Besucherstatistiken: Was ist erlaubt? | IT-Medienrecht

Erfahren Sie, welche Besucherstatistiken Sie DSGVO-konform erheben dürfen. Jetzt informieren: Tracking, Cookies & IP-Adressen rechtssicher nutzen.

Das Wichtigste in Kürze

  • Nutzertracking und Datenverarbeitung sind nur unter strengen Voraussetzungen der DSGVO und ePrivacy-Richtlinie zulässig.
  • Eine explizite, informierte Einwilligung (Opt-in) ist für die meisten Tracking-Mechanismen und die Profilbildung unerlässlich.
  • IP-Adressen gelten in der Regel als personenbezogene Daten und erfordern eine Zustimmung zur Speicherung.
  • Webseitenbetreiber müssen eine transparente Widerspruchsmöglichkeit (Opt-Out) für Nutzer bereitstellen.
  • Um rechtliche Risiken zu minimieren, sollten Webseitenbetreiber Tracking entweder vermeiden oder auf ein Minimum an nicht-personenbezogenen Daten reduzieren.

Nutzertracking und Datenschutz auf Webseiten: Was ist rechtlich zulässig?

Jeder Webseitenbetreiber möchte gerne Statistiken über seine Besucher erhalten. Sei es, um sich als Blogger über gelesene Inhalte zu freuen oder als kommerzieller Anbieter die Besucherströme zu analysieren. Es ist entscheidend zu wissen, welche und wie viele Nutzer Inhalte konsumieren, woher sie kommen und wie sie sich auf der Seite bewegen. Dies betrifft neben der dominierenden Google-Suche auch andere Quellen.

Doch ist Nutzertracking überhaupt zulässig? Und welche Daten dürfen ohne explizite Zustimmung der Nutzer gespeichert werden?

Rechtliche Grundlagen des Nutzertrackings

Berechtigtes Interesse und Notwendigkeit

Datenverarbeitungen und das Setzen von Cookies sind gemäß Art. 6 Abs. 1 Buchst. f) DSGVO ohne gesonderte Einwilligung des Nutzers nur dann zulässig, wenn sie für die Funktionalität der Webseite notwendig sind. In solchen Fällen liegt ein berechtigtes Interesse des Webseitenbetreibers vor. Dies muss jedoch sorgfältig abgewogen werden.

Zusammenführung von Daten und Profilbildung

Ohne ausdrückliche Zustimmung des Nutzers ist es unzulässig:

Widerspruchsmöglichkeit (Opt-Out)

In jedem Fall muss Nutzern eine einfache Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens zur Verfügung gestellt werden. Dies ermöglicht es ihnen, der Verarbeitung ihrer persönlichen Daten zu widersprechen oder diese löschen zu lassen. Der betriebliche Datenschutz fordert hier transparente Prozesse.

Die Herausforderung bei der Datenspeicherung

Nicht-personenbezogene Daten?

Dürfen nicht-personenbezogene Daten gespeichert werden? Ja, grundsätzlich ist das möglich. Ein einfacher Zähler, der nur Seitenaufrufe erfasst, ist unproblematisch. Dies ist jedoch oft nicht aussagekräftig, da nicht zwischen verschiedenen Besuchern und einzelnen Seitenaufrufen unterschieden werden kann.

IP-Adressen und Hashes

Die Speicherung von IP-Adressen ohne Einwilligung der Nutzer im Rahmen von Besucherzählern oder Analysetools ist hingegen sehr umstritten. Die meisten Datenschützer betrachten IP-Adressen als personenbezogene Daten. Daraus folgt theoretisch, dass eine Speicherung und Verarbeitung nur mit vorheriger und ausdrücklicher Zustimmung des Nutzers möglich ist. Als normaler Besucher wird eine solche Zustimmung selten vorliegen.

Rechtlich sicherer ist die Speicherung von Hashes. Diese ermöglichen keine Rückschlüsse auf eine IP-Adresse, können aber gleiche Besucher unterscheiden. Selbst Hashes könnten rein theoretisch als personenbezogene Daten angesehen werden, was die Rechtslage komplex macht. Vermeiden Sie Risiken, indem Sie Analytics ohne Anonymisierung nicht einsetzen.

Cookies und Tracking-Mechanismen erfordern Einwilligung

Das Setzen von Cookies im Rahmen von Analyse-Tools ist ohne Zustimmung der Nutzer nahezu sicher unzulässig. Dazu verweisen wir auf diesen Bericht über ein EuGH-Urteil zu Cookies. Dies gilt auch für alternative Methoden, um Geräte oder Computer zu erkennen. Das Setzen von Cookies ohne Einwilligung kann sogar eine Wettbewerbsrechtverletzung darstellen.

