Drücke „Enter”, um zum Inhalt zu springen.

Was ist Tracking?

Veröffentlicht am 31. Dezember 2020 von Dr. DSGVO
0

Kategorien: Datenschutz und Tracking

Tracking oder Web Tracking ist ein Begriff, der nicht näher bestimmt ist. Die juristische Definition kann aus der aktuellen Rechtslage abgeleitet werden und durch die technische Definition unterstützt werden.

Winterlandschaft, Skitour, Skispuren, Spuren Im Schnee
Tracking ist das Nachverfolgen von Nutzern (Bildlizenz: CC0)

Beim Begriff des Tracking geht es im Kern darum, ob eine Einwilligungspflicht besteht.

Eine gebräuchliche technische Definition des Begriffs Web Tracking lautet:

Web Tracking ist das Identifizieren und Nachverfolgen von Nutzern in Netzwerken, mit dem Ziel, die Nutzerdaten außerhalb eines berechtigten Interesses auszubeuten.

Definition von Tracking aus technischer Sicht

Aus rechtlicher Sicht kann eine Definition nach der aktuellen Rechtslage, die m.E. recht gefestigt ist, aus folenden Fragen abgeleitet werden:

  1. Werden Cookies, die technisch nicht notwendig sind, vom Dienst genutzt oder ist der Dienst nicht funktional notwendig?
  2. Werden personenbezogene Daten ohne berechtigtes Interesse und ohne sonstige Rechtsgrundlage übertragen?
  3. Werden personenbezogene Daten an unsichere Drittländer wie die USA übertragen?

Die erste Frage wird unterlegt von Artikel 5 (3) der ePrivacy Richtlinie. Sie besagt, dass eine Einwilligung erteilt werden muss, sobald der Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, erfolgt. Dies gitl natürlich nur, sofern der Vorgang technisch nicht notwendig ist, wie die Richtlinie weiter ausführt.

Die zweite Frage wird unterlegt vom Artikel 5 DSGVO (Datensparsamkeit) sowie Artikel 6 DSGVO (Rechtsgrundlagen).

Die dritte Frage wird unterlegt von den Artikeln 44 ff (Grundsätze der Datenübermittlung).

Auf dieser Grundlage sehe ich folgende juristische Definition für Tracking als sinnvoll an (sprachlich formuliert durch einen Informatiker):

Tracking ist eine Datentransfer, der mit einer Einwilligung hinterlegt werden muss, weil er ohne berechtigtes Interesse entweder auf Informationen im Endgerät des Nutzers zugreift, oder weil er unnötig oder vermeidbar ist, oder weil der Empfänger keine ausreichenden Garantien zur Einhaltung der DSGVO geben kann.

Definition von Tracking aus rechtlicher Sicht

Während die technische Definition die Datenverarbeitung in den Fokus stellt, ist bei der rechtlichen Definition bereits der Datentransfer relevant. Hieraus ergibt sich eine Lücke, die ich zu einem späteren Zeitpunkt (hier oder in einem anderen Artikel) betrachten werde.

Web Tracking, egal, ob mit oder ohne Cookies, ist ohne Einwilligung rechtswidrig. Eine Einwilligung wird oft (leider) mit Hilfe eines aus meiner Sicht unbrauchbaren Consent Tools abgefragt.

Die Google Nutzungsbedingungen fordern eine Einwilligung vor dem Einbinden von YouTube Videos. Denn laut diesen Bedingungen muss vor Datenerhebung für Werbezwecke eine Einwilligung abgefragt werden. Dummerweise lädt das YouTube Script immer den Werbe-Tracker DoubleClick nach (Stand: 30.12.2020).

Für Google reCAPTCHA ist in den Nutzungsbedingungen genannt, dass die Richtlinie zur EU-Nutzereinwilligung einzuhalten ist.

Thesen

Die Einbindung mehrerer Tools zur statistischen Nutzeranalyse ist als Tracking zu werten.

