Logo der activeMind AG

Geräteübergreifendes Tracking aus Sicht des Datenschutzes

Inhalt

Wenn ein Internetnutzer sich ein Produkt nicht nur auf dem Laptop, sondern auch auf dem Tablet oder dem Smartphone ansieht, ist das ein Problem für Analyse- und Werbedienste: Sie erhalten kein einheitliches Bild mehr vom Verhalten des Nutzers. Die Lösung ist das „Cross-Device-Tracking“, also Technologien, die eine geräteübergreifende Profilbildung des Nutzers ermöglichen. Was technisch mittlerweile möglich ist, muss deswegen aber noch lange nicht datenschutzkonform sein. Deshalb analysiert dieser Artikel zunächst die wesentlichen rechtlichen Gesichtspunkte von Nachverfolgungstechnik, um anschließend die datenschutzrechtliche Zulässigkeit unterschiedlicher Cross-Device-Tracking-Technologien zu besprechen.

Ausgangspunkt: Persönlichkeitsprofile im Marketing

Ziel moderner Online-Werbung ist es, Nutzer möglichst individualisiert anzusprechen. Denn je näher eine Werbung den Interessen eines Nutzers kommt, desto wahrscheinlicher ist es, dass dieser die eingeblendete Werbung beachtet, anklickt und sich sogar mit dem darin beworbenen Produkt näher auseinandersetzt. Die individualisierte Ansprache ist also der Türöffner für die weitere Kommunikation mit dem Nutzer im Netz.

Voraussetzung für individualisierte Werbung sind personenbezogene Daten. Daten also, die dem Verhalten oder dem Wesen eines einzigen Menschen zugeordnet werden können. Nach Ansicht der Datenschutzaufsichtsbehörden liegen personenbezogene Daten bereits dann vor, wenn durch In-Beziehung-Setzen einzelner zeitlich voneinander getrennter Verhaltensabläufe, die isoliert noch nichts Einzigartiges über eine Person besagen (z.B.: „Besuch der Webseite XY am 18.01.2016 um 10:15 Uhr“), auf eine identische Person geschlossen werden kann. Das In-Beziehung-Setzen einzelner Verhaltensabläufe einer Person in einem Verhaltensprofil ist in diesem Sinn mehr, als die Momentaufnahme eines einzelnen Verhaltensablaufes.

Folgendes analoges Beispiel soll dies verdeutlichen: Betrachte ich in der S-Bahn eine unbekannte Person, handelt es sich hier um eine Momentaufnahme. Begegne ich dieser Person später durch Zufall wieder, „kenne“ ich die Person zwar noch immer nicht (ihr Name, ihre Telefonnummer etc. sind mir weiterhin unbekannt), jedoch weiß ich, dass die Person wenige Stunden vorher in der S-Bahn unterwegs war. Ich habe somit (ungewollt) bereits ein kleines Profil der Person gebildet.

Tracking in bestimmten Grenzen zulässig

Erfolgt eine solche Profilbildung durch Einsatz automatisierter Nachverfolgungstechnik im Netz (Tracking), ist aus datenschutzrechtlicher Sicht im Zweifel von der Erhebung personenbezogener Daten auszugehen. Personenbezogene Daten liegen demzufolge dann vor, wenn es möglich ist, eine Person auf ihr Verhalten in der Vergangenheit gezielt anzusprechen. Dies ist auch dann möglich, wenn der Name oder andere eindeutige Identifikationsmerkmale der Person nicht bekannt sind, sie aber schon früher beobachtet wurde und man eben dieses weiß.

Im Gesetz ist nicht geregelt, welche Trackingtechnologien unter welchen Umständen angewandt werden dürfen. Geregelt ist dagegen insbesondere,

  1. dass nur Nutzungsdaten – z. B. Daten zum Klickverhalten auf einer Website – für eine Profilerstellung genutzt werden dürfen und
  2. dass diese Nutzungsdaten nur pseudonymisiert gesammelt und verarbeitet werden dürfen.

Eine Zusammenführung der Nutzungsdaten mit eindeutigen Identifikationsmerkmalen wie dem Namen oder der Telefonnummer ist somit nicht erlaubt. Da nach der Rechtsprechung des Bundesgerichtshofs (BGH) auch die dynamische IP-Adresse als personenbezogenes Datum einzuordnen sind – und in ihr insoweit ein „Datum über den Träger des Pseudonyms“ (§ 15 Abs. 3 TMG) gesehen werden kann – darf die ungekürzte IP-Adresse nicht in das Nutzungsprofil einfließen.

