Logo der activeMind AG

Online-Tracking-Tools DSGVO-konform auswählen und einsetzen (Anleitung)

Inhalt

Das Tracking von Websitebesuchern und die Analyse von deren Verhalten ist im Online-Marketing weit verbreitet. Da hierbei jedoch personenbezogene Daten im Spiel sind, gibt es beim Einsatz von Tracking-Tools gewisse Bedenken hinsichtlich des Datenschutzes und der Privatsphäre der Websitebesucher. In unserer kompakten Anleitung erfahren Sie, worauf Sie bei der Auswahl und dem Einsatz von Tracking-Tools achten sollten.

Datenschutz beim Online-Tracking

Der Datenschutz und insbesondere die Rechte der Nutzer dürfen durch die Einbindung von Tracking-Technologien auf Websites nicht geschmälert werden. Die Beauftragung von Tracking-Anbietern mag die Marketing-Aktivitäten vereinfachen, aber Websitebetreiber müssen sich bewusstmachen, dass dies die Verantwortlichkeit und das Risiko eines Haftungsfalls erweitert.

Das Thema Tracking steht auch im besonderen Fokus der Aufsichtsbehörden. Es ist daher essenziell, dass Sie die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) beim Einsatz von Tracking-Tools beachten.

Website scannen

Bevor Sie sich als Websitebetreiber Gedanken über die innovativen Funktionen und Features der verschiedenen Tracking-Anbieter machen, empfiehlt es sich, zunächst die eigene Website zu scannen, um zu überprüfen, ob bzw. welche Tracking-Tools aktuell auf der Website bereits eingesetzt werden.

Gerade bei größeren Unternehmen oder bereits lange bestehenden Websites kann man leicht den Überblick über bereits eingesetzte Tools verlieren und es verwundert so manche Websitebetreiber, wenn sie vom Datenschutzbeauftragten aufgezeigt bekommen, wie viele Tools bereits im Hintergrund auf der Website eingebunden sind.

Tracking auf das Notwendige reduzieren

Als Unternehmer sollten Sie stets bedenken, dass Daten Verantwortung bedeuten. Je mehr Daten beim Tracking gesammelt werden, desto mehr wächst Ihre Verantwortung. Für sämtliche Daten müssen Sie strenge datenschutzrechtliche Anforderungen erfüllen sowie technische und organisatorische Maßnahmen (TOM) für die Datensicherheit ergreifen.

In der Regel möchten Websitebetreiber so viele Informationen über ihre Websitebesucher wie nur möglich sammeln, da Nutzerdaten viele Marketing-Vorteile mit sich bringen.

Jedoch ist es für die meisten Unternehmen in der Regel unmöglich, das ganze gesammelte Datenmaterial über ihre Websitebesucher am Ende zielgerichtet auszuwerten. Üblicherweise wird nur ein Teil des Datenmaterials tatsächlich genutzt. Der Rest der gesammelten Daten ist für das Unternehmen von keinerlei Wert – dennoch erfordern diese Daten die gleiche datenschutzrechtliche Behandlung wie die nutzbaren bzw. genutzten Daten.

Deshalb sollten Websitebetreiber von Beginn an festlegen, welche Daten gesammelt werden sollen bzw. welchen Nutzen sie von welchen Daten ziehen können. Im Nachgang sollte überprüft werden, ob dieser Nutzen in einem angemessenen Verhältnis zu den Ressourcen steht, die man für die Erhebung und Speicherung der Daten sowie für die Erfüllung datenschutzrechtlicher Anforderungen benötigt.

Diese Vorgehensweise entspricht auch dem Grundsatz der Datenminimierung, gemäß dem die Datenverarbeitung nur auf die Daten beschränkt werden soll, die für die Erfüllung konkreter Zwecke tatsächlich erforderlich sind.

Rechtsgrundlage ermitteln

Wie jede andere Verarbeitung personenbezogener Daten erfordert auch das Tracking eine Rechtsgrundlage. Diese kann in der Einwilligung der betroffenen Websitebesucher oder dem berechtigten Interesse des Websitebetreibers liegen.

Tools zur rein statistischen Auswertung und Reichweitenmessung können unter gewissen Voraussetzungen auf eine dokumentierte Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO gestützt werden, etwa wenn lediglich die Server-Log-Files ausgewertet werden. Der Websitebetreiber hat nämlich ein berechtigtes Interesse daran, seine Website den Nutzerpräferenzen entsprechend auszugestalten, indem er gewisse Informationen verarbeitet, z.B. Besucherzahlen, Klickzahlen, usw. Dies ist natürlich nur dann möglich, wenn auch nach dem TTDSG keine Einwilligung notwendig ist.

Wenn der Websitebetreiber jedoch ein umfangreicheres Tracking durchführen und dabei ggf. auch Cookies einsetzen möchte, muss er im Vorfeld die Einwilligung seiner Websitebesucher einholen.

