Rückblick
Wie wir in Teil 1 und Teil 2 der Artikelserie gesehen haben, können Cookies (oder App-IDs) für Analysetracking nach Ansicht der meisten Expertenstimmen und Behörden ganz allgemein nicht ohne Einwilligung verwendet werden – sofern man nicht das Kunststück schafft, es als technisch notwendig und vom Besucher ausdrücklich erwünscht zu deklarieren. Auch das haben wir besprochen. Im Normalfall scheitert es schon daran, dass die Besucher das Analysetracking gar nicht bemerken und so auch eine Erwünschtheit nicht nachvollziehbar erscheint.
Umso erstaunlicher, dass ausgerechnet der öffentlich-rechtliche Rundfunk (ÖRR) in Deutschland diese herrschende Fachmeinung großzügig ignoriert.
1. Überblick über Analysetracking ohne Einwilligung bei einigen Sendern
| Sender | Tracking¹ | Software | Hosting | CNAME² | Laufzeit³ |
|---|---|---|---|---|---|
| ARD | ja | AT Internet | Piano/ Amazon |
Ja: image.ard.de |
13 Monate |
| ZDF | (ja) | AT Internet/ Piano |
Piano/ Amazon |
Nein: xiti.com |
13 Monate |
| Deutschlandfunk | ja | AT Internet | Piano/ Amazon |
Nein:
xiti.com |
13 Monate |
| Arte | ja | AT Internet | Piano/ Amazon |
Ja: y1.arte.tv |
13 Monate |
| Phoenix | nein | ||||
| BR | ja | Google Analytics u. AT Internet |
Google/ Piano/ Amazon |
Ja: tm.br.de |
13/24 Monate |
| HR | ja | AT Internet | AT Internet/ Amazon |
Nein:
xiti.com |
13 Monate |
| MDR | ja | AT Internet | Piano/ Amazon |
Ja: image.mdr.de |
13 Monate |
| NDR | ja | AT Internet | Piano/ Amazon |
Nein:
xiti.com |
13 Monate |
| RBB | ja | AT Internet | Piano/ Amazon |
Nein:
xiti.com |
13 Monate |
| SWR | ja | AT Internet | Piano/ Amazon |
Nein:
xiti.com |
13 Monate |
¹ Analysetracking mit Schreib-/Lesezugriff
² Verwendung einer internen Subdomain, die verschleiert, dass die Analyse auf einem Server eines Drittanbieters durchgeführt wird
³ Laufzeit des Analysecookies
Was ist AT Internet und Piano Software?
Die Domain xiti.com und die Software AT Internet waren bis vor kurzem noch Teil eines französischen Analyseunternehmens, aber gehören mittlerweile zu Piano Software. Piano ist ein SaaS-Anbieter aus New York, der nach einigen Aufkäufen auf dem europäischen Markt seinen Hauptsitz nach Amsterdam verlegt hat. Das Unternehmen ist auf Verhaltensanalyse und Bezahlmodelle für Medienhäuser spezialisiert, bietet aber auch Zielgruppen-Generierung für personalisierte Werbung. Alle Sender, die unter xiti.com Cookies setzen, können das Nutzerverhalten übrigens domainübergreifend tracken, wobei AT Internet meines Wissens kein Produkt anbietet, das diese Daten für eine Besucheridentifizierung zwischen fremden Produktkunden verwendet (so etwas gab es beispielsweise bei Adobe). Wahrscheinlicher ist, dass eine externe Domain genutzt wird, damit man mehrere Domains des gleichen Kunden gemeinsam analysieren kann. Beispielsweise um Bewegungen eines Besuchers auf ard.de, ardmediathek.de und tagesschau.de zusammenknüpfen zu können.Bis auf Phoenix setzen alle großen öffentlich-rechtlichen Seiten Analysetracking mit langlebigen Cookies ein, ohne eine gültige Einwilligung zu erfragen. Google Analytics fanden wir nur beim Bayerischen Rundfunk, der Rest setzt AT Internet/Piano ein.
Beim ZDF hängt es seit kurzem davon ab, wie genau man hinter die Dark Patterns des Banners blickt: Wenn man Alle Ablehnen auswählt, findet kein Analysetracking statt, wenn man Auswahl speichern wählt, findet Analysetracking statt. Nach Auffassung anderer Behörden und auch einem Urteil des EuGH gilt eine Einwilligung mit vorausgewähltem Schalter allerdings nicht als freiwillig gegeben. Der ganze Aufbau des Banners mit einer zweiten Ebene und einer erneuten Aufteilung in weitere unklar beschriftete Einwilligungs- und Ablehnungsbuttons dürfte daran nichts ändern.
Hinzu kommen Tracker in ÖRR-Apps, über die wir hier bereits mehrfach berichtet haben.
