Tracking und Analytics sind für viele Websiten- und App-Betreiber mittlerweile unverzichtbar. Angebote können damit nutzerfreundlicher gestaltet, Werbung personalisiert und Marktforschung betrieben werden. Doch was steht eigentlich dahinter und wie setzt man sie datenschutzkonform ein?
Der Inhalt im Überblick
Was bedeutet Analytics und Tracking?
Man muss Tracking auf der einen Seite und Analytics, Reichweitenmessung und Webanalyse auf der anderen Seite unterscheiden. Alle Begriffe werden gesetzlich nicht definiert, haben sich aber im allgemeinen Sprachgebrauch durchgesetzt.
Analytics – statistische Auswertung
Analytics, Reichweitenmessung und Webanalyse messen „nur“ statistische Aussagen über eine Gruppe von Nutzern einer Website oder App. Hierzu werden Daten zur Verweildauer, dem verwendeten Browser, Betriebssystem, Gerät, Spracheinstellung, Bildschirmauflösung, und Nutzeraktionen auf der Website erhoben. Zweck sind die bedarfsgerechte Gestaltung von Websiten oder die Marktforschung.
Tracking – individuelle Auswertung
Beim Tracking hingegen wird der einzelne Nutzer identifiziert und sein Nutzungsverhalten wird nachverfolgt. Hierdurch kann dem Nutzer z.B. individuelle Werbung angezeigt werden oder Preise können individuell gestaltet werden. Der Unterschied ist, dass durch die individuelle Identifizierung beim Tracking Persönlichkeitsprofile und Verhaltensmuster gebildet werden können.
Auf welcher Rechtsgrundlage kann ich Analytics und Tracking einsetzen?
Wie bei jeder Verarbeitung personenbezogener Daten gilt, dass jegliche Datenverarbeitung verboten ist, es sei denn es liegt eine Rechtsgrundlage vor.
Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist in Art. 6 Abs. 1 DSGVO geregelt. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig,
- wenn eine Einwilligung der betroffenen Person vorliegt,
- zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
- zur Erfüllung einer rechtlichen Verpflichtung
- zum Schutze lebenswichtiger Interessen,
- zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
- aufgrund einer Interessenabwägung erforderlich ist.
Hier sind die Rechtsgrundlagen der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO anwendbar.
Analytics auf Grundlage einer Interessenabwägung
Dienste zur rein statistischen Auswertung wie Analytics, Webanalyse und Reichweitenmessung können aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO rechtskonform eingesetzt werden. Der Website-Betreiber hat ein berechtigtes Interesse daran, seine Website den Nutzerpräferenzen entsprechend zu gestalten, indem er weiß woher die Nutzer kommen (Spracheinstellung), welche Browser und Geräte sie nutzen (Bildschirmdarstellung) und welche Angebote (Videos, Bilder, Beiträge) besonders häufig angeklickt werden.
Tracking – Streit um die Rechtsgrundlage
Beim Tracking muss nach Ansicht der Datenschutz-Aufsichtsbehörden der Nutzer im Vorfeld seine Einwilligung erteilen, weil hier umfangreichere personenbezogene Daten gesammelt werden und die Bildung eines Profils des Nutzers möglich ist.
Nach anderer Ansicht kann auch das Tracking auf das berechtigte Interesse des Website-Betreibers gestützt werden. Ein Argument hierfür ist Erwägungsgrund 47 S. 7 DSGVO, wonach Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Tracking kann danach, da es häufig dem Einspielen personalisierter Werbung dient, auf eine Interessenabwägung gestützt werden. Voraussetzung hierfür ist jedoch die Pseudonymisierung der Nutzerdaten. Nähere Informationen zu dem Meinungsstreit finden Sie im dem Fachbeitrag „Tracking nur noch mit Opt-In? Kritische Anmerkungen zum DSK-Papier„.
Und was ist dann Google Analytics?
Anders als der Name vermuten lässt, ist Google Analytics kein reines Analytics-Tool, sondern ein Tracking-Tool. Google nutzt die Daten noch für eigene Zwecke und bildet ein umfangreiches Profil damit. Deswegen muss hierfür nach Auffassung der Datenschutzaufsichtsbehörden eine vorherige Einwilligung eingeholt werden. Wird jedoch auf die Einholung einer Einwilligung verzichtet, ist der Einsatz von Google Analytics auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f DSGVO zu stützen. Hier ist dann weiter auf die Opt-Out-Lösung zu setzen.
