Was im Marketing Erfolge bringt, kann datenschutzrechtlich tabu sein. Dieser Beitrag geht zunächst auf die Frage ein, welche Möglichkeiten es gibt, Nutzer zu tracken und danach welche aktuellen datenschutzrechtlichen Probleme sich daraus ergeben. Denn anhand einiger aktueller Verfahren der Datenschutzaufsichtsbehörden wird klar, dass das Themengebiet bei diesen im Fokus steht und es für Verantwortliche möglich ist, Bußgelder zu kassieren.
Der Inhalt im Überblick
Was versteht man unter Tracking
Mit dem Begriff „Tracking“ kommen wir online sehr schnell und in unterschiedlichster Weise in Berührung. Aus dem Englischen ins Deutsche übersetzt, bedeutet es „verfolgen“ oder „nachspüren“. Nun wird der Begriff Tracking nicht immer trennscharf verwendet, wie beispielsweise beim GPS-Tracking, das nicht nur die zeitgleiche Verfolgung eines Objekts beschreiben kann, sondern auch ein Tracing, also die Zurückverfolgung der besuchten Aufenthaltsorte durch eine nachträgliche Auswertung aufgezeichneter GPS-Daten.
Im Online-Marketing versteht man unter Tracking die Aufzeichnung und Auswertung von Nutzerverhalten im Internet. Anhand von Tracking-Tools ist es im Online-Marketing aber auch möglich, die Analysedaten live oder nach der Aufzeichnung anzusehen. Sie kommen in zahlreichen Erscheinungsformen vor und geben Informationen über das Online-Verhalten auf einer Webseite oder innerhalb einer App. Bei diesen Informationen handelt es sich z.B. um den Standort des Nutzers, wie oft die Webseite aufgesucht wurde oder die dort verbrachte Dauer.
In welchen Formen wird im Marketing getrackt?
Die möglichen Tracking-Methoden im Marketing sind vielfältig. Abhängig vom Analyseziel wie z.B. die Verbesserung der Benutzerfreundlichkeit der Webseite, die Erreichung von möglichst vielen Downloads eines Whitepapers oder die Umsatzsteigerung, können unterschiedlichste Formen infrage kommen. Einige davon seien hier beispielhaft dargestellt.
Mention Tracking
Anhand des Mention-Trackings wird die Erwähnung einer Marke oder eines Unternehmens in sozialen Netzwerken oder allgemein im Web analysiert. Dadurch kann beispielsweise der Erfolg von Social-Media-Marketing oder Werbekampagnen gemessen werden, indem spezielle Tools das Internet nach definierten Suchbegriffen durchsuchen. Dieses Tracking erfüllt sein Analyseziel, wenn es für einen bestimmten Zeitraum eingesetzt wird, um eindeutige Ergebnisse für eine konkrete Werbemaßnahme zu erhalten.
Event Tracking
Mit dem Event Tracking können bestimmte Interaktionen bzw. Ereignisse auf der Webseite oder App analysiert werden. Unter anderem zählen hierzu die Downloadzahlen, Klicks auf Formulare oder abgeschlossene Bestellungen. Mit anderen Worten können mit dieser Methode alle weiteren Interaktionen neben dem bloßen Aufrufen der Seite verfolgt werden, um ein Gesamtbild über das Nutzerverhalten zu bekommen. Eines der klassischen Tools, um diese Methode anzuwenden, ist Google Analytics datenschutzkonform einsetzen.
Eye- oder Mouse-Tracking
Unter Eye- oder Mouse-Tracking wird die Aufzeichnung der Interaktion eines Webseitenbesuchers bezeichnet. Hierbei werden die Bewegungen, die Klicks und das Scrolling auf der Webseite aufgezeichnet, wodurch sich feststellen lässt, welche Bereiche aufmerksam betrachtet werden und welche übersehen werden. Dafür wird dementsprechend die Reihenfolge und die Dauer des Blickverlaufs analysiert. Diese Methode kommt insbesondere dann zum Einsatz, wenn die Benutzerfreundlichkeit der Webseite untersucht werden soll.
E-Mail-Tracking
Um Informationen über den E-Mail-Empfänger zu erhalten, werden beim Newsletter-Versand sogenannte Web-Beacons oder auch Zählpixel verwendet. Nach dem Öffnen des Newsletters wird der Zählpixel vom Server des Newsletter-Betreibers geladen und übermittelt Informationen, ob beispielweise die E-Mail geöffnet wurde, wenn ja den Zeitpunkt und die dazugehörige IP-Adresse. Zusätzlich dazu können angeklickte Links in den Newsletter auch Aufschluss darüber geben, welche Produkte häufiger angeklickt wurden als andere.
