Datenschutz

⌘K
  2. Home
  4. Datenschutz
  6. Interessenabwägung

Interessenabwägung

Das berechtigte Interesse als Rechtsgrundlage für den Einsatz von etracker Analytics im Standardverfahren ohne Cookies

Es stellt sich die Frage, ob der als Standard vorgesehene Cookie-less-Modus von etracker Analytics durch Art. 6 Abs. 1 lit. f DSGVO legitimiert werden kann. Nach dieser Vorschrift ist die Verarbeitung von personenbezogenen Daten rechtmäßig, „wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erfolgt, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.“

Ergänzt wird Art. 6 Abs. 1 DSGVO durch den Erwägungsgrund 47:

„Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.“

Ausgangspunkt jeder Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DSGVO sind einerseits das Persönlichkeitsrecht des Betroffenen sowie die Auswirkungen, die eine Verarbeitung der betreffenden Daten für diesen mit sich bringt, und andererseits die Interessen des Verantwortlichen oder Dritten. Im Rahmen der Abwägung ist auch zu berücksichtigen, von welchen Umständen die betroffene Person vernünftiger Weise ausgehen kann, wenn sie eine Website besucht. Das bedeutet: Solange die von etracker im Auftrag vorgenommenen Datenverarbeitungsprozesse, sich im Rahmen dieser Erwartungen bewegen, lässt es sich vertreten, die Zulässigkeit der entsprechenden Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO zu stützen.

Insoweit ist im Rahmen der Interessenabwägung zu berücksichtigen, dass die von der Web-Analyse betroffenen Personen ein jederzeitiges und umfassendes Widerspruchsrecht haben (Art. 21 Abs. 2 DSGVO), auf das sie ausdrücklich in den Datenschutzhinweisen der Website hinzuweisen sind (Art. 21 Abs. 4 DSGVO). Der Widerspruch hat nach Art. 21 Abs. 3 DSGVO zur Folge, dass personenbezogene Daten für Statistikzwecke nicht mehr verarbeitet, insbesondere verwendet werden dürfen.

Überträgt man die voranstehenden Überlegungen auf den hier zu beurteilenden Sachverhalt, so lässt sich Folgendes festhalten:

1. Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten

Die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder führt ausdrücklich als berechtigte Interessen von Website-Betreibern u.a. die Reichweitenmessung und statistische Analysen sowie die Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer auf.

2. Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen

Gemäß der o.g. Orientierungshilfe muss die Verarbeitung geeignet sein, das Interesse des Verantwortlichen an der statistischen Analyse und Optimierung des Webangebots zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung stehen darf. Bei Einsatz von etracker Analytics ist die Verarbeitung auf das notwendige Maß beschränkt. Die Erhebung deutlich weniger personenbezogener Daten ist technisch nicht möglich, da bereits eine Reduzierung auf das technisch notwendige Maß durch das TCP/IP-Protokoll erfolgt. Eine Übermittlung von personenbezogenen Daten an Dritte findet nicht durch etracker statt.

3. Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall

a) Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit

Bei Nutzung von Websites und Apps erwartet ein Nutzer üblicherweise nicht, dass Nutzerdaten von Dritten zu eigenen Zwecken weiterverarbeitet werden, dass umfangreiche Profile über viele Websites hinweg gebildet oder granulare Sitzungsaufzeichnungen angefertigt und abspielbar gemacht werden (sog. Session Recordings).

Mit etracker Analytics werden die Nutzerdaten ausschließlich im Auftrag für den Diensteanbieter verarbeitet und nicht auch zu eigenen Zwecken mit dem Ziel der Erstellung personenbezogener Werbung, ohne Verknüpfung mit aus anderen Zusammenhängen gewonnener personenbezogener Daten und ohne Weitergabe an Dritte.

b) Interventionsmöglichkeiten der betroffenen Personen (Transparenz & Widerspruchsmöglichkeit)

Das gesetzliche normierte Widerspruchsrecht des Art. 21 Abs. 2 DSGVO wird effektiv gewährleistet. Es ist jederzeit für einen Besucher einer Website, auf der die Technologie von etracker eingesetzt wird, möglich, der Verarbeitung seiner Daten zu widersprechen. Die dazugehörigen Transparenzverpflichtungen können in jeder Hinsicht nach den Anforderungen der Art. 13 und 14 DSGVO eingehalten werden. Hierfür stellt etracker vorformulierte Mustertexte zur Verfügung.

c) Verkettung von Daten

Standardmäßig erfolgt keine Verknüpfung und Anreicherungen von Datensätzen. Die Übergabe geräteübergreifender Identifikatoren ist optional und Bedarf einer gesonderten Risikoüberprüfung.

