Warum ist Webtracking so verbreitet?
Bei der Entscheidung, an welcher Stelle der jeweilige Unternehmsauftritt im Internet noch besser angepasst werden kann, helfen Informationen, über das Verhalten der Nutzer des Unternehmensauftritts. So ist es bspw. interessant, ob ein Nutzer nur kurz auf einer Seite verweilt oder sich über mehrere Seiten klickt und intensiv mit den angebotenen Informationen beschäftigt. Wird ein Thema oder eine Seite bspw. häufig aufgerufen, kann der Unternehmensauftritt künftig noch stärker hierauf ausgerichtet werden. Führt eine bestimmte Seite andererseits häufig dazu, dass Nutzer den Unternehmensauftritt verlassen, so besteht möglicherweise Verbesserungsbedarf. Ein häufiges Ziel ist, dass möglichst viele Nutzer die Unternehmensseiten besuchen und danach zu Kunden werden. Man spricht in diesem Zusammenhang auch von der sogenannten „conversion-rate“ – je mehr Nutzer die vom Unternehmen definierten Ziele erfüllen (bspw. „Kunden werden“), desto höher ist die conversion-rate. Um an die Daten über die Anzahl der Besucher und deren Verhalten kommen, setzten Unternehmen häufig Webtrackingtools ein.
Welche Formen des Webtracking gibt es?
Insgesamt können drei Formen des Webtracking unterschieden werden. Webtracking anhand von anonymen Nutzungsdaten, anhand von personenbezogenen Nutzungsprofilen und Webtracking anhand von pseudonymisierten Nutzungsprofilen.
Anonyme Nutzungsdaten
Unproblematisch ist die Auswertung anonymer Daten – also solcher Daten, die keine Personenbeziehbarkeit mehr aufweisen. Hier ist jedoch Vorsicht geboten. So stellt nach Ansicht der Aufsichtsbehörden bereits die vollständige IP-Adresse ein personenbezogenes Datum dar. Um die IP-Adresse zu anonymisieren reicht es allerdings in der Regel aus, die letzten drei Ziffern zu löschen, bevor die IP-Adresse protokolliert wird. Anonyme Nutzungsdaten, die ohne weiteres frei ausgewertet werden dürfen liegen bspw. regelmäßig auch dann noch vor, wenn zusätzlich zu der anonymisierten IP-Adresse folgendes gespeichert wird:
- die Seite, von der aus die Datei angefordert wurde,
- der Name der abgerufenen Dateien,
- das Datum und die Uhrzeit des Abrufs,
- die übertragene Datenmenge,
- der Zugriffstatus (Datei übertragen, nicht gefunden etc.),
- eine Beschreibung des Typs des verwendeten Webbrowsers.
Zwar unterliegt die Auswertung von anonymisierten Nutzungsdaten datenschutzrechtlich keiner Reglementierung – allerdings ist die Aussagekraft der Auswertungen aufgrund der unscharfen Basisdaten auch sehr begrenzt.
Personenbezogene Nutzungsprofile
Die höchste Aussagekraft haben personenbezogene Nutzungsprofile. Solche liegen bspw. vor, wenn das Verhalten einzelner Nutzer gespeichert und diesen über die jeweilige IP-Adresse zugeordnet wird. Eine personenbezogene Nutzungsprofilbildung liegt bspw. im Rahmen von Onlineportalen auch dann vor, wenn die jeweiligen Nutzungsdaten dem Account des dort mit seinem Namen registrierten Nutzers zugeordnet werden würden. Ohne eine ausdrückliche Einwilligung des Nutzers, ist ein solch intensives Tracking allerdings rechtlich unzulässig. Die Hürden für eine wirksame Einwilligung sind dabei sehr hoch und ergeben sich aus § 4 a Bundesdatenschutzgesetz sowie aus § 13 Telemediengesetz. Die Einwilligung auf elektronischem Weg ist demnach nur wirksam, wenn sie
- auf der freien Entscheidung des Betroffenen beruht,
- bewusst und eindeutig erteilt wurde,
- protokolliert wird,
- der Nutzer vorher auf die verfolgten Zwecke hingewiesen wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Da diese Hürden in der Praxis so gut wie nie erfüllt werden, ist Webtracking anhand von personenbezogenen Nutzungsprofilen fast immer unzulässig.