Geo-Targeting
Um Zielgruppen in einer bestimmten Region anzusprechen, kommt das Geo-Targeting zum Einsatz. Um dabei die Nutzer geografisch zu lokalisieren, werden personenbezogene Daten wie die IP-Adresse oder auch GPS-Daten verwendet. Diese Methode wird jedoch nicht nur bei der Zielgruppenansprache für Online-Werbung genutzt, sondern auch im anderen Kontext. Beispielsweise werden Geo-Daten in der Marktforschung für die regionale Eingrenzung der Produktnachfrage genutzt oder Online-Shops verwenden diese Daten, um die passende Sprachversion sowie nächstgelegene Filialen anzuzeigen.
WLAN-Tracking
Das WLAN-Tracking bringt diesmal nicht im Internet, sondern in der realen Welt nützliche Informationen für das Marketing. Es gibt eine Antwort auf die Frage „Wer ist wo, wie lange?“ insbesondere in Geschäften. Wenn das WLAN eines Mobiltelefons aktiv ist, sucht es ständig nach einer WLAN-Verbindung, um sich einloggen zu können. Diese Signale werden beim WLAN-Tracking registriert und ausgewertet. Dadurch entstehen Informationen darüber, wo sich gerade wie viele potentielle Kunden aufhalten und wie sie sich bewegen.
Webtracking: Mehr als nur Tracking per Cookies
Unter all den unterschiedlichen Formen, wie im Marketing getrackt wird, ist das Web-Tracking für Unternehmen eine der wichtigsten Methoden. Das sieht man auch daran, dass dabei die Möglichkeiten mittlerweile weit über das bloße Tracking per Cookies hinaus gehen.
CNAME Cloaking
Beim CNAME Cloaking handelt es sich um eine Technik, womit AdBlocker umgangen werden können. Dafür tarnen Tracking- und Werbebetreiber ihre Domains, um nicht unter die sog. „Host-Listen“ der Werbeblocker zu fallen, die bereits bekannte Domains von Werbeunternehmen auflistet. Mit dieser Technik können den Trackern und der Werbung unendlich häufig neue und zufällige Domains zugewiesen werden.
Cross Device Tracking
Mit dem Cross Device Tracking wird ein geräteübergreifendes Tracking ermöglicht. Dabei ist das Ziel, eine eindeutige Identifizierung des Nutzers zu erreichen, unabhängig davon, von welchen Geräten aus die Inhalte abgerufen werden. Dadurch wird bezweckt, den Nutzern jederzeit und möglichst genau den Interessen entsprechende Werbung anzuzeigen. Um diesen Zweck zu erreichen, kommen verschiedene Methoden, wie z.B. das Deterministic Linking, Probabilistic Linking sowie das Ultraschall-Tracking in Betracht.
Fingerprinting
Anhand des Fingerprinting wird ein digitaler Fingerabdruck mittels auf Endgeräten gespeicherten Informationen wie z.B. die Zeitzone, Spracheinstellungen, MAC oder IP-Adressen erstellt – ohne dabei Cookies einzusetzen. Somit wird eine Wiedererkennung von Nutzern erreicht, um zielgerechte Werbung zuschalten, ohne dass diese mitbekommen, das sie getrackt werden.
Common-IDs
Hinter der Tracking Methode mittels Common-IDs verbirgt sich nichts anderes, als das Anlegen eines Nutzeraccounts für einen Webdienst zu erzwingen. Dabei müssen die Nutzer bei der Registrierung in die Datenverarbeitung zum Tracking einwilligen. Die Dienste legen dabei für jeden Nutzer eine eigene ID an, zu der Interkationen auf der Website gespeichert werden. Große Anbieter wie soziale Netzwerke (z.B. Facebook oder Google), aber auch Internet- und Medienunternehmen (z.B. netID) bieten anderen Websitebetreibern die Möglichkeit an, dass sich Nutzer auf deren Website mit dem Account, den sie bei den großen Anbietern haben, einloggen können. Dadurch kann dann eine Nachverfolgung über mehrere Seite stattfinden.
App-Tracking
Das App-Tracking erfolgt, wie der Name schon sagt, im Rahmen von Apps, um das Nutzerverhalten sowie die App-Performance zu messen. Es beginnt bereits bei der Installation bis hin zur Löschung der App. Bei den hier gesammelten Daten handelt es sich um die Downloadanzahl, das verwendete Endgeräte mit dem jeweiligen Betriebssystem, Sprache und Mobilfunkanbieter sowie weitere Informationen während der Verwendung.
