Neues Menü in etracker analytics: benutzerfreundlicher & effizienter
Datenschutz-1×1 für Marketer
von Olaf Brandt
Diese vier datenschutzrechtlichen Begriffe sorgen immer wieder für Missverständnisse. . Die rechtliche Bedeutung zu verstehen, ist aber essentiell, um Datenschutzverletzungen im digitalen Marketing zu vermeiden:
- Datenverarbeitung
- Personenbezogene Daten
- Erforderlichkeit
- Überwiegendes berechtigtes Interesse
Die Begriffe werden in der DSGVO definiert. Allerdings klingen die Definitionen recht abstrakt. Daher wollen wir sie anhand eines Beispiels aus der Praxis einfach erklären.
Auf einer Website haben wir in der Datenschutzerklärung diese Formulierung gefunden:
„Diese Webseite verwendet den […] Tag Manager. Der […] Tag Manager ist eine Lösung, mit der wir Website-Tags über eine Oberfläche verwalten können. Das Tool implementiert Tags, ist jedoch selbst eine cookiefreie Domain und erfasst keine personenbezogenen Daten. Es sorgt lediglich für die Auslösung anderer Tags, die ihrerseits unter Umständen Daten erfassen können – worauf der Tag Manager jedoch nicht zugreift. Durch dieses Tool werden keine personenbezogenen Daten erhoben oder gespeichert. Der Einsatz des […] Tag Managers erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 S.1 lit. f) DS-GVO).“
Schauen wir uns einmal vor diesem Hintergrund die vier Begriffe an:
1. Datenverarbeitung
Im obigen Beispiel wird behauptet, der eingesetzte Tag Manager erfasse keine Daten, greife auf keine Daten zu und speichere auch keine Daten. Andererseits erfolge die Datenverarbeitung aber auf der Grundlage des berechtigten Interesses. Werden also Daten verarbeitet, ja oder nein? Ganz wichtig: Die Speicherung ist nur eine mögliche Art der Verarbeitung. Laut Art. 4 Nr. 2 DSGVO fällt unter Verarbeitung auch das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Also einfach ausgedrückt: Jeglicher Umgang mit Daten ist eine Datenverarbeitung!
Da bekanntermaßen im Web nichts ohne Daten geht, kann man also einfach sagen, dass jedes aktive Tool auf einer Website immer auch Daten verarbeitet.
Im Zweifel die Dev Tools im Browser aufrufen mit F12 und die Netzwerkaktivität untersuchen.
2. Personenbezogene Daten
Genauso einfach, wie die Frage der Datenverarbeitung, lässt sich grundsätzlich auch die Frage beantworten, ob dabei personenbezogene Daten verarbeitet werden. Denn die Verbindung zum Server des Tools erfordert immer die Übermittlung der jeweiligen IP-Adresse. Die IP-Adresse ist höchstrichterlich entschieden ein personenbezogenes Datum. Und eine Verarbeitung bedarf keiner Speicherung!
Deshalb gilt immer bei Anwendungen im Web: Es werden personenbezogene Daten verarbeitet.
Dabei spielt es keine Rolle, ob die IP-Adresse vor einer weiteren Verarbeitung anonymisiert wird. Denn zunächst einmal kommt sie immer vollständig an. Und eine Anonymisierung ist auch eine Verarbeitung.
Im Rahmen von Tracking Tools können noch andere personenbezogene Daten neben der IP-Adresse bewusst oder „versehentlich“ verarbeitet werden. Was heißt „versehentlich“? Daten von der Website werden strukturiert übergeben mittels verschiedener Parameter, die man sich in den Dev Tools anschauen kann:
Personenbezogene Daten können in den speziell dafür vorgesehenen Parametern übergeben werden wie zum Beispiel eine Nutzer- oder Cookie-ID. Sie können jedoch auch Teil zum Beispiel der URL sein und auf diesem Wege sozusagen „unbeabsichtigt“ übertragen werden. Gerade auf Seiten nach einem Login ist dies häufig der Fall. Hier kann ein Verstoß gegen Art. 5 DSGVO vorliegen, der die Datenminimierung als einen der Grundsätze der Verarbeitung personenbezogener Daten verlangt: Personenbezogene Daten müssen demnach „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Gerade das unbeabsichtigte Erfassen verfolgt keinen „richtigen“ Zweck und ist damit besonders kritisch.
Nicht jede Nutzer-ID weist jedoch automatisch einen Personenbezug auf. Nach Urteil des Gerichts der Europäischen Union (EuG) vom 26.4.2023 (Az: T-557/20) müssen für einen Personenbezug bei IDs folgende Bedingungen gelten:
- Im Gegensatz zu anonymen Daten lässt sich die Person hinter der ID durch Heranziehung zusätzlicher, separat aufbewahrter, Informationen re-identifizieren.
