Orientierungshilfe zur datenschutzgerechten Nutzung von Tracking-Diensten für Websites und Apps - WHITEPAPER
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WHITEPAPER Orientierungshilfe zur datenschutzgerechten Nutzung von Tracking-Diensten für Websites und Apps
Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Einleitung
Wir werden regelmäßig gefragt, welche Anforderungen ein Website-Betreiber erfüllen und auf welche
Dinge er achten muss, um den neuen Regelungen der Datenschutz-Grundverordnung (DSGVO) beim
Tracking von Websites, Apps und Online-Marketing-Maßnahmen gerecht zu werden.
Um den datenschutzkonformen Einsatz von etracker unter DSGVO und BDSG neu zu gewährleisten,
haben wir uns mit den Aufsichtsbehörden abgestimmt, die Datenschutz-Zertifizierung mit Verleihung
des ePrivacyseal-Gütesiegels durchlaufen und uns mit vielen Datenschutzberatern und Fachanwälten
ausgetauscht.
Unser dadurch gewonnenes Fachwissen und unsere praktische Erfahrung in Sachen DSGVO-
konformes Tracking möchten wir hier mit Ihnen teilen.
Die häufigsten Fragestellungen, die in den vergangenen Wochen an uns herangetragen wurden,
lassen sich in diese sechs Fragen unterteilen, die im Folgenden behandelt werden:
▪ Wann fällt der Einsatz von Tracking-Diensten nicht unter die DSGVO, da kein Personenbezug
besteht?
▪ Wann ist der Einsatz von Tracking-Diensten einwilligungspflichtig und nicht durch
Interessenabwägung gerechtfertigt?
▪ Wann handelt es sich im Zusammenhang mit Tracking-Diensten nicht um Auftragsverarbeitung,
sondern um eine sog. „Funktionsübertragung“, und was folgt daraus fürs Tracking zu Werbe-
Targeting-Zwecken?
▪ Wie müssen gesetzeskonforme Einwilligungen gestaltet sein?
▪ Was sind sonstige Anforderungen an DSGVO-konformes Tracking?
▪ Was heißt das insgesamt für den Einsatz von Google Analytics & Optimize im Vergleich zu
etracker Analytics & Optimiser?
© etracker GmbH, Hamburg 2Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Wann fällt der Einsatz von Tracking-Diensten nicht
unter die DSGVO, da kein Personenbezug
besteht?
Das Tracking von rein Session-bezogenem Verhalten von Website-Besuchern ist nicht von der
DSGVO betroffen, da ein Personenbezug nicht vorliegt. Keinen Personenbezug haben dabei zum
Beispiel:
▪ Seiten-Eigenschaften: Domain, Pfad, Seiten-URL und Titel (bei Sicherstellung, dass darin keine
personenbezogenen Daten enthalten sind; Achtung insbesondere bei automatischer Erfassung
von URL-Parametern)
▪ Browsing data: Referrer
▪ Browser data: Scroll-Tiefe, User Agent
▪ Interaction data: Event-Name und Eigenschaften (Warenkorb-Events, Audio- und Video-Events,
Downloads u.ä.); ausgenommen die Nutzereingaben in Such- und Formularfelder
▪ Geografische Daten auf Landes-, Regions- und Stadtebene
Diese Daten dürfen sogar dann erfasst werden, wenn Besucher in ihrem Browser „Do Not Track“
(DNT) aktiviert oder in anderer Form der Verarbeitung ihrer personenbezogenen Daten
widersprochen haben.
Aber: Dabei ist immer sicherzustellen, dass:
▪ keine Identifikatoren für Cross Device Tracking verarbeitet werden.
▪ vollständige IP-Adressen weder gespeichert noch verarbeitet werden.
▪ keine Bestellnummern erfasst werden.
▪ ausschließlich Session Cookies eingesetzt werden.
▪ keine Informationen erfasst werden, mit denen ein bestimmtes Gerät Session-übergreifend
identifiziert werden kann, etwa eindeutige Gerätekennungen wie IDFA, UDID, Android-ID oder
Google Advertising ID.
▪ feingranulare geografische Daten wie GPS-Daten, Postleitzahlen oder Längen- und Breitengrade
nicht erfasst werden.
© etracker GmbH, Hamburg 3Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Spezialfall IP-Lookup zur Ermittlung von Firmen, die Ihre Website besuchen:
Die DSGVO bezieht sich ausschließlich auf den Schutz natürlicher Personen. Folglich ist die
Verarbeitung von Unternehmensdaten nicht Gegenstand der DSGVO. Ein IP-Lookup zur
Identifizierung von einzelnen Unternehmen, aus deren Netzwerk auf die Website des Tracking-
Auftraggebers zugegriffen wird, verstößt aber dennoch gegen den Datenschutz, da zur
Differenzierung erst einmal die vollständige IP-Adresse herangezogen wird.
