Erfassung des Nutzungsverhaltens bei IPTV – Anforderungen an eine pseudonyme Erfassung
Wurde die Rechtsgrundlage für die Erfassung des Nutzungsverhalten bei IPTV in einem früheren Beitrag thematisiert, so beschäftigt sich dieser Beitrag vor allem mit den Vorgaben des TMG an eine pseudonyme Erfassung des Nutzungsverhaltens sowie mit den Auswirkungen der sog. Cookie-Richtlinie auf die in § 15 Abs. 3 TMG vorgesehene Opt-out-Regelung.
Anforderungen an eine pseudonyme Erfassung des Nutzungsverhaltens
Für eine Erfassung des Nutzungsverhaltens von IPTV-Nutzern sind unterschiedliche Verfahren denkbar. Nicht jedes Verfahren erfüllt aber die Anforderungen an die Erstellung von Nutzungsprofilen unter „Verwendung von Pseudonymen“, vgl. § 15 Abs. 3 Satz 1 TMG.
Nicht geeignet für eine pseudonyme Datenerhebung dürfte sein die Verwendung der für den Empfang von IPTV notwendigen Zugangskennung des Kunden. Hierbei handelt es sich um ein sog. „direkt“ personenbezogenes Datum, welches u.a. auch zu Abrechnungszwecken und damit zur Identifizierung des Kunden eingesetzt wird.
Die Zuordnung der Nutzungsgewohnheiten zu einem bestimmten Kunden mittels der an ihn vergebenen IP-Adresse dürfte ebenfalls ausscheiden. So vergibt der IPTV-Anbieter in seiner Eigenschaft als TK-Provider an Privatkunden nur sog. dynamische IP-Adressen, die spätestens alle 24 Stunden wechseln. Diese eignen sich somit nicht als längerfristiger Identifikator zur Erfassung des Nutzungsverhaltens. Unabhängig davon scheidet nach der Ansicht von Datenschutzbehörden die IP-Adresse als zulässiges Pseudonym aus (vgl. dazu das ULD, dort unter II. 1. So definiert § 3 Abs. 6a BDSG den Vorgang des Pseudonymisierens als „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Der IPTV-Anbieter als Telekommunikationsanbieter ist bei der Erbringung von Leistungen, die nicht pauschal (Flatrate) abgegolten werden, sondern nach Zeit oder Volumen abgerechnet werden, berechtigt, die IP-Adressen seiner Kunden zu erheben und zu diesen Zwecken für einen gewissen Zeitraum zu speichern. Die Erhebung der IP-Adresse erfolgt in diesen Fällen jedenfalls nicht mit dem Ziel, die Identifizierung des Kunden auszuschließen oder wesentlich zu erschweren.
Die Verwendung der Seriennummer des Empfangsgeräts als Zuordnungskriterium dürfte ebenso wenig ein zulässiges Pseudonym darstellen. Die Seriennummer des Empfangsgeräts wird herkömmlich direkt einem Kunden zugeordnet. Dies geschieht z.B. um Missbrauch bei Reklamationen vorbeugen zu können. So kann der Anbieter überprüfen, ob es sich bei dem vom Kunden als defekt eingesendeten Gerät auch wirklich um das an den Kunden ausgegebene Gerät handelt und nicht etwa um das des Nachbarn.
Technisch wäre es möglich, jedem Empfangsgerät durch den IPTV-Anbieter eine zufällige Kennung in Form einer Ziffernfolge oder Buchstaben-Ziffern-Kombination zuzuweisen und dieses Pseudonym fortan zur Zuordnung des Nutzungsverhaltens zum jeweiligen Empfangsgerät nutzen. Weiter müsste der IPTV-Anbieter sicherstellen, dass die unter dem Pseudonym erhobenen Nutzungsdaten nicht mit anderen personenbezogenen Daten des Kunden, etwa mit der Zugangskennung oder Ähnlichem, verknüpft wird. Dies ergibt sich bereits aus § 13 Abs. 4 Nr. 6 TMG, wird durch § 15 Abs. 3 S. 3 TMG aber klargestellt.
Die Erfassung des Nutzungsverhaltens unter Verwendung von Pseudonymen weist Parallelen zu der Datenerhebung mittels Cookies auf. Denn diese arbeiten nach dem gleichen Prinzip. Auch Cookies dienen primär der Identifizierung eines Nutzers (genauer eines Browsers). Bei jedem Aufruf der Website, welche das Cookie gesetzt hat oder das Setzen veranlasst hat, wird die beim erstmaligen Setzen eindeutig vergebene Kennung als Pseudonym an die Website übermittelt. Fortan kann das Nutzungsverhalten auf der Website, einem – wenn auch nicht namentlich bekannten – konkreten Nutzer zugeordnet werden. Zur sog. Cookie-Richtlinie siehe unten.
Anforderungen an die Umsetzung des Widerspruchsrechts
Der IPTV-Kunde hat nach § 15 Abs. 3 S. 1 TMG das Recht, der Erfassung seines Nutzungsverhaltens zu widersprechen. Hinsichtlich der Form des Widerspruchs oder einer technischen Umsetzung macht das Gesetz keine Vorgaben. Dabei dürfen die Hürden für eine Ausübung des Widerrufsrechts nicht unangemessen hoch sein (siehe dazu Taeger/Gabel, Kommentar zum BDSG, 2010, § 15 TMG Rn. 71 f.).
Für Cookies lässt etwa das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein ausreichen, dass der Diensteanbieter dem Nutzer das Setzen eines sog. Widerspruchs-Cookie z.B. durch das einfache Anklicken eines Kontrollkästchen erlaubt. Siehe dazu das ULD unter II. 8. Nicht ausreichen soll dagegen, dass der Diensteanbieter den Nutzer lediglich auf die Möglichkeit zum Abschalten von Cookies im Browser verweist. Denn das würde erfordern, dass sich der Nutzer mit den Einstellungen seines Browsers im Hinblick auf die Handhabung von Cookies auseinandersetzen muss. Diese Hürde soll der Diensteanbieter aber nicht aufstellen dürfen.