- Wissen ist Macht: Das große Wissensdossier zu §25 TTDSG – das TTDSG Teil1
- Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
- Das Lobbyinstitut vom Datenschutz-Experten Rolf Schwartmann – das TTDSG Teil3
- Google Analytics beim Bayerischen Rundfunk und die lascheste Datenschutzbehörde Europas – das TTDSG Teil4
2. Die sogenannte „anonyme Analyse“
Bei meinen früheren Tracking-Tests schnitten die öffentlich-rechtlichen Sender eigentlich ausgezeichnet ab, weil sie schon lange auf besonders problematische Trackingeinbettungen wie die »Facebook Business Tools« verzichten. Aber das ist natürlich auch kein Kunststück, wenn man die Seiten nicht mit Werbung finanzieren muss. Beim Analysetracking sieht es leider gar nicht gut aus: Nicht nur, dass die Dienste fast überall ohne Einwilligung eingesetzt werden. Es wird auch noch gelogen und getrickst, dass man ins Staunen kommt. Neben Rechtsauslegungen, die sich so nirgends in Europa finden lassen, fahren nicht nur die Sender, sondern auch die zuständigen Aufsichtsbehörden (siehe Infokasten weiter unten) falsche Behauptungen und Irreführungen auf, um dem Analysetracking einen möglichst glaubhaften Anstrich zu verleihen.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
Öffentlich-Rechtlicher Unsinn
Der Bayerische Rundfunk behauptet, dass er mit Google Analytics eine „anonymisierte“ Nutzungsmessung durchführe und dass man sogar die IP-Adressen »im BR« anonymisiere, bevor Google Zugriff darauf erhalte. Das ZDF behauptet, dass die Daten mit der Software „AT Internet“ anonymisiert werden. Die ARD schreibt von einer „anonymen Erfassung“ von Nutzungsvorgängen. Der SWR beklagt in seinem Tätigkeitsbericht 2021 die hohe Anzahl von Beschwerden über „angebliche“ Verstöße beim Tracking, dabei finde doch „nur eine anonymisierte Auswertung“ statt.
Was ist dran?
Fangen wir einmal mit der „anonymisierten“ IP-Adresse an: Google Analytics kann die Adresse eines Nutzers bekanntlich kürzen, nachdem ein einzelner Analyse-Aufruf auf dem Google-Server eingetroffen ist und bevor die Anfrage in einer Datenbank gespeichert wird. Daran besteht kein Zweifel. Will man die IP-Adresse kürzen, bevor sie auf dem Server eintrifft, geht das technisch nicht bei einer direkten Verbindung. Was man allerdings machen kann, ist einen Proxy-Dienst zwischen Google und den BR schalten, der die IP-Adresse für Google verschleiert. Nur: bei den Google-Analytics-Aufrufen an die Adresse tm.br.de steht direkt ein Server von Google. Die Behauptung, hier würden Endnutzer-IPs nicht gegenüber Google offengelegt, ist falsch. Die Presseabteilung des Senders liefert schließlich die Erklärung mit einer amüsanten Überraschung: Die behauptete Anonymisierung der IP-Adresse gegenüber Google findet mittels Google Cloud statt. Das klingt witzig, macht aber juristisch durchaus Sinn: Die Daten in der Google Cloud unterliegen anderen und strengeren Datenschutzbedingungen als die Daten unter Google Analytics. Ein Beispiel: die IP-Adressen, die an Google Analytics gehen, werden für Werbepersonalisierung ausgewertet, die IP-Adresse, die an die Google Cloud gehen hingegen nicht. Aber die Behauptung, dass Google auf die IP keinen Zugriff erhält, bleibt trotzdem falsch. Und vor der Schrems II-Problematik (unkontrollierter Zugriff auf die Daten durch US-amerikanische Ermittlungsbehörden) schützt das ganze Verfahren auch nicht.
Der CNAME-Trick
Die Verschleierung von Analyse-Servern mit einem CNAME-Alias-Eintrag wie beispielsweise tm.br.de ist ein gängiger Trick. Nach außen sieht es so aus, als würde hier ein Server des BR im Browser geladen werden. In Wahrheit hat der Bayerische Rundfunk diese Subdomain aber so konfiguriert, dass sie auf Googles Server verweist. So werden die verschiedenen Analysedaten vom Browser direkt an Google und von dort an Google Analytics gesendet, es sieht nur an der Oberfläche anders aus. Eine CNAME-Verschleierung von Analysediensten ist daher meistens eine Irreführung gegenüber den nutzenden Personen. Aber der wichtigste Grund ist ein technischer: Damit werden Schutzkonzepte der Browser umgangen. Die erste Hürde, dass in vielen Browsern keine Third-Party-Cookies geschrieben werden dürfen, überspringt Google Analytics bereits standardmäßig, weil es die Cookies unter der Domain der analysierten Seite, in diesem Fall br.de schreibt. Aber das Versenden der Analysedaten geschieht standardmäßig an google-analytics.com und kann so von den meisten Trackingblockern ohne Probleme verhindert werden. Mit dem CNAME-Trick wird auch dieser Schutz ausgehebelt. Der Aufruf geht nur oberflächlich an tm.br.de. Dahinter steht aber weiterhin der Google-Cloud-Server mit seiner Google-IP-Adresse 216.239.34.21. Das kann man nun nur noch mit Trackingblockern auf DNS-Ebene verhindern (zum Beispiel uBlock Origin).
Vor Gericht könnte diese Technik einen Seitenbetreiber besonders angreifbar machen, weil er ja trotz dieses Umgehungstricks nachweisen müsste, dass der Besucher den Analysedienst „ausdrücklich gewünscht“ hat. Auch die ARD verwendet den CNAME-Trick. Die Subdomain-Adresse image.ard.de kann man dem Sender auch nicht gerade als Transparenz auslegen.
Man muss davon ausgehen, dass BR und ARD ihre Analyse also sowohl gegen Trackingblocker schützen als auch vor kritischen Besucher’innen tarnen wollen. Dem widerspricht der Pressesprecher vom BR:
Ebenso wenig trifft es zu, dass das Tracking mit einem „CNAME-Trick“ verschleiert wird. Denn die Subdomain tm.br.de führt nicht etwa zu einem Drittanbieter, sondern – wie dargelegt – zu dem oben genannten BR-Server, der im Rahmen eines Cloud-Hosting-Vertrags vom Auftragsverarbeiter Google bereitgestellt wird.
