Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Matomo für Besucher-Statistiken auf Webseiten datenschutzkonform und ohne Einwilligung nutzen

7

Matomo ist eine kostenfrei verfügbare Analyse-Software für Webseiten. Mit Matomo können viele Statistiken, die auch Google Analytics bietet, erstellt werden. Mit der richtigen Konfiguration kann Matomo ohne Einwilligung und ohne Probleme mit dem Datenschutz genutzt werden.

Einleitung

Matomo ist eine beliebte Lösung, um das Verhalten von Nutzern auf Webseiten nachvollziehen zu können. Im Gegensatz zu Google Analytics kann Matomo ohne Datenschutzprobleme und ohne Einwilligung betrieben werden.

Dennoch können mit Matomo oft mehr als ausreichende Statistiken über das Verhalten von Webseitenbesuchern erstellt werden. Insbesondere kann mit Matomo festgestellt werden,

  • wie viele Nutzer die Webseite an einem bestimmten Tag aufgerufen haben,
  • welche Seite (Unterseite) der Webseite wie oft aufgerufen wurde,
  • von welchen Endgeräten aus die Aufrufe erfolgten,
  • von wo ungefähr (geografische Lage) die Aufrufe erfolgten.

Mehr müssen die meisten Betreiber von Webseiten nicht wissen. Alles, was darüber hinausgeht, nützt meist nur, wenn ausreichende Ressourcen und Kenntnisse zum Auswerten der Besucherströme vorhanden sind. Vor allem bei kleineren und mittelgroßen Firmen sind diese Ressourcen aber gerade nicht vorhanden.

Matomo ist technisch und rechtlich wesentlich besser beherrschbar als Google Analytics.

Meine Behauptung nach Untersuchung beider Tools.

Matomo hat wegen der rechtlichen Fragen von Google Analytics einen deutlich geringeren Einrichtungsaufwand als das Google-Tool. Weil kein Cookie-Popup den Besucher nervt, kann zudem von einer höheren Konvertierungsrate bzw. geringeren Absprungrate ausgegangen werden. Dies erhöht somit auch den Umfang der Analyse-Daten, was wiederum zu belastbareren Statistiken führt.

Damit Matomo DSGVO-konform und ohne Einwilligung betrieben werden kann, sind ein paar Aspekte zu berücksichtigen. Bevor ich näher auf die Konfiguration von Matomo eingehe, sollen Beispiele für Auswertungen gezeigt werden, die Matomo unterstützt.

Besucherstatistiken mit Matomo

Aktuelle Besucher auf einer Webseite (Echtzeit-Auswertung).

Der Screenshot zeigt die aktuell auf einer Webseite vorhandenen Besucher und deren Aktionen. Eine Aktion ist etwa der Aufruf einer Unterseite. Weiterhin werden Charakteristiken zu den Besuchern angezeigt, etwa der verwendete Browser, das Betriebssystem oder die Art des Bildschirms.

Der folgende Screenshot zeigt einen Graphen der letzten Besuche, der wegen der reinen Testschaltung sehr mager ausfällt.

Statistik zur´Übersicht der Besucher (nach kurzem Test von Matomo).

Aus allen Besuchen werden aggregierte Statistiken errechnet wie beispielsweise die durchschnittliche Aufenthaltsdauer oder die Anzahl der Aktionen pro Besuch. Eine Aktion ist etwa der Klick auf einen Link.

Die Analysefunktionen von Matomo reichen für die meisten Webseiten aus.

Meine Behauptung nach Kenntnis von Matomo und vielen Webseiten.

Der Weg von Besuchern zur Webseite, auf der Webseite und wie die Webseite verlassen wurde, wird anschaulich dargestellt.

Einsprung- und Absprungpunkte von Besuchern.

Die Übergänge zeigen, wie Besucher auf die Webseite gekommen sind, welche Seiten sie dort aufgerufen haben und wie sie die Webseite wieder verlassen haben. Der Screenshot sieht auch hier recht mager aus, weil die Testdaten minimal waren. Normalerweise würden auf der linken und der rechten Seite auch interne Seiten stehen und einen Graphen aufspannen.