Die eigentliche Datenverarbeitung erfolgt ausschließlich und ganz bewusst auf pseudonymisierter Basis (vermutlich sogar anonymisierter Basis). Die Pseudonymisierung ist ein wirksames Mittel, den Eingriff in die Rechte des Betroffenen zu reduzieren. Die Kürzung der IP-Adresse erfolgt automatisiert zum frühestmöglichen Zeitpunkt in der Verarbeitung und benötigt keinerlei Anpassung der Einstellungen oder des Tracking Codes. Damit werden die Anforderungen des Art. 5 DSGVO und dessen technisch-organisatorischer Implementierung nach Art. 25 DSGVO, insbesondere Art. 25 Abs. 2 DSGVO (privacy by default) erfüllt. „Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können“ (Art. 4 Nr. 5 DSGVO) werden im Web-Analyse-System standardmäßig nicht gespeichert. Auch sind Identifikatoren nicht vorgesehen, die Rückschlüsse auf die Person des Besuchers ermöglichen würden.

d) Beteiligte Akteure

Als Auftragsverarbeiter operiert etracker als eigenständiges, unabhängiges Unternehmen aus einem Firmensitz und Rechenzentrum in Hamburg heraus. Insbesondere bestehen keinerlei gesellschaftliche Beziehungen zu Unternehmen außerhalb der EU beziehungsweise in unsicheren Drittländern, wodurch die Wahrung der Rechte von Betroffenen erschwert würde.

e) Dauer der Beobachtung

Die Dauer der Beobachtung ist auf maximal einen Tag begrenzt, da alle Besuchskennungen automatisch mit dem jeweiligen Datum verknüpft werden und somit an Folgetagen eine Wiedererkennung von Besuchern im Standard-Modus ausgeschlossen ist.

f) Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)

Selbst bei Einsatz auf Websites, die sich an besonders schutzwürdige Personen wie Kinder richten oder Inhalte zu sensiblen Themen bereitstellen, führt dies nicht dazu, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen höher gewichtet werden. Denn es erfolgt keinerlei Profiling oder besteht die Gefahr der Ausnutzung besonderer Anfälligkeiten.

g) Datenkategorien

Der Eingriff in die Rechte der Betroffenen ist minimal und besitzt keinerlei Rechtswirkung für die betroffenen Personen. Anders als dies beispielsweise bei einer Kreditbewertung durch eine Bank der Fall wäre, geht es bei dem hier vorliegenden Einsatz einzig um die Analysen pseudonymer, wenn nicht gar anonymer Daten im Regelfall in aggregierter Form für einen verbesserten Webauftritt.

h) Umfang der Datenverarbeitung

Es kann festgehalten werden, dass es nicht zu einer Verarbeitung besonders umfangreicher Datensätze oder gar sensitiver Daten kommt. Die Eingriffstiefe ist also gering.

Im Cookie-losen Modus können alle Interaktionen auf der Website in gleicher Form wie beim Cookie-basierten Verfahren erfasst werden. Es ist jedoch ausgeschlossen, dass Nutzerprofile gebildet und Besucher im Zeitablauf „wiedererkannt“ werden (eine Identifikation oder Re-Identifikation ist in beiden Verfahren ausgeschlossen, da die IP-Adresse standardmäßig zum frühestmöglichen Zeitpunkt gekürzt und damit anonymisiert wird).

Im Cookie-losen Standard-Modus werden folgenden Daten erfasst und für die Analyse bereitgestellt:

  • Informationen zum verwendeten Endgerät, Betriebssystem und Browser;
  • Geo-Informationen bis maximal Stadtebene;
  • die aufgerufene URL mit dazugehörigem Seitentitel und optionale Informationen zum Seiteninhalt;
  • die Website, von der auf die aufgerufene Einzelseite gelangt wurde (Referrer-Site inklusive Zuordnung zu Suchmaschinen und Social Media Sites sowie Auslesen von Kampagnen-Parametern);
  • die Folgeseiten, die von der aufgerufenen Webseite aus innerhalb einer einzelnen Website in der Session aufgerufen wurden;
  • die Verweildauer auf der Webseite;
  • weitere Interaktionen (Klicks) auf der Webseite wie eingegebene Suchbegriffe, heruntergeladene Dateien, externe Linkaufrufe, angesehene Videos, Anmeldungen, Anfragen, bestellte Artikel usw.