Allgemein gilt: Es kommt ganz auf die individuelle Ausgestaltung des Dienstes an. Informationen dazu, welche Daten erhoben werden und für welche Zwecke genutzt werden, findet man in den Datenschutzerklärungen der Anbieter.
Abgrenzung zwischen Analytics- und Tracking-Tool
Folgende Fragen sollte man sich immer stellen:
- Werden die Daten mit anderen Daten des Nutzers zusammengeführt (z.B. Stammdaten)?
- Werden die Daten von dem Anbieter des Tools noch zu eigenen Zwecken verwendet?
- Ist die Speicherdauer unbegrenzt?
- Sind die Daten so detailliert, dass eine Profilbildung möglich ist?
- Besteht keine Widerspruchsmöglichkeit („Opt-Out“) für den Nutzer?
- Erfolgt nicht nur eine statistische Analyse?
Wenn man eine der Fragen mit „Ja“ beantworten muss, handelt es sich nicht mehr um ein reines Analytics-Tool und man sollte den Streitstand zu der Rechtsgrundlage für Tracking beachten.
Da verbreitet sich gerade ein technisches Missverständnis. Bei Analytics werden nicht weniger Daten erhoben als beim Tracking zu Werbezwecken. Auch bei Analytics werden zunächst individuelle Nutzungsprofile erstellt. Der Unterschied liegt nur in der Auswertung. Bei Analytics werden viele Nutzungsprofile zusammen statistisch ausgewertet, bei Tracking zu Werbezwecken dagegen werden sie individuell ausgewertet. Auch Nutzungsprofile, die für Analysezwecke gebildet wurden, können für Werbezwecke genutzt werden. Auch Analytics ist Tracking.
Vielen Dank für Ihren Hinweis.
Angesichts der Vielzahl der Tracking- und Analytics-Dienste auf dem Markt mag es sein, dass auch bei Analytics zunächst eine individuelle Zuordnung erfolgt, bevor die Daten dann zur statistischen Analyse zusammengefasst werden. Es besteht aber nicht immer eine Personenbeziehbarkeit, z.B bei Erhebung nur gekürzter IP-Adressen.
Was verstehen Sie genau unter individuellen Nutzungsprofilen? Profile, anhand derer ein Nutzer persönlich identifizierbar wird?
Die technischen Aussagen sind nicht korrekt. Eine Identifizierung der Nutzer vor dem PC findet nicht statt, es werden lediglich Browser erkannt über IDs im Cookie oder Storage. Die Definition von Tracking und Analytics ist willkürlich. Eine Besonderheit von Google Analytics sehe ich hier nicht, die Funktionsweise der Tools ist immer dieselbe egal ob Google Analytics, Adobe Analytics, Webtrends, Webtrekk, Piwik, AT Internet uvm.
Vielen Dank für Ihren Hinweis.
Die Nutzer vor dem PC werden tatsächlich nicht „vor ihrem PC erkannt“, jedoch ist für die Identifizierbarkeit bereits die IP-Adresse oder ähnliches ausreichend. Darauf kommt es datenschutzrechtlich an. Google Analytics wird hier nur beispielhaft beschrieben, siehe: „ Allgemein gilt: Es kommt ganz auf die individuelle Ausgestaltung des Dienstes an.“
Haben Sie Quellen zu folgender Aussage? „Anders als der Name vermuten lässt, ist Google Analytics kein reines Analytics-Tool, sondern ein Tracking-Tool. Google nutzt die Daten noch für eigene Zwecke und bildet ein umfangreiches Profil damit.“ Bezieht sich das (ausschließlich) auf die „Advertising Features“ und/oder „Data Sharing Settings“? Oder auch auf die laut Google GDPR-konforme Nutzung (Advertising Features erst nach Opt-in, keine PII im Datensatz, anonymisierte IP)?
Aus der Datenschutzerklärung von Google ist ersichtlich, dass nicht nur rein statistische Daten erhoben werden, sondern ggf. auch personenbezogene Daten wie der Standort, die Werbe-ID eines Nutzers, die IP-Adresse etc. Umfassende Informationen zu der Datenverarbeitung bei Einsatz von Google Analytics finden Sie hier.
Google hat, auch wenn die „Advertising Features“ nicht aktiviert sind, zumindest die Möglichkeit, die Analytics-Daten zur Bildung von Profilen zu nutzen. Denn auch ohne die Aktivierung der „Advertising Features“ und/oder „Data Sharing Settings “Funktion wird zumindest immer die IP-Adresse an Google Server übertragen.