Konfiguration von Matomo

Die Konfiguration des Analyse-Tools ist dank der grafischen Web-Oberfläche einfach möglich. Einige Einstellungen sollten angepasst werden, um möglichst datenschutzkonform zu sein. Es schadet nicht, sich alle Einstellungen einmal anzusehen. Dafür sind nur wenige Minuten Zeit erforderlich.

Lokale Installation

Matomo sollte im lokalen Betrieb genutzt werden. Das bedeutet, dass die Installationsdateien von Matomo heruntergeladen und dann auf einem eigenen Server aufgespielt werden. Die Installation ist insbesondere für WordPress sehr einfach, weil dafür ein Plugin zur Verfügung steht. Diese Betriebsart wird auch als On-Premise bezeichnet und ist kostenfrei.

Wer die Cloud Lösung nutzen möchte, muss weitere Dinge beachten. Insbesondere ist ein AVV mit dem Anbieter von Matomo zu schließen. Die Cloud Lösung kostet aktuell 29 Euro pro Monat. Das Geld ist besser in eine einmalige lokale Installation investiert, die zudem rechtlich leichter beherrschbar ist.

Anonymisierung von IP-Adressen

Aus Datenschutzgründen sollten IP-Adressen nicht voll protokolliert werden, weil sie personenbezogene Daten darstellen. Der Grad der Pseudonymisierung oder Anonymisierung ist flexibel wählbar. Eine Kürzung der IPv4-Netzwerkadresse um zwei Byte weist ein hohes Datenschutzniveau auf.

Anonymisierung von IP-Adressen für die Datenerfassung mit Matomo.

Werden zwei oder mehr Bytes der IP-Adresse des Nutzers maskiert, dann wird die Geolokation recht ungenau. Dennoch sollte die Bestimmung des Standorts des Nutzers auch dann immer noch genau genug für die meisten Anwendungsfälle sein. Für viele ist es einfach unerheblich, ob der Besucher in Hessen oder Nordrhein-Westfalen wohnt.

Die Aktivierung der Option „Benutzer ID mit Pseudonym austauschen“ bewirkt, dass interne Identifikatoren für Besucher durch einen Hash-Wert ersetzt werden. Weil Hash-Werte mehrdeutig sein können, erhöht sich dadurch das Datenschutz-Niveau. Im Kern geht es darum, durch zusätzliche Protokollierungen einen Personenbeziehbarkeit mithilfe der Besucher ID zu vermeiden. Google Analytics versagt hier, weil die Client Id als Pendant zur Matomo Benutzer ID immer vollwertig protokolliert wird und eine Personenbeziehbarkeit somit möglich ist.

Cookie-loser Betrieb

Rechtlich am sichersten ist die Nutzung von Matomo ohne Cookies. Der Nachteil ist, dass wiederkehrende Besucher nicht zuverlässig als solche erkannt werden. Doppelzählungen sind im schlimmsten Fall die Folge. Diese Konsequenz ist meiner Erfahrung nach für die meisten KMU irrelevant. Schließlich geht es vor allem um Antworten auf folgende Fragen:

  1. Wie viele Besucher hatte die Webseite?
  2. Welche Beiträge sind am beliebtesten und welche haben noch Potential?
  3. Wie ist der Trend?

Genau diese Fragen können auch mit der genannten Unschärfe ausreichend gut beantwortet werden.

Cookies können im Admin-Bereich von Matomo ausgeschaltet werden.

Cookies für Matomo ausschalten (Bild zeigt WordPress-Plugin).

Die E-Commerce Einstellung dient zum Verfolgen von Warenkörben oder Produktansichten und ist in erster Linie für Online-Shops relevant. Die Verfolgung der Suche targetiert interne Suchen auf der Webseite, also nicht globale Suchmaschinen. Für letzteres stehen andere Mittel auf Ebene der bekannten Suchmaschinen zur Verfügung.