Auch die IDs sind nicht anonymisiert
Tatsache ist auch, dass alle oben aufgeführten Sender mit den Analysediensten ein pseudonymes Cookie setzen und dieses bei jedem Besuch auslesen und an das Analyseunternehmen übertragen. Pseudonym bedeutet, dass der Analysedienst Personen anhand des Cookies 13 Monate oder zwei Jahre lang wiedererkennt. Anonym würde bedeuten, dass der Sender meine Aufrufe nicht von denen eines anderen Besuchers unterscheiden kann.
Alles nur geträumt? »Fiktive IDs« beim BR
Beim Bayerischen Rundfunk verwendet man noch ein etwas spezielleres Setup: Die ID aus dem Google-Analytics-Cookie „_ga“ wird nach Aussage der Pressestelle des Senders auf der Google Cloud in eine »fiktive ID« umgewandelt und dann erst an Google Analytics weitergegeben. Da diese ID serverseitig verwendet wird, kann ich sie weder sehen noch kontrollieren. Am Freitag konnte man mir nicht mehr die Frage beantworten, ob diese fiktive ID ebenfalls einmalig und sogar eindeutig zum „_ga“-Cookie ist oder ob hier idealerweise ein kleiner Pool von beispielsweise 500 IDs rotiert, was einer echten (nachträglichen) Anonymisierung entsprechen würde. Technisch würde letzteres aber keinen Sinn machen, da diese Analyselösung schlechter wäre als ein cookiefreies Tracking mit gekürzter IP-Adresse. Das bieten andere datenschutzfreundliche Anbieter an und benötigten dabei nicht diesen Aufwand mit doppeltem Server. Die Formulierung der Pressestelle, eine „kryptographische Einwegfunktion“ zu verwenden, spricht dafür, dass das _ga-Cookie einfach gehasht wird und damit weiterhin pseudonym ist. Zusammen mit der Formulierung in der Datenschutzerklärung, dass „auf dem GTM-Server“ anonymisiert werde, gibt es allerdings klare Hinweise auf die Technik, die hier eingesetzt wird. Und die erklärt auch, warum es überhaupt diese seltsame Verknüpfung mit der Google Cloud gibt.
Der BR nutzt eine besonders hartnäckige Variante von Google Analytics
Offenbar kommt hier nämlich das bekannte und in letzter Zeit populäre Server Side Tagging von Google Analytics zum Einsatz, das standardmäßig in einem Container der Google Cloud genutzt wird. Neben einigen positiven Sicherheitseffekten für die Seite sind auch Spamaufrufe auf die Endpunkte der Analysesoftware leichter zu herauszufiltern. Kurz gesagt kann man mit dieser Konfiguration alle Parameter besser konfigurieren oder filtern, bevor sie an Google Analytics rausgehen. Eine echte Anonymisierung kann, aber muss nicht darunter fallen.
Der Einsatz von Server Side Tagging erklärt auch das Auftauchen des FPID-Cookies beim BR, das neben _ga zusätzlich von der Google Cloud in meinem Browser geschrieben wird. Die FPID ist eine kryptografische Funktion aus dem _ga-Cookie (allerdings mit einem serverseitigen Seed, sodass ich es weder in die eine noch in die andere Richtung überprüfen kann). Auch das stimmt mit der Aussage der Pressestelle überein. Dieses FPID-Cookie hat eine lange Laufzeit von zwei Jahren, ist pseudonym und eindeutig zum _ga-Cookie. Die große Begeisterung in der Analystenwelt für diese serverseitige Variante verbirgt sich aber in einem technischen Detail, wie das Cookie FPID gesetzt wird: Es wird direkt vom Server (HttpOnly) und nicht vom Javascript des Browsers geschrieben. Die eingesetzte Variante beim BR ist damit besser geschützt gegen Trackingblocker als das normale Google Analytics. Der Analytics-Guru Simo Ahava schreibt zu der vom BR eingesetzten Technologie:
The paradigm shift that we can envision with GTM’s Server-side tagging isn’t just one of improving data collection; it’s also one of obfuscating it.
Man muss sich bei diesem Befund schon fragen, wie glaubwürdig es ist, dass der BR nach seinen Aussagen diese Konstruktion nun weder für das Aushebeln von Trackingblockern noch für eine Verschleierung nutzt, sondern damit die Analyse anonymisiert werde. Und damit unter das Niveau bringt, die eine Standardlösung ohne Cookies leisten würde. Aber es liegt in der Natur der Sache serverseitiger Vorgänge, dass ich hier nur spekulieren kann. Sobald dazu vom BR noch eine Klärung kommt, schreibe ich es auf Mastodon. In jedem Fall ändert sich aber nichts an der Tatsache, dass hier zunächst zwei pseudonyme Cookies von Google gelesen und geschrieben werden und die Behauptung, dass keine personenbezogenen Daten verarbeitet werden, falsch ist.
Doof stellen vorm Dashboard?
