Datenschutz

  2. Home
  4. Dokumente
  6. Datenschutz
  8. Interessenabwägung
  10. Tag Manager

Tag Manager

Die Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage für den Einsatz des Moduls „Tag Manager“ von etracker Analytics

1. Funktionsweise und Zweck des etracker Tag Managers

Um den etracker Tag Manager nutzen zu können, muss zunächst der etracker Tracking Code im HTML der Website eingebunden werden, der Grundlage für die Nutzung von etracker Analytics ist. Einen speziellen Code oder eine gesonderte Integration für den etracker Tag Manager gibt es nicht, da dieser kein eigenständiges etracker Produkt, sondern nur in Kombination mit etracker Analytics einsetzbar ist.

Der etracker Tag Manager bietet folgende zwei Funktionen:

  1. Tracking von Events, Zielen und Segment-Dimensionen in etracker Analytics ohne Programmierung bzw. Anpassungen im HTML der Website.
  2. Integration von Tags (Drittanbieter-Code) in eine Webseite ohne Programmierung bzw. Anpassungen im HTML der Website und deren Ausspielung nach eingestellten Bedingungen und mit zuvor eingerichteten Variablen.

Der etracker Tag Manager kann hierbei auch ausschließlich für die Konfiguration der mit etracker Analytics erfassten Daten genutzt werden (Punkt 1). Es handelt sich somit um eine Komfort-Funktion, die primär den dahingehenden Interessen des Website-Betreibers dient, Prozesse zur Installation und Konfiguration von Website-Funktionen zu optimieren.

2. Rechtskonformität und Einwilligungspflicht von Drittanbieter-Codes

Bei der Frage der Rechtsgrundlage für den Einsatz des etracker Tag Managers muss zwischen

  • dem Tag Manager selbst und
  • den über ihn gegebenenfalls ausgespielten Drittanbieter-Codes

unterschieden werden.

Für die rechtlichen Anforderungen in Bezug auf die mittels des Tag Managers auszuspielenden Drittanbieter-Codes ist eine separate Prüfung erforderlich, deren Ergebnis vom jeweiligen Drittanbieter-Code und dessen Funktionsweise abhängt. Bei der Auswahl und Konfiguration auszuspielender Tags bietet der etracker Tag Manager daher die Zuweisung einer passenden Consent-Kategorie an. Diese ist automatisch verknüpft mit dem etracker Consent Manager, worüber sichergestellt werden soll, dass einwilligungspflichtige Tags auch nur mit Einwilligung des Nutzers ausgespielt werden.

Für die vorkonfigurierten Drittanbieter-Tags ist unter Zweck „Marketing“ die Grundlage „Einwilligung“ bereits voreingestellt. Diese Voreinstellung entspricht unserer Empfehlung für das jeweilige Tag in seiner Standardumsetzung und sollte vom Kunden nochmals geprüft werden. Für individuell integrierte Tags ist der etracker Kunde durch seinen Administrator für die korrekte Kategorisierung verantwortlich. Im Hinblick auf eine mögliche Einwilligungspflicht von Drittanbieter-Tags müssen vor allem der Zugriff auf Nutzer-Endgeräte (gemäß TTDSG) sowie die mit dem Tag verbundene Verarbeitung personenbezogener Daten (gemäß DSGVO) bedacht werden.

Wichtig zu beachten im Zusammenhang mit der Einwilligungspflicht von Drittanbieter-Tags ist, dass

gemäß TTDSG

  1. nur technisch unbedingt erforderliche Cookies von der Einwilligungspflicht befreit sind.
  2. es bei der Bewertung der Notwendigkeit von Endgeräte-Zugriffen auf eine objektiv-technische Betrachtung ankommt und nicht darauf, ob die Zugriffe aus Sicht des Website-Betreibers wünschenswert oder betriebswirtschaftlich notwendig sind.

gemäß DSGVO

  • die Einholung einer Einwilligung nicht per se datenschutzfreundlicher gegenüber dem berechtigten Interesse zu betrachten ist.
  • die Interessenabwägung nur als Rechtsgrundlage in Betracht kommt, wenn mit der Verarbeitung nicht gegen vernünftige Erwartungen der Nutzer verstoßen wird und für die Zwecke keine zumutbaren, ebenso wirksamen milderen Mittel zur Verfügung stehen.
  • auch bei Einwilligung zusätzliche Anforderungen an die Datenschutzkonformität bestehen, nämlich die Beachtung der Grundsätze wie „Zweckbindung“, „Datenminimierung“, „Privacy by Design“ und „Privacy by Default“.

3. Rechtskonformität und Einwilligungsfreiheit des etracker Tag Managers selbst

3.1 etracker Tag Manager und TTDSG

Der etracker Tag Manager als solcher verwendet – ebenso wie etracker Analytics in entsprechender Konfiguration – keine Cookies oder ähnlichen Technologien, mittels welchen Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erfolgt. Damit ist der etracker Tag Manager gemäß § 25 TTDSG nicht einwilligungspflichtig.