Sitzungs-Cookies

Möglicherweise vertretbar erscheint die Nutzung von Matomo mit Sitzungs-Cookies. Solche Cookies existieren nur so lange, bis ein Nutzer den Browser wieder schließt. Laut § 15 Abs. 3 TMG könnte dies möglicherweise als „bedarfsgerechten Gestaltung der Telemedien“ verstanden werden, was gegen eine Einwilligung sprechen würde. Allerdings müsste dann eine Abwahlmöglichkeit bereitgestellt werden. Diese ließe sich technisch für die meisten nur dadurch realisieren, dass Matomo dann gar nicht mehr geladen wird.

Der BGH stellte im Planet49-Urteil allerdings fest, dass die Vorschrift im Telemediengesetz konform zur ePrivacy-Richtlinie auszulegen ist. Somit würde für technisch nicht notwendige Cookies eine Einwilligung erforderlich sein.

Ich empfehle demnach die Nutzung von Matomo ohne Cookies. Die Datenqualität ist gut genug und mögliche Fragezeichen sind verschwunden.

Was ist mit Device Fingerprinting?

Fingerprinting bedeutet, dass der digitale Fingerabdruck des Geräts des Nutzers gezogen wird, um den Nutzer auch ohne Cookies wiedererkennen zu können.

Ein Fingerabdruck besteht aus der Bildschirmauflösung, der eingestellten Sprache, dem Betriebssystem, dem Browser und dessen spezifischer Version sowie einigen weiteren Eckdaten. Diese Daten sind nach aktuellem Stand nicht im Endgerät des Nutzers gespeichert, sondern werden über die Abfrage von Attributen ermittelt, die meist mit der Hardware verknüpft sind. Die Bildschirmauflösung allerdings ist in einer Konfiguration gespeichert, die wiederum nicht für den Browser zugänglich ist. Der Browser kann diese Angabe nur durch die Abfrage der aktuell vorliegenden Gegebenheiten ermitteln und greift somit nicht auf persistente Speicher zu. In einem früheren Beitrag habe ich untersucht, welche Informationen im Endgerät eines Nutzers gespeichert sind.

Bestimmte Systemdaten, aus denen sich der digitale Fingerabdruck eines Nutzers ergibt, sind nicht bereits im Endgerät des Nutzers gespeichert, sondern ergeben sich aus der aktuellen Systemkonfiguration.

Meine Feststellung zu Fingerprint-Daten.

Wie wird die Bildschirmauflösung bestimmt?

Am Beispiel der Bildschirmauflösung (Breite und Höhe in Pixeln sowie Farbtiefe) soll demonstriert werden, dass diese Fingerabdrucksinformationen nicht bereits im Endgerät des Nutzers gespeichert sind, derart, wie in § 25 TTDSG oder Art. 5 Abs. 3 ePrivacy-Richtlinie gemeint.

Die Bildschirminformationen können auf der besuchten Webseite über JavaScript direkt im Browser ermittelt werden. Hierzu gibt es das screen-Objekt (oder genauer: window.screen). Es stellt alle genannten Bildschirmattribute über das window-Objekt zur Verfügung. Die Abfrage des Bildschirms selbst erfolgt über systemnahe Funktionen auf Ebene des Betriebssystems. Das Betriebssystem fragt dazu den aktuellen Zustand des aktiven Monitors ab, in dem der Browser dargestellt wird (wie es bei Multi-Displays aussieht, habe ich nicht ergründet, wahrscheinlich ist dort der primäre Monitor relevant). Der Monitor erhält vom Betriebssystem, wenn es gestartet wird, den Befehl, eine bestimmte Auflösung zu nutzen, die durch Konfiguration einmal festgelegt wurde oder dem Systemstandard entspricht. Die vom Monitor tatsächlich dargestellte Auflösung kann auch von dem abweichen, was im Betriebssystem festgelegt ist, wenn etwa die Wunschauflösung vom Monitor nicht unterstützt wird. Im Betriebssystem ist also eine Wunschauflösung konfiguriert um im Montor wird die seit dem Anschalten befohlene Auflösung (oder die nächstbeste) dargestellt. Soweit ich weiß, speichert der Monitor diese Auflösung nur im flüchtigen Speicher, nicht aber in einem Festspeicher.