Datenschutzrechtliche Problemfelder beim Tracking
Zwar bietet das Tracking Unternehmen viele Vorteile für ihr Marketing. Es greift aber auch tief in die Rechte der getrackten Nutzer ein. Dadurch ergeben sich bei fast allen der oben genannten Methoden zahlreiche Problemfelder im Datenschutz. Eines der kritischsten ist, dass anhand von Tracking-Tools das Nutzerverhalten bis ins Detail aufgezeichnet werden kann. Dafür fordert das Datenschutzrecht in der Regel eine freiwillige Einwilligung des Nutzer, was jedoch entsprechend negative Folgen für die Datenlage der Unternehmen mit sich bringt.
Je datenschutzbewusster die Gesellschaft wird, desto weniger Einwilligungen können Werbetreibende dementsprechend einholen. Dadurch entsteht für Anbieter ein Anreiz, dass die Informationspflichten nicht erfüllt bzw. nicht transparent genug erfüllt werden. Wenn eine Einwilligung eingeholt wurde, besteht außerdem für Werbetreibende die Gefahr, dass diese jederzeit widerrufen werden kann. Um dies auszuschließen, wird z.T. nicht über das Widerrufsrecht belehrt oder gar über umständliche Wege erst ein Widerruf ermöglicht.
Ein weiteres Problemfeld beruht auf dem Umstand, dass Unternehmen in vielen Fällen kein Interesse an einer bestimmten natürlichen Person, sondern lediglich an ihrem Verhalten haben. Aus diesem Grund wird oft versucht, diese hinter einer ID zu „anonymisieren“ und so den Anforderungen der DSGVO auszuweichen. Es ist jedoch umstritten, ob diese ID dann tatsächlich keinen Personenbezug im Sinne der DSGVO mehr aufweist. Denn je mehr Daten zum Verhalten einer Person hinter einer ID gespeichert werden, desto wahrscheinlicher ist es, dass die dahinterstehende Person doch wieder ohne unverhältnismäßigen Aufwand re-identifiziert werden kann.
Dies ist ein Paradebeispiel für einen Fall, bei dem durch das ausschließliche Entfernen des Personenbezugs am Anfang der Verarbeitungskette, die Anforderungen der DSGVO an eine Anonymisierung noch nicht erfüllt sind. Denn falls die Beurteilung, ob es sich bei den Daten um anonyme oder personenbezogene handelt, maßgeblich am zukünfitgen Risiko einer Re-Identifizierung hängt, sind zwei weitere Vorgehensweisen erforderlich:
- Zu dem Prozess des Anonymisierungsvorgangs gehört ein Maßnahmen- und Schutzplan, um zukünftige Risiken einer Re-Identifizierung vorzubeugen.
- Eine einmalige, zum Zeitpunkt der Anonymisierung durchgeführte Risikoanalyse ist unzureichend. Davon ist jedenfalls immer dann auszugehen, wenn die anonymen Daten zum Zwecke der Datenanalyse verwendet werden sollen, hier also beim Tracking. Demzufolge ist regelmäßig zu prüfen, ob zwischenzeitlich nach dem Stand der Technik nicht neue Technologiestandard verfügbar sind, um die ursprünglichen personenbezogenen Daten erneut zu identifizieren.
Bußgelder und Sanktionen beim Tracking im Marketing
Aktuell sind viele der Problemfelder beim Tracking noch nicht abschließend rechtlich geklärt. Doch die Datenschutzaufsichtsbehörden haben sich in vielen Fällen schon positioniert und sind gerade dabei, diese im Rahmen von Bußgeldverfahren vor allem nach gezielten Beschwerden mit den „großen Playern“ zu klären. Dies dauert entsprechend, denn hier ist die Chance besonders hoch, dass die Positionen und Bescheide anschließend gerichtlich überprüft werden. Zu den aktuellen Verfahren zählen z.B.:
Werbe-IDs von Google und Apple
Apple und Android, zwei Konkurrenten im Smartphone-Geschäft, eine Gemeinsamkeit: illegales Tracking per Werbe-ID. Hinter diesem Beschwerdeverfahren steckt der Datenschützer Max Schrems mit seiner NGO noyb („none of your business“). Google soll Android-Nutzer über ihre individuelle Werbe-ID getrackt haben, ohne dabei die Einwilligung der Nutzer eingeholt zu haben. Das Gleiche wird auch Apple vorgeworfen. Anhand individualisierter Werbe-IDs können Smartphones von Nutzern konkret identifiziert werden. Auf diese IDs haben beispielsweise Google, Werbetreibende oder App-Anbieter Zugriff. Somit haben sie Einblicke in die Google-Suchen und können personalisierte Werbung anhand der Vorlieben vorschlagen.
