Tracking oder Web Tracking ist ein Begriff, der nicht näher bestimmt ist. Die juristische Definition kann aus der aktuellen Rechtslage abgeleitet werden und durch die technische Definition unterstützt werden. Meine Definition zielt auf die Einwilligungspflicht ab.
Beim Begriff des Trackings geht es im Kern darum, ob eine Einwilligungspflicht besteht.
Eine gebräuchliche technische Definition des Begriffs Web Tracking lautet:
Web Tracking ist das Identifizieren und Nachverfolgen von Nutzern in Netzwerken, mit dem Ziel, die Nutzerdaten außerhalb eines berechtigten Interesses auszubeuten.
Definition von Tracking aus technischer Sicht.
Aus rechtlicher Sicht kann eine Definition nach der aktuellen Rechtslage, die m. E. recht gefestigt ist, aus folgenden Fragen abgeleitet werden:
- Werden Cookies, die technisch nicht notwendig sind, vom Dienst genutzt oder ist der Dienst nicht funktional notwendig?
- Werden personenbeziehbare Daten ohne berechtigtes Interesse und ohne sonstige Rechtsgrundlage an Dritte übertragen?
- Werden personenbezogene Daten an unsichere Drittländer wie die USA übertragen?
Die erste Frage wird unterlegt von Art. 5 Abs. 3 der ePrivacy Richtlinie. Sie besagt, dass eine Einwilligung erteilt werden muss, sobald der Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, erfolgt. Dies gilt natürlich nur, sofern der Vorgang technisch nicht notwendig ist, wie die Richtlinie weiter ausführt. Ab Dezember 2021 gilt für Deutschland der § 25 TTDSG. Bis dahin gilt § 15 Abs. 3 TMG (gemäß BGH-Urteil zu Planet49 wie ePrivacy auszulegen).
Die zweite Frage wird unterlegt vom Art. 5 DSGVO (Datensparsamkeit), Art. 25 DSGVO (Datenschutz durch Technikgestaltung), Art. 32 DSGVO (Sicherheit der Verarbeitung) sowie Art. 6 DSGVO (Rechtsgrundlagen). Ein Dritter ist jede andere Stelle, mit der kein AVV o. ä. abgeschlossen wurde. Bei einem Besuch einer Webseite werden immer personenbezogene Daten verarbeitet, weil die IP-Adresse (Netzwerkadresse) ein personenbezogenes Datum ist. Wenn eine Webseite einen Dienst eines Dritten einbindet, etwa einen YouTube Video Player, wird die Netzwerkadresse des Nutzers dabei an den Dritten weitergereicht. Auch kann auf § 15 Abs. 3 TMG verwiesen werden. Dort wird die Nutzprofilbildung thematisiert. Nutzerprofildaten sind personenbeziehbar, also personenbezogen. Hilfsweise könnte der Device Fingerprint als personenbeziehbare Information herangezogen werden.
Die dritte Frage wird unterlegt von Art. 44 (Grundsätze der Datenübermittlung).
Auf dieser Grundlage sehe ich folgende juristische Definition für Tracking als sinnvoll an (sprachlich formuliert als Informatiker):
Tracking im Internet ist ein Datentransfer, der mit einer Einwilligung hinterlegt werden muss, weil er ohne berechtigtes Interesse (und erst Recht ohne weitere Rechtsgrundlage) entweder auf Informationen im Endgerät des Nutzers zugreift, oder weil er unnötig oder vermeidbar ist, oder weil der Empfänger keine ausreichenden Garantien zur Einhaltung der DSGVO geben kann.
Definition von Tracking aus rechtlicher Sicht.
Während die technische Definition die Datenverarbeitung in den Fokus stellt, ist bei der rechtlichen Definition bereits der Datentransfer relevant. Hieraus ergibt sich eine Lücke, die ich zu in einem anderen Artikel betrachte. In der Definition spielt die Nutzerprofilbildung keine direkte Rolle, sondern wird indirekt über unnötige oder vermeidbare Datentransfers mit abgehandelt, weil die IP-Adresse bereits ein personenbeziehbares Datum ist, deckt diese den erweiterten Datentransfer bei Nutzerprofilbildung quasi mit ab.