Wie wird die IP-Adresse bestimmt?

Ein weiteres Beispiel soll illustrieren, dass bestimmte Daten nicht gemäß der genannten Rechtsvorschriften bereits im Endgerät des Nutzers gespeichert sind, sondern vielmehr flüchtige Daten darstellen, die zusätzlich außerhalb der Endeinrichtung des Nutzers gehalten oder dynamisch (etwa je nach Konfiguration) ermittelt werden.

Die IP-Adresse ist eine Netzwerkadresse. Jeder Teilnehmer an einem Netzwerk wie dem Internet benötigt eine Adresse, um für andere erreichbar zu sein. Ein Endgerät erhält seine Adresse von einem zuständigen Netzwerk-Server zugeteilt. Über DHCP (Dynamic Host Configuration Protocol) können Adressen dynamisch vergeben werden, im Gegensatz zu statischen Adressen, die fortwährend Bestand haben.

Die Netzwerkadresse wird zur Laufzeit vergeben. Sie kann sich theoretisch jederzeit ändern, insbesondere, wenn man Kunde bei einem der bekannteren Telekomunikations-Provider ist, die günstige Zugänge anbieten. Die Adresse ist nicht vom Browser beeinflussbar, er kann nur die aktuell dem Endgerät zugeteilte Adresse ermitteln. Es kann sein, dass im Endgerät eine Kopie der IP-Adresse abgespeichert wird. Die tatsächliche IP-Adresse ergibt sich aber nicht aus der im Endgerät eventuell zusätzlich gespeicherten Information, sondern über den Provider. Die eventuelle Speicherung im Endgerät ist nur als Arbeitserleichterung bzw. zur Optimierung der Zugriffe zu verstehen. Ist eine Fritz!Box vorhanden, kümmert sie sich um die Kommunikation mit dem Provider. Die Fritz!Box steht, soweit ich weiß und für meine Hardware behaupten kann, außerhalb meiner Endgeräte. Dies ist alleine schon daher plausibel, weil mehrere Endgeräte gemeinsam einen Netzwerkzugangspunkt wie die Fritz!Box nutzen können.

Wie wird die Art des Bildschirms bestimmt?

Dieses Beispiel demonstriert, dass die Angaben zum Bildschirm und zu Eingabegeräten nicht im Endgerät abgespeichert sind bzw. dort nicht abgespeichert sein müssen. Ob ein Bildschirm ein Touch Screen ist, also durch Antippen mit den Fingern oder einem speziellen Stift bedient werden kann, ergibt sich aus dem Bildschirmmodell. Diese Eigenschaft des Bildschirms kann offensichtlich nicht dadurch festgelegt werden, dass eine Konfiguration entsprechend verändert wird.

Auch die Charakteristiken einer Computer-Maus als Eingabegerät ergeben sich aus den Fähigkeiten der Maus selbst und nicht aus einer bestimmten Konfiguration. Es kann höchstens sein, dass bei mehreren Einstellmöglichkeiten eine festgelegt und durch Abspeicherung im Endgerät verwaltet wird. Diese Verwaltung dient dann aber nur dem Komfort. Der Anwender soll eben die gleiche Konfiguration erhalten, wenn der Rechner neu gestartet wird.

Informationen, die nur behelfsweise im Endgerät des Nutzers gespeichert werden, gelten nicht als Informationen, die bereits im Endgerät des Nutzers gespeichert sind.

Meine Schlussfolgerung.

