Öffentliche Stellen, die etracker einsetzen, begründen den Einsatz mit Art. 6 Abs. 1 Satz 1 lit. e DSGVO zur Wahrnehmung öffentlicher Aufgaben bzw. zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, nämlich dem Betrieb von Websites und der dazugehörigen Analyse und Optimierung. Entscheidend für die Frage der Einwilligungspflicht ist hierbei das Kriterium der Erforderlichkeit im Sinne von Datensparsamkeit und Datenminimierung. Es ist stets zu prüfen, ob überhaupt personenbezogene Daten verarbeitet werden müssen und wenn ja, ob für die Erreichung des Zwecks kein milderes gleich geeignetes Mittel zur Verfügung steht.
Beim Einsatz von etracker im Cookie-losen Standard wird das mildeste für die Aufgabe zur Verfügung stehende Mittel gewählt. Denn es werden nur pseudonyme Besuchs-Kennungen aus dem User Agent, der pseudonymisierten (unmittelbar gekürzten) IP-Adresse sowie dem Tagesdatum erzeugt, die eine Profilbildung sowie Wiedererkennung an Folgetagen per se ausschließen. Der Experte für Datenschutzrecht RA Thomas Brehm argumentiert sogar, dass dadurch kein Personenbezug vorliege. Die DSGVO fingiere keinen Personenbezug, so Brehm, für alle Online-Kennungen. Vielmehr komme es auf den Personenbezug bzw. die Personenbeziehbarkeit im konkreten Einzelfall an (so auch Hanloser: Geräte-Identifier im Spannungsfeld von DS-GVO, TMG und ePrivacy-VO Zeitschrift für Datenschutz (ZD) 2018, 213). Aufgrund der wenigen Informationselemente sowie der expliziten zeitlichen Limitierung sei es ausgeschlossen, dass eine Einzelperson verknüpft und somit identifiziert oder identifizierbar gemacht werden kann.
Mitunter besteht die Annahme, die Aufsichtsbehörden sähen lokale Implementierungen von Analyse-Software wie Piwik/Matomo als mildestes Mittel an. Dies ist jedoch nicht so. Vielmehr wird es in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien nur als Beispiel für ein im Vergleich zu Diensten wie Google Analytics milderes Mittel erwähnt: „Das Ziel – Reichweitenmessung – kann auch mit milderen, gleich geeigneten Mitteln erreicht werden, die deutlich weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln (z. B. ohne Einbindung Dritter über eine lokale Implementierung einer Analysesoftware).“ Insbesondere muss der Verantwortliche bei Einsatz einer lokalen Implementierung ein geeignetes Sicherheitsniveau gegen unberechtigte Zugriffe sicherstellen, was SaaS-Anbieter wie etracker mit dedizierten System-Administratoren, unabhängigen Penetrationstests und Ähnlichem gewährleisten können. Insofern ist das Schutzniveau bei einer SaaS-Lösung im Regelfall höher einzuschätzen als bei einer lokalen Implementierung.
Auch die gemäß BGH-Urteil geforderte Einwilligung bei Speicherung von Daten auf oder Auslesen von Daten aus dem Endgerät des Nutzers bzw. wie von § 15 Abs. 3 Satz 1 TMG bei der Erstellung von Nutzerprofilen zum Zwecke der Werbung oder Marktforschung trifft beim Cookie-losen Session Tracking von etracker nicht zu. Es werden explizit keine Nutzerprofile erstellt, genauso werden weder Daten über Cookies und ähnliche Technologien im Endgerät gespeichert noch aus dem Endgerät ausgelesen. Es werden nur technische Daten erfasst, die der Browser an den Webserver sendet und über die kein Personenbezug herstellbar ist. Denn selbst in Kombination sind die Daten wie Betriebssystem, Browser, Gerätetyp und Stadt viel zu grob, um auf eine Person oder einen Rechner zurückzuschließen.
Des Weiteren machen das DSK-Papier von 2019 zum Tracking sowie die Pressemitteilungen der Aufsichtsbehörden zum Einsatz von Google Analytics vom November 2019 deutlich, dass keine generelle Einwilligungspflicht beim Tracking angenommen wird. So heißt es in der Begründung für die Einwilligungspflicht zu Google Analytics: „Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.“ Im Umkehrschluss heißt dies: Ein Tracking mit reiner Auftragsverarbeitung ist einwilligungsfrei möglich, sofern nicht gegen das Grundprinzip der zweckgemäßen Erforderlichkeit verstoßen wird, keine Nutzerprofile erstellt und keine Cookies eingesetzt werden. Denn die Aufsichtsbehörden haben ja gerade nicht behauptet, der Einsatz von Google Analytics sei genauso einwilligungspflichtig wie der Einsatz von anderen Tracking-Lösungen. Vielmehr begründet sich die Einwilligungspflicht aus der Tatsache, dass Google ebenfalls ein Anrecht auf die Daten erhebt und diese mit eigenen Daten bzw. mit Daten von anderen Websites verknüpft. All dies ist bei etracker nicht der Fall.
Nach dem jüngsten EuGH-Urteil zum Privacy Shield kommt zu den Anforderungen noch hinzu, dass eine Verarbeitung von personenbezogenen Daten am besten nur innerhalb der EU erfolgen sollte, um eine DSGVO-konforme Verarbeitung sicherzustellen und so keine hohen Bußgelder fürchten zu müssen. Auch hierbei gilt in Bezug auf etracker, dass die Verarbeitung ausschließlich in der EU, genauer in Deutschland, stattfindet.
In einem unabhängigen Audit durch die ePrivacy GmbH wurden alle etracker Produkte vor dem Hintergrund er DSGVO-Konformität geprüft und mit dem ePrivacy Seal ausgezeichnet. Im Fazit des Gutachtens heißt es: „Im Cookie-less Modus (Standardmodus) ist ein Einsatz von etracker Analytics ohne jedwede Einwilligungspflicht rechtmäßig.“ Damit wird auch die Anforderung der Datenschutzkonferenz erfüllt: „Verantwortliche müssen im Rahmen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachweisen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt.“
Somit bietet etracker die perfekte Tracking-Lösung für Öffentliche Stellen – DSGVO-konform, Datenspeicherung ausschließlich in Deutschland und mit den Prämissen der Datensparsamkeit und Datenhoheit der Kunden.