Pseudonyme Nutzungsprofile
Um die Auswertungsergebnisse zu verbessern, nutzen viele Unternehmen Webtrackingtools, die Nutzungsprofile unter Verwendung von Pseudonymen erstellen. Zu diesem Zweck wird jedem Besucher ein pseudonymes Wiedererkennungsmerkmal gegeben. In der Praxis geschieht dies häufig durch die Verwendung von Cookies. Konkret bedeutet dies, dass auf dem Gerät des Nutzers (egal ob PC, Tablet, Smartphone, etc.) beim ersten Besuch der Webseite eine bzw. mehrere Dateien mit einer einzigartigen aber zufälligen Zeichenkombination gespeichert werden. Im Rahmen weiterer Webseitenbesuche wird diese Datei wieder vom Webseitenbetreiber aufgerufen und alle Daten vergangener Nutzungen können mit den Daten aktueller und künftiger Nutzungen verknüpft werden. Fertig ist das pseudonyme Nutzungsprofil. Doch ist dieses Vorgehen überhaupt datenschutzrechtlich zulässig? Die Antwort hierauf gibt § 15 Abs. 3 des Telemediengesetzes. Dieser lautet:
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 (gemeint ist die Datenschutzerklärung) hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Was bedeutet dies in der Praxis?
Es muss sichergestellt werden, dass alle Nutzungsdaten pseudonymisiert sind. Insbesondere vollständige IP-Adressen dürfen nicht gespeichert werden. Die Datenschutzerklärung muss zwingend angepasst werden. Es ist erforderlich, Besucher über die Erstellung pseudonymer Nutzungsprofile zu informieren. Die Besucher müssen in diesem Rahmen zudem darüber informiert werden, dass sie der Profilbildung widersprechen können. Sofern ein Besucher der Profilbildung widerspricht muss technisch gewährleistet werden, dass künftige Besuche nicht mehr erfasst werden und die bereits vorhandenen Daten gelöscht werden. Die Pseudonymisierung darf nicht aufgehoben werden. Sofern das Webtracking durch ein anderes Unternehmen ausgeführt wird, muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden.
In der Praxis gibt es einige Webtrackingtools bzw. Anbieter solcher Webtrackingtools, welche diese Vorgaben erfüllen können. Bekannt sind in diesem Zusammenhang vor allem Google Analytics, etracker und Piwik.
Was ist beim Einsatz von Google Analytics, etracker und Piwik zu beachten?
Hier steckt der Teufel oftmals im Detail. Es ist in jedem Fall empfehlenswert vor der Verwendung von Webanalysetools den unternehmenseigenen Datenschutzbeauftragten zu beteiligen.
Google Analytics
Vor der erstmaligen Einbindung von Google Analytics muss dafür gesorgt werden, dass keine vollständige IP-Adresse zur Profilbildung verwendet wird. Dies geschieht dadurch, dass die von Google angebotene „_anonymizeIp()“-Funktion in den HTML-Code der eigenen Seiten aufgenommen wird.
Es ist zudem erforderlich, die Datenschutzerklärung auf der eigenen Webseite der künftigen Verwendung anzupassen. Hier macht Google relativ klare Vorgaben in Ziffer 8.1. der Google Analytics Bedingungen und gibt einen Text vor. Da dieser offen lässt, ob die „_anonymizeIp()“-Funktion genutzt wird oder nicht, sollte der Text um diesen Zusatz ergänzt werden.
Der von Google vorgegebene Text enthält auch den Hinweis auf das Widerspruchsrecht und eine technische Umsetzung des Widerspruchs. Es muss allerdings darauf geachtet werden, den Text nicht einfach aus den Google Analytics Bedingungen zu kopieren, sondern an der beschriebenen Stelle einen Link zu der Webseite https://tools.google.com/dlpage/gaoptout?hl=de zu hinterlegen.
Schließlich muss vor dem Start des Webtracking ein Vertrag zur Auftragsdatenverarbeitung mit Google Inc. abgeschlossen werden. Was sich zuerst relativ unmöglich anhört ist eigentlich ganz einfach. Google stellt einen entsprechenden Vertrag zur Verfügung, der ausgedruckt und unterschrieben an die Hamburger Niederlassung gesendet werden kann. Einige Zeit später kommt der Vertrag unterzeichnet zurück.
Weitere Informationen zur Einbindung von Google Analytics gibt ein Merkblatt des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Das Merkblatt ist auch in englischer Sprache verfügbar. Eine kurze Zusammenfassung der datenschutzrechtlichen Diskussion rund um Google Analytics und warum Google Analytics lange Zeit als unzulässig galt findet sich in unserem Blog-Eintrag.
etracker
Auch bei etracker muss sichergestellt werden, dass die IP-Adresse nicht verwendet wird. Im Modul „Web Analytics“ sind die Datenschutzeinstellungen hierzu auf „Erweiterte Datenschutzkonformität“ zu setzen.