Wichtig ist auch, dass der Browser die genannten Daten zu Bildschirm, Maus oder IP-Adresse nicht selbst verwalten kann. Anders sieht es bei Cookies aus, die alleinig vom Browser verwaltet werden und die ohne diese Verwaltung gar nicht existierten. Die Speicherung von Cookies an sich ist notwendig, wenn die Cookies genutzt werden sollen. Die Speicherung der Bildschirmauflösung hingegen ist nicht notwendig und findet ggf. nur statt, um dem Anwender einen Komfort beim Neustart des Endgeräts zu ermöglichen. Zudem ergibt sich aus einer gespeicherten Wunschbildschirmauflösung nicht zwingend die tatsächliche Auflösung. Der Browser greift auch nicht auf eine gespeicherte Konfiguration zu, um die aktuelle Bildschirmauflösung zu ermitteln (sofern eine JavaScript-Logik dies anfordert), sondern fragt nach dem aktuellen Zustand des Bildschirms.

Cookies sind nichtflüchtige (feste) Speicher, wohingegen Fingerprint-Daten flüchtige Daten (Gewohnheitsdaten) sind.

Vergleich von Cookies mit Fingerprint-Daten.

Ich bezeichne die Fingerprint-Daten als Gewohnheitsdaten. Sie sind zwar flüchtig, können sich potentiell also jederzeit ändern, tun dies aber für gewöhnlich nicht. Somit sind sie zwar keine Technologien und auch keine den Cookies vergleichbare Technologien, dafür aber geeignet, um Nutzer nachzuverfolgen. Entscheidend ist die Verarbeitungsdauer bzw. Speicherdauer der Fingerprint-Daten.

Somit fällt das Device Fingerprinting nicht unter die ePrivacy-Richtlinie bzw. § 15 Abs. 3 TMG in richtlinienkonformer Auslegung (vgl. BGH-Urteil zu Planet49) und auch nicht unter § 25 TTDSG (ab Dezember 2021). Ob Fingerprinting unter § 15 Abs. 3 TMG in seiner ursprünglichen Form fällt, hängt von de Art und Nutzungsdauer der Fingerprint-Daten ab.

Matomo ist ohne Einwilligung und ohne Widerspruchsmöglichkeit nutzbar.

Mein Fazit nach Untersuchung der Konfigurationsmöglichkeiten von Matomo.

Matomo verwendet einen digitalen Fingerabdruck, um Nutzer auch ohne Cookies erkennen zu können. Mein Test zeigte, dass ein Nutzer, der am Freitag aufgrund untertägiger Aktionen als wiederkehrend erkannt wurde, am Montag als neuer Nutzer gewertet wurde. Das ist datenschutzrechtlich gut, denn eine nur kurze Wiedererkennungszeitspanne kann als berechtigtes Interesse gewertet werden. Jedenfalls sehe ich das so und vermute hier, dass weder eine Einwilligung noch eine Widerspruchsmöglichkeit angeboten werden muss. Dies gilt in dem beschriebenen Fall der lokalen Nutzeranalyse ohne Cookies.

Das Fingerprinting mit Matomo kann also m. E. ohne Widerspruchsmöglichkeit gemäß § 15 Abs. 3 TMG (in seiner ursprünglichen Bedeutung, nicht in seiner BGH-Bedeutung konform zur ePrivacy-Richtlinie) verwendet werden. Die Rechtsgrundlage hierfür wäre dann das berechtigte Interesse gemäß Art. 6 Abs. 1 f DSGVO.

Löschen alter Daten

Zur Sicherheit sollten historische Daten nicht zu lange aufbewahrt werden. Eine entsprechende Einstellung zum automatischen Löschen alter Bestandsdaten bietet Matomo direkt an.

Löschen von Bestandsdaten nach Ablauf eines Verfallsdatums.

Die Anzahl der Tage, nach denen Daten verfallen, sollte so gewählt sein, dass diese größer ist als der maximal benötigte Berichtszeitraum. Wenn die Berichtsdaten anonymisiert sind, ist auch eine längere Lebensdauer unproblematisch.

Existieren Altdaten aus früheren Sitzungen, in denen die Matomo-Einstellungen nicht für eine Anonymisierung gesorgt haben, können diese nachträglich anonymisiert werden.

