Web Tracking: Wann einwilligungspflichtig?

Web Tracking ist das Identifizieren und Nachverfolgen von Nutzern in Netzwerken, mit dem Ziel, die Nutzerdaten auszubeuten. Dieses Vorgehen ist einwilligungspflichtig, darf also erst nach Zustimmung des Nutzers beginnen. Doch was ist Web Tracking?

Einleitung

Der Begriff des Web Tracking ist nicht genau definiert. Im DSGVO Gesetz taucht der Begriff nicht auf, auch nicht in der ePrivacy Richtline, wahrscheinlich auch in keinem anderen Gesetz.

Ist für Web Tracking eine Einwilligung erforderlich?

Web Tracking ist ein unbestimmter Begriff. In seiner gebräuchlichsten Bedeutung bedarf es für Tracking einer Einwilligung durch den Nutzer.

Allgemein wird unter Web Tracking das möglichst eindeutige Identifizieren und Wiedererkennen von Personen in Netzwerken wie dem Internet verstanden, mit dem Zweck, deren Gewohnheiten zu erforschen und auszubeuten. Tracking kann auch dann vorliegt, wenn mehr als eine Partei von den erhaltenen Daten profitieren kann.

Davon abgegrenzt wird die statistische Analyse von Besuchern einer Webseite, auch als Analytics bezeichnet. Trotz der Namensgleichheit ist Google Analytics dem Web Tracking zuzuordnen.

Identifikation von Personen

Im Wesentlichen existieren folgende technische Möglichkeiten, um individuelle Personen als Nutzer von online Diensten erkennen und somit wiedererkennen zu können:

  • Cookies
  • IP-Adressen
  • Device Fingerprints
  • Bekannter (angemeldeter) Nutzer, etwa bei Facebook oder Google
  • Client-ID
  • AMP-Tracking
  • Cross-Domain Tracking
  • Smartphone Tracking, etwa über eine Advertising ID
  • ETag

In einem vorigen Artikel haben wir die Grundlagen zu Web Tracking einmal genauer beschrieben.

Die Firma Google gibt beispielsweise im Dokument Datenschutzerklärung & Nutzungsbedingungen zu, dass (auch) andere Technologien als Cookies zum Nachverfolgen von Nutzern verwendet werden. Hier ein Zitat aus dieser Quelle (Fettdrucke in allen folgenden Zitaten dieses Abschnitts selbst hinzugefügt, vorhandene Verlinkungen entfernt):

In unseren Protokollen speichern wir einen Datensatz der von uns eingeblendeten Anzeigen. Diese Serverprotokolle enthalten normalerweise Ihre Webanfrage, die IP-Adresse, den Browsertyp, die Browsersprache, das Datum und die Uhrzeit Ihrer Anfrage sowie ein oder mehrere Cookies, die unter Umständen Ihren Browser eindeutig identifizieren. Wir speichern diese Daten aus mehreren Gründen, jedoch hauptsächlich, um unsere Dienste zu verbessern und die Sicherheit unserer Systeme aufrechtzuerhalten. Wir anonymisieren diese Protokolldaten, indem wir einen Teil der IP-Adresse und der Cookie-Informationen nach 9 bzw. 18 Monaten löschen.

Quelle: https://policies.google.com/technologies/ads?gl=de

Wann liegt Web Tracking vor?

Weil der Begriff Web Tracking nicht eindeutig definiert ist, folgt ein Vorschlag für die Beurteilung, in welchem Maße ein Tool Web Tracking betreibt bzw. einwilligungspflichtig ist – darauf kommt es letztendlich an. Die Tabelle zeigt Kriterien, gegen die ein Tool wie Google Analytics unter Berücksichtigung der verwendeten Konfiguration geprüft werden kann. Manche Kriterien führen bei Vorhandensein dazu, dass direkt das Einwilligungserfordernis für das Tool ersichtlich wird. Andere Kriterien erhalten eine Anzahl an (Negativ-)Sternen.

Je mehr Sterne in Summe über alle Kriterien ermittelt werden, desto wahrscheinlicher liegt (einwilligungspflichtiges) Web Tracking vor.

KriteriumBewertung
Einsatz von First-Party Cookies*
Einsatz von Third-Party CookiesEinwilligung!
Speicherung der realen IP-Adresse des NutzersEinwilligung!
Führen einer Nutzeridentifikation (Client ID) oder nicht rückführbarer Hash der IP-Adresse* pro ID
Exponieren der Nutzeridentifikation (Client ID) oder nicht rückführbarer Hash der IP-Adresse* pro ID
Weitergabe der Nutzer-Daten an Dritte ohne AVVEinwilligung!
Nutzung der Nutzer-Daten für andere, nichtfunktionale Zwecke***
Nutzung der Nutzer-Daten durch den Dritten für andere ZweckeEinwilligung!
Nutzung des Browser Fingerprints*
Nutzung von Werbe-IDs, ETag, sonstige mögliche Identifikatoren*** pro ID
Auswertung von Nutzer-Verweildauern auf Seiten*
Auswertung von Nutzereingaben***
Domänen-übergreifende Auswertung (First-Party)*
Cookie mit Lebensdauer > 2 Tage*
Cookie mit Lebensdauer >= 7 Tage (additiv zu vorigem Kriterium)*
Cookie mit Lebensdauer >= 14 Tage (additiv zu vorigem Kriterium)*
Zusammenführen der Nutzer-Daten mit anderen DatenquellenEinwilligung!
Analyse von Klickpfaden (Aufruf von Seite Z über Seite Y über Seite X)*
Kriterien für Web Tracking. Quelle: IT Logic GmbH