Eine weitere beliebte Behauptung bei den Sendern ist, dass nur eine „aggregierte“ Statistik erstellt werde. Wenn man gutmütig ist, kann man also die Behauptung einer „anonymisierten“ Analyse so verstehen, dass im Dashboard der Tools keine individuellen Verhaltensprofile abrufbar sind. Das stimmt auch so. Ich habe den bisherigen Rundfunkdatenschutzbeauftragten Reinhart Binder gefragt, ob „anonym“ also nur die Darstellung im Dashboard meint oder ob man wirklich weiter behaupten will, dass die Analysen mit Piano oder Google Analytics anonym sind, obwohl sie ja nachweislich pseudonyme Cookies verwenden. Darauf hat er geantwortet, dass die Tools bei den Sendern keine „Nutzungsmessung im Sinne eines individuellen Nutzerprofils“ ermöglichen würden.
Das könnte also so gemeint sein, dass die Sender die technische Datenverarbeitung durch die Dienstleister ausblenden und lediglich die Anzeige im Dashboard meinen, wenn sie von „anonym“ sprechen.
Diese Idee, sich gegenüber den internen Daten doof zustellen, hat eine der drei großzügigen Behörden in Europa aufgebracht: die französische CNIL. Im ersten Teil der TTDSG-Serie habe ich ausführlicher darüber geschrieben. Es stimmt natürlich: eine Person, die im Dashboard des Analysetools herumklickt, kann den Besucher in einer Menge anderer Datenpunkte nicht mehr sehen und analysieren. Eine Bewertung nach DSGVO darauf abzustellen, ist aber in etwa so naiv wie ein Kind, das denkt, bei geschlossenen Augen wäre man unsichtbar. Sicherlich mindert sich durch eine Einschränkung der Dashboard-Analysemöglichkeiten das Missbrauchsrisiko durch das Analysepersonal. Nicht aber für die Betreiberin oder den Admin des Analyseservers. In den Datenbanken der Tools bestehen die mehr oder weniger langen Sitzungen und auch die zurückkehrenden Nutzer also im Normalfall fort, weil das ja genau der Zweck der monatelangen Verhaltensanalyse für die Webseitenoptimierung ist. Und nicht zuletzt bestehen in den Tools auch Auskunfts-Schnittstellen, weil die Tools – anders als die Rundfunksender – ja durchaus wissen, dass sie personenbezogene Daten verarbeiten und daher die DSGVO berücksichtigen müssen. Das führt dazu, dass beispielsweise bei Google Analytics zu jeder ID aus dem Cookie auch alle dazugehörigen Verhaltensdaten abgerufen werden können. „Aggregiert“ ist also in der Datenbank nichts.
Im Tätigkeitsbericht von 2021 hat Reinhart Binder hingegen noch klarer festgestellt, dass die Rundfunkanstalten „nur vollständig anonymisierte Datenbestände auswerten“. Letztere Behauptung ist nun in Bezug auf AT Internet/Piano und Google Analytics definitiv falsch.
Die eigenen Rundfunkdatenschutz-Behörden
Geprägt durch die deutsche Geschichte gab es in Deutschland schon sehr früh Datenschutzgesetze und dem föderalen System entsprechend auch einzelne Datenschutz-Landesbehörden. Nach dem Bundesdatenschutzgesetz hatten vor der DSGVO auch alle öffentlich-rechtlichen Institutionen einen Datenschutzbeauftragten. Mit Einführung der DSGVO hat man dann zusätzliche Aufsichtsbehörden für den Rundfunk geschaffen, um damit die Pressefreiheit zu gewährleisten (dazu später mehr). Leider hat man es dabei versäumt, diese wirklich strukturell und personell unabhängig zu machen: Teilweise wurden die Datenschutzbeauftragten einfach nur in eine Aufsichtsbehörde umgewandelt und – je nach Landesgesetz – darunter neue interne Datenschutzbeauftragte ernannt. Reinhart Binder, der bis Ende 2022 die Aufsichtsbehörde für BR, Deutschlandradio, SR, WDR und ZDF leitete, war vorher einfach der Rundfunkdatenschutzbeauftragte des WDR. Und der aktuelle Leiter der 2023 erweiterten Aufsichtsbehörde ist Stephan Schwarze, der nach dem Landesgesetz gleichzeitig der Rundfunkdatenschutzbeauftragte des MDR ist. Die auf dem Papier unabhängige „externe“ Aufsichtsbehörde ist auch im gleichen Gebäude des Senders untergebracht und kann wie in vielen Bundesländern noch nicht mal ein Bußgeld verhängen (weil sich dabei das Geld eh nur im Kreis drehen würde). Es verwundert daher nicht, dass sich bei den Ansichten zwischen den internen Datenschutzbeauftragten und den „externen“ Rundfunkaufsichtsbehörden kaum Unterschiede ergeben.
Die Tools sind pseudonym… sagen sogar die Tools
Eigentlich lächerlich, das überhaupt belegen zu müssen, da ein Analysecookie mit einer eindeutigen ID allein für den Zweck geschaffen wurde, eine pseudonyme Verhaltensanalyse zu erstellen. Ansonsten würde man kein Cookie benötigen. Aber hier trotzdem mal die Cookie-Beschreibungen der beiden Anbieter:
Google: „‚_ga‘, das wichtigste von Google Analytics verwendete Cookie, ermöglicht es einem Dienst, einen Nutzer von anderen zu unterscheiden, und bleibt 2 Jahre lang bestehen.“
Piano: AT Internet offers several ways to create a unique identifier for a „visitor“. […] we generate a unique identifier, stored in a server-side cookie (idrxvr, atid or atidx) on one of those 2 domain names: .xiti.com or .ati-host.net. This unique ID allows cross-domain reports and is sent in the AT Internet hit headers.
