Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Jentis: Bullshit-Analytics mit anonymisierten Daten

3

Eine neue Stufe der Rechtskonformität verspricht Jentis mit seinem Tracking-Ansatz für Webseiten. Angeblich kann mit Jentis in einer DSGVO-konformen Weise mit anonymen Daten getrackt werden. Ein angeblich technisch notwendiges Cookie soll dabei helfen. Weil Daten First Party erhoben werden, seien die Rohdaten ohne Consent für weitere Analysen verfügbar.

Einleitung

Motivation für diesen Beitrag ist meine Äußerung zum serverseitigen Tagging. Ich wurde dazu auch auf Meedia interviewt. Es ging konkret darum, wie man Google Analytics überhaupt noch rechtskonform nutzen kann. Viele sind sich mit mir einig, dass Google Analytics selbst nach Einwilligung nicht mehr rechtskonform über eine direkte Einbettung in eine Webseite nutzbar ist. In einem konstruktiven Gespräch wurde ich etwas provokant in einen Topf mit den Aussagen von Jentis gesteckt, weil ich einen serverseitigen Ansatz diskutierte, der auf Verschlüsselung basiert. Allerdings existierten bei Nutzeranalyse immer personenbezogene, personenbeziehbare oder pseudonyme Daten beim Datenexporteur. Rein anonyme Daten, wie Jentis sie in Aussicht stellt, gibt es nicht, wenn Daten exportiert werden, denn die Daten sind mindestens beim Exporteur nicht anonym.

Alles, was ich im Folgenden schreibe, beurteile ich nach deutschem und europäischem Recht. Jentis wird von einer Firma aus Österreich angeboten. Dort gilt das deutsche TTDSG nicht. Die ePrivacy Richtlinie sollte allerdings in Österreich ebenfalls Geltung haben, unabhängig davon, ob die Österreicher diese bereits in nationales Recht gegossen haben oder nicht (vgl. BGH-Entscheidung zu Planet49. Man könnte im Zweifel auch den EuGH fragen, was er davon hielte, dass ein Mitgliedsstaat eine Richtlinie nicht in Recht gießt, obwohl vorgeschrieben; gleiches gilt bei Abmilderung von ePrivacy aufgrund nationaler Vorgaben).

Meine Ausführungen beziehen sich auf bisherige Kommunikation mit Jentis sowie die auf der Webseite von Jentis gegebenen Aussagen. Außerdem betrachte ich Webseiten Dritter, die Jentis einbetten. Ob die Rechtsabteilung von Jentis die Sachlage anders beurteilt als die Werbeabteilung, die auf der Webseite öffentlich wird, kann ich nicht beurteilen.

Update: Mit Jentis gab es auf deren Wunsch hin eine gute Abstimmung per Videokonferenz. Wir haben über die Inhalte Vertraulichkeit vereinbart. Jentis ist als rein europäisches Unternehmen nach meiner Wahrnehmung besser als Google, was Datenschutz angeht und ist sicher auch erreichbarer, etwa bei Abstimmungsbedarf. Wir bleiben weiter im Austausch. Die Gesprächsinhalte habe ich nicht weiter in diesen Beitrag einfließen lassen, bis sie offiziell sind. Mittlerweile gab es ein weiteres Gespräch, initiiert durch Jentis. Mir wurden Informationen gegeben, wie die Daten pseudonymisiert werden, damit sie hoffentlich anonym bei Drittanbietern wie Google ankommen. Dabei wird unter anderem mit Paketen gearbeitet, die aus mehreren Einheiten (Hits) bestehen. Erst wenn ein Paket voll ist, wird es abgeschickt, etwa an Google. So soll der zeitliche Zusammenhang der Hits entfernt werden. Ich habe Jentis gebeten, eine konkrete Untersuchung anzustellen, aus der hervorgeht, dass die aus Datenschutzgründen verfremdeten oder reduzierten Daten, die zu Google gehen, dennoch zu einem fachlichen Nutzen des Tools Google Analytics (als ein Beispiel) führen. Bis auf Weiteres sehe ich diesen möglichen Nutzen nämlich nicht als besonders hoch an. Man könnte, sage ich, auch jedes andere Tool statt Google Analytics nehmen, wenn die Datenqualität für den Export aus rechtlichen Gründen reduziert wird.

