Umgang mit Datenspuren: Auf welcher Rechtsgrundlage ist Tracking erlaubt?

14.02.2019 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© Alexander Limbach – stock.adobe.com
Beim Einsatz von Tracking-Tools begehen auch große Unternehmen massive Datenschutzverstöße. Das geht aus einem Datenschutzcheck des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hervor. Gegen die geprüften Unternehmen will das BayLDA rechtlich vorgehen. Damit Ihrem Unternehmen dieses Schicksal erspart bleibt, zeigen wir, auf welcher Rechtsgrundlage Website-Betreiber welche Tracking-Maßnahmen einsetzen dürfen.

 

 

Was ist Tracking?

Tracking beschreibt die Verfolgung von persönlichem Verhalten betroffener Personen und die damit zusammenhängende Verarbeitung personenbezogener Daten. Tracking wird insbesondere durch die Protokollierung von Informationen von Surf- und Klickverhalten bzw. zum Aufenthaltsort der Nutzer realisiert – u. a. aus Sicherheitsgründen, zur Werbefinanzierung oder zur Seitenoptimierung.      

Datenschutzcheck „Tracking“ des BayLDA – Das Ergebnis ist ernüchternd 

Aufgrund einer „enormen“ Anzahl an Datenschutzbeschwerden von Bürgern zu bayerischen Websites hat das BayLDA einen Datenschutzcheck „Tracking“ bei ausgewählten großen bayerischen Website-Anbietern durchgeführt. Geprüft wurde der datenschutzkonforme Einsatz von Tracking-Tools. Das Ergebnis ist ernüchternd: 

„Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen. Gerade von den großen Unternehmen erwarten wir, dass sie in der Lage sind, die rechtlichen Vorgaben einzuhalten“, sagt der Präsident des BayLDA, Thomas Kranig, abschließend zur Prüfung, die im Rahmen des Safer Internet Day 2019 vorgestellt wurde. Alle Ergebnisse der Prüfung (die auch den Aspekt Cybersicherheit beleuchtete) finden Sie hier

Warum ist der Einsatz von Tracking-Tools so risikoreich?

Doch was ist so tückisch am Tracking, dass selbst große Unternehmen Probleme bei der Umsetzung der Datenschutzvorschriften haben? Tracking ermöglicht Website-Betreibern u. a. ihre Angebote besser an die Zielgruppe anzupassen sowie wichtige Schlüsse für die Suchmaschinenoptimierung, Programmierung und Gestaltung der Bestellvorgänge zu ziehen. Dass Tracking für Unternehmen einen hohen Nutzen hat, ist unumstritten, jedoch steht es einer sehr risikoreichen Datenverarbeitung gegenüber. 

Das Problem ist, dass es derzeit an spezifischen Gesetzen, einer gefestigten Rechtsprechung und behördlicher Praxis im Bereich Tracking fehlt. So sind sich aktuell nicht einmal die Gerichte einig, ob die IP-Adresse des Nutzers schon als personenbezogenes Datum zu werten ist. Die entscheidende Frage dabei ist, ob nur anhand einer IP-Adresse Rückschlüsse auf eine Einzelperson und ihr Verhalten gezogen werden können.

Solange nur die IP-Adresse vorliegt, sind kaum Rückschlüsse möglich. Im Zusammenschluss mit anderen Tracking-Daten der einzelnen Person kann sich das jedoch ändern, wenn sog. Nutzerprofile gespeichert werden. Nimmt der Nutzer dann noch z. B. an einem Gewinnspiel teil und gibt dort seinen realen Namen an, ist die Person bereits eindeutig identifizierbar. 

Wie Website- und Onlineshop-Betreiber ihre Angebote an die Vorgaben der DSGVO rechtssicher anpassen und somit Abmahnungen vermeiden, zeigt die „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“. Die Mappe enthält Merkblätter, Checklisten und Muster, die die Umsetzung der Datenschutzvorschriften erleichtern. 

Um zumindest etwas Licht ins Dunkel zu bringen, zeigen wir, auf welchen Rechtsgrundlagen Website-Betreiber Tracking-Maßnahmen datenschutzkonform durchführen können. 

