Stellen Sie sich vor, Sie durchstöbern einen Online-Shop. Sie schauen sich einige Produkte an, entscheiden sich dann aber dagegen, etwas zu kaufen. Wäre es nicht praktisch für den Betreiber des Online-Shops, wenn er Sie auf den nächsten Internetseiten nochmal dezent an die Produkte erinnern könnte, für die Sie sich eben noch interessiert haben? Und wäre es für Sie als Nutzer nicht irgendwie gruselig?Seit vorletzter Woche bietet Google unter dem Namen „Retargeting“ eine Erweiterung seiner Werbeprodukte an, die genau dieses Szenario ermöglichen soll. Angeblich soll diese Maßnahme datenschutzkonform sein. Wir haben uns das mal genauer angeschaut.

Gibt es anno 2010 „schutzwürdige Interessen“ eines Internetnutzers, die einer Speicherung und Verwendung von „Retargeting“ Cookies entgegen stehen?

Der Besuch der Website einer Werbeagentur (nach eigenen Angaben „Deutschlands erster Spezialvermarkter“ in Bezug auf „Retargeting”) veranschaulicht ganz praktisch, dass das Prinzip tatsächlich funktioniert: Man surfe von dort aus auf die Seiten der aufgeführten Referenzkunden, beschäftige sich etwas mit den einzelnen Produkten, und kehre dann zurück auf die Website der Agentur. Auf der dort bereitgestellten Demo-Fläche wird dann umfänglich Werbung für Produkte dargestellt, die man kurz zuvor so oder ganz ähnlich sich auf den Webseiten der Referenzkunden angesehen hatte.Bei Besuch einer „Retargeting“-Website wird beim Besucher ein Cookie gesetzt, der auf dessen Rechner verschlüsselte Informationen ablegt. Jede Website, die danach angesurft wird und Google Werbung verwendet, kann mit Hilfe des Cookies beim jeweiligen Internetnutzer, immer wieder und wieder, maßgescheiderte Werbung der besuchten „Retargeting“-Websites eingeblenden.Da die allermeisten Websites heutzutage in irgendeiner Form Google Werbung verwenden, sollte es für Google ein Leichtes sein, anhand der „Retargeting“–Cookies die vielzitierten „umfänglichen Bewegungsprofile” über Besucher entsprechender Websites erstellen zu können. Google ist damit faktisch in der Lage, über längere Zeiträume genau nachzuvollziehen, welche Seiten welcher Benutzer in welcher Häufigkeit aufgerufen hat, mithin für welche Produkte und Services er sich ganz besonders interessiert. Es lassen sich damit auch annähernd exakte Informationen über die Person bestimmen wie zum Beispiel über Geschlecht, Alter, Arbeitszeiten, finanzielle Situation oder auch Kleidungs- und damit Körpergrößen der Besucher.Außerdem erscheint es keineswegs als ausgeschlossen, dass „Retargeting“-tätowierte Surfer auch von Websites identifiziert werden, die „Google Analytics“ verwenden. Gleiches gilt für die mögliche Wiedererkennung bei der eigenen Google-Suche, bei der YouTube -Videosession oder beim E-Mail-Versand mittels Google Mail . Im Ergebnis ist so ein Höchstmaß an personalisierter Werbung im Google-Netzwerk denkbar. Für alle Werbetreibenden grundsätzlich ein begrüßenswerter Umstand, ein weiterer Quantensprung hin zu zielgerichteter personalisierter Werbung ohne Streuverluste. Und es wird sicher auch Surfer geben, die sich solche Werbung wünschen und diese als hilfreich bei ihrer Entscheidungsfindung beim Kauf etwaiger Produkte betrachten.Gleichwohl ändert dies nichts an der Tatsache, dass Informationen über Internetnutzer zunächst ungefragt gesammelt und zu Zwecken personalisierter Werbung zusammen geführt werden. Das Ergebnis der Datensammlung- und Auswertung wird dem Internetnutzer dann in Gestalt von Anzeigen aufgetischt.Und damit ist man auch schon bei der Frage angelangt, ob „Retargeting“ tatsächlich und wie von den Verwendern behauptet datenschutzrechtlich nicht zu beanstanden ist. Im Mittelpunkt einer solchen Betrachtung hat dabei zunächst zu stehen, ob es sich bei den „Retargeting“-Cookies um Daten mit Personenbezug handelt und es damit überhaupt zu einer Anwendbarkeit der datenschutzrechtlichen Vorschriften kommen kann.Vom Grundsatz aus kann es sich auch bei Cookies um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG handeln, nämlich immer dann, wenn Google ein Zusatzwissen aus anderen Diensten mit dem Cookie verbindet und damit eine Person identifizieren kann. Im Falle von „Retargeting“ soll der Cookie gerade mit den „AdWords“-Funktionen verknüpft und mit weiteren im Werbenetzwerk gesammelten Informationen zusammen geführt werden, um passgenaue "Retargeting"-Werbung zu ermöglichen. Es entstehen so detaillierte Informationen wie z.B. über Dauer und Häufigkeit der Internetnutzung, Alter, finanzielle Situation und selbst Kleidungsgrößen des Internetnutzers. Da diese Informationen unter Zuhilfenahme des „Retargeting“-Cookies gezielt zu Zwecken personalisierter Werbung zusammen geführt werden, muss zwangsläufig auch von einem Personenbezug dieser Cookies ausgegangen werden und damit auch von einem erlaubnispflichtigen Vorgang in Bezug auf das Abrufen und Auswerten der jeweiligen Cookiedatei. Es bedarf diesbezüglich also der Einwilligung der Einwilligung der betroffenen Nutzer oder eines gesetzlichen Erlaubnistatbestandes.Da sowohl die „Retargeting“- verwendende Website als auch Google „Diensteanbieter“ von Telemedien sind, ergeben sich mögliche Erlaubnistatbestände bezüglich des Abrufens und des Auswertens der Cookies zunächst vorrangig aus den Vorschriften des Telemediengesetzes. Als konkrete Vorschrift kommt insoweit nur § 15 Abs. 3 TMG in Betracht, wonach der Diensteanbieter Nutzungsprofile von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht. Eine Anwendbarkeit dieser Regelung ist aber schon deshalb nicht möglich, weil die Pseudonymisierung der Daten nicht durch Dritte, sondern durch Google selbst geschieht. Im Ergebnis handelt es sich bei den Cookies deshalb weiterhin um Daten mit Personenbezug und eben nicht um Pseudonyme im Sinne der Vorschrift, da die Pseudonymisierung faktisch jederzeit von Google selbst wieder aufgehoben werden könnte.Über den Verweis des § 12 Abs. 1 TMG bleibt somit nur noch der Rückgriff auf die Erlaubnissätze des BDSG. Insbesondere § 29 Abs. 1 Satz 1 Nr. 1 BDSG gestattet der verantwortlichen Stelle seit dem 1.4.2010 neben der geschäftsmäßigen Erhebung und Speicherung personenbezogener Daten nun auch die Nutzung dieser Daten zum Zweck der Übermittlung, sofern dies unter anderem der Werbung diene und keine schutzwürdigen Interessen des Betroffenen entgegen stehen. Da die in der Cookiedatei hinterlegten Daten durch Google beziehungsweise durch die jeweilige „Retargeting“-verwendende Website zu Zwecken personalisierter Werbung genutzt werden, liegt darin auch ein „Übermitteln“ im Sinne des § 3 Abs. 4 Nr. 3 a und b BDSG. Die über die Zulässigkeit der Verwendung von „Retargeting“ entscheidende Frage lautet damit:Je nach Standpunkt wird eine Beantwortung natürlich anders ausfallen. In eine Beurteilung einfließen sollte auf jeden Fall der Umstand, dass durch „Retargeting“ ein neues Level, eine andere Dimension des Datensammelns- und Auswertens erreicht wird. Und dass es sich bei den entsprechenden Cookies um anonymisierte und pseudonymisierte Daten im Sinne von § 3 Abs. 6, 6 a BDSG und nicht um personenbezogene Daten handeln würde, ist schlicht lebensfremd, da Google mit den Cookies ein Zusatzwissen aus seinem gesamten Werbenetzwerk, darunter auch die so datenintensiven „sozialen Netzwerke“, verknüpfen kann und will.Man stelle sich Google „Retargeting“ einmal im realen Leben vor: Nach Besuch eines Kaufhauses kommt einem der Verkäufer nachgelaufen, und hält einem das nicht gekaufte Produkt oder ein anderes ähnliches immer wieder vor. Er scheut sich auch nicht, andere Geschäfte zu betreten, sondert zahlt diesen sogar ein Entgelt, um zu erfahren, was dem Kunden noch so alles gefällt und ihn weiterhin belagern zu können. Nun sind die Realitäten im Web 2.0 andere und es ein grundsätzlich begrüßenswerter Umstand, dass eine Entwicklung stattgefunden hat von ehemals dumpfer Bannerwerbung hin zu fein austarierter personalisierter Werbung, womit auch ein spürbarer Mehrwert für den Kunden und Internetnutzer einher gehen kann.Gleichwohl kann es nicht darum gehen, diese personalisierte Werbung um jeden Preis und unter Missachtung des Datenschutzrechtes zu realisieren, auch wenn dieses mit dem raschen technischen Wandel der letzten Jahre nicht Schritt halten konnte. Nach wie vor und immer wieder sollte daher ganz nüchtern abgewogen werden, was im „Web 2.0“ unter den datenschutzrechtlichen relevanten „schutzwürdigen Interessen“ der Internetnutzer zu verstehen ist. Pauschale Formulierungen wie „datenschutzrechtlich unbedenklich“ oder einfache Hinweise auf ein von Google angebotenes „Opt-Out“ genügen einer solchen Abwägung nicht.(Vielen Dank auch an Florian Schmidt für tatkräftige Unterstützung)