Nicht benötigt: Bösewicht mit Adressdatenbank
Von Seitenbetreibern wird gerne die Behauptung aufgestellt, dass man mit einer pseudonymen ID einzelne Personen nicht identifizieren könne. Weil es keine Mittel gäbe, die „echte“ Person mit Namen oder Postadresse herauszufinden. Als bräuchte es für die Identifizierung immer noch eine Art Bösewicht, der an der Haustüre klingelt, weil er vorher in einer Datenbank die Postadresse zu der pseudonymen ID nachschlagen konnte. Dabei wird vergessen, dass die Verbindung zwischen Browser und Server bereits eine Identifizierung ist, die eine Person monatelang wiedererkennt. Die österreichische Datenschutzbehörde hat das in einem Verfahren für die NGO noyb.eu gut auf den Punkt gebracht:
„Wer ein Tool verwendet, welches eine solche Aussonderung gerade erst ermöglicht, kann sich nicht auf den Standpunkt stellen, nach „allgemeinem Ermessen“ keine Mittel zu verwenden, um natürliche Personen identifizierbar zu machen.“
Denn entscheidend ist: Über die Browser-Server-Verbindung kann eine natürliche Person von anderen „ausgesondert“ werden, was nach DSGVO als Identifizierung gilt. Daher sind die Daten nicht anonym. Ein Beispiel: Ich habe an einer „anonymisierten“ Krebsstudie teilgenommen und werde dann in der Fußgängerzone von einer daran mitarbeitenden Ärztin angesprochen: „Na, Patient Nr. 24b/12, was macht der Magentumor?“ Wenn das passiert, war die Studie nicht anonymisiert. Auch wenn die Ärztin meinen Namen nicht wusste, konnte sie mich aussondern.
Sachlich betrachtet erhebt und verarbeitet eine Analysesoftware, wenn sie eindeutige IDs im Gerät speichert und ausliest, personenbezogene Daten, weil sie mich immer wieder erkennt. Alles andere ist praktisch immer eine Schutzbehauptung gegen Vorwürfe oder sogar eine bewusste Irreführung.
Wie wir im ersten Teil der Artikelserie gesehen haben, spielt die hier aufgerollte Frage der Anonymität für TTDSG §25 aber gar keine Rolle. Nach TTDSG dürfen auch anonyme Cookies nicht ohne Einwilligung geschrieben werden – falls sie nicht unter die enge Ausnahme fallen. Man kann sich die Diskussion um die Anonymität also sparen und zum eigentlichen Punkt kommen: Wie die Rundfunkanstalten in ihrer Argumentation begründen, warum das Analysetracking „unbedingt erforderlich“ ist. Bevor wir diese Frage nach dem TTDSG klären, machen wir aber noch einen Exkurs zu einer ganz besonderen Ausrede beim öffentlich-rechtlichen Tracking: Das Medienprivileg.
3. Gerätezugriff als verfassungsrechtliche Aufgabe? Maria, Hilf: Das Medienprivileg!
In der Datenschutzerklärung vom Bayerischen Rundfunk heißt es, dass die Analysemessung dem verfassungsrechtlichen Auftrag diene, die Bevölkerung mit einem publizistisch konkurrenzfähigen Angebot zu versorgen. Daher falle die Analysemessung unter Art. 6 Abs. 1 S. 1 lit. e) DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe). Genauso argumentiert das ZDF.
Das sehen andere Behörden nicht so: Die DSK hat einer solchen freien Auslegungen in Bezug auf die DSGVO eine Absage erteilt:
„Ob eine Aufgabe im öffentlichen Interesse besteht, die eine Verarbeitung personenbezogener Daten erfordert, bestimmt jedoch nicht der Verantwortliche selbst. Sowohl lit. e) als auch lit. c) können als „direkte“ Rechtsgrundlage nicht herhalten, vielmehr ist der eigentliche Erlaubnistatbestand in der „Rechtsgrundlage für die Verarbeitungen“ der Union oder des Mitgliedstaats zu sehen. Die Datenverarbeitung muss durch die gesetzliche Rechtsgrundlage erlaubt werden, die sie nur zulässt, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Dieser Zweck der Datenverarbeitung muss wiederum nach Abs. 3 S. 2 in der Rechtsgrundlage explizit festgelegt sein.
In der DSGVO gibt es allerdings sehr wohl auf höherer Ebene eine Ausnahme von der gesamten Verordnung. Wer jetzt korrekterweise ahnt, dass das für das TTDSG keine Rolle spielt, kann im nächsten Abschnitt weiterlesen. Aber der Hintergrund ist nicht uninteressant:
Journalismus und DSGVO
Artikel 85 der DSGVO öffnet die Möglichkeit, eine Ausnahme für journalistische Tätigkeiten zu erlassen. Tatsächlich muss ich als Journalist für meine Recherche beispielsweise keine Löschpflichten erfüllen. Sonst könnte ich nicht mehr investigativ arbeiten: Mit einem Löschantrag wäre die ganze kritische Recherche zu einer Person erledigt. Geregelt ist das jeweils in den einzelnen Landespressegesetzen und im Medienstaatsvertrag, der für die ÖRR-Sender gilt.
Dabei wird von den Sendern auch gerne mal darauf hingewiesen, dass dieses Medienprivileg „weit auszulegen ist“ (RDSB Tätigkeitsbericht 2021, RN 52 oder Datenschutzerklärung BR). Nur: Das zitierte Urteil (4 W 108/21) und der DSGVO Erwägungsgrund 153 beziehen sich – wie auch das EuGH-Urteil C‑345/17 – auf die Frage, welche Meinungsäußerungen noch als Journalismus gelten. Zum Beispiel, ob ein Blogbeitrag Journalismus ist oder nicht (kommt auf den Inhalt an). Es ging dabei nicht um die Frage, welche technischen Nebentätigkeiten noch dem journalistischen Kern zuzurechnen sind.
