Zu Unrecht verfolgt?

Online-Tracking gehört bei vielen Unternehmen zur täglichen Routine, Datenschützer sehen das Thema jedoch vielfach kritisch. Denn auf den ersten Blick scheint es den Grundsätzen des Datenschutzes zu widersprechen, das Verhalten von Webseiten-Besuchern zu analysieren. Es stellt sich also für das Unternehmen die grundlegende Frage: Inwieweit ist das Sammeln und Auswerten von Informationen zum eigenen Vorteil mit der informationellen Selbstbestimmung des Internet-Nutzers vereinbar?

Die eigene Webseite ist für die meisten Unternehmen mehr als eine reine Informationsplattform, auf der die Besucher über Geschäftsfelder, Kundenservices, Kontaktdaten usw. nachlesen können. Sie wird vielmehr als wichtiges Instrument im Wettbewerb und als Werbemedium betrachtet, das individuell auf die eigenen Zielgruppen angepasst wird und diese zur Interaktion anregen soll. Die entsprechenden Maßnahmen kosten viel Zeit und Geld. Daher ist es wichtig, deren Erfolg und Zielgruppenorientierung ständig kontrollieren zu können. Hier kommen die sogenannten Tracking-Tools ins Spiel, bei denen vor allem das Nutzerverhalten im Fokus steht: Welche Seiten werden wie lange besucht? Woher kommen die Nutzer? An welchem Punkt wird die Webseite wieder verlassen? Nur mit diesen Informationen können die Verantwortlichen den Erfolg der Website messen und analysieren, sodass sich die Marketing-Maßnahmen noch besser auf die eigenen Kunden zuschneiden lassen.

Was aus unternehmerischer Sicht ein nachvollziehbarer Ansatz ist, kann unter datenschutzrechtlichen Gesichtspunkten zum Problem werden. Bereits bei der Auswahl eines neuen Tracking-Tools sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu beachten. Die wohl bekanntesten Tracking-Tools sind die Free Version von Google Analytics, die On-Premise-Lösung von Matomo und die Standard-Konfiguration "Cookie-less" von Etracker, die auf den Einsatz von nicht erforderlichen Cookies verzichtet. Neben den genannten bieten auch gängige Content-Management-Systeme wie z. B. Wordpress systemintegrierte Tracking-Lösungen, um das Nutzerverhalten zu analysieren. Andere Tracking-Tools wie Hotjar können ergänzend zu den drei genannten Tools die Daten z. B. mit Heatmap-Analysen visualisieren. Die zugrunde liegenden datenschutzrechtlichen Aspekte sind jeweils dieselben. Die wichtigsten werden im Folgenden aufgezeigt.

Einwilligung oder berechtigtes Interesse

Wie kann man als Unternehmen entscheiden, ob für ein Tracking eine Einwilligung nötig ist oder ob man sich auf ein berechtigtes Interesse berufen kann? Zu dieser Frage hat die "Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder" (DSK) in ihrer Orientierungshilfe für Anbieter von Telemedien bereits Stellung genommen. Dort heißt es, dass eine Einwilligung immer dann erforderlich ist, wenn für den Zweck ein milderes und gleich effektives Mittel vorhanden ist oder wenn der Nutzer mit der Verarbeitung nicht vernünftigerweise rechnen muss. Ein Beispiel für eine solche Verarbeitung ist die Übermittlung von Nutzerdaten an Dritte, die diese dann mit selbst erhobenen Daten verknüpfen oder diese aus verschiedenen Stellen zusammenführen, wie es z. B. bei Google Analytics der Fall ist: Daten werden bei dem Einsatz direkt an Google weitergeleitet und dort miteinander verknüpft. Eine Einwilligung ist also zwingend nötig. Weitere Verarbeitungen dieser Art sind Techniken, die Tastatur-, Maus- und Wischbewegungen auf Touchscreens oder auch Zählpixel von Werbenetzwerken erfassen.

Ob eine Einwilligung notwendig ist, hängt auch davon ab, inwieweit solche Tools Cookies einsetzen. Werden nur technisch notwendige Cookies verwendet, muss keine Einwilligung vor Beginn des Trackings eingeholt werden. Ein Beispiel dafür ist nach Angaben des Anbieters auf seiner Webseite die Standard-Konfiguration "Cookie-less" von Etracker. Zu den technisch notwendigen Cookies zählen unter anderem Session Cookies sowie Cookies für die Sprachauswahl, den Warenkorb oder für das Consent Tool. Bei dieser Verarbeitung kann sich das Unternehmen auf ein berechtigtes Interesse berufen. Werden allerdings zusätzlich Cookies für Marketing- oder Analysezwecke wie z. B. bei Matomo oder bei integrierten Tracking-Tools in gängigen Web Content-Management-Systemen verwendet, dann bedarf es wieder der Einwilligung des Nutzers (siehe auch Info-Kasten).