Übertragen auf IPTV-Anbieter bedeutet dies: Zulässig dürfte es sein, dass der IPTV-Anbieter vorsieht, dass der Kunde sein Widerspruchsrecht durch das einfache Ändern einer Einstellung in der Verwaltungsoberfläche seines Empfangsgeräts ausüben kann. Erfordert dies aber zunächst eine umständliche Authentifizierung gegenüber dem IPTV-Anbieter (z.B. Eingabe einer Benutzerkennung, die beim normalen Betrieb des Empfangsgerätes nicht benötigt wird), so dürfte die Schwelle zur leichten Ausübung des Widerspruchsrechts überschritten sein.
Eine Authentifizierung gegenüber dem IPTV-Anbieter mittels Benutzerkennung könnte aber dadurch zu rechtfertigen sein, dass so der Widerspruch z.B. bei einem Austausch des Empfangsgeräts sichergestellt ist, während dies bei der bloßen Speicherung eines Widerspruchs-Cookies auf dem Empfangsgerät nicht zu gewährleisten wäre. Dagegen könnte wiederum argumentiert werden, dass es nicht Aufgabe des Nutzers sein kann, die Umsetzung seines Widerspruchs technisch sicherzustellen.
Der in der Praxis für beide Seiten gangbare Weg muss erst noch gefunden werden. Dem IPTV-Anbieter sollte nichts abverlangt werden, was nur mit technisch unverhältnismäßig großem Aufwand umzusetzen ist. Andererseits darf die Schwelle für die Kunden, die Überwachung abzustellen, keinen prohibitiven Charakter haben.
Hinweis auf das Widerspruchsrecht in einem Informationsschreiben allein nicht ausreichend
Auf das Widerspruchsrecht nach § 15 Abs. 3 S. 1 TMG ist der Kunde „im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG“, d.h. im Rahmen der Datenschutzunterrichtung hinzuweisen, vgl. § 15 Abs. 3 S. 2 TMG. Ein vom IPTV-Anbieter versendetes Informationsschreiben (unabhängig von der Frage, ob dieses per E-Mail oder per Post verschickt werden sollte) entbindet nicht von der Pflicht, den Hinweis auf die Erfassung des Nutzungsverhaltens und die Ausübung des Widerspruchs in die Datenschutzhinweise mit aufzunehmen. Nicht ausreichend ist es, die Datenschutzhinweise lediglich über die Website des IPTV-Anbieters vorzuhalten. Vielmehr muss der IPTV-Anbieter dafür Sorge tragen, dass die Datenschutzhinweise von der Bedienoberfläche des Zugangsgerätes leicht aufgefunden und aufgerufen werden können.
Auswirkungen der sog. Cookie-Richtlinie auf das Opt-out-Privileg
Zum 25.5.2011 hätte Deutschland die Richtlinie 2009/136/EG, welche Art. 5 Abs. 3 der RL 2002/58/EG anpasst, in nationales Recht umsetzen müssen. Dies ist bislang nicht geschehen. Die Richtlinie sieht für jede nicht zwingend notwendige Speicherung von Daten auf dem Endgerät des Nutzers (die Art der Speicherung spielt keine Rolle, d.h. die Richtlinie ist nicht auf Cookies begrenzt!) eine Einwilligung des Nutzers vor. Das TMG sieht in § 12 Abs. 1 TMG grds. ebenfalls ein Einwilligungserfordernis vor, welches § 15 Abs. 3 TMG aber gerade aufhebt. Die europäische „Cookie-Regelung“ gilt aufgrund der fehlenden Umsetzung in nationales Recht nunmehr unmittelbar. Der Bundesdatenschutzbeauftragte hat auf einem Datenschutzkongress am 8. und 9. Mai 2012 die Auffassung geäußert, dass die deutschen Datenschutzbehörden ob des Umsetzungsdefizits der Bundesregierung zu aufsichtsrechtlichen Maßnahmen zur Durchsetzung der Richtlinie greifen sollten.
Aufgrund der unmittelbaren Geltung der europäischen „Cookie-Regelung“, ist die Erfassung des Nutzungsverhaltens von IPTV-Kunden nur nach deren vorheriger ausdrücklicher Zustimmung zulässig. Dies gilt aber nur, wenn die Erfassung des Nutzungsverhaltens über eine Speicherung von Daten auf dem Zugangsgerät des Kunden realisiert wird, siehe dazu Alich/Voigt, CR 2012,344.
Fazit
Anbietern von IPTV ist es unter Compliance-Gesichtspunkten anzuraten, ihre Kunden aktiv um Zustimmung zur Erfassung ihres Nutzungsverhaltens zu bitten. Um eine den Anforderungen von § 4a BDSG genügende wirksame Einwilligung einholen zu können, ist eine umfassende aber leicht verständliche Information der Kunden über die Reichweite der Einwilligung erforderlich. Kunden sollten von ihrem Anbieter zumindest über folgende Punkte aufgeklärt werden:
- Abschließende Benennung der Zwecke der Datenerfassung.
- Abschließende Benennung der Nutzungshandlungen, die erfasst werden sollen.
- Dauer der Erfassung des Nutzungsverhaltens (24/7 oder nur zu bestimmten Tageszeiten?)
- Granularität der Erfassung des Nutzungsverhaltens (nur Senderwechsel oder z.B. jede Tastenbetätigung auf der Fernbedienung oder jeder Bedienschritt in der Benutzeroberfläche des Empfangsgeräts?).