Der Fuchs 🩊 ist da 
 ein Rant zu (Google) Tracking und die DSGVO

Datenschutz Internetmarketing Analytics DSGVO Google

Soeben haben die Aufsichtsbehörden mal wieder (unterschiedliche) Pressemeldungen zu „Tracking“ und/oder Google Analytics oder Ă€hnliche Dienste rausgegeben. 2009 das erste mal was dazu geschrieben, schon damals mit der Überschrift „Alle Jahre wieder
 Google Analytics“. Hat sich seitdem etwas an der Diskussion geĂ€ndert? Nicht wirklich


Können wir bitte alle einmal durchatmen
und konkret werden? 🙏

 

Soeben haben die Aufsichtsbehörden mal wieder (unterschiedliche) Pressemeldungen zu „Tracking“ und/oder Google Analytics oder Ă€hnliche Dienste rausgegeben. 2009 das erste mal was dazu geschrieben, schon damals mit der Überschrift â€žAlle Jahre wieder
 Google Analytics“. Hat sich seitdem etwas an der Diskussion geĂ€ndert? Nicht wirklich


 

Jetzt haben die Aufsichtsbehörden wieder Pressemeldungen rausgehauengeben:

 

In den Marketingforen geht es sofort drunter und drĂŒber warum der „deutsche Gesetzgeber ein solches Gesetz erlassen hat“ (gemeint ist die DSGVO!). „Das alle keine Ahnung haben“ und das „GeschĂ€ftsmodelle zerstört werden“.

 

Das Ganze ist als ob man in den HĂŒhnerstall hineinruft „Der Fuchs ist da!“. 🩊  Dabei weiß man noch gar nicht ob es ĂŒberhaupt der Fuchs ist oder „nur“ der Hund oder ein Schatten oder nur ein Kuscheltier. Oder ob es ĂŒberhaupt ein HĂŒhnerstall 🐓 ist und wenn doch wo dieser steht.

Alle Begrifflichkeiten werden wild durcheinander geschmissen. Halbwissen wird halbiert
Verunsicherung geschĂŒrt. đŸ˜±đŸ˜”đŸ€Ż

 

Können wir uns einfach mal auf bestimmte Themen und Begriff einigen? Das wĂŒrde helfen.

 

Nachfolgend mal ein Versuch
.gerne darf dieser ergÀnzt, korrigiert und diskutiert werden.

 

Was ist Tracking?

Tracking (auch Web Analytics, Clickstream-Analyse, Datenverkehrsanalyse, Traffic-Analyse, Web-Analyse, Web-Controlling, Webtracking) ist die Sammlung von Daten und deren Auswertung bzgl. des Verhaltens von Besuchern auf Internetseiten. Zweck kann es beispielsweise sein zu schauen ob eine Internetseite von bestimmten guten oder schlechten Seiten verlinkt ist, ob bestimmte Themen ein besonderes Interesse wecken und wie lange Besucher fĂŒr die verschiedenen Informationen benötigen.

Handelt es sich um die Verarbeitung personenbezogener Daten? Ich wĂŒrde sagen sehr wohl. Welche Rechtsgrundlage kann hierzu greifen?
„Einwilligung“ [Art. 6 Abs. 1 lit. a) DSGVO]? Ja sicherlich, aber wozu diese einholen, wenn es auch andere Rechtsgrundlagen gibt?

Möglich ist meiner Meinung nach auch das „berechtigte Interesse“ [Art. 6 Abs. 1 lit. f) DSGVO] mit entsprechender AbwĂ€gung und entsprechenden Informationen in der DatenschutzerklĂ€rung. Das erfordert meines Erachtens weder eine Einwilligung noch einen „Cookie-Hinweis-Banner“(sic!).

 

Dies mag anders aussehen, wenn es sich nicht nur um Tracking handelt, sondern um Profiling.

 

Was ist Profiling?

Dies wird in Art. 4 Abs. 4 DSGVO wie folgt definiert: â€žProfiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natĂŒrliche Person beziehen, zu bewerten, insbesondere um Aspekte bezĂŒglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, ZuverlĂ€ssigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natĂŒrlichen Person zu analysieren oder vorherzusagen;

Dies wird auf Internetseiten hĂ€ufig eingesetzt um die Internetseiten beispielsweise bei der Sprachauswahl, dem Layout oder auch den Preisen zur VerfĂŒgung stehenden Zahlungsmethoden anzupassen. Hier kann die AbwĂ€gung des berechtigten Interesses, gerade in Verbindung mit Art. 22 Abs. 1 DSGVO zu Ungunsten des Verantwortlichen (Seitenbetreibers) ausfallen und als Rechtsgrundlage nur die Einwilligung bleiben.