Nachträgliche Anonymisierung vorhandener Analyse-Daten mit Matomo.

Fazit

Matomo ist kostenfrei erhältlich und bietet zahlreiche Analysefunktionen, die für die meisten Webseiten ausreichend sind. Eine lokale Installation ist leicht möglich. Rechtliche Bedingungen wie bei Google Analytics müssen nicht beachtet werden. Ein AVV ist bei lokaler Installation unnötig. Vielmehr muss auf die richtige Konfiguration geachtet werden, um Datenschutzprobleme gar nicht erst entstehen zu lassen.

Matomo eignet sich für fast alle Webseiten als Google Analytics Ersatz. Dies gilt vor allem für diejenigen, die Google Analytics einfach nur deswegen nutzen, weil alle es nutzen oder weil eine Agentur dies vorgegeben hat.

Wer Google Analytics oder ein anderes Drittanbieter-Tool nutzen will, sollte die rechtlichen und technischen Zusammenhänge genau verstehen. Das darf allerdings regelmäßig bezweifelt werden, wodurch Datenschutzprobleme vorprogrammiert sind.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Linus-Maximilian

    Guten Abend, schöner Beitrag erstmal.
    Aber ich hätte mal zur Auslegung
    “Somit fällt das Device Fingerprinting nicht unter die ePrivacy-Richtlinie bzw. § 15 Abs. 3 TMG in richtlinienkonformer Auslegung (vgl. BGH-Urteil zu Planet49) und auch nicht unter § 25 TTDSG (ab Dezember 2021).“ eine Frage. Wir kommen Sie zum Schluss das hier keine Einwilligung erforderlich ist?

    Ein Fingerprint ruft ganz klar Informationen von meinem Endgerät (Browser) ab. Das TTDSG spricht genau davon und ist Technikneutral. Hier ist nicht die Sprache von Cookies. Und die Ausnahmen in §25 Absatz 2 dürften hier auch nIcht greifen.

    Und dann zu
    “Das Fingerprinting mit Matomo kann also m. E. ohne Widerspruchsmöglichkeit gemäß § 15 Abs. 3 TMG (in seiner ursprünglichen Bedeutung, nicht in seiner BGH-Bedeutung konform zur ePrivacy-Richtlinie) verwendet werden.“
    Nehmen wir an Sie nutzen eine andere Rechtsgrundlage als die Einwilligung, was ist dann diese? Und warum entfällt dann die Widerspruchsoption?

    Besten Dank für die Ausführungen.

    • Dr. DSGVO

      Vielen Dank für Ihre Rückmeldung und Ihre konstruktiven Anmerkungen!

      Das TTDSG tritt erst ab Dezember 2021 in Kraft. In Art. 5 Abs. 3 der ePrivacy-Richtlinie, gemäß derer der § 15 Abs. 3 TMG auszulegen ist (BGH-Urteil Planet49), ist vom Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, die Rede. Auch im TTDSG ist dies so ausgedrückt.

      Bei diesen Informationen handelt es sich um Cookies und ähnliche Technologien, etwa die IDFA und AAID von Apple und Google.

      Beispielsweise die IP-Adresse oder auch die aktuelle Bildschirmauflösung sind nicht derart im Endgerät gespeichert. Selbst wenn, müsste der Browser dann auf diesen Speicher Zugriff haben, was nicht der Fall ist. Vielmehr wird ein flüchtiger Zustand abgefragt.

      Zu Ihrer letzten Frage: Hier sehe ich das berechtigte Interesse als gegeben an, natürlich nur, wenn sehr datenschutzfreundliche Einstellungen verwendet werden (siehe Beitrag).
      Die nur sehr kurzfristige Erkennung eines Nutzers als Nutzer 4711 ist m.E. keine Nutzerprofilbildung, denn hierzu gehört m.E. eine Nachverfolgung des Nutzers über eine Sitzung hinaus (ggf. sogar über mehr als x Tage hinweg, hierzu gibt es unterschiedliche Meinungen).

      Gerne können wir uns hierzu auch weiter austauschen, auch telefonisch.