Rechtsgrundlagen zu Webtracking, Profiling und Scoring 

Definition: Webtracking 

Webtracking, also das Tracking im Internet, erfolgt in der Regel mittels Cookies. Mit den gesammelten Daten werden schließlich Nutzerprofile erstellt. Durch diese Ansammlung personenbezogener Daten liegen zwar Nutzerprofile vor, jedoch kann an dieser Stelle noch nicht von Profiling gesprochen werden.

 

Definition: Profiling

Profiling geht über eine reine Profilerstellung hinaus. Von Profiling ist erst dann die Rede, wenn solche Nutzerprofile mittels automatisierter Verarbeitungsprozesse und weiterer Daten eine Bewertung persönlicher Aspekte der betroffenen Person zulassen. Also, wenn Rückschlüsse wie „die Person treibt gerne Sport“ oder „verlässt das Haus täglich um 6:30 Uhr“ ermöglicht werden. 

 

Definition: Scoring 

Scoring beschreibt schließlich den nächsten Schritt: Hier erfolgt die automatisierte Auswertung der gesammelten Merkmale zur Person, um das künftige Verhalten des Betroffenen mit einer gewissen Wahrscheinlichkeit prognostizieren zu können. 

Tracking bedarf immer einer datenschutzrechtlichen Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO. Für das Webtracking, Profiling und Scoring kommen folgende Rechtsgrundlagen infrage: 

1. Verarbeitung zur Erfüllung eines Vertrags 

Während dieser Punkt klar ist, weil die betroffene Person eine der Vertragsparteien ist, führen die weiteren zwei Möglichkeiten vermehrt zu Verunsicherung und somit erhöhter Rechtsunsicherheit bei den Unternehmen. 

2. Berechtigte Interessen des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO 

Die Anwendung dieser Rechtsgrundlage erfordert eine Interessenabwägung: Es gilt, das berechtigte Interesse des Website-Betreibers an der Datenverarbeitung und die (gegenläufigen) Interessen der betroffenen Person abzuwägen. Nur wenn die Interessen des Betroffenen nicht überwiegen, ist das Webtracking und Profiling DSGVO-konform. 

Hier ist wichtig, dass Website-Betreiber die verfolgten Ziele vor der Profilerstellung eindeutig festlegen. Davon hängt ab, wie stark die Belastung der betroffenen Person zu werten ist. Nur so kann eine Interessenabwägung rechtssicher durchgeführt werden.

Nicht legal ist die bloße Erstellung von Nutzerprofilen ohne konkrete Zweckbindung. Denn eine Datenverarbeitung ohne Zweckbindung ist gem. DSGVO grundsätzlich verboten. 

Stellt sich nach der Interessenabwägung heraus, dass die Interessen der betroffenen Person überwiegen, sollte der Website-Betreiber prüfen, inwiefern eine datenschutzrechtliche Einwilligung des Betroffenen als Rechtsgrundlage in Betracht kommt. 

3. Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO 

Die Einwilligungserklärung ist eine auf freiwilliger Basis und unmissverständlich erteilte Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten zu einem bestimmten Zweck. Der Nutzer muss also unmissverständlich erklären, dass er mit der Verarbeitung seiner Daten einverstanden ist. Ein vorangekreuztes Kästchen (Opt-Out) stellt grundsätzlich keine tragfähige Einwilligungserklärung dar.

Rechtliche Grundlagen zur Webanalyse und Reichweitenmessung 

Wie die Aufsichtsbehörden Webanalyse und Reichweitenmessung bewerten und ob die Rechtsgrundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) angewendet werden kann, kann derzeit nicht beurteilt werden. 