3.2 etracker Tag Manager und DSGVO

Es stellt darüber hinaus die Frage, ob der als Standard vorgesehene Cookie-less Modus von etracker Analytics auch bei Einsatz des Moduls Tag Manager durch Art. 6 Abs. 1 lit. f DSGVO legitimiert werden kann oder ob aufgrund der Verarbeitung personenbezogener Daten als solcher eine Einwilligung erforderlich ist. Nach Art. 6 Abs. 1 lit. f DSGVO ist die Verarbeitung von personenbezogenen Daten rechtmäßig, „wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erfolgt, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.“

Ausgangspunkt der Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO sind einerseits das Persönlichkeitsrecht des Betroffenen sowie die Auswirkungen, die eine Verarbeitung der betreffenden Daten für diesen mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. Im Rahmen der Abwägung ist auch zu berücksichtigen, von welchen Umständen die betroffene Person vernünftigerweise ausgehen kann, wenn sie eine Website besucht. Das bedeutet: Solange die von etracker im Auftrag vorgenommenen Datenverarbeitungsprozesse sich im Rahmen dieser Erwartungen bewegen, lässt es sich vertreten, die Zulässigkeit der entsprechenden Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO zu stützen.

Im Rahmen der Interessenabwägung ist zunächst zu berücksichtigen, dass die von der Web-Analyse und zugehörigem Tag Management betroffenen Personen ein jederzeitiges und umfassendes Widerspruchsrecht haben (Art. 21 Abs. 2 DSGVO), auf das sie ausdrücklich in den Datenschutzhinweisen der Website hinzuweisen sind (Art. 21 Abs. 4 DSGVO). Der Widerspruch hat nach Art. 21 Abs. 3 DSGVO zur Folge, dass personenbezogene Daten für dazugehörige Zwecke nicht mehr verarbeitet, insbesondere verwendet werden dürfen. Überträgt man die voranstehenden Überlegungen auf den hier zu beurteilenden Sachverhalt, so lässt sich Folgendes festhalten:

1. Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten

Die Optimierung der Prozesse zur Installation und Konfiguration von Website-Funktionen kann als berechtigtes Interesse des Website-Betreibers angesehen werden. Auch die damit mittelbar unterstützten Funktionen wie die Reichweitenmessung und statistische Analysen sowie die Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer werden gemäß der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien ausdrücklich als berechtigte Interessen von Website-Betreibern angeführt. Als sozusagen „Befähigungs-Instrument“ für die Umsetzung dieser berechtigten Interessen ist somit auch der Einsatz von Tag Management ein legitimes Interesse.

2. Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen

Gemäß der o.g. Orientierungshilfe muss die Verarbeitung geeignet sein, das Interesse des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung stehen darf. Bei Einsatz von etracker Analytics ist auch mit dem Tag Manager-Modul die Datenverarbeitung auf das notwendige Maß beschränkt. Die Erhebung deutlich weniger personenbezogener Daten ist technisch nicht möglich, da bereits eine Reduzierung auf das technisch notwendige Maß durch das TCP/IP-Protokoll erfolgt. Eine Übermittlung von personenbezogenen Daten an Dritte findet nicht durch etracker Analytics selbst, sondern gegebenenfalls nur durch die eigenständig zu prüfenden Drittanbieter-Tags statt. In diesem Zusammenhang ist festzuhalten, dass etracker nicht „Dritter im Sinne von Art. 4 Nr. 10 DSGVO ist, sondern als Auftragsverarbeiter ausschließlich nach Weisung des Website-Betreibers agiert und keinen eigenen Verarbeitungszwecke verfolgt. Im Hinblick auf den verfolgten Zweck gleich effektive und in ihren Auswirkungen für die betroffene Person mildere Mittel der Verarbeitung sind daher nicht zu erkennen.

3. Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

a) Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit

Mit etracker Analytics werden die Nutzerdaten ausschließlich im Auftrag für den Diensteanbieter (Website-Betreiber) verarbeitet und nicht auch zu eigenen Zwecken des Verarbeiters (etracker) mit dem Ziel der Erstellung personenbezogener Werbung, ohne Verknüpfung mit aus anderen Zusammenhängen gewonnener personenbezogener Daten und ohne Weitergabe an Dritte. Es werden auch keine granularen Sitzungsaufzeichnungen angefertigt und abspielbar gemacht (sog. Session Recordings). Dies gilt analog für das etracker Tag Manager-Modul, mit dem ausschließlich die durch den Auftraggeber konfigurierten Tags nach den eingestellten Bedingungen und mit den eingestellten Variablen ausgespielt werden. Dass Website-Betreiber Komfort-Funktionen nutzen, um Prozesse zur Installation und Konfiguration von Website-Funktionen zu optimieren, sollte im Rahmen der vernünftigen Erwartungen der Nutzer liegen.  

