Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Was ist Tracking? Definition und Datenschutzregeln

Veröffentlicht am 31. Dezember 2020 von Dr. DSGVO · Zuletzt aktualisiert am 27. August 2021
3
Tracking

Kategorien: Datenschutz und Tracking

Tracking oder Web Tracking ist ein Begriff, der nicht näher bestimmt ist. Die juristische Definition kann aus der aktuellen Rechtslage abgeleitet werden und durch die technische Definition unterstützt werden. Meine Definition zielt auf die Einwilligungspflicht ab.

Beim Begriff des Trackings geht es im Kern darum, ob eine Einwilligungspflicht besteht.

Eine gebräuchliche technische Definition des Begriffs Web Tracking lautet:

Web Tracking ist das Identifizieren und Nachverfolgen von Nutzern in Netzwerken, mit dem Ziel, die Nutzerdaten außerhalb eines berechtigten Interesses auszubeuten.

Definition von Tracking aus technischer Sicht.

Aus rechtlicher Sicht kann eine Definition nach der aktuellen Rechtslage, die m. E. recht gefestigt ist, aus folgenden Fragen abgeleitet werden:

  1. Werden Cookies, die technisch nicht notwendig sind, vom Dienst genutzt oder ist der Dienst nicht funktional notwendig?
  2. Werden personenbeziehbare Daten ohne berechtigtes Interesse und ohne sonstige Rechtsgrundlage an Dritte übertragen?
  3. Werden personenbezogene Daten an unsichere Drittländer wie die USA übertragen?

Die erste Frage wird unterlegt von Art. 5 Abs. 3 der ePrivacy Richtlinie. Sie besagt, dass eine Einwilligung erteilt werden muss, sobald der Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, erfolgt. Dies gilt natürlich nur, sofern der Vorgang technisch nicht notwendig ist, wie die Richtlinie weiter ausführt. Ab Dezember 2021 gilt für Deutschland der § 25 TTDSG. Bis dahin gilt § 15 Abs. 3 TMG (gemäß BGH-Urteil zu Planet49 wie ePrivacy auszulegen).

Die zweite Frage wird unterlegt vom Art. 5 DSGVO (Datensparsamkeit), Art. 25 DSGVO (Datenschutz durch Technikgestaltung), Art. 32 DSGVO (Sicherheit der Verarbeitung) sowie Art. 6 DSGVO (Rechtsgrundlagen). Ein Dritter ist jede andere Stelle, mit der kein AVV o. ä. abgeschlossen wurde. Bei einem Besuch einer Webseite werden immer personenbezogene Daten verarbeitet, weil die IP-Adresse (Netzwerkadresse) ein personenbezogenes Datum ist. Wenn eine Webseite einen Dienst eines Dritten einbindet, etwa einen YouTube Video Player, wird die Netzwerkadresse des Nutzers dabei an den Dritten weitergereicht. Auch kann auf § 15 Abs. 3 TMG verwiesen werden. Dort wird die Nutzprofilbildung thematisiert. Nutzerprofildaten sind personenbeziehbar, also personenbezogen. Hilfsweise könnte der Device Fingerprint als personenbeziehbare Information herangezogen werden.

Die dritte Frage wird unterlegt von Art. 44 (Grundsätze der Datenübermittlung).

Auf dieser Grundlage sehe ich folgende juristische Definition für Tracking als sinnvoll an (sprachlich formuliert als Informatiker):

Tracking im Internet ist ein Datentransfer, der mit einer Einwilligung hinterlegt werden muss, weil er ohne berechtigtes Interesse (und erst Recht ohne weitere Rechtsgrundlage) entweder auf Informationen im Endgerät des Nutzers zugreift, oder weil er unnötig oder vermeidbar ist, oder weil der Empfänger keine ausreichenden Garantien zur Einhaltung der DSGVO geben kann.

Definition von Tracking aus rechtlicher Sicht.

Während die technische Definition die Datenverarbeitung in den Fokus stellt, ist bei der rechtlichen Definition bereits der Datentransfer relevant. Hieraus ergibt sich eine Lücke, die ich zu in einem anderen Artikel betrachte. In der Definition spielt die Nutzerprofilbildung keine direkte Rolle, sondern wird indirekt über unnötige oder vermeidbare Datentransfers mit abgehandelt, weil die IP-Adresse bereits ein personenbeziehbares Datum ist, deckt diese den erweiterten Datentransfer bei Nutzerprofilbildung quasi mit ab.

Web Tracking, egal, ob mit oder ohne Cookies, ist ohne Einwilligung rechtswidrig. Eine Einwilligung wird oft (leider) mithilfe eines aus meiner Sicht unbrauchbaren Consent Tools abgefragt.

Die Google Nutzungsbedingungen fordern eine Einwilligung vor dem Einbinden von YouTube Videos. Denn laut diesen Bedingungen muss vor Datenerhebung für Werbezwecke eine Einwilligung abgefragt werden. Dummerweise lädt das YouTube Script immer den Werbe-Tracker DoubleClick nach (Stand: 30.12.2020).

Für Google reCAPTCHA ist in den Nutzungsbedingungen genannt, dass die Richtlinie zur EU-Nutzereinwilligung einzuhalten ist.

Der Google Tag Manager und andere Dienste wie Google Maps werden von Google der Google Marketing Platform zugeordnet (siehe etwa https://support.google.com/tagmanager/answer/9031231).

Thesen

Die Einbindung mehrerer Tools zur statistischen Nutzeranalyse ist als Tracking zu werten.

