Der Fuchs ? ist da … ein Rant zu (Google) Tracking und die DSGVO

Datenschutz Internetmarketing Analytics DSGVO Google

Soeben haben die Aufsichtsbehörden mal wieder (unterschiedliche) Pressemeldungen zu „Tracking“ und/oder Google Analytics oder ähnlichen Diensten rausgegeben. 2009 das erste Mal was dazu geschrieben: Schon damals mit der Überschrift „Alle Jahre wieder… Google Analytics“. Hat sich seitdem etwas an der Diskussion geändert? Nicht wirklich…

Können wir bitte alle einmal durchatmen…und konkret werden? ?

 

Soeben haben die Aufsichtsbehörden mal wieder (unterschiedliche) Pressemeldungen zu „Tracking“ und/oder Google Analytics oder ähnliche Dienste rausgegeben. 2009 das erste mal was dazu geschrieben, schon damals mit der Überschrift „Alle Jahre wieder… Google Analytics“. Hat sich seitdem etwas an der Diskussion geändert? Nicht wirklich…

 

Jetzt haben die Aufsichtsbehörden wieder Pressemeldungen rausgegeben:

 

In den Marketingforen geht es sofort drunter und drüber, warum der „deutsche Gesetzgeber ein solches Gesetz erlassen hat“ (gemeint ist die DSGVO!). „Dass alle keine Ahnung haben“ und dass „Geschäftsmodelle zerstört werden“.

 

Das Ganze ist als ob man in den Hühnerstall hineinruft „Der Fuchs ist da!“?  Dabei weiß man noch gar nicht, ob es überhaupt der Fuchs ist, „nur“ der Hund, ein Schatten oder nur ein Kuscheltier. Oder ob es überhaupt ein Hühnerstall ist und wenn doch wo dieser steht.

Alle Begrifflichkeiten werden wild durcheinander geschmissen. Halbwissen wird halbiert…Verunsicherung geschürt. ???

 

Können wir uns einfach mal auf bestimmte Themen und Begriff einigen? Das würde helfen.

 

Nachfolgend mal ein Versuch….gerne darf dieser ergänzt, korrigiert und diskutiert werden.

 

Was ist Tracking?

Tracking (auch Web Analytics, Clickstream-Analyse, Datenverkehrsanalyse, Traffic-Analyse, Web-Analyse, Web-Controlling, Webtracking) ist die Sammlung von Daten und deren Auswertung bzgl. des Verhaltens von Besuchern auf Internetseiten. Zweck kann es beispielsweise sein zu schauen, ob eine Internetseite von bestimmten guten oder schlechten Seiten verlinkt ist, ob bestimmte Themen ein besonderes Interesse wecken und wie lange Besucher für die verschiedenen Informationen benötigen.

Handelt es sich um die Verarbeitung personenbezogener Daten? Ich würde sagen sehr wohl. Welche Rechtsgrundlage kann hierzu greifen?
„Einwilligung“ [Art. 6 Abs. 1 lit. a) DSGVO]? Ja sicherlich, aber wozu diese einholen, wenn es auch andere Rechtsgrundlagen gibt?

Möglich ist meiner Meinung nach auch das „berechtigte Interesse“ [Art. 6 Abs. 1 lit. f) DSGVO] mit entsprechender Abwägung und entsprechenden Informationen in der Datenschutzerklärung. Das erfordert meines Erachtens weder eine Einwilligung noch einen „Cookie-Hinweis-Banner“(sic!).

 

Dies mag anders aussehen, wenn es sich nicht nur um Tracking handelt, sondern um Profiling.

 

Was ist Profiling?

Dies wird in Art. 4 Abs. 4 DSGVO wie folgt definiert: „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Dies wird auf Internetseiten häufig eingesetzt um die Internetseiten beispielsweise bei der Sprachauswahl, dem Layout oder auch den Preisen zur Verfügung stehenden Zahlungsmethoden anzupassen. Hier kann die Abwägung des berechtigten Interesses, gerade in Verbindung mit Art. 22 Abs. 1 DSGVO zu Ungunsten des Verantwortlichen (Seitenbetreibers) ausfallen und als Rechtsgrundlage nur die Einwilligung bleiben.