Diese Frage stellt sich aber natürlich auch: Ist die Analyse von Besucherzahlen eine journalistische oder eine verlegerische Tätigkeit? Hat es etwas mit dem Recht auf freie Meinungsäußerung zu tun, wenn man sich anschaut, wer eine Meinung gelesen hat? Oder mit Vertrieb und Marketing? Gehört es zur funktionalen Aufgabe eines Journalisten, Webanalyse zu betreiben – oder nicht?
Leider finden sich zu dieser Frage wenig bis gar keine juristischen Abhandlungen. Reinhart Binder hat dazu einen Aufsatz geschrieben (Rechtsfragen zum Datenschutz [€]). Auf Rückfrage bestätigte Binder mir, dass sich darüber hinaus nach seinem Wissen weder Rechtsprechung noch Literatur genauer befasst haben. Was es gibt, sind diverse Urteile, die sich mit einer Abgrenzung zwischen journalistischer und unternehmerischer Verlagstätigkeit beschäftigt haben, darunter z.B. BGH-Urteil (VI ZR 345/09) mit einer groben Einordnung:
Denn nur die Tätigkeiten, die der Erfüllung der Aufgaben einer funktional verstandenen Presse bzw. des Rundfunks dienen, werden vom Medienprivileg erfasst (…). Dementsprechend gilt die datenschutzrechtliche Privilegierung beispielsweise nicht für im Rahmen der Personaldatenverarbeitung anfallende oder im Zusammenhang mit dem Gebühreneinzug, zur Akquisition von Abonnenten oder zur (kommerziellen) Weitergabe an Dritte gespeicherte Daten (…). Demgegenüber sind die Recherche, Redaktion, Veröffentlichung, Dokumentation und Archivierung personenbezogener Daten zu publizistischen Zwecken umfassend geschützt (…).
Analyse als Teil von „Marketing“ oder von „Veröffentlichung“?
Es gibt gute Gründe, für eine Webanalyse keine Ausnahme nach dem Medienprivileg gelten zu lassen, weil es dem Vertrieb und dem Marketing zuzurechnen ist und üblicherweise auch von Angestellten jenseits des journalistischen Berufs durchgeführt wird. Eine ähnliche Meinung vertritt beispielsweise auch der Hamburger Datenschutzbeauftragte Thomas Fuchs, der in einem Podcast feststellte, dass die zahlreichen, in Cookie-Bannern deklarierten Verarbeitungen nicht mehr dem journalistischen Bereich zufallen:
Es ist eigentlich theoretisch ganz einfach, sobald die Datenverarbeitung nicht mehr den journalistischen Zwecken dient, ist das Medienunternehmen ein ganz normales Unternehmen, das dem allgemeinen Recht unterliegt. Das heißt zum Beispiel Mitarbeiterdaten sind in einem Pressehaus genauso geschützt wie in einem anderen Unternehmen. Der Umgang mit Kunden ist genauso datenschutzrechtlich zu bewerten wie bei anderen Unternehmen. Deswegen haben wir zum Beispiel die Cookie-Banner, weil eben auch ein Presseunternehmen im Einzelfall darauf hinweisen muss, dass Daten verarbeitet werden zu Werbezwecken. Das heißt, sobald nicht der Kernbereich von Recherchieren und Veröffentlichen betroffen ist, unterliegt auch das Medienunternehmen dem ganz normalen Datenschutzrecht.
Ungeklärte Zuständigkeit?
Daraus lässt sich aber nicht ableiten, dass auch die Zuständigkeit der Datenschutzbehörden nach der gleichen Unterscheidung verläuft. Tätigkeiten in einem Verlag können also der DSGVO unterliegen, aber die Aufsicht unterliegt trotzdem der Behörde, die im Medienstaatsvertrag zugewiesen wurde und folgt eben nicht nach allgemeinem Recht. Das liegt daran, dass die Formulierungen für das Medienprivileg (§12, §23) und die Schaffung der Rundfunkdatenschutzbehörden (§113) zwar im Wortlaut ähnlich sind, aber bei genauerer Betrachtung eine andere Grenze ziehen: Das Medienprivileg erfasst nur „journalistische Zwecke“. Die Datenschutzaufsicht aber umfasst „journalistisch-redaktionell gestaltete Angebote“. Daraus kann man folgern: Analyse- oder Werbecookies haben zwar keine journalistischen Zwecke, gehören aber zum journalistisch-redaktionell gestalteten Angebot. Am Ende spielen hier aber auch noch die Landesgesetze eine Rolle, die das Medienprivileg und die Zuständigkeit unterschiedlich regeln können. Als vollständig geklärt sehe ich als Laie die Zuständigkeit für journalistische Angebote und Analysetracking noch nicht, erkenne aber auch nicht, dass die bestehende Aufteilung der Zuständigkeit unter den Behörden in der Praxis angezweifelt wird. Für weiterführende juristische Informationen dazu empfehle ich diesen Beitrag zum Medienprivileg und zur Frage, ob und welche Behörden überhaupt für Verstöße gegen das TTDSG zuständig sind.