Jentis hat sich dem serverseitigen Tracking angenommen und bezeichnet sich selber als „das fortschrittlichste und konformste serverseitige Tracking auf dem Markt“ (Quelle: https://www.jentis.com/de/compliance-mit-jentis/). Um es vorab zu sagen: Das halte ich persönlich für eine Veralberung der Leser, wenn man annimmt, dass mit “konformste” eben “datenschutzkonformste” gemeint ist. Wahrscheinlich soll eben dies suggeriert werden, denn in der genannten Quelle sind die ePrivacy-Richtlinie und die DSGVO “positiv abgehakt”.

Jentis berühmt sich, das konformste serverseitige Tracking auf dem Markt zu sein. Ist damit Datenschutzkonformität gemeint oder was anderes?

Meine Interpretation der Werbeaussage von Jentis, siehe Beitrag.

Woher weiß Jentis eigentlich, welche Angebote es auf dem Markt gibt? Da Jentis auch den California Consumer Privacy Act (CCPA) als erfüllt angibt, ist wohl der weltweite Markt gemeint.

Mit einem Mitarbeiter von Jentis hatte ich im April 2021 einmal kommuniziert und mir deren Präsentation zum angeblich datenschutzkonformen Tracking angesehen. Was mich damals schon wunderte, war das merkwürdige Verständnis von Datenschutzgesetzen. Verbiegt man die Vorgaben nur lange genug, kommt das gewünschte Ergebnis heraus, so meine Wahrnehmung der Argumentationslinie.

Doch bevor wir etwas tiefer einsteigen, hier der Werbeslogan von Jentis.

Quelle: https://www.jentis.com/de/compliance-mit-jentis/

Die Aussage von Jentis ist fachlich falsch. Denn sie besagt, dass die Anonymisierung vor dem Datentransfer stattfindet. Das ist falsch. Anonyme Daten liegen höchstens beim Datenimporteur vor, nicht aber beim Datenexporteur. Wenn der Datenexporteur anonyme Daten hätte, wäre eine Nutzeranalyse per definitionem unmöglich.

Wer sich mit Datenschutz beschäftigt, weiß, wie schwierig die Anonymisierung von Daten ist. Wer bei sich selbst anonyme Daten haben will, muss sämtliche Verfremdungsmöglichkeiten so gestalten, dass sie nicht rückführbar sind. Dazu gehört auch das Vergessen von Schlüsseln. Ich bezweifle sehr, dass Jentis das tut. Vor dem Datentransfer an Dritte sind die Daten jedenfalls nicht anonym, außer, man verwendet Daten ohne jeden Gehalt. Mit rein anonymen Daten kann niemand irgendetwas analysieren. Etwas anderes mag es sein, wenn die Daten beim Datenexporteur im besten Fall pseudonym und beim Datenimporteur anzunehmenderweise anonym sind. Vergleiche etwa Art. 4 Nr. 5 DSGVO. Dazu muss mindestens gewährleistet sein, dass der Datenimporteur den Schlüssel zur De-Anonymisierung der Daten niemals erhalten kann. Hier spielt auch das EuGH-Urteil zu IP-Adressen (“Breyer”) eine Rolle. Der EuGH hatte nämlich entschieden, dass IP-Adressen dann personenbezogene Daten sind, wenn es eine objektive Möglichkeit gibt, den Anschlussinhaber zu ermitteln. Dies bedeutet insbesondere eine Rechtsverfolgungsmöglichkeit, etwa in Form einer Strafverfolgung. Auch vertragliche Vereinbarungen wären eine solche Möglichkeit.

