Jeder Betreiber einer Webseite ist daran interessiert, Statistiken über seine Besucher zu erlangen und sei es nur, weil man sich als Blogger freut, wenn die eigenen Inhalte gelesen werden. Für kommerzielle Anbieter ist es aber natürlich auch relevant zu wissen, welche und wie viele Besucher meine Inhalte konsumieren, von welchen Quellen diese Besucher kommen (abgesehen von den wahrscheinlich 90 % der Google-Suche) und auch wie diese Besucher sich auf der eigenen Seite bewegen.
Aber ist ein Nutzertracking überhaupt zulässig? Und was genau darf ich ohne Zustimmung der Nutzer speichern?
Datenverarbeitungen und das Setzen von Cookies ist nur dann nach Art. 6 Abs. 1 Buchst. f) DSGVO ohne gesonderte Einwilligung des Nutzers zulässig, wenn diese für die Funktionalität der Website notwendig sind, wenn also ein berechtigtes Interesse des Websitebetreibers vorliegt.
Unzulässig ist ohne ausdrückliche Zustimmung des Nutzers, und eine solche wird wohl in heutiger Zeit kaum sinnvoll als Webseitenbetreiber zu erlangen sein, die Nutzungsdaten mit weiteren Daten über den einzelnen Nutzer zusammenzuführen oder die Zuordnung von Merkmalen oder Interessen zum Zwecke einer im Rahmen einer Profilbildung. Die Daten dürfen nur für die statistische Analyse verarbeitet werden und dürften von einem Drittanbieter nicht für eigene Zwecke verwendet werden.
In jeden Fall muss den eigenen Nutzern eine Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens zur Verfügung, um persönliche Daten zu löschen.
Darf ich also nicht persönliche Daten speichern? Das ja. Ein Zähler auf der Webseite, der nur Seitenaufrufe zählt, ist unproblematisch. Es ist aber gleichfalls auch ziemlich sinnlos, wenn z.B. nicht zwischen Besucher und Seitenaufrufe unterschieden werden kann.
Darf ich also nicht persönliche Daten speichern? Im Prinzip ja. Die Frage ist nur, ob es solche Daten überhaupt gibt. Die Speicherung z.B. der von IP-Adressen ohne Einwilligung der Nutzer im Rahmen eines Besucherzählers oder von Analysetools ist sehr umstritten, denn die meisten Datenschützer sehen IP-Adressen als personenbezogene Daten an, woraus theoretisch, dass eine Speicherung und Verarbeitung nur mit vorheriger und ausdrücklicher Zustimmung des Nutzers möglich ist. Als normaler Besucher wird eine ausdrückliche Zustimmung kaum vorliegen. Rechtlich sicherer sind dabei wohl schon die reine Speicherung von Hashes, die keine Rückschlüsse auf eine IP-Adresse ermöglichen, aber gleiche Besucher unterscheiden können. Rein theoretisch können man aber auch diese als personenbezogene Daten ansehen.
Das Setzen von Cookies im Rahmen von Analyse-Tools ist ziemlich sicher nicht ohne Zustimmung der Nutzer zulässig. Diese dazu diesen Bericht. Das gilt aber auch für alternative Möglichkeiten, Geräte oder sonstige Computer zu erkennen.
Im Positionspapier der Datenschutzkommission vom letzten Jahr wurde diese recht deutlich:
Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.
Sie konkretisiert dabei die europarechtliche Situation
Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Im überwiegenden Teil der EU-Mitgliedsstaaten wurde die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt oder die Aufsichtsbehörden fordern schon heute ein „Opt-in“ entsprechend Artikel 5 Absatz 3 der Richtlinie.
Es ist anzunehmen, dass sich zu diesen Fragen in den nächsten Monaten einige weitere Antworten herauskristallisieren werden. Bis dahin muss man wohl selber entscheiden, ob man ein Tracking komplett unterlässt oder es versucht wenigstens so wenig personenbezogen wie möglich zu gestalten und damit zumindest versucht dem Datenschutzgedanken nachzukommen. Einzig nicht zu empfehlen ist das vollständige Ignorieren jeglicher Datenschutzanforderungen, wie z.B. der Einsatz von Google Analytics ohne IP-Anonymisierung und sonstigen empfohlenen Einstellungen, ohne dass hierfür ein Nutzer ausdrücklich zustimmt.
Natürlich kann ein Nutzer ein Tracking auch jederzeit zustimmen, um eine bestimmte Funktion oder beispielsweise eine Mobileapp zu nutzen. Auch für eingeloggte Nutzer in Onlineshops oder auf Browserspielen sind bestimmte Situationen anders zu sehen. Dazu aber mehr in einem weiteren Artikel in den nächsten Tagen.