MediaMarkt: »Wir respektieren Ihre Privatsphäre« nicht
Einwilligungsbanner bzw. die Abgabe einer Einwilligung ist nach der DSGVO erforderlich, wenn Betreiber von Webseiten/Apps personenbezogene Daten erheben, verarbeiten und nutzen möchten. Das TTDSG ist sogar noch etwas strenger:
§ 25 Abs. 1 Satz 1 TTDSG normiert den Grundsatz, dass die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer:innen zulässig sind.
Soweit erstmal die Ausgangslage. Der Banner der MediaMarkt-Webseite sieht wie folgt aus:
Klicken wir mal auf Notwendig, finden wir dort ein buntes Sammelsurium an Anbietern:
- Cloudflare
- Cliplister
- Dynatrace
- Google Firebase
- Google Tag Manager
- JOTFORM
- Oracle CX RightNow
Als Hinweis steht dort:
Diese Cookies & Technologien sind notwendig. Es handelt sich um grundlegende Cookies, mit denen unsere Webseite ordnungsgemäß funktioniert, sodass Sie die wichtigsten Funktionen nutzen und problemlos auf der Webseite navigieren können.
Die DSK macht in ihrer Orientierungshilfe (Seite 22) deutlich, dass es sich bei den Cookies bzw. dem Zugriff auf Informationen auf dem Endgerät um eine technische Erforderlichkeit handeln muss, um den gewünschten Dienst bereitzustellen. Diese technische Erforderlichkeit ist bei den (meisten) eingebundenen Anbietern nicht gegeben. Für die technische Funktionserbringung bzw. die Webseiten-Nutzung sind diese (aus Nutzerperspektive) schlichtweg nicht erforderlich. Oder anders formuliert: Ich kann auch dann noch problemlos die »wichtigsten Funktionen« auf mediamarkt.de nutzen und auf der Webseite navigieren, wenn bspw. der Dienst Dynatrace nicht aktiv ist:
Wir verwenden die Software „Dynatrace“, der Firma Dynatrace LLC, 1601 Trapelo Road, #116 Waltham, MA 02451 USA, um Einblicke in die technische Performance unserer Webanwendung zu gewinnen. Dynatrace erfasst Daten wie W3C-Timings, Button-Klicks, Link-Klicks, JavaScript-Fehler, Browser-Typen und geografische Regionen. Diese Daten helfen uns, die Leistung unseres Angebots kontinuierlich zu verbessern und funktionale Probleme zu erkennen und zu beheben. Damit dies korrekt und effektiv funktioniert, benötigt Dynatrace die Verwendung eines Satzes von Cookies. Des weiteren wird die IP Adresse des Nutzers erfasst.
Aus Sicht von MediaMarkt mag das ein wichtiger Dienst sein – aber technisch erforderlich (und darauf kommt es nach § 25 TTDSG an) ist dieser Dienst nicht. Und ja, § 25 TTDSG ist laut der Orientierungshilfe tatsächlich so streng auszulegen. Zu den technisch erforderlichen Cookies zählen bspw.:
- Sitzungsverwaltung (z. B. Warenkorb-Cookies)
- Nutzereingaben, die sich bei Onlineformularen über mehrere Seiten erstrecken
- Ausgewählte Sprache
- Vermerken des Einwilligungsstatus bei Opt-In/Opt-Out
- Zum Einsatz zu Sicherheitszwecken
Der Cookie von Dynatrace und Co. zählt nicht dazu.
Fazit: MediaMarkt ist demnach weit davon entfernt, »Ihre Privatsphäre« zu respektieren. Nach meiner Auffassung liegt ein eindeutiger Verstoß gegen § 25 TTDSG vor.
Die (Rechts-)Auffassung von Verantwortlichen ist immer wieder bewundernswert. Gerade dann, wenn es um die Ausgestaltung von Einwilligungsbannern und um die Frage der »technischen Erforderlichkeit« geht. Da wird das Gesetz gerne zum eigenen Vorteil ausgelegt und nach »kreativen« Lösungen gesucht, obwohl die Sachlage eigentlich relativ eindeutig ist. Damit ist MediaMarkt ja nicht allein, sondern befindet sich in guter Gesellschaft mit der Deutschen Bahn, der Deutschen Post, ARD/ZDF und weiteren Unternehmen/Institutionen.
TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor
Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2
TTDSG: Stellungnahme vom ZDF bezüglich Apps liegt vor
Wissen ist Macht: Das große Wissensdossier zu §25 TTDSG – das TTDSG Teil1