IAB Transparency & Consent Framework
Das neue Transparency & Consent Framework (TCF 2.0) des Online-Marketing-Branchenverbands Interactive Advertising Bureau Europe (IAB) bietet als Consent Management Provider eine Plattform, um Einwilligungen und Widersprüche bezüglich Cookies und weiteren Technologien zentral zu managen. Somit gilt eine Entscheidung für das jeweilige beteiligte Unternehmen am Framework zentral für alle Webseiten, wo diese Werbung oder andere Dienste anbieten. Zur Speicherung dieser Information wird ein Cookie auf dem Gerät des Nutzers gesetzt.
Die belgische Datenschutzbehörde beschäftigte sich mit der DSGVO-Konformität des TCF 2.0 und hat entschieden, dass es in mehrfacher Hinsicht gegen die DSGVO verstößt. Insbesondere im Blick auf unwirksame Einwilligungen, kein ausreichendes berechtigtes Interesse, unzureichende Datensicherheit, mangelnde Informationen und Transparenz sowie die Verletzung von Dokumentationspflichten. Folglich endete es mit einem Bußgeld in Höhe von 250.000 Euro.
Cookie-Banner von Google und Amazon
Erst kassierte Google ein Bußgeld in Höhe von 100 Mio. Euro und anschließend Amazon in Höhe von 35 Mio. Euro von der französischen Aufsichtsbehörde. Der Grund dafür? Das Setzen von Werbe-Cookies ohne vorherige Einwilligung und unzureichende sowie intransparente Cookie-Banner und das jeweils auf den französischen Webseiten. O le merveilleux… mit einem Schlag 135 Mio. Euro Bußgeld.
CNIL peilt Bußgeld gegen Criteo an
Aufgrund mehrerer Beschwerden (u.a. von Privacy International und noyb) hat die CNIL das französische Werbeunternehmen Criteo unter die Lupe genommen. In zwei Pressemitteilungen informierte dieses seine Aktionäre darüber, dass dabei ein Bußgeld in Höhe von 60 Millionen Euro im Raum steht. Auch in diesem Verfahren stehen Verstößen beim Einholen der Einwilligung und eine unzureichende Anonymisierung der Nutzerdaten im Mittelpunkt des Verfahrens.
Tracking läuft bis dahin, wo Datenschutz „STOPP!“ sagt
Tracking und Datenschutz: Ob diese beiden Begriffe im Zusammenhang je gute Assoziationen hervorrufen werden, ist fragwürdig. Es gibt zahlreiche Möglichkeiten, das Nutzerverhalten zu tracken und auf diese Weise nützliche Informationen zu erhalten. Je nach Ziel des Trackings kommen unterschiedliche Formen in Betracht, von Mouse-Tracking bis hin zu E-Mail-Tracking. Das Web-Tracking wird in der Regel mit Cookies in Verbindung gebracht, doch dabei werden weitere Technologien wie das Fingerprinting außer Acht gelassen. Aus dem Grund, dass beim Tracking ein großer Umfang an personenbezogenen Daten zur Erreichung der Analyseziele benötigt werden, treten hier datenschutzrechtliche Problemfelder auf. Eines der wichtigsten Aspekte ist hierbei die Einwilligung, da das Nutzerverhalten bis ins Detail aufgezeichnet werden kann. Folglich führt das in der Praxis zu hohen Bußgeldern und Sanktionen. Tracking kommt in Zukunft also nur so weit, wie der Datenschutz es zulässt.
Welt.de erzwingt nun die Zustimmung zu Cookies, Tracking sowie der Weitergabe von Daten an externe – ein Ablehnen ist nur möglich wenn man „Welt pur“ abonniert, ein kostenpflichtiges Abo.
Dies macht Welt.de nun sogar bei Kunden die bereits „Welt plus abonniert“ haben.
Ist das rechtlich überhaupt OK eine entsprechende Cookie-Frage an ein Abo zu knüpfen?
(sein „Welt plus“ Abo kündigen geht ebenfalls nur wenn man der Datenweitergabe vorher zustimmt oder zusätzlich „Welt pur“ bezahlt…)
Die Entscheidung der österreichischen Aufsichtsbehörde, die zur Verbreitung dieses Modells im deutschsprachigen Raum führte, hatten wir damals im Rahmen des Beitrags Geld oder Daten – Wie weit geht das Kopplungsverbot der DSGVO? besprochen. Ob, das rechtlich zulässig ist, ist unter Juristen umstritten (das sollte auch aus dem Beitrag hervorgehen). Den deutschen Aufsichtsbehörden scheint dies aber vorerst zu reichen. Daher hatte noyb Beschwerden bei mehreren Aufsichtsbehörden eingelegt, um dies gerichtlich klären zu lassen.