Datenschutz-Kontrollen: Aus den Fehlern beim Tracking lernen

Schwerpunkte der Mängel bei Nutzung von Tracking-Diensten

Was aber ist der Aufsichtsbehörde insbesondere aufgefallen? Webdienste wurden unmittelbar bei Aufruf der Seite aktiviert, mit der Folge, dass Nutzende getrackt werden, ohne die dafür gesetzlich geforderte Einwilligung erteilt zu haben.

Nun sind die betreffenden Webdienste nicht etwa ausschließlich Google Analytics, der bekannteste Dienst in diesem Bereich. Weitere Webdienste, die sofort aktiv waren bei dem Besuch der Website und ein Tracking ermöglichten, waren Google Maps, Google Ads, YouTube, Facebook, Vimeo, Microsoft Advertising, Pinterest und LinkedIn, so die Aufsicht.

Bei der Prüfaktion ging es insbesondere um eine Sensibilisierung. So erklärte die Aufsicht aus Hamburg: „Websites binden oftmals die Dienste externer Dienstleister ein, um statistische Analysen zu erhalten, Werbung zu schalten oder den Unternehmensstandort auf einer Landkarte anzeigen zu lassen. Durch solche Drittdienste kann das Surfverhalten der Nutzenden getrackt werden. Deshalb dürfen sie nur nach Einwilligung der Seitenbesucher eingesetzt werden“.

Aber: Oft sei es Betreibern von Websites weder bewusst, welche Drittdienste in ihren Angeboten eingebunden sind, noch welche datenschutzrechtlichen Anforderungen bei deren Einsatz erfüllt werden müssten. Dies habe sich in zahlreichen Beschwerdeverfahren gezeigt.

Drittdienste, die das Nutzungsverhalten beim Aufruf der Website tracken, sind demnach zum Beispiel Kartendienste, Social Plugins und Analytics-Dienste. Auch Unternehmen, die nicht geprüft wurden, sollten sich also fragen, ob sie entsprechende Webdienste nutzen und die für ein Tracking notwendige Einwilligung der betroffenen Besucher der Website rechtskonform einholen.

Was rechtlich beim Tracking gefordert ist

Die Hamburger Datenschutzaufsicht hat auch erklärt, welche rechtlichen Hintergründe zu beachten sind, es geht dabei nicht nur um die Datenschutz-Grundverordnung (DSGVO), sondern auch um das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz regelt, was mit dem Setzen und Auslesen von Informationen zu tun hat: Beim Tracking werden im Gerät der Nutzenden (Computer, Tablet oder Smartphone) Daten gespeichert oder abgerufen. Das ist nur erlaubt, wenn die Nutzenden vorher dazu ihre Einwilligung erteilt haben. Wenn sie vorab nicht über das Tracking informiert wurden und die Datenspeicherung oder der Datenabruf stillschweigend geschieht, ist dies rechtswidrig. Ausnahmen von dieser Regelung gibt es nur für technisch notwendige Vorgänge, so die Aufsichtsbehörde, beispielsweise beim Online-Shopping, wenn man als Nutzer etwas in den Warenkorb legt, oder beim Einloggen in den eigenen Account. Betreiber einer Website sollten sich fragen: Könnten die Grundfunktionen der Website auch genutzt werden, wenn der Dienst ausgeschaltet wird? Wenn das der Fall ist, ist der Dienst nicht erforderlich.

Die Datenschutzgrundverordnung (DSGVO) regelt die beim Tracking vorgenommene Verarbeitung personenbezogener Daten, wie die Aufsicht erläutert. Tracking-Technologien verarbeiten personenbezogene Daten und benötigen dafür eine rechtliche Erlaubnis. Dies gilt bereits für die IP-Adresse, mit der sich der Internetanschluss identifizieren lässt. Durch zusätzliche Informationen, wie Daten des Internetproviders, kann die IP-Adresse oftmals einer bestimmten Person zugeordnet werden. Auch Cookie-IDs dienen dazu, Personen zu identifizieren und wiederzuerkennen. Die ist aber nur mit Erlaubnis der Nutzer gestattet, die selbst entscheiden können müssen, ob ihre Daten für Nutzungsprofile verwendet werden dürfen.

Zuerst sollten sich Unternehmen also bewusst machen, ob sie nicht ungewollt oder unbedacht Tracking-Verfahren einsetzen, und dann im Fall des Falles die genannten Rechtsgrundlagen prüfen.