Webseite von Jentis

Bevor eine Analyse des Jentis Tools kommt, noch ein paar Worte zur Webseite von Jentis. Die Webseite jentis.com besticht aus meiner Sicht durch eine gewisse Ignoranz gegenüber Datenschutzgesetzen. Wer eine datenschutzrechtlich schlampige Webseite vorhält, hat es nach meinem Dafürhalten nicht verdient, Vertrauen zu genießen.

Ich habe mir erlaubt, meinen Webseiten-Scanner (Vollversion) einmal über die Seite laufen zu lassen. Hier ist das automatisiert ermittelte Ergebnis:

Datenschutzbefund meiner Scanner-Software für die Jentis-Webseite (automatisiert ermittelt). Ohne Gewähr.

Es sieht also anscheinend nicht gut aus. Merkwürdig, dass ein Anbieter des angeblich konformsten serverseitigen Trackings so einfache Dinge wie die eigene Webseite nicht geregelt bekommt. Mein Cookie-Scanner liefert folgendes Ergebnis:

Cookie-Scan der Webseite jentis.com samt Unterseiten: Ohne Einwilligung gesetzte Cookies.

Das Analyseergebnis zeigt die ohne Einwilligung von der Jentis-Webseite verwendeten Cookies, die nach meinem Verständnis technisch nicht notwendig sind. Mindestens die rot gedruckten Einträge sind nach meiner Einschätzung rechtswidrig in Deutschland (§ 25 TTDSG) und in allen anderen EU-Ländern, in denen die ePrivacy-Richtlinie anzuwenden ist. Letzteres sollte überall in der EU der Fall sein, soweit ich informiert bin.

Wie ich durch weitere Untersuchungen herausfand, wird zudem Google reCAPTCHA samt einem Cookie ohne Einwilligung genutzt. Dabei hatte ich nicht mal ein Formular ausgefüllt (vielleicht wird das unsichtbare CAPTCHA verwendet, was bezüglich des Cookies immer noch kritisch wäre). Das oben genannte Pipedrive ist nach meiner Recherche ein Unternehmen mit Sitz in den USA. Hier sei als Stichwort nur Schrems II erwähnt. Ein kleiner Trost für Jentis. Auch die DSK und der BfDI kennen das Schrems II Urteil anscheinend nicht.

Jentis Cookies

Schön, dass Jentis die Verwendung von Cookies wenigstens selbst zugibt: „Die Websiten der JENTIS verwenden Cookies. Bei Cookies handelt es sich um Textdateien, die über einen Internetbrowser auf einem Computersystem abgelegt werden.“

Dies ist wieder einmal falsch, denn Cookies sind keine Textdateien. Den Nutzer interessiert es übrigens nicht, in welchem Datenformat Informationen oder personenbezogene Daten abgespeichert werden. Hat sich darüber schon einmal jemand Gedanken gemacht?

In den Datenschutzhinweisen von Jentis werden ein paar angeblich unbedingt erforderliche Cookies genannt:

Die weiter oben von mir genannten Cookies sind in dieser Übersicht nicht enthalten. Sie würden also rechtswidrig genutzt, wenn ohne Einwilligung, weil sie erklärtermaßen technisch nicht notwendig sind.

Ein superkonformes Tracking, welches gleich drei angeblich unbedingt erforderliche Cookies nutzt? Das ist sehr sportlich. Ich würde es als Volksverdummung bezeichnen (für den Fall, dass diese Erklärung den Tatsachen entspricht und jeder Nutzer anlasslos derartig nachverfolgt wird). Interessant, dass der Unterschied in den Zwecken der Cookies jts-rw und jctr_uid in einem Leerzeichen besteht.

In der Jentis Cookie Dokumentation steht jedenfalls, dass diese drei Cookies beim Einbetten des Jentis Javascript Codes genutzt werden.