Eine Zusammenführung von eindeutigen Identifizierungsmerkmalen und Nutzungsdaten kann mit einem Bußgeld von bis zu 50.000 Euro bestraft werden. Grundsätzlich darf ferner nur Online-Verhalten, nicht jedoch Offline-Verhalten für die Erstellung der Nutzungsprofile erfasst werden.

In Rechtsprechung und Literatur ist nach wie vor ungeklärt, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen und von wem sie eigenverantwortlich erstellt werden dürfen. Ist es nur dem Websitebetreiber erlaubt, Nutzungsprofile zu erstellen? Oder auch, wie es zumeist der Fall ist, einem Werbenetzwerk, dem der Websitebetreiber Zugang zu den Daten verschafft?

Geräteübergreifendes Tracking mit Vertrag – der Marketingvorteil sozialer Netzwerke & Konsumplattformen

Anbieter großer Werbenetzwerke wie Google und Facebook und große Konsumplattformen wie Amazon können im Gegensatz zu kleinen Websitebetreibern auf sehr viele detaillierte Profile zugreifen. Darüber hinaus haben sie einen ganz entscheidenden weiteren Vorteil: Sie stehen mit den vielen, wenn nicht sogar mit den meisten der Personen, die ihre Website oder eine Website ihrer Kooperationspartner besuchen, in einer vertraglichen Beziehung. Wer bei Amazon etwas kaufen möchte, muss zuvor ein Konto anlegen. Ebenso muss sich registrieren, wer sich bei Facebook mit seinen Freunden vernetzen oder aber über Google-Play eine App installieren möchte. Mit der Registrierung willigt der Nutzer darin ein, getrackt zu werden. So ist bei Amazon die Anmeldung nur möglich, wenn man den „Bestimmungen zu Cookies & Internet-Werbung“ zustimmt, in denen u.a. folgende Passage zu finden ist:

„Cookies werden von uns außerdem noch zu anderen Zwecken verwendet. Zum Beispiel können wir: […] Sie automatisch erkennen, wenn Sie sich auf unserer Website anmelden. Dadurch können wir Ihnen gezielte Produktempfehlungen geben, auf Sie individuell zugeschnittene Inhalte anzeigen, Sie als Prime-Kunden erkennen und Ihnen die Option “Bestellung mit 1-Click®” sowie zahlreiche weitere Funktionen und Dienste anbieten.“

Da sich der Nutzer über alle Amazon-Applikationen und Websites mit dem gleichen Konto anmeldet, ist es für Amazon sehr leicht, Daten über die Nutzung seiner unterschiedlichen Dienste zusammenzuführen und auszuwerten. Dies gilt natürlich auch für das Cross-Device-Tracking, also die Erstellung eines Nutzungsprofils auf Basis von Daten unterschiedlicher Geräte. So können Daten, die über ein Log-In eines stationären Geräts in einem Cookie gespeichert werden, mit Daten zusammengeführt werden, die Tablet oder Smartphone derselben Person über eine Werbe-ID erfassen. Anschließend kann z. B. ausgewertet werden, welche Kategorie von Produkten die getrackte Person auf welchem Gerät kauft und über welchen Werbekanal sie zu welcher Zeit am besten erreichbar ist. Um den Nutzer schließlich zu bewerben, braucht dieser gar nicht mehr eingeloggt sein. Die Informationen zu ihm sind ja bereits auf seinem Betriebssystem in der Werbe-ID bzw. im Cookie gespeichert und können jederzeit ausgelesen werden.

Geräteübergreifendes Tracking ohne Vertrag

Der Predictive-Ansatz – Wahrscheinlichkeiten auf Basis vieler Daten

Schwierig wird das geräteübergreifende Tracking hingegen, wenn mit dem Nutzer keine vertragliche Beziehung und somit auch kein identifizierbares Nutzerkonto besteht.

Führen wir das obige Beispiel aus der analogen Welt fort: Möchte ich jemanden mit dem Beobachten der von mir mehrfach gesehenen Person beauftragen, muss dieser Jemand wissen, wie er die Person identifizieren kann. Die nächstliegende Methode wäre hier, möglichst genaue Informationen zu der Person zu übermitteln, damit gezielt nach einer Person Ausschau gehalten werden kann, die diesem Profil entspricht. Ein solches Profil könnte etwa wie folgt lauten: „Männliche Person mit heller Jeans, grauer Jacke und schwarzem Hut steigt morgens um 08:15 Uhr an der S-Bahnstation Heidelberger Platz in den ersten Wagen der S41“. Der Beobachter hätte so konkrete Anhaltspunkte und eine gewisse Wahrscheinlichkeit, die beschriebene Person am Folgetag in der S-Bahnstation anzutreffen.