Durch das Führen einer Nutzeridentifikation (Client ID) wird das Identifizieren und Nachverfolgen von Nutzern vereinfacht bzw. teilweise überhaupt erst möglich. Wird diese Client ID exponiert, so dass die Webseite, welche Google Analytics einsetzt, diese auslesen kann, ist eine Zuordnung zur IP-Adresse des Nutzers extrem möglich. Daher für diese beiden Kriterien zusammen zwei Sterne. Die Nutzung von Nutzer-Daten für andere, nichtfunktionale Zwecke ist wahrscheinlich meistens einwilligungspflichtig. Um hier nicht weiter differenzieren zu müssen, wurden der Einfachheit halber drei Sterne angesetzt und keine Einwilligung gefordert (Abschwächung des Kriteriums).

Für Google (Universal) Analytics in der Standard-Ausprägung[1] treffen folgende der in obigen Tabelle genannten Kriterien objektiv nachweisbar zu (Stand: 02.01.2021):

  • Einsatz von First-Party Cookies: *
  • Cookie _ga mit Lebensdauer 2 Jahre: ***
  • Führen einer Nutzeridentifikation (Client ID): *
  • Exponieren der Nutzeridentifikation (Client ID): *
  • Nutzung des Browser Fingerprints: *
  • Analyse von Klickpfaden: *
  • Auswertung von Nutzer-Verweildauern auf Seiten: *
  • Sowie unterstellt: Nutzung der Nutzer-Daten durch den Dritten für andere Zwecke: Einwilligung

Insgesamt ergeben sich für Google Universal Analytics in Standardkonfiguration 9 (Negativ-)Sterne.

»Dank« des Einsatzes von First-Party Cookies durch Google Universal Analytics ist die Client ID für die Google Universal Analytics einbindenden Webseite jederzeit auslesbar.

Führt der Webseiten-Betreiber eine eigene Nutzer-ID (zusätzlich zu der von Google Analytics), erhöht sich der Sterne-Wert um 2, da dann zwei Client ID Konstrukte verwendet werden.

Wir ziehen für Web Tracking eine Grenze bei 6 Sternen, vor allem, wenn entweder die IP-Adresse des Nutzers oder eine Client ID geführt wird. Sind 6 oder mehr Sterne erreicht, liegt Web Tracking vor.

Demnach ist Google Universal Analytics selbst in halbwegs datenschutzfreundlicher (Standard-)Konfiguration einwilligungspflichtig.

Es folgt eine Begründung für die Grenze bei 6 Sternen für das Vorliegen von Web Tracking, ausgehend von den genannten 9 Sternen für Google Analytics. Die folgenden zwei Kriterien müssen nach unserer Ansicht für das Vorliegen von Web Tracking nicht zutreffen und reduzieren die 9 Sterne auf 6:

  • Eine Cookie-Lebensdauer von mehr als 7 Tagen erhöht die Sicherheit, dass Web Tracking vorliegt, „nur“ (gegenüber Cookie-Lebensdauer von maximal 2 Tagen)
  • Eine Cookie-Lebensdauer von mehr als 14 Tagen erhöht die Sicherheit, dass Web Tracking vorliegt, „nur“ (gegenüber Cookie-Lebensdauer von mehr als 7 Tagen)
  • Das Vorliegen einer Domänen-übergreifenden Auswertung (auf eigenen Webseiten) ist dann nicht entscheidend, wenn Cookies mit längerer Lebensdauer geführt werden

Alle weiteren Kriterien aus obiger Tabelle treffen für die Standardkonfiguration von Google Universal Analytics nicht zu.

Die weiteren, für die genannte Standardkonfiguration von Google Universal Analytics nicht eintreffenden Kriterien wie Third-Party Cookies würden die Rechtssicherheit, dass Web Tracking vorliegt, nur erhöhen (vgl. u.a. auch Anhang 1: Cookies). Ein Einsatz von Google Universal Analytics ohne Cookies unter Beibehaltung der sonstigen Standardeinstellungen würde auf 5 Sterne hinauslaufen. Wir sind zwar der Meinung, dass dies ebenfalls Web Tracking wäre, weil Google (wahrscheinlich) insgeheim Daten unerlaubt ausbeutet, möchten die Kriterien aber so objektiv wie möglich aufstellen. Abgesehen davon ist die 5-Sterne-Version von Google Analytics nach unserer Untersuchung untauglich, mit anderen Analyse-Tools mitzuhalten, die zudem (recht unbestritten) DSGVO-konform sind.

Ein Beispiel für eine statistische Analyse von Nutzern, die keiner Einwilligung bedürfte, wäre:

  • Einsatz eines First-Party Cookies
  • Cookie-Lebensdauer bis zu zwei Tage
  • Nutzung des Browser Fingerprints
  • Auswertung von Nutzer-Verweildauern auf Seiten
  • Analyse von Klickpfaden

Diese 5-Sterne-Version eines Analyse-Tools würde nach unserer Ansicht kein Web Tracking bedeuten und immer noch mehr als genug Daten für die allermeisten Webseitenbetreiber liefern, um deren Inhalte zu optimieren.


[1] Als Standard-Ausprägung gilt hier die vom Autor auf vielen Webseiten gefundene Konfiguration von Google Universal Analytics, die meist die Standard-Einstellungen von Google nutzt und keine wesentlichen eigenen Einstellungen hinzufügt.

2021-01-11T20:34:47+01:00