Anscheinend werden diese Cookies bzw. mind. zwei davon immer genutzt, wenn das Jentis Code Snippet in eine Webseite integriert wird (Quelle: https://doc.jentis.com/docs/reference/tracking/jentis-cookies/)

Sonstige Probleme

Auf der Jentis-Webseite wird auch der Dienst Pipedrive verwendet. Was es mit Pipedrive auf sich hat, erklärt Jentis lieber ebenfalls nicht. Besser einen Verstoß gegen Art. 6 DSGVO oder andere Rechtsvorschriften (Art. 5 DSGVO, Art. 32 DSGVO, Art. 25 DSGVO, ggf. Art. 44ff DSGVO) begehen, ihn dann aber nicht auch noch zugeben und somit noch einen Verstoß, nämlich gegen Art. 13 DSGVO, begehen.

Auf weitere Probleme mit dem Datenschutz auf der Jentis-Webseite gehe ich hier nicht näher ein. Nur soviel: Vielleicht hat es sich bei Jentis noch nicht herumgesprochen, dass der Einsatz von Google Fonts keine gute Idee ist (Laden von Schriftarten über Google-Server). Vor allem gilt dies für Webseiten, die sich mit Datenschutz befassen. Die Abhilfe wäre sehr einfach: Die Schriften lokal einbinden.

Nach all dem, viele Grüße an Mira, die auf der Jentis Webseite als internationale Rechtsexpertin benannt ist:

Quelle: https://www.jentis.com/de/compliance-checkin/

Mira müsste das deutsche TTDSG kennen. Zumindest aber die ePrivacy Richtlinie und die DSGVO sollten ihr bekannt sein. Vielleicht wurde Mira nicht gefragt, als die Jentis Webseite gebaut wurde. Oder Mira hat verzweifelt versucht, den Jentis Verantwortlichen klarzumachen, dass bestimmte Dinge “Dudu” sind. Da hatten die Jungs und Mädels von Jentis aber gerade ihre Kopfhörer auf und hörten vielleicht Musik von Hubert von Goisern, der auch aus Österreich stammt.

Das Jentis Paradigma

Ich nenne den Ansatz von Jentis das Jentis Paradigma, weil ich diesen Ansatz für krude halte und in den Bereich der Verschwörungstheorien eingruppieren würde.

Die folgende Aussage von Jentis klingt zunächst einmal vertretbar.

Quelle: https://www.jentis.com/de/compliance-mit-jentis/

Richtig ist: Wer die Datenhoheit hat, kann darüber entscheiden, was mit den Daten passiert. Er hat die Kontrolle über die Daten. Soweit so gut. Diese Form der Datenverarbeitung wird gelegentlich als First Party Data bezeichnet.

Ein Cookie zum Zweck der Anonymisierung

Dann geht Jentis aber mit den Werbeaussage in eine Richtung, die ich nicht gut finde.

Quelle: https://www.jentis.com/de/compliance-mit-jentis/

Jentis nutzt also laut eigener Aussage ein Cookie für das Tracking und bezeichnet dieses sogar als technisch notwendig. Mir ist aus einem Gespräch mit einem Jentis Mitarbeiter hierzu etwas in Erinnerung. Jentis beruft sich tatsächlich auf das berechtigte Interesse, um ein Cookie zwecks Anonymisierung zu nutzen. Jentis beansprucht also anscheinend das Recht auf Anonymisierung. Dass dies an sich schon fragwürdig sein kann, hatte ich bereits in der Vergangenheit ganz unabhängig von Jentis untersucht. Unabhängig davon, hat Jentis gefälligst kein Cookie zu nutzen, um Daten zu anonymisieren, außer es liegt eine Einwilligung vor. Anonymisierung wäre im besten Fall analog zur Löschung, welche ebenfalls eine Datenverarbeitung darstellt, die legitimiert werden muss.