Ebenfalls muss die eigene Datenschutzerklärung angepasst werden . Der entsprechende Text wird von etracker in den Allgemeinen Geschäftsbedingungen in Ziffer 6.1 vorgegeben.
Der von etracker vorgegebene Text enthält auch einen Hinweis auf das Widerspruchsrecht sowie dessen technische Umsetzung. Hierzu muss wie in Ziffer 6.1. der etracker AGB beschrieben eine Verlinkung zu der Seite http://www.etracker.com/privacy?et=[etracker Secure Code] angeboten werden, wobei anstelle des [etracker Secure Code] die von etracker zugewiesene Accountnummer des Unternehmens eingesetzt werden muss.
Schließlich muss auch etracker mit einem Vertrag zur gesetzeskonformen Auftragsdatenverarbeitung verpflichtet werden, da selbst die pseudonymisierten Nutzungsprofile weiterhin dem Bundesdatenschutzgesetz unterfallen. etracker bietet hierzu ein eigenes Vertragsmuster an. Die Anlage dieses Vertrages muss allerdings der tatsächlichen Datenverarbeitung angepasst werden (Erstellung pseudonymisierter Nutzungsprofile).
Piwik
Im Gegensatz zu Google Analytics und etracker ist Piwik ein Trackingtool, welches vom Unternehmen selbst, d.h. direkt auf dem eigenen Webserver, betrieben werden kann. Die Installation ist daher etwas komplexer. Eine Anleitung, wie man Piwik datenschutzkonform nutzen kann, hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor einiger Zeit veröffentlicht – allerdings für eine mittlerweile nicht mehr aktuelle Piwik-Version.
Damit Piwik nicht die vollständigen IP-Adressen im Klartext speichert, muss das von Piwik angebotene AnonymizeIP-Plugin aktiviert werden.
Die Datenschutzerklärung muss ebenfalls angepasst werden. Dabei kann der von Piwik vorgegebene Text verwendet werden. Es muss darauf geachtet werden, dass zusätzlich das von Piwik bereitgestellte Opt-Out Verfahren in die Datenschutzerklärung technisch integriert wird.
Ein Vertrag zur Auftragsdatenverarbeitung muss nicht geschlossen werden, sofern Piwik auf dem eigenen Webserver installiert wird und dieser durch das Unternehmen selbst betrieben wird. Wird der Webserver bei einem Dienstleister betrieben, sollte ein Vertrag zur Auftragsdatenverarbeitung mit diesem geschlossen bzw. ein bereits geschlossener entsprechend ergänzt werden.
Was ist mit den Trackingtools, die Social Media Plattformen von sich aus anbieten?
Die Einrichtung eines Unternehmensauftritts auf Social Media Plattformen sollte stets vom Datenschutzbeauftragten des Unternehmens begleitet werden. Oftmals werden die Trackingtools, welche Social Media Plattformen den Betreibern einer gewerblichen Unterseite anbieten, auf den Prüfstand zu stellen sein. Das Unabhängige Landeszentrum für Datenschutz in Schleswig Holstein hält bspw. die von Facebook angebotene Reichweitenanalyse „Facebook Insights“ für unzulässig und sieht hierin einen Verstoß gegen § 15 Abs. 3 Telemediengesetz. Von der Nutzung sollte daher abgesehen werden – dies sollte auch verbindlich in der Datenschutzerklärung auf der jeweiligen Fanpage dargestellt werden. Soll dennoch ein Webtracking erfolgen, so ist zu prüfen, ob dies nicht durch externe Webtrackingsoftware realisiert werden kann.
Ist Fingerprinting eigentlich anonym?
Fingerprinting ist relativ neu und bezeichnet eine Möglichkeit, Nutzungsprofile ohne Verwendung von Cookies zu bilden. Zu diesem Zweck werden die Spezifikationen, des Rechners ausgewertet, der eine Webseite aufruft. Dies sind bspw. die Bildschirmauflösung, der verwendete Browser, die Version des Browsers, eine Liste mit installierten Browser-Plugins, das installierte Betriebssystems, die am Rechner eingestellte Zeitzone, die installierten Systemschriftarten, die eingestellte Sprache, etc. Von anonymen Profilen kann somit oftmals keine Rede sein. Je nach Umfang der erfassten technischen Spezifikationen kann hier der Fingerprint ähnlich wie ein Cookie wirken, also mindestens als Pseudonym. Selbst wenn die IP-Adresse nicht verwendet wird, erscheint eine Widerspruchsmöglichkeit insoweit gem. § 15 Abs. 3 Telemediengesetz zwingend.