Kein Medienprivileg im TTDSG
Ich hatte es bereits erwähnt: Das Medienprivileg gilt nur für die DSGVO. Es erlaubt immer noch nicht den Zugriff auf das Endgerät anderer Leute nach TTDSG. Man mag beim BR davon ausgehen, dass man verfassungsrechtlich zu einer Analyse verpflichtet ist. Aber das würde sich natürlich auf die Möglichkeiten und Verarbeitungen der IT des Senders selbst beziehen. Aber darf der BR zu mir in die Wohnung kommen und nachschauen, ob ich gerade die Bayernhymne aus der Mediathek abspiele? Nein, das Strafgesetzbuch kennt kein Medienprivileg. Darf die Redaktion vom BR ohne Einwilligung auf meinen Computer zugreifen, um zu schauen, ob ich gerade die Bayernhymne genieße? Nein, denn auch das TTDSG öffnet keine Ausnahme für Medien.
Kindertracking für den Journalismus
Anders sieht das allerdings der aktuelle Rundfunkdatenschutzbeauftragte Stephan Schwarze. Der hatte dem Kuketz-Blog zu der Debatte um das Tracking in der KiKa-App (noch in seiner Funktion als Rundfunkdatenschutzbeauftragter des MDR) geschrieben, dass §25 TTDSG gar nicht für journalistische Aufgaben gelte:
Im Übrigen ist der Gesetzgeber davon ausgegangen, dass das TTDSG die Datenverarbeitung zu journalistischen Zwecken nicht erfasst (Nummer 11 der Stellungnahme des Bundesrates vom 26.03.2021 zum Entwurf des TTDSG 8). Diesem Gedanken folgend können die Rundfunkanstaltendie anonymisierte Nutzungsmessung unter den genannten Voraussetzungen daraufstützen, dass sie nur mit ihrer Hilfe die ihnen durch Artikel 5 Abs. 1 Satz 2 Grundgesetz, § 30 Medienstaatsvertrag übertragene Aufgabe und ihren verfassungsrechtlichen Funktionsauftrag optimal wahrnehmen können.
Zitiert wird dabei eine Stellungnahme des Bundesrates vor Verabschiedung des TTDSG, in dem darauf hingewiesen wird, dass im Entwurf eine Ausnahmeregelung für Medien fehle, die es im Vorgänger TMG gab.
Das Problem nur: Die Stellungnahme stammt ja eben aus der Zeit vor der Ablösung des TMG und das TTDSG hat keine solche Ausnahme mehr bekommen. Die Argumentation von Stephan Schwarze übersieht auch die Antwort der Bundesregierung in dieser Sache. Die meinte nämlich wenig später in einer Gegenäußerung:
„Rundfunk- und Presseunternehmen unterliegen den Anforderungen des TTDSG im Hinblick auf den Datenschutz und den Schutz der Privatsphäre im Bereich der Telekommunikation, soweit diese Bestimmungen auf diese Unternehmen anzuwenden sind, und ebenso den Anforderungen an Telemedien, die im TTDSG geregelt sind.“
Das sah übrigens auch der Vorgänger von Stephan Schwarze, der ehemalige Rundfunkdatenschutzbeauftragte Reinhart Binder in seinem Tätigkeitsbericht 2021 (RN 119) so: Das Medienprivileg rechtfertige keine Freistellung von den Vorschriften zum Schutz der Privatsphäre. Auf Rückfrage bekräftigte er nochmals schriftlich, dass es damit nach seiner Ansicht kein Medienprivileg für einen Schreibzugriff für beispielsweise Analysezwecke gebe.
Stephan Schwarze hat sich nach Veröffentlichung des Artikels nochmals geäußert, offenbar erreichte ihn unsere Anfrage wegen der Umstellung der Behördenseite zum Jahreswechsel nicht. Er bestätigte seine Ansicht, dass nach seiner Auffassung „vom Gesetzgeber vorgesehen ist, dass Sachverhalte, die dem Medienprivileg unterfallen, vom TTDSG ausgenommen sind.“
4. Umdefinition von „ausdrücklich gewünscht“
Was bleibt nun an rechtlich nachvollziehbaren Argumenten der Behörde übrig? Nach Prüfung dieser Sammlung von falschen Behauptungen und Irreführungen? Eigentlich nur die Auslegung des bekannten Ausnahmepaares im §25 TTDSG: „Ausdrücklich gewünscht“ und „unbedingt erforderlich“. Hier hat man ohne Zweifel Möglichkeiten zur Diskussion, die Preisfrage ist nur, wie weit.
Die Argumentation der Rundfunkdatenschutzbehörde und der Rundfunkdatenschutzkonferenz geht hier so: Ein Nutzer müsse sich nicht in einer bestimmten Weise zustimmend verhalten, weil das dann eine Einwilligung sei, die ja in der Ausnahmeformulierung verhindert werden soll. Daraus folgen die Behörden, dass gar kein ausdrückliches Verhalten notwendig sein muss und das Analysetracking im ganzen Angebot erlaubt sei. Das Problem allerdings: Die ePrivacy-Richtlinie wie auch das TTDSG schreiben „ausdrücklich“. Man kommt also vermutlich nicht daran vorbei, einen ausgedrückten Wunsch oder eine Handlung wie beispielsweise den Aufruf eines personalisierten Angebotes belegen zu können, sonst gäbe es diese Formulierung nicht im Gesetz.
Wie ausdrücklich gewünscht ist ein nicht gewünschtes Analysetracking?
