Es ist nicht immer ganz leicht, die Begrifflichkeiten rund um den Datenschutz auseinanderzuhalten, geschweige denn, die sich daraus ergebenden Problemstellungen richtig einzuordnen.
Gemäß DSGVO ist der Begriff „personenbezogene Daten“ möglichst weit auszulegen. Demgemäß fallen darunter sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Bei Letzterem spricht man auch von „personenbeziehbaren Daten“.
Bei der Web-Analyse kommt man in diesem weiten Sinne eigentlich nicht um die Verarbeitung von personenbezogenen Daten im Sinne der DSGVO herum. Das ist als solches erst einmal nicht kritisch, heißt einfach nur, dass die DSGVO Anwendung findet.
Um beispielsweise Session-übergreifend die Anzahl der Besucher zu ermitteln, müssen Besucherkennungen eingesetzt werden. Dafür werden allerdings keinerlei persönliche Daten wie Namen oder E-Mail-Adressen benötigt. Zufällig generierte Zeichenkombinationen, die in Cookies gespeichert werden, genügen. Ein Rückschluss auf die Person ist dadurch nicht möglich.
Wichtig bei der datenschutzrechtlichen Beurteilung ist somit nicht die Frage, ob personenbezogene Daten überhaupt verarbeitet werden, sondern, ob gemäß Art. 6 f DSGVO die Verarbeitung so gestaltet ist, dass nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Bei der Beurteilung der Eingriffsstärke in die Privatsphäre – also des Überwiegens von Schutzrechten – sind folgende Fragestellungen entscheidend:
- Werden persönliche Daten in Klarform verarbeitet oder gar Daten, die besonders sensibel sind wie Geschlecht, ethnische Herkunft, Religionszugehörigkeit usw.?
- Ist anhand der Art und Menge der Daten die Identifikation des Nutzers direkt oder indirekt möglich?
- Erfolgt die Verschlüsselung (a) mit ausreichender Stärke, (b) zum frühestmöglichen Zeitpunkt vor der eigentlichen Verarbeitung und (c) standardmäßig „by design“ bzw. „by default“?
- Werden personenbezogene Daten an Dritte weitergegeben, mit Daten anderer Anbieter zusammengeführt, mit Anbieter-übergreifenden Identifikatoren versehen oder mit weiteren personenbezogenen Daten aus anderen Systemen angereichert?
- Werden die personenbezogenen Daten gesichert übertragen, möglichst nur innerhalb der EU verarbeitet und dabei durch ausreichende technische und organisatorische Maßnahmen vor dem unberechtigten Zugriff Dritter geschützt?
- Werden die Daten auf eine Art und Weise und für Zwecke genutzt, die (a) keinerlei Rechtswirkung für die Betroffenen haben, (b) für die Betroffenen typisch und vernünftigerweise erwartbar sind und über die in den Datenschutzhinweisen klar und verständlich informiert wird?
- Haben Nutzer auf allen Endgeräten eine einfache Möglichkeit, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen?
- Werden Einstellungen im Browser und Betriebssystem, die eine Willensbekundung von Betroffenen klar ausdrücken (wie z. B. Do-not-track-Einstellungen), beachtet?