Auch bei der laut Google DSGVO-konformen Nutzung von Google Analytics werden personenbezogene Daten übermittelt. Denn auch bei der Aktivierung der IP Anonymisierung wird die IP-Adresse zunächst ungekürzt an Google übermittelt und erst dann von Google anonymisiert. Durch Übermittlung der IP-Adresse kommt es also auch dann zur Verarbeitung personenbezogener Daten.
Eine Alternative, bei der keine personenbezogenen Daten übermittelt werden, ist die lokal gehostete Variante von Matomo (ehemals PIWIK). Ansonsten wird immer Kontakt mit einem Server aufgenommen, um Analytics-Auswertungen überhaupt erst zu ermöglichen.
Vielen Dank für die detaillierten Informationen. Interessant, dass Google im selben Dokument folgendes schreibt: „Vertragsgemäß dürfen Kunden keine personenidentifizierbaren Informationen an Google Analytics senden“. Wie schätzen Sie das ein?
Ich hätte (als Nichtjurist) bisher so bewertet:
– Einwilligung für Werbe-ID liegt Google über den Google Account des Endverbrauchers vor (ggfs. Frage der Transparenz, sind sich die Kunden bewusst, wo überall die IDs erfasst werden können?)
– Standort bis zur Feinheit „City“ nicht personenbezogen (PLZ wäre ggfs. personenbezogen in schwach besiedelten Regionen)
– hier wird anonimyzeIp (noch) als datenschutzkonform beschrieben: https://www.dr-datenschutz.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
„…wird das letzte Oktett der IP-Adresse des Nutzers noch innerhalb des Arbeitsspeichers auf null gesetzt. Die IP-Adresse 12.214.31.144 würde beispielsweise in 12.214.31.0 geändert. Wenn die IP-Adresse eine IPv6-Adresse ist, werden die letzten 80 der 128 Bits auf null gesetzt. Erst nach diesem Anonymisierungsprozess wird die Anforderung zur Verarbeitung auf die Festplatte geschrieben. Bei der IP-Anonymisierungsmethode wird die vollständige IP-Adresse zu keinem Zeitpunkt auf die Festplatte geschrieben, da die gesamte Anonymisierung fast unmittelbar nach Erhalt der Anforderung im Speicher erfolgt.“
Quelle: https://support.google.com/analytics/answer/2763052?hl=de
Vielen Dank für Ihren Kommentar. Wir können leider nicht eindeutig auf die Frage antworten, da unklar ist, auf welches Dokument Sie sich beziehen, wenn Sie schreiben „Interessant, das Google im selben Dokument folgendes schreibt: „Vertragsgemäß dürfen Kunden keine personenidentifizierbaren Informationen an Google Analytics senden“.
Wir möchten dennoch kurz auf Ihre rechtliche Einschätzung eingehen. Eine Einwilligung für die Werbe-ID von Google über den Google-Account eines Endverbrauchers kann nicht die Rechtsgrundlage für die Verarbeitung personenbezogener Daten auf der Webseite desjenigen sein, der Google Analytics auf seiner Webseite einsetzt. Schließlich geht es um eine Verarbeitung personenbezogener Daten durch den Webseitenbetreiber als Verantwortlichen für die Datenverarbeitung. In seiner Rolle als Verantwortliche muss er sicherstellen, dass er eine Rechtsgrundlage für die Datenverarbeitung hat. Google ist in dieser Konstellation nur Auftragsverarbeiter und bedarf als solcher nach herrschender Meinung keiner eigenen Rechtsgrundlage für die Datenverarbeitung.
D.h. wenn man die Endverbraucher personenbezogen/personenidentifizierbar tracken will, indem man nicht die IP-Adresse anonymisiert, dann bedarf es nach ganz überwiegender Auffassung einer Einwilligung gegenüber dem Webseitenbetreiber. Wenn man allerdings die IP-Adresse anonymisiert, dann kann man auch das berechtigte Interesse des Webseitenbetreibers an Auswertungen heranziehen. Die oben zitierte Aussage von Google, dass keine personenidentifizierbaren Informationen an Google Analytics gesendet werden dürfen ist wahrscheinlich so zu verstehen, dass der Kunde bei Einsatz von Google Analytics ohne Anonymisierung sicherstellen muss, dass er eine Rechtsgrundlage dafür hat.
Wir hoffen, wir konnten Ihnen weiterhelfen.
vielen Dank für Ihre ausführliche Antwort. Aus aktuellem Anlass hake ich hier nochmal nach. Ich bezog mich oben auf die auch von Ihnen verlinkte Datenschutzseite der Google Analytics-Hilfe: https://support.google.com/analytics/answer/6004245
Zitat Google:“Wenn Google Analytics in Apps oder Websites zusammen mit anderen Google-Werbeprodukten wie Google Ads implementiert wurde, werden eventuell zusätzliche Werbe-IDs erfasst.“
Ok, die Werbe-IDs werden eventuell erfasst, wenn ich Google Analytics mit anderen Google Tools verknüpfe und/oder die Werbefunktionen aktiviere. Das muss ich aber als Websitebetreiber nicht. Ich kann „Google Signals“ auch NICHT aktivieren sowie ausschließlich dem technischen Support Zugriff auf meinen Account gewähren (Data Sharing Settings, + auch den Haken für den Support kann ich wegnehmen). Damit sollte Google die von mir erhobenen Daten eben NICHT für eigene Zwecke verwenden.
Bleibt die Frage, ob ich überhaupt „personenbezogene Daten“ erhebe. Google schreibt dazu auf der oben verlinkten Seite: „Vertragsgemäß dürfen Kunden keine personenidentifizierbaren Informationen an Google Analytics senden“. Gibt es eine belastbare Aussage zur Google cid (cookieID)? Wird sie allein dadurch personenbeziehbar, dass sie über die Session hinweg persistiert? Der für eine Domain gesetzte First-Party Cookie kann in der Regel nur dort gelesen werden (keine Weiterverfolgung). Fragen über Fragen… Vielen Dank und viele Grüße
Sie müssen dabei die einzelnen Verarbeitungsvorgänge unterscheiden. Der Erste ist die Erhebung von personenbezogenen Daten beim Nutzer durch ihre Website wie z.B. die IP-Adresse. Der Zweite wäre das pseudonymisiern der Daten und der Dritte das Senden der Daten an Google Analytics. Auch wenn die IP-Adressen so schnell wie technisch möglich gekürzt werden, braucht es für die Erhebung immer einer Rechtsgrundlage. Die Frage zur Cookie-ID ist schwieriger zu beantworten, da es umstritten ist, wann ein Personenbezug vorliegt. (Dies war für IP-Adressen auch lange Zeit umstritten). Ich würde es jedenfalls nicht ausschließen, dass es bei einem entsprechend intensiven Nutzerverhalten möglich ist, dass die über 14 Monate aufgezeichnet Daten eine Person indirekt identifizieren könnten und somit ein Personenbezug vorliegt.
Als nicht versierter Webseitenbenutzer bekommt man das Gefühl der undurchsichtigen Datenerhebung. Startet man z.B. in Firefox das Add-On LightBeam verstärkt sich dieser Eindruck. Einzig der Einsatz von Zusatzprogrammen vermitteln einem das Gefühl etwas geschützter zu sein. Dies meine Empfehlung für andere Laien-Benutzer.
MfG D. L.
Der Laie
Ich stehe auf dem Schlauch. Wenn ich – etwa mit Matomo – zu einem Webseitenbesuch alle besuchten Seiten und Verweildauern ohne ein weiteres Zuordnungsmerkmal (also insbesondere ohne IP-Adresse) speichere und kein über die Session hinaus existierendes Cookie setze: Aufgrund welcher Norm muss ich dann ein Opt-out anbieten?
Soweit ein auf einer Website eingebundener Dienst personenbezogene Daten der Besucher verarbeitet, bedarf es wie im Beitrag beschrieben einer Rechtsgrundlage. Ist diese die Einwilligung, ergibt sich das Widerrufsrecht aus Art. 7 Abs. 3 DSGVO, bei Verarbeitung aufgrund eines überwiegenden berechtigten Interesses aus Art. 21 Abs. 4 DSGVO.
mh, das verstehe ich jetzt auch nicht. Es geht UlrichW doch gerade um eine Statistik, die NICHT „personenbezogene Daten der Besucher verarbeitet“. Wenn die erhobenen Daten nicht personenbezogen sind greift die DSGVO garnicht, oder?
Genau. Das Datenschutzrecht knüpft an die Verarbeitung personenbezogener Daten an. Ständig neue oder weiterentwickelte Techniken führen mitunter aber zu rechtlich unterschiedlichen Auffassungen, ob ein Merkmal personenbezogen ist (denn die Personenbezogenheit der Information bleibt bestehen, wenn die betroffene Person identifizierbar ist, d.h. ermittelt werden kann).