Einwilligungs-frei

/ Tipp

Warum etracker Analytics rechtskonform alle Besuchs- und Conversion-Daten ohne Einwilligung erfassen kann

Rechtlicher Hintergrund

Für die Frage der Rechtskonformität der Web-Analyse bzw. des Trackings auf Webseiten sind zwei Rechtsvorschriften maßgebend:

  1. Die Datenschutzgrundverordnung (DSGVO), die im Hinblick auf die Verarbeitung personenbezogener Daten regelt, ob eine Einwilligung zum Tracking erforderlich ist.
  2. Die E-Privacy-Richtlinie 2002/58/EG (Cookie-Richtlinie), die sich – ganz unabhängig von einem möglichen Personenbezug – mit dem Zugriff auf das Endgerät des Nutzers beschäftigt, also mit der Einwilligung zu Cookies und ähnlichen Technologien.

Tracking-Einwilligung

Gemäß der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ist eine Einwilligung zum Tracking in zwei Fällen notwendig:

  1. Wenn für den Zweck ein milderes, gleich effektives Mittel zur Verfügung steht.

    Explizit heißt es: „Setzt der Website-Betreiber hierfür ein Analyse-Tool ein, welches Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt (z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen), ist dies nicht mehr erforderlich.“

  2. Wenn die Verarbeitungen nicht den vernünftigen Erwartungen der Nutzer entsprechen.

    Definitiv einwilligungspflichtig sind laut Aufsichtsbehörden:
    1. Mousetracking bzw. Techniken, die Tastatur-, Maus- und Wischbewegungen auf Touchscreens erfassen.
    2. Zählpixel von Werbenetzwerken.
    3. Die Einbindung Dritter als Dienstleister über Analysetools, die eine Verknüpfung mit eigenen Daten vornehmen oder Daten von verschiedenen Kunden, Websites und Geräten zusammenführen.

Im Umkehrschluss ist ein Tracking Einwilligungs-frei möglich, wenn es datenschutzfreundlich (in mildester Form) im Rahmen der vernünftigen Erwartungen der Nutzer erfolgt.

Cookie-Einwilligung

Gemäß Art. 5 Abs. 3 der E-Privacy_Richtlinie 2002/58/EG (Cookie-Richtlinie) ist eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die nicht technisch unbedingt erforderlich sind.

In der Richtlinie heißt es: „Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.“

Im BGH-Urteil vom 28.05.2020, Az. I ZR 7/16, „Cookie-Einwilligung II“ wird folglich noch einmal klargestellt, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Unter den Sammelbegriff Cookies fallen gemäß Stellungnahme 9/2014 zur Anwendung der Richtlinie 2002/58/EG auf die Nutzung des virtuellen Fingerabdrucks auch ähnliche Technologien, die es ermöglichen, im Zeitablauf einen Nutzer, einen Benutzeragenten oder Geräte herauszugreifen, zu verknüpfen oder herzuleiten. Einwilligungspflichtig sind nach RFC6973 alle persistenten Identifikatoren und die Verarbeitung von Informationselementen, welche die Identifizierung einer Person ermöglichen.

Handelt es sich hingegen um ein rein Besuchs-bezogenes Tracking ohne Einsatz von Cookies oder anderen Technologien zur Wiedererkennung von Besuchern, so ist keine vorherige Einwilligung der Nutzer notwendig.

Die Anforderungen an die Einwilligungs-Freiheit

Tracking und Web-Analyse ohne Einwilligungs-pflicht ist möglich. Aus den spezifischen Bedingungen für die Einwilligungspflicht – die ja gerade keine pauschale Forderung nach Einwilligungen formulieren – lassen sich folgende Anforderungen an die Einwilligungs-freie Web-Analyse ableiten:

  1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV).
  2. Es werden keine Cookies oder ähnliche Techniken zur Profilbildung eingesetzt.
  3. Die Verarbeitung von personenbezogenen Daten erfolgt ausschließlich in Europa.
  4. AV nutzt die gewonnenen Daten nicht für eigene Zwecke.
  5. AV verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  6. Eine Opt-Out- bzw. Widerrufs-Möglichkeit und Informationen zum Tracking werden in der Datenschutzerklärung angeboten.
  7. Die IP-Anonymisierung wird sichergestellt (ohne zusätzliche Konfiguration, „Privacy by Default“).
  8. Do-Not-Track-Einstellungen im Browser werden automatisch als Opt-Out/Widerruf berücksichtigt.
  9. Der Website-Betreiber kann die Einhaltung der Punkte 1-8 nachweisen.