Die Behörde und das Gremium unterstellen damit, dass die Beitragszahler’innen – weil sie ein konkurrenzfähiges Angebot wünschten – auch die langlebige Verhaltensanalyse auf ihren Geräten wünschen. Diese Vorstellung geht messbar an der Realität vorbei. Bei einer rechtskonformen Consent-Gestaltung liegt die Einwilligungsrate zum Analysetracking auf Webseiten nur bei 17 %. Das stellte der Trackingdienst eTracker in seiner Studie „Analytics & Cookie Consent 2022 – Benchmark“ fest. Dazu passt, dass der Rundfunkdatenschutzbeauftragte Reinhart Binder 2021 feststellte:
Ein weiteres anhaltendes Dauerthema in meiner Aufsichtspraxis ist der Einsatz von Cookies für die Nutzungsmessung der Rundfunkanstalten (…). Das Inkrafttreten des TTDSG am 1. Dezember 2021 (…) hat (…) einen neuen Schub an Anfragen und Beschwerden ausgelöst.
Wenn so viele Personen das Analysetracking – falls sie es überhaupt trotz der verschiedenen Verschleierung-Tricks der Sender bemerken – mit schriftlichen Anfragen ablehnen, dann könnte man vielleicht darüber nachdenken, dass es bei der Mehrheit gar nicht erwünscht ist. Reinhart Binder sah das anders: Er argumentierte, die Anfragen seien in absoluten Zahlen niedrig und die Rechtsauslegung sei nicht von Umfrageergebnissen abhängig.
Wie unbedingt erforderlich ist eine gar nicht erforderliche Technik?
Über die Frage der technischen Erforderlichkeit hatte ich im ersten Teil schon gesprochen und es gibt bei den Rundfunksendern nichts hinzuzufügen, da sie technisch nicht anders funktionieren. Auch hier sind Analysedienste für den Betrieb nicht technisch notwendig. Hier verweise ich nochmals auf die guten Analysen der OH Telemedien und der dazugehörigen Konsultation, die den Begriff der technischen Erforderlichkeit aus dem Gesetz ableiten, sowie die vorgeschlagene „harte“ Prüfung des WP 194.
Geradezu gaga erscheint in dem Zusammenhang die jüngste Idee vom ZDF, eine „unbedingt erforderliche“ Nutzungsmessung mit einem Deaktivierungsschalter zu versehen. Was man abschalten kann, kann wohl kaum technisch „unbedingt erforderlich“ sein.
In dieser Auslegung stehen die Behörden also sehr einsam dar. Am Ende wird nur ein Gericht entscheiden können, ob ihre Argumente bei einer rechtlichen Prüfung bestehen. In der vorliegenden journalistischen Prüfung sind sie jedenfalls durchgefallen.
Fazit: Rundfunkdatenschutz-Behörden
Was die internen, aber vor allem die externen Rundfunkdatenschutzbeauftragten hier betreiben, ist durchschaubar: Sie wollen unbedingt weiter das aussagekräftige Analysetracking nutzen. Um mit renitenten Gebührenzahler’innen möglichst wenig Ärger zu haben, verschleiern sie Fakten, argumentieren mit Irreführungen gegenüber der Öffentlichkeit und legen Gesetze entgegen der herrschenden Rechtsmeinung aus. Stephan Schwarze argumentiert mit Stellungnahmen zu Gesetzesentwürfen, die längst anders gekommen sind. Die Datenschutzerklärungen klären nicht auf, sondern enthalten falsche Informationen. Damit verhindert die Rundfunkdatenschutzbehörde sowohl den Datenschutz als auch das Vertrauen in die Institution und nutzt ihre Machtposition unfair aus.
Keine andere Aufsichtsbehörde in Europa legt die ePrivacy-Richtline so verdreht aus wie bis 2022 Reinhart Binder und nun sein Nachfolger Stephan Schwarze. Nicht mal die viel gescholtene Behörde in Irland erlaubt Google Analytics ohne Einwilligung. Das Tool ist ja schon mit Einwilligung ein Problemfall mit vielen ungeklärten Fragen.
Es sieht also so aus, als existiere die Unabhängigkeit der Aufsicht beim Öffentlich-Rechtlichen Rundfunk nur auf dem Papier. Die Aufsicht erlaubt offenbar eher, was die Geschäftsführung braucht. Es war also ein Fehler, die Rundfunkbehörden auch für die Regulierung jenseits der journalistischen Kernarbeit einzusetzen.
Dabei wäre rechtskonformes Verhalten und faire und neutrale Bearbeitung von Beschwerden gerade deshalb wichtig, weil vor allem Gebührengegner und Reichsbürger den Datenschutz als Vehikel für ihre Angriffe auf den ÖRR nutzen.
So kann man allen betroffenen Bürgerinnen und Bürgern leider nur raten, so rasch wie möglich den Klageweg zu beschreiten, damit ein Gericht endgültig über die Kernfrage entscheidet, ob ein Analysedienst in diesem Kontext „unbedingt erforderlich“ und „ausdrücklich gewünscht“ sein kann. Der bisherige Rundfunkdatenschutzbeauftragte Reinhart Binder würde die Klärung sogar begrüßen. Nach seiner Auskunft ist ihm kein laufendes Verfahren bekannt, wohl gab es aber 2021 bereits eine Klageankündigung zu Analysecookies.
Update 17. Mai 2023: Stephan Schwarze hat uns mittlerweile auf unsere Anfrage geantwortet, daher haben wir seine Stellungnahme zum Medienprivileg und TTDSG ergänzt und die Behauptung entfernt, dass er uns nicht geantwortet hat.
Bildquellen:
Stop: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Eberl
Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Ich freue mich auf Deine Beteiligung zum Artikel
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.