Wer Jentis richtig in Aktion sehen will, muss die Jentis Webseite anscheinend erst einmal verlassen. Womöglich ist es Jentis selbst doch zu heiß, das eigenen Tool mit einem „Anonymisierung-Cookie“ zu nutzen. Wer die Webseite der Sparkasse Österreich (sparkasse.at) aufruft, findet Jentis mit mehreren Cookies vor, die laut Datenschutzhinweisen der Sparkasse alle „wesentliche“ Zwecke haben.

Einsatz von angeblich notwendigen Cookies auf der Webseite sparkasse.at

Eine Netzwerkanalyse zeigt, dass diese Cookies tatsächlich ohne Einwilligung genutzt werden (etwa auf Seite https://www.sparkasse.at/tirolersparkasse/wir-ueber-uns/datenschutz-sicherheit/cookies):

Geladene Jentis-Cookies auf sparkasse.at ohne Einwilligung.

Ein Test des Jentis-Scripts, das auf der Sparkassen-Webseite eingebunden wird, zeigt: Dieses Script nutzt tatsächlich Cookies.

In einer Mail an mich am 30.04.2021 von einem Jentis Mitarbeiter wurde mir folgende Aussage gegeben: “JENTIS ist kein Marketing-, Analyse- oder sonstiges Cookie. JENTIS ist eher vergleichbar mit GTM-Serverside. Und der erste shot dient  beim Einsatz von dem Tool AUSSCHLIEßLiCH dem berechtigten Interesse des Websitebetreiber zur Anonymisierung des Visitors”. Mit „shot“ ist wohl „Cookie“ gemeint.

Quelle: https://www.jentis.com/de/compliance-mit-jentis/

Wenn Jentis nur mit Hilfe eines Cookies anonymisieren kann, dann schneidet Jentis hier anscheinend schon einmal schlechter ab als alle anderen mir bekannten Analyse-Tools. Diese nutzen entweder kein Cookie oder eines, für das nach einer Einwilligung gefragt wird oder anerkannterweise gefragt werden muss. Bisher war nach meiner Kenntnis kein Anbieter eines Analytics-Tools blöd genug, um eine Datenanonymisierung als Arbeitsgrundlage in Aussicht zu stellen. Wahrscheinlich wurden hier Pseudonymisierung und Anonymisierung verwechselt, entweder absichtlich oder aus Unwissenheit.

„Die Verarbeitung personenbezogener Daten zu Analysezwecken erfolgt in anonymisierter Form.“

Quelle: Datenschutzhinweise von Jentis unter https://www.jentis.com/de/datenschutzerklaerung/

Der Analysezweck beginnt bereits beim Betreiber der Webseite und nicht erst bei einem Datenimporteur wie Google Analytics. Dass die eigentliche Analyse womöglich erst bei Google Analytics stattfindet, ändert daran rein gar nichts. Auch die Datenverarbeitung beginnt bereits beim Besuch der Webseite. Die Verarbeitung wird im Beispiel Google Analytics bei Google höchstens fortgeführt, nicht aber alleinig dort vorgenommen.

Anonyme Daten und Zufallswerte

Jentis scheint nicht zu wissen, was anonyme Daten sind. Selbst verschlüsselte personenbezogene Daten sind pseudonyme Daten, und zwar beim Dateninhaber, der auch den Schlüssel kennt. Nur wenn der Schlüssel weggeworfen wird, sind es möglicherweise anonyme Daten. Dann kann man aber auch gleich einfach reine Zufallswerte nutzen, die nicht beim Besuch einer Webseite erhoben werden müssen. Hier ein Beispiel für das Erstellen anonymer Werte in PHP (den möglichen Wertebereich habe ich hier nicht geprüft):

$zufallswert = rand(0,99999999999);

$zufallswert = anomym

Das Ergebnis ist eine Zahl zwischen 0 und 99999999999. Wie man sieht, besteht hier keinerlei Nutzerbezug. Anders sieht es hier aus:

Eingabe = IP-Adresse, besuchte Seite, Zeitpunkt
Ausgabe = Zufallszahl, die mit der Eingabe verknüpft und so weiterverarbeitet wird

Ausgabe = personenbezogener Zufallswert = Online Identifizierer
Begründung: Aus dem Zufallswert könnte objektiv der Personenbezug hergestellt werden, weil der Zufallswert zusammen mit personenbezogenen oder personenbeziehbaren Daten vorlag oder vorliegt (vgl. EuGH-Urteil "Breyer", etwa Rn. 49, oder auch Opinion 4/2007 der Artikel 29 Arbeitsgruppe (erwähnt in Art. 94 DSGVO) oder Ausführungen zum WhatsApp-Fall).

Wer Daten innerhalb einer Sitzung verschlüsselt, so dass ein Vergleich von zu unterschiedlichen Zeitpunkten erhobenen Daten über deren verschlüsselte Werte möglich ist, arbeitet im besten Fall mit pseudonymen Daten. Ganz sicher handelt es sich dabei aber nicht um anonyme Daten. Übrigens sind angebliche Zufallswerte, die zusammen mit personenbezogenen Daten vorliegen, personenbeziehbare und somit ebenfalls personenbezogene Daten. Derartige Werte werden oft als Online Identifier bezeichnet. Sobald ein Wert mit Personenbezug mit einem Wert ohne Personenbezug zusammenkommt, hat auch der Wert ohne Personenbezug einen angenommenen Personenbezug (siehe beispielsweise meine Kommentierung zur Entscheidung der irischen DPA gegen WhatsApp oder auch den Erwägungsgrund 25 zur DSGVO).

Ein Ausflug zum Entscheid des WhatsApp-Bußgelds über 225 Millionen Euro: WhatsApp bildet einen Hash-Wert für einen Kontakt im Telefonbuch eines WhatsApp-Nutzers. Dieser Hash-Wert ist nur sehr kurze Zeit (Millisekunden oder Sekunden) zusammen mit der Telefonnummer des Kontakts zusammen im Speicher. Daraus folgt bereits, dass dieser Hash-Wert personenbezogen ist. Der Entscheid referenziert mehrfach auf das EuGH-Urteil zu IP-Adressen und nennt, neben anderen Gründen, auch Erwägungsgrund 30:

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Erwägungsgrund 30 DSGVO.

Ein weiterer Beleg dafür, dass Jentis keinerlei Ahnung davon hat, was anonyme Daten sind, wird in den Datenschutzhinweisen von Jentis gegeben. Dort steht (https://www.jentis.com/de/datenschutzerklaerung/, Stand: 17.03.2022):

„Die anonymen Daten der Server-Logfiles werden getrennt von allen personenbezogenen Daten der betroffenen Person gespeichert.“

Auf derselben Seite steht, welche Daten in diesen Server Logs gesammelt werden. Es handelt sich laut deren Abschnitt „Personenbezogene Daten, die wir sammeln und verarbeiten“ um (Zitat)

  • Ihren Vor- und Nachnamen;
  • Ihre Kontaktinformationen, wie z. B. Telefon und E-Mail-Adresse;
  • Ihre geschäftlichen Informationen, wie z. B. Firmenname und Art des Geschäfts;
  • Ihre Einwilligungserklärung zum Erhalt unserer Marketingmaterialien, wie z. B. Werbeaktionen und Newsletters;
  • Ihre IP-Adresse;
  • Betriebssystem; 
  • Browser-Typ;
  • Browser-Version;
  • Browser-Konfiguration;
  • sonstige relevante Informationen über Ihren Computer und Ihre Internetverbindung, zur Identifikation des Typs Ihres Geräts, zur Verbindung mit der Website, zum Austausch der Daten mit Ihrem (mobilen) Endgerät oder zur Sicherstellung der ordnungsgemäßen Nutzung der Website;
  • die URL und IP-Adresse der Website, von der aus Sie auf die JENTIS Website zugreifen oder von der aus Sie auf unsere Website weitergeleitet werden, einschließlich Datum und Uhrzeit;
  • alle Seiten der JENTIS Website, die Sie während Ihres Besuchs anklicken, und alle Links auf unserer Website, die Sie anklicken, einschließlich Datum und Uhrzeit;
  • der gesamte Uniform Resource Locator (URL) Clickstream zu, durch und von der Website, einschließlich Datum und Uhrzeit;
  • Informationen, die durch Cookies oder ähnliche Technologien gesammelt werden (wie unten erklärt);
  • sonstige ähnliche Daten und Informationen, die im Falle von Cyberangriffen auf unsere informationstechnologischen Systeme genutzt werden können.

(Ende des Zitats von https://www.jentis.com/de/datenschutzerklaerung/)

Selbst, wenn man von diesen Daten diejenigen abzieht, die in Formularen eingegeben werden, bleiben noch sehr viele Daten übrig. Welche davon in den Jentis Server Logs landen, wird leider nicht erwähnt. Bitte erklären Sie mir: Handelt es sich bei der schieren Menge der eben genannten Daten um

a) personenbezogene Daten oder

b) personenbeziehbare Daten oder

c) pseudonyme Daten oder

d) anonyme Daten?

Antwort d) ist die richtige, aber womöglich nur, wenn Sie „Jentis“ heißen und Nutzer für dumm verkaufen möchten.

In einer Datenschutzerklärung einer Webseite, die Jentis einsetzt, steht Folgendes:

„Durch JENTIS® gesetzte IDs sind lediglich Zufallsprodukte und dienen der anonymen Wiedererkennung.“

Wer denkt sich so einen groben Unsinn aus, den ich hier als Bullshit bezeichnen möchte? Anonymisierung und Wiedererkennung schließen sich per se aus. Ich verstehe schon, wie Jentis darauf kommt: Wir bilden pro Nutzer einen Zufallswert. Dann ist dieser Zufallswert anonym. Aber so läuft es nicht. Ein Zufallswert ist nicht ohne Personenbezug, wenn der Wert „beim Nutzer“ erhoben wurde. Diese Erhebung findet beispielsweise über die IP-Adresse des Nutzers statt, die Jentis offensichtlich kennt, wenn ein Nutzer eine Webseite aufruft.

Am 17.03.2022 hatte ich folgende Fragen an Jentis über das Kontaktformular der Jentis-Webseite abgeschickt:

Habe ich es richtig verstanden, dass Jentis sagt „Wir anonymisieren Daten beim Webseitenbetreiber. Für diese Daten gilt dann die DSGVO nicht mehr, so dass diese anonymen Daten dann beispielsweise an Google geschickt werden können?“

Sind Sie folgender Meinung: „Jentis verwendet ein Cookie aus dem berechtigten Interesse heraus, um Daten anonymisieren zu können“ ?

Meine Fragen an Jentis

Bisher gab es keine Antwort. Sobald mir diese vorliegt, werde ich sie in diesem Beitrag berücksichtigen.

Fazit

Vielleicht irre ich mich und Jentis anonymisiert Daten tatsächlich. Dann würde ich allerdings jedem raten, von Jentis Abstand zu nehmen, denn anonyme Daten sind Bullshit-Daten, mit denen wirklich niemand etwas anfangen kann. Denn anonyme Daten haben per definitionem keinerlei Personenbezug.

Entweder Jentis anonymisiert also Daten und ist deswegen völlig unbrauchbar, um Nutzeranalysen zu betreiben. Denn Nutzer sind nicht anonym, sondern können höchstens pseudonym erfasst werden. Vergleiche auch den WhatsApp-Fall.

Oder Jentis nutzt ein Cookie, um Daten angeblich zu anonymisieren. Dann ist Jentis einwilligungspflichtig, weiß das aber selber nicht oder stellt es wenigstens öffentlich anders dar.

Oder Jentis nutzt gar keine anonymen Daten, sondern behauptet es nur. Dann ist Jentis Bullshit.

Jentis scheint ein gutes Tool für Bullshit-Analysen zu sein.