Keine Einwilligung für etracker Analytics erforderlich

etracker erfüllt alle genannten Punkte. Privacy by Design und Privacy by default sind ebenso selbstverständlich wie ein Vertrag zur Auftragsverarbeitung und die Verarbeitung der Daten in der EU. Auch erhebt etracker keinen Anspruch auf die Daten, nutzt sie nicht für eigene Zwecke und stellt sie auch nicht Dritten zur Verfügung. Alle anderen aufsichtsrechtlichen Anforderungen an die Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO werden ebenfalls erfüllt, so dass für das Tracking mit etracker Analytics keine Einwilligung eingeholt werden muss.

Im Standard-Modus von etracker Analytics werden keine Cookies gesetzt. Es werden lediglich Webseiten-Daten von Webservern genutzt sowie bestimmte Informationen, die der Webbrowser zum Abruf von Webseiten an den Webserver überträgt. Diese Informationen ermöglichen es, einzelne Seitenaufrufe und Interaktionen zu zusammenhängenden Sessions zu verbinden. Durch die Verschlüsselung zusammen mit einem Zeitstempel wird dabei ausgeschlossen, dass Nutzerprofile gebildet bzw. verknüpft werden. 

Aufgrund der wenigen Informationselemente sowie der expliziten zeitlichen Limitierung ist es ausgeschlossen, dass eine Einzelperson verknüpft und somit identifiziert oder identifizierbar gemacht werden kann. Weiterhin werden die Informationen nicht Dritten zugänglich gemacht, das eingesetzte Hash-Verfahren ebenso wie die Einzel-Informationen nicht offengelegt. Auch dient etracker Analytics nicht dem „Zweck der Verarbeitung für die Bereitstellung personalisierter Inhalte und Werbung, d. h. zur direkten Kommunikation mit einer bestimmten Person“, sondern der aggregierten statistischen Auswertung der Website-Nutzung.

Optional können bei Einwilligung etracker Cookies aktiviert werden. Hierfür stehen passende Funktionsaufrufe und Anleitungen für die Einbindung in die gängigen Consent Management-Lösungen zur Verfügung.

Unabhängig geprüft und ausgezeichnet

Um unseren Kunden die Erfüllung ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO zu ermöglichen, haben wir eine unabhängige Prüfung und Zertifizierung durch die ePrivacy GmbH durchlaufen. Als Ergebnis wurden die Produkte etracker Analytics, etracker Optimiser und Signalize mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet. Das Prüfergebnis bescheinigt, dass für etracker keine Einwilligung im Standardmodus eingeholt werden muss – weder für das Tracking noch für Cookies:  

„Wir halten es aufgrund unserer eingehenden Prüfung für vertretbar, die Datenverarbeitung bei etracker Analytics und etracker Optimiser […] durch die Rechtsgrundlage des Art. 6 Abs.1 lit.f) DSGVO (berechtigtes Interesse) zu rechtfertigen. Im Cookie-less Modus (Standardmodus) ist ein Einsatz von etracker Analytics ohne jedwede Einwilligungspflicht rechtmäßig.“

Fazit

EuGH-, BGH- & DSGVO-konform mit und ohne Cookies: etracker Analytics ermöglicht Consent-unabhängige Web-Analyse ohne Datenverlust.

Der Artikel kann keine individuelle Rechtsberatung ersetzen, sondern stellt eine fachliche Auseinandersetzung und Zusammenfassung des Themas dar.

Nach oben scrollen