Mit einem Satz haben die Aufsichtsbehörden in einem Positionspapier der Datenschutz-Konferenz vom 26. April 2018 die Online-Branche verunsichert:
„Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen.“
Viele Kommentatoren haben daraus geschlossen, dass ab dem 25. Mai 2018 generell der Einsatz von Web-Analyse und Werbe-Tracking nur noch mit Opt-In gesetzeskonform möglich sein wird, egal wie intensiv die jeweilige Lösung in die Privatsphäre und Persönlichkeitsrechte der Betroffenen eingreift.
Aber:
Ist diese Lesart des DSK-Dokuments richtig und verlässlich? Spielt die Menge und Nutzung der gesammelten Daten wirklich keine Rolle bei der Beurteilung, und werfen unsere Aufsichtsbehörden tatsächlich undifferenziert alle Tools und Technologien in einen Topf?
Wir haben natürlich bei den Aufsichtsbehörden nachgefragt. Dabei wurde uns bestätigt, dass gemäß Punkt 8 des Positionspapiers „eine Interessenabwägung im Einzelfall auf Grundlage des Artikel 6 Absatz 1 Buchstabe f) DSGVO geprüft werden“ müsse. Die von uns nach der Konferenz kontaktierten Aufsichtsbehörden haben unserer begründeten Auffassung nicht widersprochen, dass der Einsatz unserer Technologie nach Maßgabe der Datenschutzgrundverordnung ohne vorherige Einwilligung der Besucher rechtmäßig möglich ist.
Auch das am 8. Mai 2018 erschienene Statement der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) stützt in ihrem Statement vom 08.05.2018 unsere Ansicht und sagt:
„Werbung stellt jedoch nach der DS-GVO grundsätzlich ein berechtigtes Interesse im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO dar, das dem Regelungsverständnis der DS-GVO nach jedenfalls grundsätzlich nicht von einer Einwilligung abhängig ist. Wenn nach ErwG. 47 DS-GVO die Direktwerbung ein berechtigtes Interesse des werbenden Unternehmens sein kann, muss in der Konsequenz auch das Tracking von Nutzerverhalten als weniger stark in das Persönlichkeitsrecht eingreifende Maßnahme grundsätzlich zulässig sein…“
https://www.gdd.de/aktuelles/startseite/zulaessigkeit-des-tracking-nach-der-ds-gvo
Insofern ist nicht von einer pauschalen Einwilligungspflicht auszugehen. Vielmehr dürften nur bestimmte Arten des Trackings oder der Erstellung von Nutzerprofilen betroffen sein. Nach unserer Einschätzung sind die deutschen Aufsichtsbehörden der Ansicht, dass Web Analytics und der Einsatz diesbezüglicher Tools dann einer Einwilligung des betroffenen Nutzers bedarf, wenn das Nutzerverhalten im Internet insbesondere über verschiedene Websites hinweg nachvollziehbar wird. Im Visier der Datenschützer sind Datensammler, -händler und -vermarkter, die in großem Stil Verhaltens- und Persönlichkeitsprofile der Betroffenen erstellen.
Man muss nur einen Blick in Googles neue Datenschutzerklärung, wirksam ab 25. Mai 2018, werfen, um die Stellungnahme der Datenschützer nachzuvollziehen. Dort heißt es:
„Wenn Sie Websites besuchen, auf denen Google Analytics eingesetzt wird, werden Google und der Google Analytics-Kunde gegebenenfalls Daten über Ihre Aktivitäten auf dieser Website mit Aktivitäten auf anderen Websites verknüpfen, auf denen ebenfalls unsere Werbedienste genutzt werden.“
Dass unsere Aufsichtsbehörden hierfür die Zustimmung der Nutzer auf den entsprechenden Websites fordern, ist einleuchtend. Die Einwilligungspflicht kann selbstverständlich nicht entfallen, wenn der gigantischen Datenverknüpfung durch Einsatz des hauseigenen Web-AnalyseTools Vorschub geleistet wird.
In scharfem Kontrast hierzu ist etracker Analytics technisch konsequent darauf ausgerichtet, dass eine Zusammenführung des Nutzerverhaltens über verschiedene Kunden nicht durchgeführt werden kann. Daten, die möglicherweise einen Bezug zu einer einzelnen Person zulassen, wie die IP-Adresse, werden zudem nach dem Grundsatz des „eingebauten Datenschutzes“ (Privacy by Design) nur verkürzt gespeichert, so dass ein Rückschluss auf den einzelnen Besucher nicht möglich ist.
So einleuchtend es auch ist, dass etracker Analytics und Google Analytics im Hinblick auf Datenschutz und DSGVO-Einwilligungspflicht nicht undifferenziert in einen Topf geworfen werden können, so kann angesichts der schwebenden Debatte aktuell keine 100%ige Rechtssicherheit gegeben werden. Selbst das Rechtsgutachten im Rahmen unseres EU-DSGVO-Audits und der Compliance-Zertifizierung mit Verleihung des ePrivacy Gütesiegels stellt keine abschließende rechtssichere Beurteilung dar. Diese wird es voraussichtlich auch erst geben, wenn die ePrivacy Verordnung klare Regeln in Bezug auf die „Messung des Webpublikums“ schafft und der Europäische Gerichtshof urteilt.
Wir empfehlen, nicht vorschnell auf Basis eines unkonkreten Statements vom Opt-Out zu einem Opt-In zu wechseln. Sollten Sie sich jedoch für ein Opt-In beim Einsatz von etracker entscheiden, so können Sie jederzeit im Handumdrehen den von uns bereitgestellten Einwilligungs-Dialog in Ihren Account-Einstellungen aktivieren. Dabei erteilte Einwilligungen werden automatisch dokumentiert und lassen sich zum Nachweis als CSV-Datei herunterladen.
Bei Fragen wenden Sie sich gern an unsere Datenschutzbeauftragte Elke Hollensteiner unter 040 55 56 59 52 oder privacy@etracker.com.