Nicht möglich ist das Ausweisen von eindeutigen Besucherwerten, die Häufigkeitsverteilung von Sessions pro Besucher im Zeitraum sowie die Verkettung von Besuchen zu Customer Journeys bzw. Konversionspfaden, die sich über mehrere Besuche über längere Zeiträume als 24 Stunden oder über mehrere Endgeräte hinweg ergeben.

Fazit

Wir halten es vor diesem Hintergrund für vertretbar, dass die dargestellte Datenverarbeitung im Cookie-less Modus auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. mit Einsatz von Cookies auf Basis von Art. 6 Abs. 1 lit. a DSGVO gerechtfertigt werden kann, unter der Voraussetzung, dass Besucher im Rahmen ihrer Datenschutzerklärungen auf den Einsatz dieser Technologie von etracker hingewiesen werden und ihnen die Opt-out-Möglichkeit gegeben wird. Ein Auftragsverarbeitungsvertrag ist verpflichtend abzuschließen. Hierzu bieten wir eine Vorlage unter https://www.etracker.com/av-vertrag/ an, die mit Beauftragung oder Anmeldung elektronisch abgeschlossen werden kann.

Rechtsgrundlage Einwilligung versus berechtigtes Interesse

In einem aktuellen Urteil führt das Verwaltungsgericht Mainz (Urteil vom 20.02.2020 – 1 K 467/19.MZ, BeckRS 2020, 5397) aus:

„Schließlich sind die in Art. 6 Abs. 1 DSGVO enthaltenen Zulässigkeitstatbestände ihrer rechtlichen Funktion nach gleichwertig und gelten nebeneinander, ohne dass von einem Stufenverhältnis ausgegangen werden müsste. Aus der Aufzählung der verschiedenen Zulässigkeitstatbestände kann nicht geschlossen werden, dass es sich bei der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO um einen vorrangigen Erlaubnistatbestand handelt und etwa die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO als ultima ratio zu verstehen ist. Die gesetzlichen Erlaubnistatbestände berücksichtigen insofern nicht nur das Datenschutzinteresse der betroffenen Personen, sondern auch die anerkennenswerten Interessen des Verantwortlichen an einer ausnahmsweise zulässigen Datenverarbeitung (vgl. Schulz, in: Gola, DSGVO, 2. Aufl. (2018), Art. 6, Rn. 10).“

Die ebenso mögliche Einwilligung ist daher nicht „besser“ oder datenschutzfreundlicher als die Verarbeitung auf Basis berechtigter Interessen. Vielmehr bringt die Einwilligung eine Vielzahl zusätzlicher Anforderungen mit sich, um als wirklich aktiv, freiwillig und informiert Gültigkeit zu besitzen. Man könnte sogar argumentieren, dass es eher im Interesse der Nutzer ist, von einer datenschutzfreundlichen Verarbeitung ausgehen zu können als um Zustimmung in dieser oder ähnlicher Form gebeten zu werden: „Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu zählen Cookies, Pixel und vergleichbare Technologien, auch von Dritten, die für den Betrieb der Seite und für die Steuerung von Inhalten und personalisierten Werbeanzeigen auf unserer Website, Social Media und Partnerseiten genutzt werden.“ In den wenigsten Fällen dürfte Nutzern bei der Konfrontation mit derartigen Dialogen weder das Ausmaß und die Risiken der damit verbundenen Datenverarbeitung bewusst sein, noch dürften sie in der Lage sein, die Auswirkungen ohne erheblichen Aufwand,Recherche und Fachwissen vernünftig bewerten zu können.

Die Rechtsgrundlage des berechtigten Interesses entspricht somit bei nicht missbräuchlichem Einsatz der etracker Technologie dem Grundsatz von Privacy by Design bzw. Privacy by Default.

Bitte beachte: Wir haben diesen Artikel nach ausgiebiger Recherche, Gesprächen mit auf Datenschutzrecht spezialisierten Fachanwälten sowie der externen Prüfung der etracker Lösungen und Auszeichnung mit dem ePrivacyseal verfasst. Dieser Artikel stellt keine Rechtsberatung dar. Bitte beachte auch die zugehörigen Hinweise zum Datenschutz gemäß unserer Allgemeinen Geschäftsbedingungen sowie der Vereinbarung zur Auftragsverarbeitung.