Positionspapier der Datenschutzkommission

Das Positionspapier der Datenschutzkonferenz vom letzten Jahr hat die Rechtslage deutlich konkretisiert:

„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.“

Europäisches Rechtsverständnis (ePrivacy-Richtlinie)

Diese Auffassung steht im Einklang mit dem europäischen Rechtsverständnis zu Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Die meisten EU-Mitgliedstaaten haben die ePrivacy-Richtlinie vollständig in nationales Recht umgesetzt, oder die Aufsichtsbehörden fordern bereits ein „Opt-in“ gemäß Artikel 5 Absatz 3 der Richtlinie. Aktuelle Neuerungen im Datenschutzrecht verdeutlichen die verschärfte Lage.

Handlungsoptionen für Website-Betreiber

Es ist zu erwarten, dass sich zu diesen Fragen in den kommenden Monaten weitere Antworten herauskristallisieren werden. Bis dahin müssen Website-Betreiber selbst entscheiden: entweder ein Tracking komplett zu unterlassen oder es so wenig personenbezogen wie möglich zu gestalten, um dem Datenschutzgedanken zumindest teilweise nachzukommen.

Nicht zu empfehlen ist das vollständige Ignorieren jeglicher Datenschutzanforderungen. Ein Beispiel hierfür wäre der Einsatz von Google Analytics ohne IP-Anonymisierung und ohne weitere empfohlene Einstellungen, wenn hierfür keine ausdrückliche Nutzereinwilligung vorliegt.

Sonderfälle und Ausnahmen

Ein Nutzer kann einem Tracking jederzeit zustimmen, um eine bestimmte Funktion oder beispielsweise eine mobile App zu nutzen. Auch für eingeloggte Nutzer in Onlineshops oder bei Browserspielen können bestimmte Situationen anders bewertet werden. Mehr dazu wird in einem separaten Artikel in den kommenden Tagen ausführlicher behandelt.

Fazit

Die rechtliche Landschaft rund um Nutzertracking und Datenschutz ist komplex und befindet sich im stetigen Wandel. Webseitenbetreiber sind gut beraten, die Anforderungen der DSGVO und der ePrivacy-Richtlinie ernst zu nehmen. Eine transparente Kommunikation und die Einholung von Einwilligungen sind essenziell, um rechtliche Risiken zu minimieren und das Vertrauen der Nutzer zu gewinnen.

Häufig gestellte Fragen

Ist Nutzertracking auf Webseiten grundsätzlich zulässig?
Nutzertracking ist gemäß DSGVO nur zulässig, wenn es für die Funktionalität der Webseite notwendig ist und ein berechtigtes Interesse des Betreibers vorliegt, oder wenn eine ausdrückliche Einwilligung des Nutzers vorliegt. Dies muss jedoch sorgfältig abgewogen werden.
Dürfen IP-Adressen ohne Zustimmung gespeichert werden?
Die Speicherung von IP-Adressen ohne Einwilligung ist sehr umstritten, da die meisten Datenschützer sie als personenbezogene Daten betrachten. Eine Speicherung und Verarbeitung ist daher meist nur mit vorheriger und ausdrücklicher Zustimmung des Nutzers möglich.
Benötige ich eine Einwilligung für Cookies und Tracking-Mechanismen?
Ja, das Setzen von Cookies und anderen Tracking-Mechanismen, die das Nutzerverhalten nachvollziehbar machen oder Profile erstellen, ist ohne vorherige, informierte Einwilligung des Nutzers nahezu sicher unzulässig. Dies wird durch die ePrivacy-Richtlinie und ein EuGH-Urteil untermauert.
Was sind die Handlungsoptionen für Website-Betreiber bezüglich Nutzertracking?
Website-Betreiber sollten entweder komplett auf Tracking verzichten oder es so wenig personenbezogen wie möglich gestalten. Das vollständige Ignorieren der Datenschutzanforderungen, wie der Einsatz von Google Analytics ohne IP-Anonymisierung und Einwilligung, wird nicht empfohlen.
Muss ich eine Widerspruchsmöglichkeit (Opt-Out) anbieten?
Ja, Nutzern muss in jedem Fall eine einfache Widerspruchsmöglichkeit in Form eines Opt-Out-Verfahrens zur Verfügung gestellt werden, damit sie der Verarbeitung ihrer persönlichen Daten widersprechen oder diese löschen lassen können.