Mein Fazit. Siehe Begründungen im Beitrag.

Mein Fazit lautet: Wer Nutzer analysieren will, sollte lieber andere Tools als Jentis nutzen.

Bullshit Basics
Dies war ein Beitrag aus der Kategorie Bullshit Basics.
In dieser Kategorie werden weit verbreitete Unwahrheiten oder Falschwissen thematisiert und durch Fakten aufbereitet.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Lucky Fluke

    Sie sagen es! Wir haben uns das auch mal vorstellen lassen.
    Zumal die von Jentis als einmalig beworbene “Twin Browser-Technologie” erst einmal ALLE Nutzerinteraktionen aufzeichnet.
    Und die Datenerfassung passiert ja nicht (wie der von Jentis verwendete Begriff des “Server-Trackings” suggerieren könnte) serverseitig, sondern im Browser durch ein entsprechendes Tracking-Script. Dazu muss man sich nur mal die Requests im Browser auf einigen Websites von gelisteten Jentis-Kunden anschauen.
    Wir haben uns damals ziemlich schnell dem ganzen wieder abgewendet, weil wir das Verständnis von angeblich anonymisierten und pseudonomisierten Daten nicht nachvollziehen konnten, genauso wenig wie die einwilligungsfreie Datenverarbeitung.

  2. Anonymous

    Kleine Ergänzung aus Österreich betr. Umsetzung ePrivacy-RL:

    Cookie-Regelungen Österreich:

    Seit 1. November 2021 ist in Österreich das TKG 2021 in Kraft.

    Das TKG 2021 enthält in § 165 Abs. 3 eine (gegenüber dem TKG 2003) neue Formulierung betreffend Cookies:

    (3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Nutzer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Nutzer oder Benutzer seine Einwilligung dazu aktiv und auf Grundlage von klaren und umfassenden Informationen erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Nutzer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen.

    Zu § 165 Abs. 3 sagt der öst. Gesetzgeber:
    Mit dieser Bestimmung werden die Vorgaben von Art. 5 Abs. 3 der Richtlinie 2002/58/EG umgesetzt. Der EuGH hat mit Urteil vom 1. Oktober 2019 in der Rechtssache C-673/17 (Planet49 GmbH) im Zusammenhang mit Cookies ausgesprochen, dass keine Einwilligung im Sinne des Art. 2 lit. f und 5 Abs. 3 der Richtlinie 2002/58/EG in Verbindung mit Art. 4 Z 11 und Art. 6 Abs. 1 lit. a DSGVO vorliegt, wenn der Nutzer durch voreingestellte Ankreuzhäkchen seine „Einwilligung“ erteilt. Es ist vielmehr eine aktive Einwilligung erforderlich. Des Weiteren hat der EuGH in der zitierten Entscheidung ausgesprochen, dass von einer Einwilligung im Sinne des Art. 5 Abs. 3 der Richtlinie 2002/58/EG nur dann die Rede sein kann, wenn der Nutzer seine Einwilligung auf Grundlage von klaren und umfassenden Informationen erteilt hat (siehe Rz 46 des zitierten Urteils). Für eine informierte Einwilligung werden auch Informationen zur Funktionsdauer der Cookies und der Drittempfänger gefordert. Die Bestimmung ist als ergänzende Bestimmung zu den entsprechenden Vorgaben der DSGVO zu sehen.

  3. Markus

    Danke für die ausführliche Darstellung! Das mit den pauschalen Cookie finde ich auch etwas komisch, am Ende ist es dann doch das selbe wie die meisten Analytics-Tools. Die schreiben in “ihren” Cookie ja auch nicht Name und Adresse – sondern ebenso Zufallswerte. Alleine beim Namen “JENTIS User-Id” sollten doch die Alarmglocken angehen, oder?

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Webseite der Schirmherren BfDI und DSK mit Schrems-Livestream ignorierte Schrems II Urteil und enthielt weitere Rechtsverstöße