Bei richtiger Umsetzung erfolgt eine weitergehende Verarbeitung personenbezogener Daten ausschließlich nach transparent eingeholter, freiwilliger und informierter Zustimmung der betroffenen Person. Der Tag Manager leitet daher eine weitergehende Verarbeitung nur ein, soweit diese rechtmäßig umgesetzt wird.

b) Interventionsmöglichkeiten der betroffenen Personen (Transparenz & Widerspruchsmöglichkeit)

Das gesetzliche normierte Widerspruchsrecht des Art. 21 Abs. 2 DSGVO wird effektiv gewährleistet. Es ist jederzeit für einen Besucher einer Website, auf der die Technologie von etracker eingesetzt wird, möglich, der Verarbeitung seiner Daten zu widersprechen. Die dazugehörigen Transparenzverpflichtungen können in jeder Hinsicht nach den Anforderungen der Art. 13 und 14 DSGVO eingehalten werden. Hierfür stellt etracker Mustertexte zur Verfügung.

c) Verkettung von Daten

Die Datenverarbeitung zu Statistikzwecken erfolgt bei etracker ausschließlich und ganz bewusst auf pseudonymisierter Basis (je nach rechtlicher Betrachtungsweise sogar anonymisierter1 Basis). Die Pseudonymisierung ist ein wirksames Mittel, den Eingriff in die Rechte des Betroffenen zu reduzieren. Die Kürzung der IP-Adresse erfolgt automatisiert zum frühestmöglichen Zeitpunkt in der Verarbeitung und benötigt keinerlei Anpassung der Einstellungen oder des Tracking Codes. Damit werden die Anforderungen des Art. 5 DSGVO und dessen technisch-organisatorischer Implementierung nach Art. 25 DSGVO, insbesondere Art. 25 Abs. 2 DSGVO (privacy by default) erfüllt. „Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (Art. 4 Nr. 5 DSGVO) werden im Web-Analyse-System standardmäßig nicht gespeichert. Auch sind Identifikatoren nicht vorgesehen, die Rückschlüsse auf die Person des Besuchers ermöglichen würden.

Standardmäßig erfolgt keine Verknüpfung und Anreicherungen von Datensätzen. Die Übergabe geräteübergreifender Identifikatoren ist optional und Bedarf einer gesonderten Risikoüberprüfung. Das etracker Tag Manager-Modul enthält keine Funktionen, um Daten von einem Tag-Anbieter zum anderen zu transferieren, sondern ausschließlich solche, um Website-Informationen zur Laufzeit an entsprechende jeweils eigenständige Tags zu übergeben.

d) Beteiligte Akteure

Als Auftragsverarbeiter operiert etracker als an die Weisungen des Verantwortlichen gebundenes Unternehmen aus einem Firmensitz und Rechenzentrum in Hamburg (EU) heraus. Insbesondere bestehen keinerlei gesellschaftsrechtliche Beziehungen zu Unternehmen außerhalb der EU beziehungsweise in unsicheren Drittländern, wodurch die Wahrung der Rechte von Betroffenen erschwert würde, noch stellt die etracker selbst oder in Kombination mit dritten Produkte bereit oder führt Datenverarbeitungen aus, die eine Weiterverwendung mittels des Tag Managers verarbeiteter Daten zu anderen (Profiling-)Zwecken nach sich ziehen noch überhaupt nur für etracker sinnvoll machen würden. Darüber hinaus nutzt etracker die mittels des Tech Managers verarbeiteten Informationen insbesondere auch nicht für andere eigene oder fremde Zwecke, insbesondere die Weiterentwicklung oder Optimierung der eigenen Dienste2.

e) Dauer der Beobachtung

Die Dauer der Beobachtung mittels der etracker-eigenen Identifikatoren ist auf maximal einen Tag begrenzt, da alle Besuchskennungen automatisch mit dem jeweiligen Datum verknüpft werden und somit an Folgetagen eine Wiedererkennung von Besuchern im Standard-Modus ausgeschlossen ist.

f) Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)

Selbst bei Einsatz auf Websites, die sich an besonders schutzwürdige Personen wie Kinder richten oder Inhalte zu sensiblen Themen bereitstellen, führt dies nicht dazu, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen höher zu gewichten werden. Weder erfolgt Profiling oder noch die Gefahr der Ausnutzung besonderer Anfälligkeiten durch die Web-Analyse und das Tag Management selbst.

g) Datenkategorien

Der Eingriff in die Rechte der Betroffenen ist in Gegenstand und Schwere für die betroffenen Personen verhältnismäßig beschränkt. Anders als dies beispielsweise bei einer Kreditbewertung durch eine Bank der Fall wäre, geht es bei dem hier vorliegenden Einsatz einzig um die Analysen pseudonymer, wenn nicht gar anonymer Daten im Regelfall in aggregierter Form für einen verbesserten Webauftritt.

h) Umfang der Datenverarbeitung

Es kann festgehalten werden, dass es nicht zu einer Verarbeitung besonders umfangreicher Datensätze oder gar sensitiver Daten kommt. Die Eingriffstiefe ist also gering.