Für die Ermittlung der passenden Rechtsgrundlage kommt es demnach auf die Ausgestaltung des Trackings, die gesammelten Daten und den eingesetzten Anbieter an. Es muss entsprechend vom Datenschutzbeauftragten geprüft werden, ob der Anwendungsbereich des § 25 Abs. 1 TTDSG eröffnet ist; sprich, ob Websitebetreiber Informationen in der Endeinrichtung des Endnutzers speichern oder darauf zugreifen.

Auch zu prüfen ist, ob ggf. die in § 25 Abs. 2 TTDSG stipulierten Ausnahmen einschlägig sind. Die Ausnahmen betreffen technisch zwingend notwendige Cookies und Informationen, d.h. solche, die für den Betrieb der Seite unbedingt erforderlich sind, und Cookies und Informationen, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.

Fallen die eingesetzten Tracking-Technologien nicht unter den Ausnahmen, muss ein Consent-Manager eingerichtet werden, mithilfe dessen die Einwilligung eingeholt wird.

Abschluss eines Auftragsverarbeitungsvertrags mit dem Tracking-Anbieter

Vor Einsatz eines Tracking-Anbieters sollten Sie darauf achten, einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen. Der Vertrag sollte vor Abschluss durch den Datenschutzbeauftragten geprüft werden.

Insbesondere sollte überprüft werden,

  • ob der Tracking-Anbieter weisungsgebunden agiert oder sich vertraglich vorbehält, die Daten auch zu eigenen Zwecken zu nutzen,
  • ob die IP-Adresse vor der Auswertung pseudonymisiert bzw. anonymisiert wird und
  • ob der Anbieter die Daten an Dritte weitergibt.

Zudem sollten die technischen und organisatorischen Maßnahmen des Anbieters angefordert und auf Konformität und Vollständigkeit überprüft werden.

Drittlandtransfer und zusätzliche Garantien

Aufgrund der bestehenden zusätzlichen Anforderungen sind Tracking-Anbieter aus der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) vorzuziehen, da die Auftragsverarbeitung außerhalb dieser Gebiete erfahrungsgemäß einen erheblichen Mehraufwand bedeutet und derzeit oftmals gar nicht völlig rechtskonform möglich ist (so etwa im Falle von Google Analytics).

Wenn Sie sich dennoch für einen Anbieter aus einem Drittland entscheiden, sollten Sie darauf achten, dass die Anforderungen nach Kapitel V DSGVO erfüllt werden.

Zunächst ist zu überprüfen, ob ein Angemessenheitsbeschluss der EU-Kommission für das entsprechende Drittland vorliegt. Falls nicht, sollten geeignete Garantien vorgelegt werden. Dazu zählen interne Datenschutzvorschriften, Standardvertragsklauseln oder individuell ausgehandelte Vertragsklauseln nach Genehmigung der zuständigen Behörde.

Gem. Art. 46 Absatz 2 und 3 DSGVO können der Verantwortliche und der Auftragsverarbeiter den Betroffenen auch Rechte in Hinblick auf den Schutz ihrer personenbezogenen Daten einräumen.

In seltenen Ausnahmefällen können Daten in Drittländer auch ohne Vorliegen geeigneter Garantien übermittelt werden. Die Ausnahmen sind in Art. 49 DSGVO aufgelistet. Sie sollten jedoch genau prüfen, ob ein solche Ausnahmefall vorliegt und diese Prüfung genau dokumentieren, wie Sie unserer Anleitung zum Drittlandtransfer nach Art. 49 DSGVO entnehmen können.

Informationspflichten erfüllen

Wenn Sie sich dazu entschließen, Tracking-Technologien auf der Website einzusetzen, sollten Sie die betroffenen Websitebesucher in der Datenschutzerklärung entsprechend informieren. Denn jede Stelle, die personenbezogene Daten als Verantwortlicher verarbeitet, muss betroffene Personen hierüber grundsätzlich zum Zeitpunkt der Erhebung informieren. Dies gilt auch im Fall des Trackings.

Dadurch erfahren die getrackten Websitebesucher insbesondere, wer welche Daten zu welchem Zweck über sie erhebt, weiterverarbeitet oder an wen die Daten ggf. weitergegeben werden. Mit diesen Informationen wird die Datenverarbeitung transparent. Die Betroffenen erfahren zudem, gegen welches Unternehmen sie ihre Rechte geltend machen können.

Fazit

Tracking-Technologien bieten zwar viele Vorteile für Websitebetreiber, gleichzeitig greifen sie aber auch tief in die Rechte der getrackten Websitebesucher ein. Damit Sie sich als Verantwortlicher beim Einsatz von Tracking-Technologien datenschutzrechtlich nicht auf dünnem Eis bewegen und die Vorteile innovativer Tracking-Methoden genießen können, holen Sie sich bezüglich der zahlreichen datenschutzrechtlichen Problemfelder den Rat Ihres Datenschutzbeauftragten ein.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.