Cookie-getriebene Einwilligungslösungen sind meistens in ihrer Machart rechtswidrig und funktionieren technisch ohne tiefgehende Anpassung der nutzenden Webseite nicht. Dies habe ich mit Hilfe einer ausführlichen Untersuchung gezeigt.

Opt-Out Cookies, die dazu führen, dass Analyse-Tools Dritter dennoch geladen werden, um die Datenerfassung aufgrund solcher Cookies (hoffentlich) zu unterlassen, sind unzulässig.

Der Einsatz von Diensten, deren Anbieter unbekannt ist, oder keine oder eine intransparente Datenschutzerklärung vorhält und keine Garantien gibt, ist rechtswidrig und selbst nach Einwilligung mit rechtlichen Unsicherheiten behaftet.

Die Einbindung beliebiger Dateien Dritter auf Webseiten ohne nachweisbare Garantie, dass diese Dritten die somit erhaltenen personenbezogenen Verbindungsdaten gemäß DSGVO behandeln (also kein Tracking betreiben), ist nicht mit der DSGVO vereinbar.

Populäre Tracking Tools

Hier eine Auswahl von weit verbreiteten Tracking Tools:

  • Google Analytics
  • Facebook Pixel
  • DoubleClick, DoubleClick Remarketing für Google Analytics…; DoubleClick wird übrigend von YouTube Videos verwendet
  • Google AdWords Conversion Tracking
  • Social Media Plugins von Facebook, Twitter u.ä.
  • Google +1 (ohne Funktion für den Webseitenbetreiber)
  • Omniture Analytics (Adobe Analytics)
  • Salesviewer
  • Xiti Monitoring Traffic (AT Internet)
  • Matomo (in bestimmten Konfigurationen und eher bei Cloud-Betrieb)

Versteckte Tracking Tools

Ich bezeichne sie hier so, weil die Kernfunktion nicht das Tracking sein soll, der jeweilige Tool-Anbieter diese Tools aber in Wirklichkeit (auch) deswegen bereitstellt, um Tracking zu betreiben.

  • Google Maps: Greift u.a. auf das NID Cookie zurück, welches beim Anmelden bei einem Google Konto gesetzt wird. Lädt Google Schriften nach
  • YouTube Video Script: Lädt DoubleClick nach
  • Google reCAPTCHA: Siehe Google Maps
  • Microsoft Forms: Lädt Script von Bing nach (gehört auch zu Microsoft, ist aber für Forms offenbach unnötig)

Tracking durch Google Tools

Ich unterstelle der Google-Unternehmensgruppe, dass diese Verbindungsdaten für eigene Zwecke auswerten, die beim Nutzen u.a. folgender Dienste anfallen:

Einwilligungspflicht aufgrund des Datentransfers

Möglicherweise wird durch folgende Tools (beispielhafte Nennung) kein Tracking betrieben. Der Datentransfer in unsichere Drittländer wie die USA erscheint allerdings einwilligungspflichtig (und ist es m.E. nach ganz eindeutig):

  • Font Awesome Schriften
  • Fast Fonts (Fonts.com)
  • MailChimp
  • MyFonts
  • MapBox (setzt OpenStreetMaps ein)
  • SoundCloud Audio Player
  • CloudFlare (Content Delivery Network für Dateien)

Im Zweifel muss der Verantwortliche für die Datenerhebung den Nachweis der Rechtmäßigkeit bringen. Verantwortlich für eine Webseite ist üblicherweise der Betreiber der Webseite, es sei denn, er konnte erfolgreich seine Verantwortung auf eine andere Stelle abwälzen. Bie global agierenden Unternehmen wird die Verantwortlichkeit gerne einem Unternehmen mit geeignetem Firmensitz zugeschanzt.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/tracking
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Dr. DSGVO

Schlagworte zu diesem Artikel: