) wären aus meiner Sicht vergleichbar.
Wenn diese Punkte berechtigtes Interesse sind, wäre nach DSGVO eine Tracking-Daten-Erfassung auch ohne Consent möglich (also Opt-Out statt Opt-In).
Berechtigte Interessen sind damit aber kein Free-for-All-Tracking-Legalisierungshack
Bevor Du jetzt Deinen Cookie-Banner rausreißt, kommt noch das ABER:
Zum einen müssten Datenschutzbeauftragte und Gerichte Dein Tracking-Setup als vergleichbar zu den Beispielen empfinden. Außerdem sind das nur Beispiele, die als mögliche Eintragungen in den Fragenkatalog genannt sind. Genau genommen schreibt der HmbBfDI nirgends, dass er diese Beispiele auch so durchwinken würde.
Zum anderen wird Webtracking nicht durch die DSGVO allein reguliert. Das Setzen von Cookies ist über die ePrivacy Richtlinie (in Deutschland über das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, TDDDG) geregelt. Die Richtlinie sagt, dass für das Speichern von Dingen auf dem Endgerät des Nutzers grundsätzlich der Consent notwendig ist und “berechtigtes Interesse” kennt die ePrivacy-Richtlinie nicht.
Der LIA-Fragenkatalog ist dennoch hilfreich
Jetzt das “Aber” zum ABER: Für manche Fragestellungen könnte man das Consent-freie Tracking durchaus hinbekommen. Reines Reichweiten-Monitoring ist beispielsweise möglich und könnte über Fingerprinting gelöst werden. Hier muss dann aber die Abwägung getroffen werden, was für Daten für das Fingerprinting verwendet werden und welche Genauigkeit benötigt wird.
Ich denke auch, an anderen Stellen gibt es durchaus Möglichkeiten für gesetzeskonformes Tracking.
Daher lohnt es sich, für die eigenen Tracking-Aktivitäten diesen Fragenkatalog einmal durchzugehen und über die Fragen nachzudenken, weil das neben datenschutzrechtlichen Fragen auch Optimierungspotenzial in Deinem Tracking-Setup aufdecken kann. Allein schon, dass Du gezwungen bist, den Zweck einzelner Datenerfassungen konkret zu definieren, wird Dir eine neue, wertvolle Perspektive auf Deine Trackingdaten geben. Ich empfehle Dir dabei, den Fragebogen auch noch um ein paar Fragen zu erweitern, die über den reinen Datenschutz hinausgehen:
Was wertest Du wirklich aus, was liegt in einer Datenhalde, um bei Bedarf eine konkrete Analyse zu ermöglichen, und was ist Datenmüll, der einfach nur rumliegen wird? Welche Genauigkeit brauchst Du wirklich? Welche Dunkelfelder habe ich und was bedeutet das für meine bisherige Auswertung, beziehungsweise gibt es eine sinnvolle, datenschutzfreundliche Möglichkeit, die Dunkelfelder zumindest ein wenig auszuleuchten?
Dann lohnt es sich sehr, über das eigene Tracking einmal nachzudenken.