Im Cookie-losen Modus können alle Interaktionen auf der Website in gleicher Form wie beim Cookie-basierten Verfahren erfasst werden. Es werden durch den Tag Manager jedoch auch bei Einsatz von Cookies keine Nutzerprofile gebildet und Besucher im Zeitablauf auch nicht „wiedererkannt“ (eine Identifikation oder Re-Identifikation wird in beiden Verfahren bestimmungsgemäß vermieden, da die IP-Adresse standardmäßig zum frühestmöglichen Zeitpunkt gekürzt und damit anonymisiert wird).

Im Cookie-losen Standard-Modus werden folgende Daten erfasst und für die Analyse bereitgestellt:

  • Informationen zum verwendeten Endgerät, Betriebssystem und Browser;
  • Geo-Informationen bis maximal Stadtebene;
  • die aufgerufene URL mit dazugehörigem Seitentitel und optionale Informationen zum Seiteninhalt;
  • die Website, von der auf die aufgerufene Einzelseite gelangt wurde (Referrer-Site inklusive Zuordnung zu Suchmaschinen und Social Media Sites sowie Auslesen von Kampagnen-Parametern);
  • die Folgeseiten, die von der aufgerufenen Webseite aus innerhalb einer einzelnen Website in der Session aufgerufen wurden;
  • die Verweildauer auf der Webseite;
  • weitere Interaktionen (Klicks) auf der Webseite wie eingegebene Suchbegriffe, heruntergeladene Dateien, externe Linkaufrufe, angesehene Videos, Anmeldungen, Anfragen, bestellte Artikel usw.

Nicht möglich ist das Ausweisen von eindeutigen Besucherwerten, die Häufigkeitsverteilung von Sessions pro Besucher im Zeitraum sowie die Verkettung von Besuchen zu Customer Journeys beziehungsweise Konversionspfaden, die sich über mehrere Besuche über längere Zeiträume als 24 Stunden oder über mehrere Endgeräte hinweg ergeben.

Fazit

Nach diesseitiger Einschätzung ist der Einsatz des etracker Tag Managers bei bestimmungsgemäßer und richtiger Konfiguration durch den Verantwortlichen

  • nicht gem. § 25 TTDSG einwilligungspflichtig
  • zur Wahrung berechtigter Interessen des Betreibers der Website, in der Form eines sicheren, rechtskonformen, performanten Tag Managements im Sinne der Rechtsgrundlage des Art. 6 Abs.1 lit. f DSGVO erforderlich,
  • wobei keine berechtigten Interessen der betroffenen Personen am Unterbleiben der Verarbeitung den berechtigten Interessen des Verantwortlichen überwiegen, insbesondere keine unbefugte Profilbildung, oder zu befürchtende Zweckentfremdung der verarbeiteten personenbezogenen Daten.

Wir halten es vor diesem Hintergrund für vertretbar, dass die dargestellte Datenverarbeitung im Standard-Modus auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. mit Einsatz von Cookies auf Basis von Art. 6 Abs. 1 lit. a DSGVO gerechtfertigt werden kann, unter der Voraussetzung, dass Besucher im Rahmen ihrer Datenschutzerklärungen auf den Einsatz dieser Technologie von etracker hingewiesen werden und ihnen die Opt-out-Möglichkeit der Datenverarbeitung gegeben wird. Ein Auftragsverarbeitungsvertrag ist verpflichtend abzuschließen. Diesen bietet etracker unter https://www.etracker.com/av-vertrag/ an. Der Vertrag kann mit Beauftragung oder Anmeldung elektronisch abgeschlossen werden.

Rechtlicher Hinweis: Die vorstehende Interessenabwägung erfolgt durch etracker nach bestem Wissen und Gewissen und ist in ihren Wertungen vom betrieblichen Datenschutzbeauftragten des Auftragsverarbeiters geprüft und bestätigt worden. Sie erhebt nicht den Anspruch auf Gültigkeit in jedem Einzelfall, generelle Richtigkeit in gerichtlichen und behördlichen Verfahren und ersetzt keine Rechtsberatung.

1 EuG, Urt. V. 26.04.2023, AZ T‑557/20, TZ 104
2 Vgl. DSK, OH Anbieter von Telemedien Stand Dezember 2022, TZ 108/108