Außerdem erfolgen Website-Zugriffe aus Unternehmens-Netzwerken heraus im Regelfall nicht
maschinell, sondern von natürlichen Personen, sprich Mitarbeitern. Ein Personenbezug ist praktisch
unmöglich auszuschließen, da nicht davon ausgegangen werden kann, dass alle Mitarbeiter in
gleicher Weise und zu jedem Zeitpunkt (z. B. nachts) Zugang zum Internet haben.
Wann ist der Einsatz von Tracking-Diensten
einwilligungspflichtig und nicht durch
Interessenabwägung gerechtfertigt?
Die Einwilligungspflicht kann nur entfallen, wenn weder eine andere Nutzung oder Zusammenführung
mit anderen personenbezogenen Daten des Website-Betreibers noch eine Weitergabe an Dritte
stattfindet. Die Datenverarbeitung darf ausschließlich gemäß dem Auftrag des jeweiligen Website-
Betreibers zur statistischen Analyse und Optimierung seines jeweiligen Online-Angebotes erfolgen.
Somit ist eine Einwilligung der Betroffenen immer dann erforderlich, wenn umfassende Profile -
insbesondere über verschiedene Websites hinweg - gebildet, also in großem Stil Verhaltens- und
Persönlichkeitsprofile der Betroffenen erstellt werden. Von einem derart intensiven Eingriff in die
Privatsphäre und Persönlichkeitsrechte der Betroffenen ist zudem auszugehen, wenn
▪ Anbieter das Recht auf die Daten beanspruchen und diese nutzen, um ihre eigenen Produkte
und Services zu verbessern
▪ die Daten an Dritte weitergegeben werden oder Werbekunden bzw. Marketingpartner diese
direkt oder indirekt nutzen können
▪ besonders sensible Datenkategorien erhoben werden
▪ keine Pseudonymisierung bzw. eine ausreichende Verschlüsselung (durch geeignete
Hashverfahren) bei der Verarbeitung erfolgt
© etracker GmbH, Hamburg 4Orientierungshilfe zur datenschutzgerechten Nutzung von Tracking-Diensten für Websites und Apps Beim Einsatz von Google Analytics werden laut der aktuellen Google Datenschutzerklärung Daten über Aktivitäten von Besuchern über mehrere Websites hinweg, die Google Analytics einsetzen, verknüpft. Google Datenschutzerklärung Stand: 25.05.2018 (Wirksamkeit), recherchiert am 27.06.2018: „Wenn Sie Websites besuchen, auf denen Google Analytics eingesetzt wird, werden Google und der Google Analytics-Kunde gegebenenfalls Daten über Ihre Aktivitäten auf dieser Website mit Aktivitäten auf anderen Websites verknüpfen, auf denen ebenfalls unsere Werbedienste genutzt werden.“ Hier ist eine Interessenabwägung nicht gerechtfertigt. Wann handelt es sich im Zusammenhang mit Tracking-Diensten nicht um Auftragsverarbeitung, sondern um eine sog. „Funktionsübertragung“, und was folgt daraus fürs Tracking zu Werbe- Targeting-Zwecken? Werden Tracking-Dienstleister über bloße technische Hilfsfunktionen hinaus mit einem eigenen Wertungs- und Entscheidungsspielraum tätig, ist von einer Funktionsübertragung auszugehen. Dies ist insbesondere bei Tracking-Diensten relevant, bei denen Website-Daten zur Ausspielung von Werbung genutzt werden. Anbieter wie Criteo, Facebook und Google bieten die Möglichkeit, Besuchern der eigenen Website gezielt Werbung auszuspielen oder aber ähnliche Besucher wie die der eigenen Website mit Werbung anzusprechen. Im Regelfall erfolgt die Ausspielung der Werbung nach einem Gebotsprozess und Algorithmen, die vom jeweiligen Dienst kontrolliert werden. Insofern ist in diesen Fällen von einer Funktionsübertragung auszugehen und somit erfordert das Tracking auf den Websites der Werbetreibenden zu diesem Zweck die Einwilligung der Betroffenen. Darüber hinaus kann Retargeting einen nicht unerheblichen Eingriff in die Privatsphäre darstellen. Es ist nicht davon auszugehen, dass Betroffene beim Besuch von Websites wirklich mit jeder Art der Verarbeitung ihrer Daten für Retargeting-Zwecke rechnen müssen. So ist bei der Werbeansprache nicht automatisch klar, dass es sich um Retargeting handelt, da nicht zwangsweise zuvor angesehene oder in den Warenkorb gelegte Artikel in den Anzeigen dargestellt werden, sondern mittlerweile subtiler vorgegangen wird. Bei sog. „Predictive Prospecting“ haben die Betroffenen überhaupt keine Möglichkeit, die Verwendung ihrer Verhaltensdaten im Rahmen des Matchings mit „statistischen Zwillingen“ zu erkennen. © etracker GmbH, Hamburg 5
Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Wie müssen gesetzeskonforme Einwilligungen
gestaltet sein?
