Das Wichtigste in Kürze
- Nutzertracking und Datenverarbeitung sind nur unter strengen Voraussetzungen der DSGVO und ePrivacy-Richtlinie zulässig.
- Eine explizite, informierte Einwilligung (Opt-in) ist für die meisten Tracking-Mechanismen und die Profilbildung unerlässlich.
- IP-Adressen gelten in der Regel als personenbezogene Daten und erfordern eine Zustimmung zur Speicherung.
- Webseitenbetreiber müssen eine transparente Widerspruchsmöglichkeit (Opt-Out) für Nutzer bereitstellen.
- Um rechtliche Risiken zu minimieren, sollten Webseitenbetreiber Tracking entweder vermeiden oder auf ein Minimum an nicht-personenbezogenen Daten reduzieren.
Nutzertracking und Datenschutz auf Webseiten: Was ist rechtlich zulässig?
Jeder Webseitenbetreiber möchte gerne Statistiken über seine Besucher erhalten. Sei es, um sich als Blogger über gelesene Inhalte zu freuen oder als kommerzieller Anbieter die Besucherströme zu analysieren. Es ist entscheidend zu wissen, welche und wie viele Nutzer Inhalte konsumieren, woher sie kommen und wie sie sich auf der Seite bewegen. Dies betrifft neben der dominierenden Google-Suche auch andere Quellen.
Doch ist Nutzertracking überhaupt zulässig? Und welche Daten dürfen ohne explizite Zustimmung der Nutzer gespeichert werden?
Rechtliche Grundlagen des Nutzertrackings
Berechtigtes Interesse und Notwendigkeit
Datenverarbeitungen und das Setzen von Cookies sind gemäß Art. 6 Abs. 1 Buchst. f) DSGVO ohne gesonderte Einwilligung des Nutzers nur dann zulässig, wenn sie für die Funktionalität der Webseite notwendig sind. In solchen Fällen liegt ein berechtigtes Interesse des Webseitenbetreibers vor. Dies muss jedoch sorgfältig abgewogen werden.
Zusammenführung von Daten und Profilbildung
Ohne ausdrückliche Zustimmung des Nutzers ist es unzulässig:
- Nutzungsdaten mit weiteren persönlichen Daten zusammenzuführen
- Merkmale und Interessen zur Profilbildung zuzuordnen
Widerspruchsmöglichkeit (Opt-Out)
In jedem Fall muss Nutzern eine einfache Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens zur Verfügung gestellt werden. Dies ermöglicht es ihnen, der Verarbeitung ihrer persönlichen Daten zu widersprechen oder diese löschen zu lassen. Der betriebliche Datenschutz fordert hier transparente Prozesse.
Die Herausforderung bei der Datenspeicherung
Nicht-personenbezogene Daten?
Dürfen nicht-personenbezogene Daten gespeichert werden? Ja, grundsätzlich ist das möglich. Ein einfacher Zähler, der nur Seitenaufrufe erfasst, ist unproblematisch. Dies ist jedoch oft nicht aussagekräftig, da nicht zwischen verschiedenen Besuchern und einzelnen Seitenaufrufen unterschieden werden kann.
IP-Adressen und Hashes
Die Speicherung von IP-Adressen ohne Einwilligung der Nutzer im Rahmen von Besucherzählern oder Analysetools ist hingegen sehr umstritten. Die meisten Datenschützer betrachten IP-Adressen als personenbezogene Daten. Daraus folgt theoretisch, dass eine Speicherung und Verarbeitung nur mit vorheriger und ausdrücklicher Zustimmung des Nutzers möglich ist. Als normaler Besucher wird eine solche Zustimmung selten vorliegen.
Rechtlich sicherer ist die Speicherung von Hashes. Diese ermöglichen keine Rückschlüsse auf eine IP-Adresse, können aber gleiche Besucher unterscheiden. Selbst Hashes könnten rein theoretisch als personenbezogene Daten angesehen werden, was die Rechtslage komplex macht. Vermeiden Sie Risiken, indem Sie Analytics ohne Anonymisierung nicht einsetzen.
Cookies und Tracking-Mechanismen erfordern Einwilligung
Das Setzen von Cookies im Rahmen von Analyse-Tools ist ohne Zustimmung der Nutzer nahezu sicher unzulässig. Dazu verweisen wir auf diesen Bericht über ein EuGH-Urteil zu Cookies. Dies gilt auch für alternative Methoden, um Geräte oder Computer zu erkennen. Das Setzen von Cookies ohne Einwilligung kann sogar eine Wettbewerbsrechtverletzung darstellen.
Positionspapier der Datenschutzkommission
Das Positionspapier der Datenschutzkonferenz vom letzten Jahr hat die Rechtslage deutlich konkretisiert:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“
Europäisches Rechtsverständnis (ePrivacy-Richtlinie)
Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Die meisten EU-Mitgliedstaaten haben die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt, oder die Aufsichtsbehörden fordern bereits ein „Opt-in“ gemäß Artikel 5 Absatz 3 der Richtlinie. Aktuelle Neuerungen im Datenschutzrecht verdeutlichen die verschärfte Lage.
Handlungsoptionen für Website-Betreiber
Es ist zu erwarten, dass sich zu diesen Fragen in den kommenden Monaten weitere Antworten herauskristallisieren werden. Bis dahin müssen Website-Betreiber selbst entscheiden: entweder ein Tracking komplett zu unterlassen oder es so wenig personenbezogen wie möglich zu gestalten, um dem Datenschutzgedanken zumindest teilweise nachzukommen.
Nicht zu empfehlen ist das vollständige Ignorieren jeglicher Datenschutzanforderungen. Ein Beispiel hierfür wäre der Einsatz von Google Analytics ohne IP-Anonymisierung und ohne weitere empfohlene Einstellungen, wenn hierfür keine ausdrückliche Nutzereinwilligung vorliegt.
Sonderfälle und Ausnahmen
Ein Nutzer kann einem Tracking jederzeit zustimmen, um eine bestimmte Funktion oder beispielsweise eine mobile App zu nutzen. Auch für eingeloggte Nutzer in Onlineshops oder bei Browserspielen können bestimmte Situationen anders bewertet werden. Mehr dazu wird in einem separaten Artikel in den kommenden Tagen ausführlicher behandelt.
Fazit
Die rechtliche Landschaft rund um Nutzertracking und Datenschutz ist komplex und befindet sich im stetigen Wandel. Webseitenbetreiber sind gut beraten, die Anforderungen der DSGVO und der ePrivacy-Richtlinie ernst zu nehmen. Eine transparente Kommunikation und die Einholung von Einwilligungen sind essenziell, um rechtliche Risiken zu minimieren und das Vertrauen der Nutzer zu gewinnen.