- Der oder die Datenempfänger verfügen über diese Informationen zur Re-Identifikation oder haben rechtliche Möglichkeiten, auf solche Informationen zuzugreifen.
Bei Einsatz von Tools bzw. Tags von Google, Meta & Co. müssen sich Website-Betreiber auch um deren Möglichkeiten Gedanken machen, da sie nicht nur Auftragsverarbeiter, sondern auch Datenempfängersind.
Wir können also mitnehmen:
- Bei Website-Tools und -Tags werden mindestens mit der IP-Adresse immer personenbezogene Daten verarbeitet.
- Personenbezogene Daten dürfen nur in einer Form und so lange verarbeitet werden, wie für einen berechtigten Zweck erforderlich (Stichwort „Datenminimierung“) und müssen dabei bestmöglich geschützt werden. „Unbeabsichtigte“ Erfassung in URLs und Parametern gilt es unbedingt zu vermeiden. „Benötigte“ personenbezogene Daten sollten nach Möglichkeit anonymisiert werden.
Wichtig: Die Verarbeitung von personenbezogenen Daten führt nicht zwangsweise zur Pflicht, eine vorherige Einwilligung vom Nutzer einzuholen.
Eine Einwilligung ist nur dann verpflichtend, wenn die Verarbeitung weder erforderlich ist noch die eigenen Interessen dabei überwiegen.
3. Erforderlichkeit
Auf den Geräte-Speicher von Nutzern dürfen Tracking Tools nach dem TTDSG nur zugreifen, wenn dies unbedingt erforderlich ist oder der Nutzer zuvor eingewilligt hat. Dabei muss für das Kriterium der unbedingten Erforderlichkeit die Perspektive des Nutzers eingenommen werden, also ob die Funktion primär den Interessen der Nutzer der Website dient. In der Orientierungshilfe der deutschen Aufsichtsbehörden werden für die Beurteilung der Erforderlichkeit weitere Kriterien genannt wie die Art der Informationen und die Dauer der Speicherung.
Bei der Website moebel.de werden auch die Website-Personalisierung, die Web-Analyse und das Tag Management als technisch notwendig ausgewiesen:
Das ist datenschutzrechtlich gelinde ausgedrückt abenteuerlich. Denn der Tag Manager dient primär den Marketern und nicht den Nutzern. Die Website-Personalisierung dürfte wiederum kaum als Basisdienst gelten und eine umfassende Web-Analyse wird von den Aufsichtsbehörden ebenfalls von der Erforderlichkeit ausgeschlossen:
„Selbst die einfache Messung von Besucherzahlen ist daher nicht per se als Bestandteil des Basisdienstes einzustufen, sondern abhängig vom jeweils konkret verfolgten Zweck. Die fehlerfreie Auslieferung der Webseite kann beispielsweise vom Nutzerwunsch umfasst sein, während die Wirtschaftlichkeit von Werbeanzeigen im Regelfall nur den primären Interessen des Webseitenbetreibers dient.“
(Orientierungshilfe der deutschen Aufsichtsbehörden, Seite 28f.)
Die französische Aufsichtsbehörde hat sogar die Nutzung der reCAPTCHA-Funktion von Google als einwilligungspflichtig erklärt. Denn der Einsatz sei nicht auf das erforderliche Maß begrenzt:
„Der Google reCaptcha-Mechanismus dient jedoch nicht allein der Absicherung des Authentifizierungsmechanismus zum Nutzen der Nutzer, sondern ermöglicht auch Analysevorgänge seitens Google.“
(https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903, Abs. 86)
Als technisch erforderlich angesehen werden können beim Tracking hingegen folgende Endgeräte-Speichervorgänge:
- Setzen und Auslesen von Cookies zur Umsetzung der Widerspruchsfunktion, also dem Opt-out von der Datenverarbeitung. Dies dient primär den Interessen des Nutzers (und in der Regel entgegen den Interessen des Website-Betreibers), die getroffene Entscheidung festzuhalten und nicht mit jedem Website-Besuch wiederholen zu müssen.
- Zwischenspeichern von Analysevorgängen im lokalen oder Sitzungsspeicher, um die Nutzung der Website bzw. deren Performance für den Nutzer bestmöglich zu gewährleisten. Beispiel hierfür ist die Scrolltiefen-Messung, damit nicht jede Scroll-Bewegung zu einer Datenübermittlung führt, sondern die Scrolltiefe-Daten “gebündelt” alle paar Sekunden gesendet werden. Voraussetzung ist auch, dass die damit einhergehende Datenverarbeitung im Sinne der DSGVO keiner Einwilligung bedarf.
Nicht als unbedingt erforderliche Endgeräte-Zugriffe und somit nicht ohne vorherige Einwilligung dürften somit gelten:
- Cookies von Marketing-Plattformen wie Google, Meta, LinkedIn und Tiktok.
- Andere Werbe- und Marketing-Cookies einschließlich Affiliate-Marketing.
- Statistik-Cookies, die Identifier speichern, um Nutzer im Zeitverlauf wiederzuerkennen, insbesondere, wenn dies Geräte-, Website- oder Tages-übergreifend erfolgt.
- Cookies zum Tag Management und zur Conversion-Optimierung im primären Marketer-Interesse
4. Überwiegendes berechtigtes Interesse
Der Europäische Gerichtshof (EuGH), also das höchste europäische Gericht, hat mit dem Urteil am 4. Juli 2023 im Verfahren von Meta gegen das Bundeskartellamt (Rechtssache C‑252/21) zum berechtigten Interesse gefordert, dass
- die Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen (Datenminimierung) und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (Erforderlichkeit),
- eine Abwägung der gegenüberstehenden Interessen die vernünftigen Erwartungen der betroffenen Personen sowie den Umfang der fraglichen Verarbeitung berücksichtigen muss und
- der Verantwortliche (Website-Betreiber) die Einhaltung durch eigene Prüfung des Anbieters oder durch ein unabhängiges Testat belegen können muss (Rechenschaftspflicht).
Der EuGH legt den Grundsatz der Erforderlichkeit sehr eng aus und verlangt, dass es für die Zwecke keine zumutbaren ebenso wirksamen milderen Mittel geben darf. Ist die eingesetzte Lösung deutlich Datenschutz-unfreundlicher oder verfolgt der Anbieter auch eigene Zwecke, fällt die Lösung beim berechtigten Interesse durch.
Auch in Sachen vernünftige Erwartungen legt der EuGH einen harten Maßstab an und widerspricht der Ansicht, dass Nutzer unentgeltlicher Dienste mit der Weitergabe ihrer Daten oder personalisierter Werbung rechnen müssten:
„Insoweit ist darauf hinzuweisen, dass, auch wenn die Dienste eines sozialen Online-Netzwerks wie Facebook unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen kann, dass der Betreiber dieses sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet.“
Im Hinblick auf den Umfang der Datenverarbeitung der großen Marketing-Plattformen führt das EuGH aus:
„Im Übrigen ist die im Ausgangsverfahren in Rede stehende Verarbeitung besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Online-Aktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von Meta Platforms Ireland aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird.“
Tags oder Tools der großen Marketing-Plattformen dürfen somit nicht unter dem berechtigten Interesse eingesetzt werden.
Fazit zum Datenschutz-1×1 für Marketer
Egal, welche Analyse- und Marketing-Tools eingesetzt werden, es kommt eigentlich immer zu einer Verarbeitung personenbezogener Daten im Sinne der DSGVO. Doch das führt nicht zwangsweise zur Einwilligungspflicht. Cookies mit Sitzungs- oder Nutzer-IDs (egal, ob damit Nutzer identifiziert werden können), sind so gut wie immer einwilligungspflichtig. Nur maximal Datenschutz-freundliche Lösungen können unter dem berechtigten Interesse eingesetzt werden. Voraussetzungen sind im Wesentlichen:
- Nur mit Abschluss eines AV-Vertrags nutzbar
- Automatische Kürzung der IP-Adresse vor dem Persistieren
- Anonymisierte Nutzer-Kennungen müssen auf 24h begrenzt sein
- Reporting mit anonymisierten Daten ohne Re-Identifikationsmöglichkeit des Nutzers
- Keine Nutzung zu eigenen Zwecken, Verknüpfung mit Daten anderer Kunden oder Weitergabe an Dritte
- Kein Session Recording oder Mausbewegungs-Aufzeichnung
- Direkte Widerspruchsfunktion in der Datenschutzerklärung
- Anbindung an Marketing-Plattformen zum Hochladen von Conversion-Daten nur ohne Nutzer-Kennungen
- Weiterverarbeitung nur von anonymisierten Daten in Reporting-Lösungen wie Google Looker Studio oder Microsoft Power BI
- Erfüllung der geforderten Rechenschaftspflicht durch eine unabhängige Prüfung
Die Inhalte wurden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar.