etracker Analytics – Einwilligungs-frei in Einklang mit TTDSG und DSGVO

Die aktuellen Anforderungen der Aufsichtsbehörden

Um Web-Analyse-Dienste nach der aktuellen Orientierungshilfe der deutschen Aufsichtsbehörden für Anbieter:innen von Telemedien rechtskonform ohne Einwilligungspflicht einsetzen zu können, ist gemäß TTDSG und DSGVO Voraussetzung, ohne analytische Cookies auszukommen und eine datenschutzfreundliche Verarbeitung unter dem überwiegenden berechtigten Interesse des Website-Betreibers zu gewährleisten.

1. Einwilligungs-frei nach TTDSG (Cookie-los)

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) enthält Regelungen zum Zugriff auf Endeinrichtungen des Nutzers. Im Standard setzt etracker Analytics ausschließlich funktionale bzw. unbedingt erforderliche Cookies ein. Ein aktiver Zugriff auf das Endgerät des Nutzers findet nicht statt. Die bei etracker zugrundegelegte Verarbeitung von Browser- und Header-Informationen ist nach Aussage der Aufsichtsbehörden Einwilligungs-frei:

 „Ein Zugriff setzt eine gezielte und nicht durch die Endnutzer:innen veranlasste Übermittlung der Browser-Informationen voraus. Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als ‚Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind‘, zu werten.“

(Siehe https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf, Seite 8)

Für das Session Tracking speichert etracker Analytics keine Daten im Endgerät der Nutzer, sondern ordnet Interaktionen rein serverseitig über sicher gehashte Session-Tokens den jeweiligen Besuchen zu:

Beispiele für Informationen, die bei Aufruf eines Telemediendienstes übermittelt werden sind:

  • die öffentliche IP-Adresse der Endeinrichtung,
  • die Adresse der aufgerufenen Website (URL),
  • der User-Agent-String mit Browser- und
    Betriebssystem-Version und
  • die eingestellte Sprache.

Folgende technisch erforderlichen Zugriffe auf die Endeinrichtungen können im Sinne von § 25 Abs. 2 Nr. 2 TTDSG erfolgen:

(a) Sollten Nutzer der Datenverarbeitung zu Analyse-Zwecken über den Datenschutzhinweis auf der Website widersprechen, wird der Widerspruch in einem Cookie (_et_oi_v2) gespeichert. Sollte dieses Cookie gesetzt sein und den Inhalt „NO“ haben, werden für diesen Nutzer keine Daten erfasst.

(b) Der Website-Betreiber kann eine Einwilligung zum Setzen von Cookies zu Analyse-Zwecken jederzeit per Opt-In einholen. Hierfür stellt etracker ein Consent-Banner sowie Funktionsaufrufe bereit, die mit externen Consent Management Plattformen verbunden werden können. Entsprechende Anleitungen gibt es unter https://www.etracker.com/docs/integration-setup/consent-management-tools/. Bei Einwilligung wird ein Cookie gesetzt, um anzuzeigen, dass etracker Cookies setzen darf. Bei Widerruf der Einwilligung wird das Cookie gelöscht.

(c) Die Scrolltiefe-Messungen für den Scrollmap-Report werden temporär im Session Storage zwischengespeichert, damit nicht jede Scroll-Bewegung zu einer Datenübertragung führt, sondern die Scrolltiefe-Daten „gebündelt“ alle paar Sekunden an etracker gesendet werden. Bei der Nutzung des Session Storage für die Scrolltiefen-Messung handelt es sich um ein rein technisch bedingtes Verzögern der Übermittlung, um das Nutzererlebnis durch längere Ladezeiten nicht negativ zu beeinträchtigen. Die Scrolltiefen-Messung kann optional auch deaktiviert bzw. so konfiguriert werden, dass ein Scroll Tracking nur nach Einwilligung erfolgt.

Fazit

Somit erfüllt etracker Analytics die Kriterien der Einwilligungsfreiheit nach TTDSG.

2. Einwilligungs-frei nach DSGVO (überwiegendes berechtigtes Interesse)

Die Datenschutzgrundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Das Reporting in etracker Analytics erfolgt auf Basis anonymisierter und hauptsächlich aggregierter Daten. Allerdings stellt bereits die Anonymisierung einen Verarbeitungsvorgang gemäß DSGVO dar, also auch die standardmäßig automatische und frühestmögliche Kürzung der IP-Adresse im Arbeitsspeicher des Datenannahme-Servers.

Für diese (Anonymisierungs-)Verarbeitung kommen zwei Rechtsgrundlagen in Frage: die Einwilligung und das überwiegende berechtigte Interesse. Die aktuelle Orientierungshilfe bestätigt, dass die Rechtsgrundlage der Einwilligung datenschutzrechtlich nicht dem berechtigten Interesse vorzuziehen, also nicht datenschutzfreundlicher ist:

„Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 DS-GVO erfüllt ist. Sämtliche der in dieser Norm genannten Rechtsgrundlagen stehen gleichrangig und gleichwertig nebeneinander. Für die Verarbeitung personenbezogener Daten durch nichtöffentliche Verantwortliche bei der Erbringung von Telemediendiensten kommt es grundsätzlich in Betracht, sich auf eine Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO, auf vertragliche Verpflichtungen nach Art. 6 Abs. 1 lit. b) DS-GVO oder auf überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f) DS-GVO zu berufen.“

Die Rechtsgrundlage des überwiegenden berechtigten Interesses stellt hohe Anforderungen an die Verarbeitung im Hinblick auf die Datenschutzfreundlichkeit und erfordert eine Interessenabwägung unter den Kriterien, die bereits 2019 von der Datenschutzkonferenz genannt wurden. Diese Kriterien waren Grundlage für die unabhängige Prüfung von etracker Analytics durch ePrivacy Consult und sind in dieser Muster-Interessenabwägung festgehalten.

Das Ergebnis des Audits lautet:

 „Wir halten es aufgrund unserer eingehenden Prüfung für berechtigt, die Datenverarbeitung bei etracker Analytics und etracker Optimiser auch im Hinblick auf das DSK-Papier aus dem Dezember 2021 und das EuGH-Urteil vom 01.10.2019 durch die Rechtsgrundlage des Art. 6 Abs.1 lit.f) DSGVO (berechtigtes Interesse) zu begründen. Im Cookie-less Modus (Standardmodus) ist ein Einsatz von etracker Analytics gemäß DSGVO und TTDSG ohne jedwede Einwilligungspflicht rechtmäßig.“

Das Ergebnis des Audits kann hier abgerufen werden.

Auch die französische Aufsichtsbehörde CNIL bestätigt, dass etracker Analytics von der Einwilligungspflicht befreit eingesetzt werden kann: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience

 ePrivacy Consult bescheinigt etracker Analytics unter anderem:

Abschluss AV-Vertrag mit der Account-Anmeldung, siehe https://www.etracker.com/av-vertrag/.
Die IP-Adresse wird frühestmöglich und automatisch gekürzt (im Server-Cache) und somit nur anonymisiert persistiert.
Das Reporting erfolgt mit anonymisierten und fast ausschließlich aggregierten Daten ohne Identifikationsmöglichkeit des Nutzers.
Session Identifier zur Verknüpfung von einzelnen Interaktionen zu Besuchen sind auf maximal 24 Stunden begrenzt, da ein Tages-Zeitstempel mit in den automatisch Server-seitig generierten Hashwert aufgenommen wird. Damit ist eine auf Dauer ausgerichtete Wiedererkennung ausgeschlossen, sofern keine Aktivierung von Cookies nach Einwilligung erfolgt. Ein Browser-Fingerprinting gemäß OH Telemedien bzw. Art. 29-Datenschutzgruppe findet somit nicht statt.
Die Daten werden ausschließlich im Auftrag verarbeitet und nicht zu eigenen Zwecken von etracker genutzt oder mit Daten anderer Kunden von etracker verknüpft.
Es erfolgt keine Weitergabe personenbezogener Daten an Dritte (Google, Facebook & Co.).
Es werden keine granularen Mausbewegungs-Aufzeichnungen durchgeführt.
Für die Datenschutzerklärung wird eine Widerspruchsfunktion bereitgestellt.

Kommt ein Website-Betreiber aufgrund seiner individuellen Umstände, wie der möglichen Anreicherung von Web-Analyse-Daten oder deren Weiterverarbeitung in Drittsystemen, zu dem Schluss, dass seine berechtigten Interessen nicht überwiegen, kann die Option des Tracking Opt-Ins genutzt werden.

Fazit

Bei Einsatz von etracker Analytics werden nur Verarbeitungsvorgänge, die auf Grundlage des überwiegenden berechtigten Interesses des Website-Betreibers gerechtfertigt sind, durchgeführt. Eine Einwilligungspflicht nach DSGVO besteht im Regelfall nicht.  

Das komplette Paper mit Informationen zum Cookie-less Session Tracking gibt es auch hier zum Download.


Der Artikel stellt keine Rechtsberatung dar und kann keine individuelle Rechtsberatung ersetzen. Wir arbeiten eng mit auf Datenschutz spezialisierten Fachanwälten zusammen und stellen gerne den direkten Kontakt für individuelle Beratungen her.

Nach oben scrollen