Fällt die Entscheidung auf eine Anwendung wie die On-Premise-Lösung von Matomo, erfolgt die Erhebung, Sammlung und Verarbeitung der Daten z. B. lokal beim Unternehmen am Server und es kommt zu keiner problematischen Übermittlung von Daten an Dritte. Aber auch eine cloudbasierte Anwendung kann den datenschutzrechtlichen Vorgaben entsprechen. Die Bedingung dafür ist, dass geprüft wird, wo die Daten verarbeitet werden. Eine Verarbeitung innerhalb der EU ist dank des einheitlichen Datenschutzniveaus durch die DSGVO ebenfalls problemlos möglich. So sichert beispielsweise auch Etracker seinen Kunden eine Verarbeitung innerhalb der EU zu. Anders sieht es aus, wenn Daten in Drittländer übermittelt oder in diesen verarbeitet werden. In diesen Fällen ist es unbedingt nötig, die Verarbeitung zusätzlich durch geeignete Garantien abzusichern. Das ist jedoch leichter gesagt als getan, denn gerade im Fall der USA ist dies seit dem Wegfall des sogenannten Privacy Shields im letzten Jahr fast unmöglich. Es können zwar Sicherheiten wie z. B. Standardvertragsklauseln mit US-Unternehmen vereinbart werden, diese sind jedoch aufgrund der rechtlichen Lage in den USA praktisch nicht umsetzbar. Auch die Datenschutzbehörden haben bis jetzt noch keine Stellungnahme veröffentlicht, wie Anwendungen von US-amerikanischen Anbietern aktuell DSGVO-konform verwendet werden können.

Vertrag für die Auftragsverarbeitung

Sobald die Verarbeitung der Daten in die Hände eines externen Anbieters gelegt wird, muss ein Auftragsverarbeitungsvertrag (AVV) mit diesem abgeschlossen werden. Beim Einsatz von Tracking-Tools werden AVVs immer dann relevant, wenn es sich um cloudbasierte Anwendungen handelt beziehungsweise der Anbieter in irgendeiner Form Zugriff auf die Daten hat. Dann muss auf jeden Fall ein Auftragsverarbeitungsvertrag mit dem Auftragnehmer geschlossen werden. Meist stellen die Anbieter die Auftragsverarbeitungsverträge von sich aus zur Verfügung. So kann der AVV mit Google Analytics direkt auf der Webseite heruntergeladen werden und der AVV mit Etracker über das Kundenkonto auf der Webseite. Bei der On-Premise-Lösung von Matomo entfällt die Notwendigkeit eines Auftragsverarbeitungsvertrages, da die Verarbeitung lokal erfolgt und der Anbieter keinerlei Zugriff auf die Daten erhält. Der Auftraggeber hat als verantwortliche Stelle die Verantwortung für die Richtigkeit und Vollständigkeit der Auftragsverarbeitungsverträge. Daher sollten diese immer auf die Mindestinhalte gemäß Art. 28 DSGVO geprüft werden, bevor das Tool eingesetzt wird. Hierzu zählen u. a. der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung und die Pflichten und Rechte des Verantwortlichen.

Zusatzfunktionen für den Datenschutz

Manche Anbieter bieten noch zusätzliche Funktionen für eine datenschutzfreundliche Verarbeitung ganz im Sinne von „privacy by default“ an. So unterstützt Etracker seine Kunden bei der Ausarbeitung der Datenschutzerklärung bezüglich des Trackings. Bei Matomo kann eine IP-Verschlüsselung eingesetzt werden. Solche zusätzlichen Angebote helfen den Unternehmen dabei, das Tracking möglichst datenschutzkonform zu gestalten und können bei der Auswahl des künftigen Anbieters den Ausschlag geben.

Wie man sieht, können Datenschutz und die Nutzung von Tracking-Tools durchaus miteinander harmonieren. Es kommt auf eine sorgfältige Auswahl des Anbieters und eine korrekte Umsetzung an. Dennoch sollte man sich grundsätzlich immer fragen, inwieweit es für die eigenen Unternehmenszwecke wirklich nötig ist, das Nutzen von Menschen in diesem Ausmaß zu analysieren. Personenbezogene Daten sollten immer mit großer Sorgfalt verarbeitet werden. Immerhin gehören sie in der digitalen Welt zu den wertvollsten Gütern und zu den wichtigsten Ressourcen. Eines ist klar: Der sorglose Umgang mit personenbezogenen Daten lässt sich nicht mit einer nachhaltigen und modernen Unternehmensführung vereinbaren. Deshalb sollte mit ihnen stets verantwortungsvoll umgegangen werden.