 

Wie schaut es aus mit Dienstleistern? 

Eigentlich geht es in vielen Meldungen und Beanstandungen gar nicht um das Tracking, sondern um die Übermittlung von Daten an einen Dritten zu neuen/anderen Zwecken.

Aber auch die Einbeziehung eines Dienstleisters erfordert nicht sofort eine Einwilligung. Wenn ein Dienstleister genutzt wird, um ein externes Script einzubinden, dieser dieses Script und die weitere Auswertung also zur Verfügung stellt, ist dieser nicht unbedingt ein Dritter und die Datenweitergabe nicht sofort eine Übermittlung.

Wenn mit diesem Dienstleister ein „Vertrag zur Auftragsverarbeitung“ [Art. 28 Abs. 3 DSGVO] geschlossen wurde wird dieser zu einem „Auftragsverarbeiter“ [Art. 4 Abs. 8 DSGVO] und ist nach [Art. 4 Abs. 9 DSGVO] kein „Dritter“ mehr. Auf die Anforderungen und Voraussetzungen einer gültigen Auftragsverarbeitung gehe ich hier nicht ein.

Die Verarbeitung wird „ausgelagert“, die Verantwortung aber bleibt „eingegliedert“.

 

Auch hier ist eine Einwilligung, sofern die Rechtsgrundlage für die Verarbeitung auf berechtigten Interessen beruhen kann, nicht erforderlich.

 

Was ist die Datenweitergabe und Zweckänderung?

Anders, wenn ein Dienstleister eingesetzt wird, der keine Auftragsverarbeitung anbietet und ich somit keine konkreten Weisungen geben kann. Beispielsweise wenn es sich um eine Dienstleistung handelt die dem Seitenbetreiber (kostenlos) angeboten wird, der Dienstleister aber im Gegenzug die Daten der Seitenbesucher erhält und für eigenen Zwecke verwenden darf. In diesen Fällen ist meist eine Abwägung ebenso wie die Informationspflicht aufgrund fehlender Informationen nicht möglich. Somit ist für diese Übermittlung der Daten eine Einwilligung erforderlich.

Hierbei geht es dann nicht um die Einwilligung für Tracking, sondern um die Einwilligung für die Übermittlung der Daten an jemand anderen zu vielleicht ganz anderen Zwecken.

 

Hier sehe ich übrigens die Aufgabe des Marketings, dem Seitenbesucher zu erklären was dieser davon hat, wenn er seine Daten an ein anderes Unternehmen weitergibt. Derzeit versuchen alle sich die Einwilligung zu erschleichen. Respekt und Kundenorientierung würden häufig helfen.

 

Und dann noch die Cookies…..

„Cookies“ stehen fast immer in irgendwelchen Pressemeldungen und nur selten im Gesetz oder in den Urteilen. In der Regel geht es um „Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind“. Das sind auch Cookies, aber auch weitere Daten, die einen digitalen Fingerprint ergeben und über welche mittlerweile sehr viel mehr Profiling betrieben wird.

 

Also, mein Wunsch (schließlich ist ja bald Weihnachten):

Klare Abgrenzungen in den Texten und Empfehlungen der Aufsichtsbehörden wären hilfreich, ebenso wie die Durchsetzung von angedrohten Sanktionen.
Derzeit ist es schwierig, Kunden von der Notwendigkeit zu überzeugen wenn diese sehen, dass deren direkte Marktbegleiter weiterhin den Datenschutz (nicht nur in diesen Bereichen) bewusst ignorieren. Hier haben die Unternehmen, welche sich schon aus Respekt gegenüber den eigenen Kunden und Mitarbeitenden an die Gesetze halten und die sich daraus ergebenden Anforderungen umsetzen, einen erheblichen wirtschaftlichen Nachteil.

 

BTW: Eine Prüfvorlage für die Einbindung externer Scripte habe hier mal zur Verfügung gestellt.