Ganz ähnlich funktioniert das geräteübergreifende Tracking mit der „Probalistic-Predictive-Method“: Anhand von massenhaft gesammelter Daten zu Standort, technischen Eigenschaften und aufgerufenen Websites schaffen es Unternehmen wie Drawbridge, AdTruth und TapAd nach eigenen Aussagen, Auswertungen verschiedener Geräte einer einzigen Person zuzuordnen und so eine durchgehende Customer-Journey (also den Weg des Kunden auf verschiedenen Endgeräten) aufzuzeigen. Die Probalistic-Predictive-Method lässt sich auch mit der Log-In-Methode (Deterministic-Method) verbinden, indem einer Person, die bereits über ein Log-In identifiziert wurde, weitere (wahrscheinliche) Interessen zugeschrieben werden.

Die Silverpush-Technologie – wenn TV & Smartphone kommunizieren

Allein der Kontext eines durch den Nutzer aufgerufenen Mediums verrät oft schon viel über dessen (vermeintliche) Vorlieben. Entscheidet sich eine Person etwa dazu, eine bestimmte Fernsehsendung zu sehen, nimmt sie damit bestimmte Werbeeinblendungen in Kauf, von denen die Werbetreibenden annehmen, dass sie zur Sendung und dem durchschnittlichen Zuschauer passen. So ist es durchaus nicht unwahrscheinlich, dass sich eine Person, die ein FC Bayern München-Spiel im Fernsehen verfolgt und in der Werbepause einen Werbespot der Paulaner Brauerei anschaut (die favorisierte Biermarke des Vereins), sich für Bier interessiert und deswegen für die im Spot beworbene Marke zu gewinnen ist. Wäre es da nicht praktisch, wenn der Fernsehzuschauer noch während des Spiels zusätzliche Informationen zum Bier und ein dazu passendes Gewinnspiel auf seinem Smartphone erhielte?

Mit der Silverpush-Technologie ist das – aus technischer Sicht – kein Problem mehr, denn der Fernseher kann mit dem Smartphone des Fußballfans kommunizieren, das neben diesem auf dem Sofa liegt. Das TV-Gerät informiert das Smartphone (genauer gesagt: bestimmte Apps, in die die Silverpush-Technologie integriert ist) z. B. über den Werbeinhalt, über die Fernsehsendung und über technische Daten des Fernsehgeräts. Die App sendet diese Daten dann inklusive Daten zum Smartphones (z. B. MAC-Adresse, Geräte-ID, Telefonnummer) weiter an Silverpush.

Die Auswertung der Daten ermöglicht es u.a. festzustellen, wann der Fernsehzuschauer von einem Programm zum nächsten zappt oder aber aktiv auf dem Smartphone nach weiteren Informationen zum beworbenen Produkt sucht. Der Fernsehzuschauer erfährt hiervon gar nichts, da die Kommunikation zwischen Fernseher und Smartphone über hochfrequente, für das menschliche Ohr nicht wahrnehmbare Signale erfolgt. Diese Klangschnipsel, sogenannte Sound-Beacons, werden direkt in den Werbespot eingebettet.

Welches geräteübergreifende Tracking ist rechtskonform?

Ob eine Tracking-Methode zulässig ist, hängt zunächst davon ab, ob entweder eine gesetzliche Erlaubnis für die Datenverarbeitung besteht oder der Betroffene in die Datenverarbeitung eingewilligt hat. Für die Profilbildung mittels Nutzungsdaten sieht das Gesetz die bereits angesprochene Erlaubnis vor (§ 15 Abs. 3 TMG). Da im Falle des Trackings registrierter Nutzer jedoch in der Regel nicht nur Nutzungsdaten, sondern auch Bestandsdaten und Inhaltsdaten verarbeitet werden (und somit ein von den Aufsichtsbehörden so bezeichnetes „explizites Profil“ vorliegt) ist die Erlaubnisnorm hier nicht anwendbar; eine Einwilligung des Nutzers ist erforderlich.

Bei der Probalistic-Predictive-Method werden zwar nach Aussage der Anbieter lediglich statistische Daten verarbeitet. Da das Ziel der Datenverarbeitung jedoch – wie bei herkömmlichen Tracking-Verfahren – das Erstellen eines möglichst präzisen Persönlichkeitsprofils ist, sollte aus rechtlicher Sicht von der Verarbeitung personenbezogener Daten ausgegangen werden. Dies trifft allemal dann zu, wenn IP-Adressen verarbeitet werden.

Davon zu trennen ist die Frage nach der Kategorie der Daten: Werden ausschließlich Nutzungsdaten verarbeitet, also keine Bestands- und Inhaltsdaten, kann die Probalistic-Predictive-Method auf § 15 Abs. 3 TMG gestützt werden. Nach derzeitiger Rechtslage besteht hier allerdings das Problem, dass nicht klar ist, ob nur der jeweilige Websitebetreiber oder aber auch der Anbieter der Probalistic-Predictive-Technologie (hierbei kann es sich zum Beispiel um das Werbenetzwerk Adform handeln, das die AdTruth-Technologie nutzt) die Daten eigenverantwortlich verarbeiten darf. Fraglich ist auch, wie lange die erstellten Nutzungsprofile aufbewahrt werden dürfen.

In jedem Fall müsste der Nutzer gemäß § 13 Abs. 1 TMG über Art, Umfang und Zwecke der Erhebung und Verwendung seiner Daten sowie über die ggf. erfolgende Verarbeitung in Drittstaaten (= Staaten außerhalb des EU- bzw. EWR-Raums) und sein jederzeitiges Widerspruchsrecht aufgeklärt werden. Die Unterrichtung muss in allgemein verständlicher Form erfolgen. Neben diesen Hinweisen empfiehlt es sich, eine skriptbasierte Widerspruchsmöglichkeit (mit der Wirkung eines Cross-Screen-Opt-outs) in die Datenschutzerklärung einzubinden.

Die Informationspflicht resultiert aus dem datenschutzrechtlichen Transparenzprinzip. Die Anwendung dieses Prinzips soll den Betroffenen befähigen, gegen eine ggf. rechtswidrige Verarbeitung seiner Daten vorzugehen. Transparente Informationen über eine Datenverarbeitung ermöglichen so erst, dass der Betroffene sein grundrechtlich geschütztes Recht auf informationelle Selbstbestimmung wahrnehmen kann. Der Betroffene soll, so jedenfalls die Idee, Herr seiner Daten bleiben.

Dies ist beim aktuell praktizierten Einsatz der Silverpush-Sound-Beacon-Methode ganz offensichtlich nicht der Fall. Denn der Betroffene weiß hier gar nicht, dass eine Datenverarbeitung stattfindet. Ein rechtskonformer Einsatz von Sound-Beacons würde daher voraussetzen, dass der Nutzer in allgemein verständlicher Weise über den Einsatz der Technologie und über die übrigen in § 13 Abs. 1 TMG genannten Angaben informiert wird. Allerdings werden beim Einsatz von Silverpush ohnehin nicht nur Nutzungs-, sondern auch Bestands- und Inhaltsdaten (z. B. Telefonnummern) verarbeitet, weshalb der Einsatz der Technologie ohne aktive Einwilligung des Betroffenen nach europäischem Recht klar rechtswidrig ist.

Trotz fehlender Einwilligungsmöglichkeit ist die Technologie derzeit einer Stellungnahme des Center for Democracy and Technology (CDT) zufolge in sechs bis sieben Apps integriert, die wiederum auf 18 Millionen Smartphones installiert sind. Hier ist es nur folgerichtig, dass etwa das Antiviren-Unternehmen Avira die Notbremse zog, die Silverpush-Lösung als Trojaner klassifizierte und entsprechend blockiert. Die fehlende Rechtssicherheit verfügbarer Cross-Device-Methoden ist sicher auch ein Grund dafür, dass nach einer Studie des deutschen Werbenetzwerkes intelliAD gerade einmal 15 % der Verantwortlichen für Online-Marketing in Deutschland Cross-Device-Technologien nutzen.

Fazit: Datenschutz von Anfang an berücksichtigen

Aus Sicht werbetreibender Unternehmen bleibt zu hoffen, dass die Hersteller moderner Tracking-Technologien wie den Sound-Beacons in Zukunft von Anfang an das Datenschutzrecht beachten und von sich aus auf einen datenschutzkonformen Einsatz ihrer Technologie hinwirken. Andernfalls besteht die Gefahr, dass vielversprechende und kreative Technologien als nicht-einsatzfähig verworfen werden, weil etwa die Möglichkeit einer rechtskonformen und gleichzeitig userfreundlichen Einwilligung unberücksichtigt bleibt. Anders formuliert: Selten ist eine datenverarbeitende Technologie als solche rechtswidrig; auf ihren rechtskonformen Einsatz kommt es an!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.