 

Wie schaut es aus mit Dienstleistern? 

Eigentlich geht es in vielen Meldungen und Beanstandungen gar nicht um das Tracking, sondern um die Übermittlung von Daten an einen Dritten zu neuen/anderen Zwecken.

Aber auch die Einbeziehung eines Dienstleisters erfordert nicht sofort eine Einwilligung. Wenn ein Dienstleister genutzt wird, um ein externes Script einzubinden, dieser dieses Script und die weitere Auswertung also zur VerfĂŒgung stellt, ist dieser nicht unbedingt ein Dritter und die Datenweitergabe nicht sofort eine Übermittlung.

Wenn mit diesem Dienstleister ein â€žVertrag zur Auftragsverarbeitung“ [Art. 28 Abs. 3 DSGVO] geschlossen wurde wird dieser zu einem „Auftragsverarbeiter“ [Art. 4 Abs. 8 DSGVO] und ist nach [Art. 4 Abs. 9 DSGVO] kein „Dritter“ mehr. Auf die Anforderungen und Voraussetzungen einer gĂŒltigen Auftragsverarbeitung gehe ich hier nicht ein.

Die Verarbeitung wird „ausgelagert“, die Verantwortung aber bleibt „eingegliedert“.

 

Auch hier ist eine Einwilligung, sofern die Rechtsgrundlage fĂŒr die Verarbeitung auf berechtigten Interessen beruhen kann, nicht erforderlich.

 

Was ist die Datenweitergabe und ZweckÀnderung?

Anders, wenn ein Dienstleister eingesetzt wird, der keine Auftragsverarbeitung anbietet. Ich somit keine konkreten Weisungen geben kann. Beispielsweise wenn es sich um eine Dienstleistung handelt die dem Seitenbetreiber (kostenlos) angeboten wird, der Dienstleister aber im Gegenzug die Daten der Seitenbesucher erhĂ€lt und fĂŒr eigenen Zwecke verwenden darf. In diesen FĂ€llen ist meist eine AbwĂ€gung ebenso wie die Informationspflicht aufgrund fehlender Informationen nicht möglich. Somit ist fĂŒr diese Übermittlung der Daten eine Einwilligung erforderlich.

Hierbei geht es dann nicht um die Einwilligung fĂŒr Tracking, sondern um die Einwilligung fĂŒr die Übermittlung der Daten an jemand anderen zu vielleicht ganz anderen Zwecken.

 

Hier sehe ich ĂŒbrigens die Aufgabe des Marketings, dem Seitenbesucher zu erklĂ€ren was dieser davon hat, wenn er seine Daten an ein anderes Unternehmen weitergibt. Derzeit versuchen alle sich die Einwilligung zu erschleichen. Respekt und Kundenorientierung wĂŒrden hĂ€ufig helfen.

 

Und dann noch die Cookies
..

„Cookies“ stehen fast immer in irgendwelchen Pressemeldungen und nur selten im Gesetz oder in den Urteilen. In der Regel geht es um „Informationen oder der Zugriff auf Informationen, die bereits im EndgerĂ€t des Nutzers gespeichert sind“. Das sind auch Cookies. Das sind aber auch weitere Daten die einen digitalen Fingerprint ergeben und ĂŒber welche mittlerweile sehr viel mehr Profiling betrieben wird.

 

Also, mein Wunsch, schließlich ist ja bald Weihnachten 🎅 :

Klare Abgrenzungen in den Texten und Empfehlungen der Aufsichtsbehörden wÀren hilfreich ebenso wie die Durchsetzung von angedrohten Sanktionen.
Derzeit ist es schwierig Kunden von der Notwendigkeit zu ĂŒberzeugen, wenn diese sehen, dass deren direkte Marktbegleiter weiterhin den Datenschutz (nicht nur in diesen Bereichen) bewusst ignorieren Hier haben die Unternehmen, welche sich, schon aus Respekt gegenĂŒber den eigenen Kunden und Mitarbeitenden, an die Gesetze halten und die sich daraus ergebenden Anforderungen umsetzen, einen erheblichen wirtschaftlichen Nachteil.

 

BTW: Eine PrĂŒfvorlage fĂŒr die Einbindung externer Scripte habe hier mal zur VerfĂŒgung gestellt.