Inhaltsverzeichnis
Das Tracking von Webseitenbesuchen ist wichtig, um Webseiten und Online-Marketing zu optimieren. Es gibt Rückschlüsse darüber, welche Themen auf der Webseite besonders gut funktionieren und welche Marketing-Maßnahmen zu Ergebnissen führen. Wir zeigen Ihnen, wie Sie das Tracking datenschutzkonform umsetzen können.
Jede Medaille hat bekanntlich zwei Seiten. Aus Nutzersicht ist Tracking recht lästig. Warum sollte der Webseitenbetreiber von einer Privatperson wissen können, welche Webseiten sie besucht hat. Aus der Sicht des Webseitenbetreibers jedoch gibt es kaum eine andere Möglichkeit, um die Webseite zu optimieren und ständig an die Bedürfnisse der Nutzer anzupassen. Das Interesse des Nutzers am Schutz seiner personenbezogenen Daten steht also im Widerstreit mit dem Interesse des Webseitenbetreibers an einer möglichst guten und vor allem wirtschaftlich erfolgreichen Performance seiner Webseite.
Wann ist Tracking erlaubt?
Wie bei jeder Verarbeitungstätigkeit von personenbezogenen Daten braucht auch das Tracking eine Rechtsgrundlage, vor allem wenn dabei Cookies zur Identifikation des Besuchers verwendet werden. Eine gewisse Zeit wurde hierfür das berechtigte Interesse des Seitenbetreibers nach Art. 6 Abs. 1 f DSGVO als ausreichend betrachtet. Seit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes, kurz TTDSG, ist inzwischen die Einwilligung des Nutzers zur Speicherung eines zum Tracking erforderlichen Cookies gefordert, § 25 Abs. 1 Satz 1 TTDSG.
Nur für Cookies, die für den Betrieb der Webseite technisch notwendig sind, gibt es eine Ausnahme. Für sie gilt der Einwilligungszwang nicht. Da das Tracking auf einer Webseite nicht technisch notwendig ist, muss vom Grundsatz her immer vor der Verarbeitung die Einwilligung des Nutzers eingeholt werden. Erst nach der Einwilligung darf das Tracking „scharf“ geschaltet und dürfen entsprechend Cookies gesetzt werden.
Download: Ihr kompletter Datenschutz Technik-Guide
Wie Sie mit Bordmitteln Datenschutzlücken auf den Websites Ihrer Kunden zuverlässig identifizieren.
Jetzt herunterladenGelten andere Bestimmungen für das Fingerprinting?
Um die Pflicht zur Einwilligung zu Cookies zu umgehen, verwenden viele Tracking-Tools mittlerweile Canvas Fingerprinting, um den Besucher zu identifizieren. Dabei wird dem Browser des Nutzers ein versteckter Text zur Anzeige gegeben. Anhand verschiedener Parameter, wie dem Betriebssystem, dem Browser, der Grafikkarte und installierter Fonts kann der Nutzer mit sehr hoher Wahrscheinlichkeit wiedererkannt werden. Obwohl es sich beim Canvas Fingerprinting nicht um einen Cookie handelt, gelten hier dieselben Regeln. Denn die Vorschriften aus der TTDSG sind ausdrücklich offen formuliert und beziehen sich in § 25 Abs. 1 TTDSG auf den Zugriff auf Informationen „die bereits in der Endeinrichtung gespeichert sind“. Deshalb muss auch vor einem Canvas Fingerprinting eine Einwilligung eingeholt werden.
Geht es auch ohne Einwilligung?
Tatsächlich ist ein Tracking ohne Einwilligung denkbar. Etwa dann, wenn auf Cookies verzichtet wird und ein Fingerprinting nur über die Daten erfolgt, die der Browser bei jedem Seitenaufruf ohnehin mitliefert, etwa den User Agent, die Browsersprache oder die anonymisierte IP-Adresse. Da keine Cookies gesetzt werden, ist das TTDSG nicht mehr einschlägig. Wenn kein Personenbezug besteht, müssen auch nicht mehr die Vorschriften aus der DSGVO beachtet werden. Dieser Auffassung folgt auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK). Das zum Tracking verwendete Produkt darf zusätzlich die Daten nicht in unsicheren Drittstaaten, wie etwa den USA, verarbeiten.
Was gilt für Google Analytics?
Inzwischen sind viele Datenschutzbehörden der Ansicht, dass die Nutzung von Google Analytics gegen die DSGVO verstößt und eine Verarbeitung selbst mit einer Einwilligung nicht erlaubt ist. Vorreiter war die österreichische Datenschutzbehörde. Inzwischen haben sich die französische und die italienische Datenschutzbehörde dieser Rechtsauffassung angeschlossen. Die Argumentation ist dabei wie folgt: Bei der Verwendung von Google Analytics fließen Daten in die USA. Die USA gelten jedoch datenschutzrechtlich nicht als sicherer Drittstaat. Google Analytics gewährleistet zudem aus Sicht der Behörden kein angemessenes Schutzniveau im Sinne von Art. 44 DSGVO. Insbesondere würden Daten erst in den USA anonymisiert.
Inzwischen hat sich die Lage allerdings geändert. Mit der neuen Google Analytics Version GA4 erfolgt die Anonymisierung nicht mehr erst in den USA, sondern schon auf Servern in Europa. Google hat zudem die neuen EU-Standardvertragsklauseln in die AGB übernommen. Das Datenschutzniveau ist dadurch deutlich besser geworden.
Trotzdem ist davon auszugehen, dass es bei der prinzipiellen Abneigung der Datenschutzbehörden gegenüber Google Analytics bleiben wird.
Webseitenbetreiber müssen sich gut überlegen, ob sie sich dagegenstellen wollen und Google Analytics trotzdem benutzen wollen. Voraussetzung ist hierfür aber mindestens die Nutzung von GA4, die Einwilligung in die Verarbeitung und ein Transfer Impact Assessment, also eine Art Risikobewertung der angestrebten Datenübermittlung. Der Aufwand ist sehr hoch und steht in keinem Verhältnis zum Nutzen. Die pragmatische Lösung wäre deshalb, auf andere Tools umzuschwenken, die das geforderte Datenschutzniveau unproblematisch einhalten.
Autor: Henning Zander
Henning Zander ist zertifizierter externer Datenschutzbeauftragter (TÜV) und Spezialist für Themen rund um datenschutzrechtliche Anforderungen im Gesundheitssektor.Zu seinen Kunden gehören insbesondere Arzt-, Zahnarzt- und psychotherapeutische Praxen sowie Apotheken im norddeutschen Raum.