Webtracker und Datenschutz

Der datenschutzkonforme Einsatz von Webtrackern

Beim Webtracking werden Daten von Internetseitennutzern ausgewertet, um das Nutzerverhalten der Besucher auszuwerten. In der Regel werden dabei Merkmale, wie etwa der Aufenthaltsort des Nutzers, von ihm besuchte Seiten, seine Verweildauer auf einer Seite u.a. dokumentiert. Das Webtracking ermöglicht eine Analyse, die mitunter der Optimierung der Webseite dienlich sein kann.

Piwik und Google Analytics

Webtracker, wie „Piwik“ oder „Google Analytics“, sind auf den meisten Internetseiten in Betrieb. Allerdings kümmern sich nur wenige Administratoren um die datenschutzrechtlichen Pflichten, die mit dem Einsatz von Webtrackern einhergehen.

Konfiguration des Webtrackers

Zunächst sollte der Webtracker so konfiguriert werden, dass die IP-Adressen der Seitenbesucher nur anonymisiert erhoben werden. Der Europäische Gerichtshof hat mit Urteil vom 16.10.2016 zum Aktenzeichen C-582/14 auch dynamisch vergebene IP-Adressen als „personenbezogene Daten“ im Sinne des Datenschutzrechts qualifiziert. Die IP-Adresse sei personenbezogen, soweit einem Internetseitenbetreiber rechtliche Mittel zufallen, die es ihm eröffnen, den betreffenden Seitenbesucher anhand von weiteren Informationen, über die der Internetprovider verfügt, bestimmen zu lassen. Da in Deutschland entsprechende rechtliche Möglichkeiten bestehen, den Telekommunikationsdienstleister zu veranlassen, die Anschlussinhaberdaten zu offenbaren (etwa über eine Strafanzeige), gelten IP-Adressen als personenbezogene Daten.

Auch die datenschutzrechtlichen Aufsichtsbehörden ordnen die IP-Adresse bereits seit langem als personenbezogenes Datum ein. Das bedeutet, dass jedwede Erhebung, Verarbeitung und Nutzung der IP-Adresse eines Webseitennutzers nur zulässig ist, soweit eine Datenschutzbestimmung dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Dem kann der Webseitenbetreiber entgehen, indem er die IP-Adressen der Internetseitennutzer anonymisiert speichert. Über die Konfigurationsoberfläche des eingesetzten Webtrackers oder eine Funktion aus der JavaScript-Bibliothek sollte sich die Anonymisierung umsetzen lassen.

Webtracking kann Auftragsdatenverarbeitung darstellen

Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Der Auftrag hierüber ist schriftlich zu erteilen. So hat der Internetseitenbetreiber – soweit Daten aus dem Tracking Tool auch bei Dritten, etwa dem Entwickler des Webtrackers gesammelt werden (dies ist regelmäßig der Fall) – einen Vertrag zur Auftragsdatenverarbeitung abzuschließen. Für Google Analytics findet sich ein Link auf ein entsprechendes Vertragswerk unter der URL https://www.google.de/analytics/terms/de.html

Datenschutzerklärung und Webtracker

Darüber hinaus müssen Webseitenbetreiber, die Webtracking betreiben, einen entsprechenden  Hinweis auf das Tracking Tool, seine Funktion, die Widerspruchsmöglichkeit bzgl. der Datenerhebung sowie die Cookie Speicherung und die Verhinderung der Cookie-Ablage und einen Hinweis auf die IP-Adress-Anonymisierung in der Datenschutzerklärung vorhalten.

Deaktivierungsmöglichkeit für den Webseitenbesucher

Zudem muss der Internetseitenbetreiber die Voraussetzungen zur useraktivierten Hinterlegung eines Opt-Out Cookies schaffen. Dadurch soll dem Internetseitenbenutzer peripherieunabhängig die Option eröffnet werden, mit einem Klick die Webanalyse zu deaktivieren.