Webanalysen 

Werden Webanalysen als „weitere Verarbeitungstätigkeiten“ eingestuft, muss eine Interessenabwägung im Einzelfall erfolgen (Art. 6 Abs. 1 lit. f DSGVO). Die Gewichtung ihrer berechtigten Interessen können Website-Betreiber durch die Erfüllung folgender Verarbeitungskriterien begünstigen: 

  • Erstellung und Analyse pseudonymer Nutzerprofile und Anonymisierung der IP-Adresse (zwingend (!), da bei personenbezogenen Nutzerprofilen eine Einwilligung des Betroffenen vorliegen muss.)
  • Implementierung technischer und organisatorischer Maßnahmen, die eine Zusammenführung von Pseudonymen und Klardaten ausschließen 
  • Einwandfreie Erfüllung der Informationspflichten gegenüber den Betroffenen
  • Implementierung einer Opt-In-Möglichkeit 
  • Automatische Löschung der Nutzerprofile nach Zweckerreichung oder -wegfall
  • Einhaltung aller Voraussetzungen zum rechtskonformen Einsatz von Webanalyse-Tools eines Drittanbieters sowie Abschluss eines Auftragsverarbeitungsvertrags

Für die Rechtsgrundlage des berechtigten Interesses verbleibt bei Webanalysen ein Verarbeitungsrisiko.

Reichweitenmessung 

Reichweitenmessungen z. B. unter Nutzung des Skalierbaren Zentralen Messverfahrens (SZM) sind ebenfalls ggf. als berechtigte Interessen einzustufen und bedürfen deshalb einer Interessenabwägung im Einzelfall. Auch hier fällt das Erfüllen der oben genannten Kriterien zugunsten der Interessen des Website-Betreibers aus. 

Für die Rechtsgrundlage des berechtigten Interesses verbleibt auch bei der Reichweitenmessung ein Verarbeitungsrisiko.

Direktwerbung inklusive Profiling nur mit Einwilligung erlaubt 

Im Falle von Direktwerbung – wie dem Versenden von zielgerichtet an Nutzer adressierten Newslettern – ist nach Ansicht der Aufsichtsbehörden immer dann eine Einwilligungserklärung der betroffenen Person vonnöten, wenn Profiling stattfindet und einzelne Nutzerprofile ausgewertet werden. 

Ein zwingendes Erfordernis der Einwilligung in dieser Hinsicht lässt sich der DSGVO allerdings nicht entnehmen. Dort heißt es, dass dem Nutzer ein Widerspruchsrecht bei Direktwerbung und damit beim verbundenen Profiling zu gewähren ist, welches bei zwingend erforderlicher Einwilligung nicht nötig erscheint. 

Somit bleibt auch diese Rechtsgrundlage mit einem hohen Verarbeitungsrisiko verbunden. Ob die auf Profiling gestützte Direktwerbung auch mittels einer Interessenabwägung erfolgen kann, bleibt letzten Endes abzuwarten. 

Fazit zum Tracking  

Die Rechtsunsicherheit wird ohne spezifische Regelungen weiterhin bestehen. Der Ausblick auf die ePrivacy-Verordnung bringt etwas Hoffnung. Allerdings bezieht sich die ePrivacy-Verordnung nur auf Daten, die auf dem Nutzer-Endgerät verarbeitet werden. Außerdem ist mit der ePrivacy-Verordnung vor 2020 nicht mehr zu rechnen. Bezüglich der weiteren Verarbeitung personenbezogener Daten beim Website-Betreiber (Verantwortlichen) bleibt weiterhin die DSGVO anzuwenden.  


Vorlage zum Download 

Wie ist der aktuelle Stand der ePrivacy-Verordnung? Das erfahren Sie im kostenlosen Dokument „Tracking und die ePrivacy-Verordnung: aktueller Stand und Ausblick“


 

Deshalb bleibt Unternehmen, die zweckgebundenes Tracking betreiben wollen, nur eines: Tracking sollte nur nach eingehender Prüfung und entsprechender Dokumentation der Rechtmäßigkeit der Maßnahmen erfolgen, um keine kostspieligen Abmahnungen zu riskieren.

Mit dem „Infodienst Datenschutz für Praktiker“ bleiben Unternehmen über datenschutzrechtliche Entwicklungen auf dem Laufenden. 

Quelle: „Infodienst Datenschutz für Praktiker“ (Ausgabe Februar 2019), Pressemitteilung des BayLDA vom 05.02.2019

Mehr zu den Themen: Datenschutz Internetauftritt