      Update: Aufgrund der Frage zum Fingerprinting habe ich den Beitrag direkt nach Veröffentlichung erheblich um Informationen hierzu angereichert.

      • David

        Bei der Frage, ob Device Fingerprinting unter § 25 TTDSG bzw. Art. 5 Abs. 3 ePrivacy-Richtlinie fällt, dürfte entscheidend sein, ob “Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind” eine eigenständige Fallgruppe ist oder eine Untergruppe zur Variante “Speicherung von Informationen in der Endeinrichtung”.

        Liest man Erwägungsgrund 25 zur ePrivacy-Richtlinie klingt “der Nutzer muss wissen, dass bestimmte Informationen auf dem von ihm benutzten Endgerät platziert werden” danach, als würde die Norm nur Identifier betreffen, die zuvor von außen gesetzt worden sind.

        Device Fingerprinting greift nur auf Daten bzw. technische Gegebenheiten zu, die bereits auf dem Gerät vorhanden waren. Für das Fingerprinting wird kein Identifier von außen auf dem Gerät gesetzt. Daher dürfte Fingerprinting nicht unter § 25 TTDSG fallen.

        • Dr. DSGVO

          Vielen Dank für Ihren Hinweis und die Referenz auf Erwägungsgrund 25.
          Das erscheint mir als eine weitere gute Begründung, dass Fingerprint-Daten wie die Bildschirmauflösung keine Cookie-ähnlichen Technologien darstellen.

          Ich möchte aber betonen, dass es bei Cookies u.ä. nicht um Identifier (landläufig wohl verstanden als “personenbeziehbare Daten”) geht, wie sowohl der Text der ePrivacy-RL sagt als auch der EuGH klargestellt hatte.

  2. Linus-Maximilian

    Vielen Dank für Ihre Antwort und Einschätzung. Das ist eine mutige Auffassung, den in der Oreintierungshilfe für Anbieter von Telemedien der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder findet sich folgendes:

    “Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

    Auch die Aufsichtsbehörden hat danach noch einmal Technikunabhängig argumentiert:
    https://datenschutz-hamburg.de/pressemitteilungen/2019/10/2019-10-01-planet49

    Und auch die E-Privacy Richtline spricht zwar von Cookies, sagt aber “z. B. Cookies.

    Ich glaube auch das es nicht nur um Informationen geht, die ich vorher abgelegt habe, sonder auch um alle Informationen die ich vom Gerät abrufen will.

    • Dr. DSGVO

      Hallo Linus-Maximilian,

      herzlichen Dank für Ihre ausführliche, engagierte Rückmeldung!

      Es geht bei der ePrivacy-Richtlinie bzw. deren Anwendung über das TMG bzw. beim neuen TTDSG um Informationen, die im Endgerät des Nutzers gespeichert sind und auf die zugegriffen wird.
      In einem Kommentar weiter oben wurde der Erwägungsgrund 25 erwähnt, der dies untermauert.

      Es geht letztendlich um den Schutz der Endeinrichtung, um den Privatsphäreschutz. Informationen, die nicht in der Endeinrichtung gespeichert waren, können diesem Schutz m.E. nicht unterliegen.

      Der Kommentar des HmbBfDI zu Planet49 spricht von Tracking. Ich denke aber, dass ein lokales, zeitlich auf eine Sitzung begrenztes Betrachten von Nutzern kein Tracking in diesem Sinne ist, sondern ein statistisches (idealerweise anonymisiertes) Auszählen. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 f DSGVO, das berechtigte Interesse.

      Die DSK kennt oft die technischen Gegebenheiten nicht, etwa zu Google Analytics. Da argumentiert die DSK mit einer Meinung, obwohl ich seit längerem hierzu harte Fakten kenne, die diese Meinung ersetzen (und den Tenor bestätigen). Die DSK hatte ich hierüber sogar informiert, aber keine Rückmeldung erhalten.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Tag Manager: rechtliche Bedingungen für den Betrieb auf Webseiten