Web Tracking, egal, ob mit oder ohne Cookies, ist ohne Einwilligung rechtswidrig. Eine Einwilligung wird oft (leider) mithilfe eines aus meiner Sicht unbrauchbaren Consent Tools abgefragt.
Die Google Nutzungsbedingungen fordern eine Einwilligung vor dem Einbinden von YouTube Videos. Denn laut diesen Bedingungen muss vor Datenerhebung für Werbezwecke eine Einwilligung abgefragt werden. Dummerweise lädt das YouTube Script immer den Werbe-Tracker DoubleClick nach (Stand: 30.12.2020).
Für Google reCAPTCHA ist in den Nutzungsbedingungen genannt, dass die Richtlinie zur EU-Nutzereinwilligung einzuhalten ist.
Der Google Tag Manager und andere Dienste wie Google Maps werden von Google der Google Marketing Platform zugeordnet (siehe etwa https://support.google.com/tagmanager/answer/9031231).
Thesen
Die Einbindung mehrerer Tools zur statistischen Nutzeranalyse ist als Tracking zu werten.
Cookie-getriebene Einwilligungslösungen sind meistens in ihrer Machart rechtswidrig und funktionieren technisch ohne tiefgehende Anpassung der nutzenden Webseite nicht. Dies habe ich mithilfe einer ausführlichen Untersuchung gezeigt und objektive sowie praktische Gründe dafür festgestellt.
Opt-Out Cookies, die dazu führen, dass Analyse-Tools Dritter dennoch geladen werden, um die Datenerfassung aufgrund solcher Cookies (hoffentlich) zu unterlassen, sind unzulässig.
Der Einsatz von Diensten, deren Anbieter unbekannt ist, oder keine oder eine intransparente Datenschutzerklärung vorhält und keine Garantien gibt, ist rechtswidrig und selbst nach Einwilligung mit rechtlichen Unsicherheiten behaftet.
Die Einbindung beliebiger Dateien Dritter auf Webseiten ohne nachweisbare Garantie, dass diese Dritten die somit erhaltenen personenbezogenen Verbindungsdaten gemäß DSGVO behandeln (also kein Tracking betreiben), ist nicht mit der DSGVO vereinbar.
Populäre Tracking Tools
Je nach dem, wie man Tracking definiert, fallen Dienste in diese Kategorie oder nicht. Im folgenden sind deshalb mehrere Kategorien von Tracking Tools genannt. Landläufig wird unter dem Tracking das Nachverfolgen von Nutzern verstanden, um diese zur Erhöhung von Konvertierungsraten besser kennenzulernen.
Hier eine Auswahl von weit verbreiteten Tracking-Tools, die zur Nachverfolgung von Nutzern gedacht sind:
- Google Analytics
- Facebook Pixel
- DoubleClick, DoubleClick Remarketing für Google Analytics …; DoubleClick wird u. a. vom YouTube Videos Player verwendet
- Google Ads Conversion Tracking
- Social Media Plugins von Facebook, Twitter u. ä.
- Google +1 (ohne Funktion für den Webseitenbetreiber)
- Omniture Analytics (Adobe Analytics)
- Salesviewer
- Xiti Monitoring Traffic (AT Internet)
- Matomo (in bestimmten Konfigurationen und eher bei Cloud-Betrieb als bei lokaler Installation)
Versteckte Tracking Tools
Ich bezeichne sie hier so, weil die Kernfunktion nicht das Tracking sein soll, der jeweilige Tool-Anbieter diese Tools aber in Wirklichkeit (auch) deswegen bereitstellt, um Tracking zu betreiben.
- Google Maps: Greift u. a. auf das NID Cookie zurück, welches beim Anmelden bei einem Google Konto gesetzt wird. Lädt Google Schriften nach
- YouTube Video Script: Lädt DoubleClick nach
- Google reCAPTCHA: Siehe Google Maps
- Microsoft Forms: Lädt Script von Bing nach (gehört auch zu Microsoft, ist aber für Forms offenbar unnötig)
Tracking durch Google Tools
Ich unterstelle der Google-Unternehmensgruppe, dass diese Verbindungsdaten, die beim Nutzen u. a. folgender Dienste anfallen, für eigene Zwecke auswerten oder Dritten zur Verfügung stellen:
- Google Tag Manager: Google verwendet erhaltene Nutzerdaten zu eigenen Zwecken, u. a., um Werbung zu optimieren
- Google Web Fonts: siehe Google Tag Manager
- Jegliche andere Datei, die von einem Google Server abgerufen wird
- Google DNS Server (8.8.8.8 = Google Public DNS Server). Dies ist eine Unterstellung ohne tief gehende Belege. Wer handfeste Belege liefern kann, erhält von mir eine Belohnung! Jedenfalls bestätigt Google lediglich, dass über den DNS-Server gewonnene personenbezogene Daten (nur) nicht für das zielgerichtete Ausspielen von Werbung genutzt werden. Somit ist es möglich, Nutzer nachzuverfolgen und diese Informationen an Dritte weiterzugeben, die aufgrund dessen (eigenverantwortlich) deren Werbung optimieren.
Die Nutzen von anderswo erhobenen Daten gibt Google sogar selbst zu. Hier zwei Google-Quellen:

Betreiber von Webseiten und Apps geben also Daten an Google weiter, damit Google auf eigenen und fremden Webseiten personalisierte Werbung ausspielen kann. Personalisierte Werbung bedingt, dass eine Person identifiziert wird bzw. eine Personenbeziehbarkeit vorhanden ist.

Google und auch Betreiber von Webseiten, die Google Dienste ohne Einwilligung nutzen, handeln hier m. E. rechtswidrig, denn der Weg erscheint mir wie folgt zu sein:
- Ein Nutzer A besucht eine beliebige Webseite X
- Auf der Webseite X sind Google Dienste eingebunden
- Google erhält so über Nutzer A Daten von Webseite X
- Hat Nutzer A an ganz anderer Stelle als auf Webseite X, nämlich bei Google (siehe Screenshots), seiner Datennutzung zugestimmt, verwendet Google die zu Nutzer A über Webseite X gewonnenen Daten für sonstige Zwecke, die nicht denen der Webseite X entsprechen müssen
- Webseite X hat (meist) keine Einwilligung hierfür eingeholt bzw. ist mir noch nirgends aufgefallen, dass etwa die Einbindung von Google Maps oder Google Fonts auf Webseiten damit erklärt wurde, dass Daten an Google weitergegeben werden, die für personalisierte Werbung verwendet werden.
- Verantwortlich ist mindestens der Betreiber der Webseite X, denn er gibt personenbeziehbare Daten von Nutzer A weiter. Wahrscheinlich ist auch Google verantwortlich. Mit Google Signals etwa werden Daten aus verschiedenen Quellen verknüpft, um Nutzerprofile zu erstellen.
Einwilligungspflicht aufgrund des Datentransfers
Möglicherweise wird durch folgende Tools (beispielhafte Nennung) kein Tracking betrieben. Der Datentransfer in unsichere Drittländer wie die USA erscheint allerdings einwilligungspflichtig (und ist es m. E. nach ganz eindeutig):
- Font Awesome Schriften
- Fast Fonts (Fonts.com): Verwendung eines Zählpixels vor allem zu Abrechnungszwecken (Nutzungskontingent)
- MailChimp
- MyFonts
- MapBox (setzt OpenStreetMap ein)
- SoundCloud Audio Player
- CloudFlare (Content Delivery Network für Dateien)
Im Zweifel muss der Verantwortliche für die Datenerhebung den Nachweis der Rechtmäßigkeit bringen. Verantwortlich für eine Webseite ist üblicherweise der Betreiber der Webseite, es sei denn, er konnte erfolgreich seine Verantwortung auf eine andere Stelle abwälzen. Bei global agierenden Unternehmen wird die Verantwortlichkeit gerne einem Unternehmen mit geeignetem Firmensitz zugeschanzt.
Auch ist es nicht ohne Risiko möglich, ein Bild von einem externen Server eines Dritten zu laden, anstatt das Bild direkt einzubinden. Der Dritte wird in der Regel keine Nutzeranalyse aufgrund der erhaltenen Verkehrsdaten betreiben, könnte es aber tun.
Kommentare von Lesern