In Einwilligungsdialogen muss transparent gemacht werden, welche(s) Verfahren/Produkt(e) zum
Einsatz kommt(en) und welche Arten von personenbezogenen Daten für welchen Zweck verarbeitet
werden. Außerdem sollte ein Link zu detaillierten Informationen enthalten sein sowie der Hinweis,
dass einer Einwilligung jederzeit für die Zukunft widersprochen werden kann.
Weiterhin gilt, dass eine aktive Wahlmöglichkeit bestehen muss und erst nach einer explizit
bestätigenden Handlung mit „Ich stimme zu“, „Ich bin einverstanden, dass…“ oder Ähnlichem eine
Datenerfassung erfolgen darf. Eine Nutzung der Website muss jedoch auch ohne Zustimmung einer
Datenerfassung möglich sein. Außerdem muss eine differenzierte Zustimmung oder Ablehnung
unterschiedlicher Zwecke und Methoden erfolgen können und die Ablehnung darf nicht unnötig
schwer gemacht werden, etwa durch ein mühsames Abwählen von einzelnen Diensten aus einer
längeren Liste oder das Wechseln auf die Web-Seiten der jeweiligen Anbieter.
Zudem müssen Einwilligungen nachvollziehbar dokumentiert werden – mindestens mit Nachweis von
Cookie-ID und Timestamp (Datum und Uhrzeit). Empfohlen wird, Besuchern bei Betreten der Website
zumindest diese Möglichkeiten der Zustimmung bzw. Ablehnung zu bieten:
▪ „Jetzt nicht“: kein Tracking, nur Setzen eines Session Cookies mit Opt-Out
▪ „Nein, ich stimme nicht zu“: kein Tracking, Setzen eines Opt-Out Cookies mit 50 Jahren Laufzeit
▪ „Ja, ich stimme zu“: Tracking, Setzen eines Opt-In Cookies mit 480 Tagen Laufzeit
▪ Keine Interaktion mit dem Dialog: kein Tracking, kein Setzen eines Cookies
▪ Schließen des Dialogs: analog „Jetzt nicht“ (kein Tracking, nur Setzen eines Session Cookies mit
Opt-Out)
© etracker GmbH, Hamburg 6Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Was sind sonstige Anforderungen an DSGVO-
konformes Tracking?
Wenn ein Tracking rechtmäßig auf Basis eines berechtigten Interesses oder einer Einwilligung von
Betroffenen stattfindet, ist weiterhin zu beachten:
▪ Auftragsverarbeitungsvertrag mit Anbieter abschließen
▪ Beachtung von Do Not Track-Headern (DNT)
▪ IP-Maskierung vor der eigentlichen Verarbeitung zum frühestmöglichen Zeitpunkt
▪ Verschlüsselung von Remarketing- und Cross-Device-IDs (SHA256 als Mindestanforderung für
Hashing)
▪ Nur Verarbeitung von pseudonymisierten Daten; auf Klardaten wird zu keinem Zeitpunkt
zurückgegriffen
▪ Die konkrete Datenverarbeitung ist dadurch gekennzeichnet, dass sie keinerlei Rechtswirkung
für die betroffenen User hat, sondern lediglich zu einer optimierten Ausgestaltung von
Webangeboten führt
▪ Implementierung einer Widerspruchsmöglichkeit (Opt-Out), die ohne Plugin-Installation
auskommt (auch mobil bzw. Endgeräte-unabhängig funktioniert) und direkt auf der jeweiligen
Website ausgeübt werden kann
▪ Ausreichende und klare Informationen zur Datenverarbeitung (IDV) im Sinne von Art. 12, 13
DSGVO (Datenschutzerklärung)
▪ Keine personenbezogenen Daten senden (aut. Maskierung von Formulareingaben u.ä.)
▪ Einhaltung der Kontrollpflichten des Website-Betreibers durch Sachverständigen-Testat bzw.
Datenschutz-Audit
© etracker GmbH, Hamburg 7Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Was heißt das insgesamt für den Einsatz von
Google Analytics & Optimize im Vergleich zu
etracker Analytics & Optimiser?
Google Analytics und Google Optimize können datenschutzkonform nur eingesetzt werden, wenn
Website-Betreiber mindestens
▪ sich selber um die Einholung expliziter, informierter Einwilligungen der Nutzer kümmern.
▪ einen Auftragsverarbeitungsvertrag mit Google LLC und den Zusatz zur Datenverarbeitung von
Analytics mit Google abschließen.
▪ Verfahren implementieren, so dass DNT-Header berücksichtigt werden.
▪ die Funktion IP-Maskierung („anonymizeIP“) auf sämtlichen Website-Seiten implementieren,
damit das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird.
▪ das Deaktivierungs-Add-On implementieren, mit dem Betroffenen die Möglichkeit zum
Widerspruch (Opt-Out) gegen die Erfassung von Nutzungsdaten eingeräumt wird (für
alle gängigen Browser und Endgeräte).
▪ das sog. „Disabling Tracking“ implementieren; ein Opt-Out Cookie, mit dem der User durch einen
einfachen Klick das Analytics-Tracking unterbinden kann. Dies ist notwendig, weil das zuvor
genannte Deaktivierungs-Add-On auf vielen (mobilen) Endgeräten nicht funktioniert.
▪ Informationen zur Datenverarbeitung (IDV) im Sinne von Art. 12, 13 DSGVO in der
Datenschutzerklärung im Hinblick auf Google-Dienste integrieren (Google liefert keine eigene
Vorlage).
▪ die User-ID nicht aktivieren bzw. deaktivieren.
▪ verhindern, dass personenbezogene Daten über URLs, Kampagnen-Parameter usw. erfasst
werden.
▪ die Funktion „Remarketing“ und die „Funktionen für Werbeberichte“ deaktivieren, sofern
Betroffene nicht eingewilligt haben. Es muss Nutzern möglich sein, der Web-Analyse
zuzustimmen und den Werbefunktionen nicht.
▪ die Kontrollpflichten hinsichtlich der Einhaltung der technisch-organisatorischen Maßnahmen
erfüllen.
© etracker GmbH, Hamburg 8Orientierungshilfe zur datenschutzgerechten Nutzung
von Tracking-Diensten für Websites und Apps
Ein DSGVO-konformes Tracking ist mit etracker Analytics und etracker Optimiser deutlich einfacher
sichergestellt, denn:
▪ die explizite, informierte Einwilligung der Nutzer ist im Regelfall nicht erforderlich. Somit werden
deutlich mehr Besucher getrackt.
▪ der AV-Vertrag mit etracker kann elektronisch abgeschlossen werden.
▪ DNT-Header werden ab Tracking Code 4.1 automatisch berücksichtigt.
▪ die IP-Maskierung erfolgt automatisch und erfordert keine spezielle Konfiguration des Tracking
Codes.
▪ die von etracker bereitgestellte Widerspruchsfunktion wird von allen gängigen Browsern und
Endgeräten unterstützt.
▪ etracker bietet eine Vorlage für den Datenschutzhinweis im Sinne von Art. 12, 13 DSGVO in den
Account-Einstellungen an.
▪ nur bestimmte URL- und Kampagnen-Parameter werden erfasst, bei denen sichergestellt
werden muss, dass keine personenbezogenen Daten enthalten sind.
▪ es müssen keinerlei Zusatzfunktionen deaktiviert werden oder Ähnliches.
▪ die Kontrollpflichten werden durch die unabhängige Prüfung und Zertifizierung mit dem ePrivacy-
Siegel erfüllt.
Gerne stehen wir für Sie bereit, wenn Sie Fragen zu dieser DSGVO-Orientierungshilfe haben
oder mehr darüber erfahren möchten, wie Sie mit etracker das Maximum aus Ihrem wertvollen
Datenschatz holen und gleichzeitig die Anforderungen der DSGVO erfüllen sowie die eigene
Datenhoheit sichern.
Stand: 10.07.2018
Diese Orientierungshilfe dient der allgemeinen Information unserer Kunden und Interessenten unserer
Leistungen, nicht der Beratung bei individuellen rechtlichen Anliegen. Die Anforderungen an eine DSGVO-
konforme Gestaltung von Webseiten und Services sind insbesondere in den kommenden Monaten ständigen
Veränderungen unterworfen. Auch wenn wir darum bemüht sind, diese Orientierungshilfe ständig aktuell zu
halten, ist es möglich, dass Aussagen falsch, unvollständig oder veraltet sind. Die Nutzung dieser Orientie-
rungshilfe erfolgt auf eigenes Risiko des Anwenders. Das gilt auch, wenn Sie diese für rechtliche Einschät-
zungen nutzen. Bitte ziehen Sie in Erwägung, sich wegen Ihres konkreten Anliegens beispielsweise an einen
spezialisierten Rechtsanwalt oder die zuständigen Aufsichtsbehörden zu wenden.
© etracker GmbH, Hamburg 9Sie können auch lesen
