Webanalyse & Datenschutz: Nutzerstatistiken ohne Einwilligung

Fachbeitrag

Die Auswertung von Nutzerstatistiken kann den Erfolg von Webseiten und Apps entscheidend beeinflussen. Was ist der Unterschied zwischen Reichweitenanalysen und Tracking? Und auf welche Rechtsgrundlage kann man die Datenverarbeitung stützen? Wir haben uns diese Themen in unserem aktuellen Beitrag mal genauer angeschaut!

Was versteht man unter Webanalyse?

Wer die Effizienz und den Erfolg von Webseiten oder Apps optimieren möchte, kommt um Webanalysen nicht herum! Auf unterschiedlichen Wegen wird das Verhalten von Nutzern erfasst und ausgewertet. Verantwortliche wissen so ganz genau, wo sie ansetzen müssen, um die Leistung ihrer Auftritte zu verbessern. Bei der rechtlichen Bewertung von Webanalysen ist jedoch eine differenzierte Betrachtungsweise notwendig.

Unterschied zwischen Web- bzw. Reichweitenanalyse und Tracking

Beim Tracking wird eine individuelle Auswertung des Nutzerverhaltens mithilfe von Cookies und ähnlichen Technologien vorgenommen. Der einzelne Nutzer wird identifiziert und sein Verhalten nachverfolgt. Die individuelle Auswertung ermöglicht anschließend die Erstellung von Persönlichkeitsprofilen und die Dokumentation von Verhaltensmustern. Tracking kann im Rahmen von personalisierter Werbung und bei der individuellen Anpassung von Preisen sehr hilfreich sein.

Analytics- bzw. Reichweitenanalyse-Tools messen statistische Informationen von Webseitenbesuchern oder App-Nutzern. Die statistische Auswertung dient in der Regel der bedarfsgerechten Webseitengestaltung oder Marktforschungszwecken. Da vermehrt Tools verwendet werden, die weitgehende Nutzerinformationen sammeln, werden die Auswertungsergebnisse immer umfangreicher. Ob eine Maßnahme der Reichweitenanalyse dient oder schon Tracking vorliegt, ist nicht immer leicht zu erkennen. Weitere Informationen zu der Abgrenzung haben wir in bereits in einem Beitrag zusammengefasst.

Welcher rechtliche Rahmen spielt bei der Webanalyse eine Rolle?

Wer Tracking oder Reichweitenanalysen rechtmäßig betreiben möchte, muss sich gleich mit zwei Gesetzen intensiv auseinandersetzen. Häufig ist nicht nur die DSGVO, sondern auch das TTDSG einschlägig.

Wenn Verantwortliche statistische Informationen von Usern verarbeiten, kann eine Einwilligung nach dem TTDSG erforderlich sein. Die Reichweitenanalyse geht oft mit der Speicherung von Cookies oder dem zielgerichteten Auslesen von Informationen des Endgeräts einher. Sobald der Zugriff auf die Informationen oder das Cookie für die Erbringung des vom User gewünschten Dienstes nicht unbedingt erforderlich ist, muss gemäß § 25 Abs. 1 S. 1 TTDSG eine Einwilligung der Nutzendenden eingeholt werden. Ob die Informationen personenbezogen sind oder nicht, spielt keine Rolle.

Soweit die Reichweitenmessung personenbezogene Daten miteinbezieht, ist auch die DSGVO einschlägig. Als Rechtsgrundlage kommt das berechtigte Interesse aus Art. 6 Abs. 1 lit. f DSGVO in Betracht. Der Verantwortliche kann sich bei der Interessensabwägung darauf berufen, dass er seine Webseite den Nutzerpräferenzen anpassen möchte. Um passende Bildschirmeinstellungen vorzunehmen, benötigt man beispielsweise Informationen über das Endgerät und den Browser des Webseitenbesuchers.

Da beim Tracking regelmäßig Marketingmaßnahmen eine Rolle spielen, sind die Speicherung von Informationen auf Endgeräten und der zielgerichtete Zugriff nicht „unbedingt erforderlich“. Eine Einwilligung nach § 25 Abs. 1 TTDSG darf deswegen nur selten fehlen. Zusätzlich muss die Verarbeitung von personenbezogenen Daten auch auf eine Einwilligung nach Art. 6 Abs. 1 lit. a gestützt werden.

Beim Einsatz von Analyse- und Trackingtools sollten sich Verantwortliche also genau mit den potenziellen Rechtsgrundlagen auseinandersetzen. Soweit zwei Einwilligungen eingeholt werden müssen, haben Verantwortliche die Möglichkeit, die Einwilligungen zeitgleich über den Cookie-Banner einzuholen. In diesem Zusammenhang muss der Nutzer jedoch über alle wesentlichen technischen Vorgänge im Sinne des TTDSG und der DSGVO informiert werden.

Ist eine Webanalyse/Reichweitenmessung ohne Einwilligung möglich?

Funktioniert die Webanalyse auch ohne Einwilligungen? Nach der Auffassung einiger deutscher Aufsichtsbehörden, z.B. des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), gibt es durchaus Möglichkeiten, eine Analyse ohne Einwilligungen durchzuführen. Innerhalb Europas gehen die Standpunkte der Aufsichtsbehörden bei diesem Thema jedoch weit auseinander.

Log-File Analyse oder serverseitiges Tracking ohne Cookies

Nach den Aussagen der OH Telemedien kann man Browser- oder Header-Informationen zu Werbeanalysezwecken nutzen. Es muss sich allerdings um Informationen handeln, die automatisch (z.B. aufgrund von (Browser-)Einstellungen des Endgerätes) übermittelt werden. Auch über die Log-File Analyse kann man den Anwendungsbereich des TTDSG umgehen. Log-Files sind Dateien, die automatisch geführte Protokolle enthalten. Die Informationen beziehen sich auf Ereignisse auf Computersystemen oder in Netzwerken und werden automatisch vom Browser mitgesendet. Log-Files enthalten unter anderem Angaben zur IP-Adresse, zum verwendeten Browser und zu der Webseite, von der der Zugriff erfolgt. Ein zielgerichteter Zugriff des Webseitenbetreibers erfolgt nicht. Eine Speicherung von Informationen auf dem Endgerät ist ebenfalls nicht notwendig.

Die Datenverarbeitung bedarf allerdings trotzdem einer gültigen Rechtsgrundlage im Sinne der DSGVO. Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist jedoch nicht unbedingt notwendig. Wenn Verantwortliche keine externen Dienstleister nutzen und das Zusammenführen von Nutzungsdaten (z.B. über Anbieter- oder Gerätegrenzen) vermeiden, kommt auch das berechtigte Interesse als Rechtsgrundlage infrage. Allerdings sollte man auf eine Verwendung der Log-File Informationen für andere Zwecke verzichten.

Tracking ohne Einwilligungen soll nach der Ansicht des LfDIs auch nicht unmöglich sein! Wenn der Verantwortliche Server-Side-Tracking ohne Cookies betreibt und die personenbezogenen Daten der Nutzer vollständig anonymisiert, bevor sie an Tracking Dienstleister übermittelt werden, ist § 25 Abs. 1 TTDSG nicht einschlägig. Zudem kann sich der Webseitenbetreiber auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Aber Achtung, – es lässt sich nur selten ausschließen, dass Tracking-Dienstleister eigenhändig eine Re-Identifizierung von Nutzern vornehmen können. Die technischen Mittel und Datenmengen der US-Anbieter können Verantwortliche nur selten überblicken. Das Vorgehen ist in der Praxis also nur bedingt zu empfehlen.

Webanalyse: Unbedingt erforderlich für den gewünschten Telemediendienst?

Wann eine Einwilligung bei einer Webanalyse erforderlich ist, wird immer noch stark diskutiert. Selbst die Aufsichtsbehörden sind sich uneins. Die belgische und die französische Aufsichtsbehörde sprechen sich bei der Bewertung für eine differenzierte Bewertung aus. Auch Tracking setze nicht immer eine Einwilligung voraus. Die deutschen Aufsichtsbehörden sehen das Ganze etwas anders. Sie bewerten Google Analytics und andere Tracking-Angebote pauschal als einwilligungsbedürftig.

Beim Thema Webanalyse und Datenschutz bleiben viele Fragen offen

Webanalysen sind von Webseiten und Apps kaum noch wegzudenken. Die rechtliche Ausgestaltung bereitet in der Praxis jedoch Kopfzerbrechen. In jedem Fall muss zwischen statistischen und individuellen Auswertungen unterschieden werden. Das TTDSG setzt zudem eine Auseinandersetzung mit den technischen Hintergründen der Webanalyse voraus. Wer rechtlich auf der sicheren Seite sein möchte, wird um Einwilligungen in vielen Konstellationen nicht herum kommen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Tracking unter dem Berechtigten Interesse ist mit EU Auftragsverarbeitern problemlos möglich, sofern sie cookieless arbeiten. Dazu bedarf es kein serverseitigem Tracking. Das ist nur ein Trick, um den Einsatz von US Anbietern zu kaschieren.
    Die CNIL hat im Übrigen verschiedene EU Systeme für ein Tracking mit Berechtigtem Interesse zertifiziert, wie z.B. die [Werbung. entfernt.].

  2. Ich wundere mich, warum nicht auf die klaren Aussagen der OH Telemedien 2021 verwiesen wird, wo doch klar daraus hervorgeht, dass (a) Webanalyse ohne aktiven Zugriff auf das Endgerät möglich ist: „Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als „Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“, zu werten.“ Und (b) dass die Kriterien der OH Telemedien 2019 für die Interessenabwägung nach wie vor gelten, allerdings ernst zu nehmen sind insbesondere es ausgeschlossen werden muss, dass Auftragsverarbeiter sich das Recht vorbehalten, die Daten auch zu eigenen Zwecken zu nutzen. Lediglich den Einsatz von Webanalyse (Reichweitenmessung) mit Cookies ohne Einwilligung sieht die DSK sehr kritisch. Insofern können wir sehr froh sein, eine aktuelle und praxisnahe Orientierungshilfe in den Händen zu haben, die sowohl den Rahmen für die Einwilligungsfreiheit nach DSGVO als auch TTDSG absteckt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.