Cookie-getriebene Einwilligungslösungen sind meistens in ihrer Machart rechtswidrig und funktionieren technisch ohne tiefgehende Anpassung der nutzenden Webseite nicht. Dies habe ich mithilfe einer ausführlichen Untersuchung gezeigt und objektive sowie praktische Gründe dafür festgestellt.

Opt-Out Cookies, die dazu führen, dass Analyse-Tools Dritter dennoch geladen werden, um die Datenerfassung aufgrund solcher Cookies (hoffentlich) zu unterlassen, sind unzulässig.

Der Einsatz von Diensten, deren Anbieter unbekannt ist, oder keine oder eine intransparente Datenschutzerklärung vorhält und keine Garantien gibt, ist rechtswidrig und selbst nach Einwilligung mit rechtlichen Unsicherheiten behaftet.

Die Einbindung beliebiger Dateien Dritter auf Webseiten ohne nachweisbare Garantie, dass diese Dritten die somit erhaltenen personenbezogenen Verbindungsdaten gemäß DSGVO behandeln (also kein Tracking betreiben), ist nicht mit der DSGVO vereinbar.

Populäre Tracking Tools

Je nach dem, wie man Tracking definiert, fallen Dienste in diese Kategorie oder nicht. Im folgenden sind deshalb mehrere Kategorien von Tracking Tools genannt. Landläufig wird unter dem Tracking das Nachverfolgen von Nutzern verstanden, um diese zur Erhöhung von Konvertierungsraten besser kennenzulernen.

Hier eine Auswahl von weit verbreiteten Tracking-Tools, die zur Nachverfolgung von Nutzern gedacht sind:

  • Google Analytics
  • Facebook Pixel
  • DoubleClick, DoubleClick Remarketing für Google Analytics …; DoubleClick wird u. a. vom YouTube Videos Player verwendet
  • Google Ads Conversion Tracking
  • Social Media Plugins von Facebook, Twitter u. ä.
  • Google +1 (ohne Funktion für den Webseitenbetreiber)
  • Omniture Analytics (Adobe Analytics)
  • Salesviewer
  • Xiti Monitoring Traffic (AT Internet)
  • Matomo (in bestimmten Konfigurationen und eher bei Cloud-Betrieb als bei lokaler Installation)

Versteckte Tracking Tools

Ich bezeichne sie hier so, weil die Kernfunktion nicht das Tracking sein soll, der jeweilige Tool-Anbieter diese Tools aber in Wirklichkeit (auch) deswegen bereitstellt, um Tracking zu betreiben.

  • Google Maps: Greift u. a. auf das NID Cookie zurück, welches beim Anmelden bei einem Google Konto gesetzt wird. Lädt Google Schriften nach
  • YouTube Video Script: Lädt DoubleClick nach
  • Google reCAPTCHA: Siehe Google Maps
  • Microsoft Forms: Lädt Script von Bing nach (gehört auch zu Microsoft, ist aber für Forms offenbar unnötig)

Tracking durch Google Tools

Ich unterstelle der Google-Unternehmensgruppe, dass diese Verbindungsdaten, die beim Nutzen u. a. folgender Dienste anfallen, für eigene Zwecke auswerten oder Dritten zur Verfügung stellen:

Die Nutzen von anderswo erhobenen Daten gibt Google sogar selbst zu. Hier zwei Google-Quellen:

Nutzung von erhobenen Daten durch Google für Werbung. Quelle: https://adssettings.google.com/authenticated?hl=de.

Betreiber von Webseiten und Apps geben also Daten an Google weiter, damit Google auf eigenen und fremden Webseiten personalisierte Werbung ausspielen kann. Personalisierte Werbung bedingt, dass eine Person identifiziert wird bzw. eine Personenbeziehbarkeit vorhanden ist.

Eine zusätzliche Datenfreigabe sorgt für die Verarbeitung von Aktivitäten im Internet durch Google, um Werbung zu personalisieren. Quelle: https://myactivity.google.com/activitycontrols?settings=search&utm_source=my-activity&facs=1&hl=de.

Google und auch Betreiber von Webseiten, die Google Dienste ohne Einwilligung nutzen, handeln hier m. E. rechtswidrig, denn der Weg erscheint mir wie folgt zu sein:

  1. Ein Nutzer A besucht eine beliebige Webseite X
  2. Auf der Webseite X sind Google Dienste eingebunden
  3. Google erhält so über Nutzer A Daten von Webseite X
  4. Hat Nutzer A an ganz anderer Stelle als auf Webseite X, nämlich bei Google (siehe Screenshots), seiner Datennutzung zugestimmt, verwendet Google die zu Nutzer A über Webseite X gewonnenen Daten für sonstige Zwecke, die nicht denen der Webseite X entsprechen müssen
  5. Webseite X hat (meist) keine Einwilligung hierfür eingeholt bzw. ist mir noch nirgends aufgefallen, dass etwa die Einbindung von Google Maps oder Google Fonts auf Webseiten damit erklärt wurde, dass Daten an Google weitergegeben werden, die für personalisierte Werbung verwendet werden.
  6. Verantwortlich ist mindestens der Betreiber der Webseite X, denn er gibt personenbeziehbare Daten von Nutzer A weiter. Wahrscheinlich ist auch Google verantwortlich. Mit Google Signals etwa werden Daten aus verschiedenen Quellen verknüpft, um Nutzerprofile zu erstellen.

Einwilligungspflicht aufgrund des Datentransfers

Möglicherweise wird durch folgende Tools (beispielhafte Nennung) kein Tracking betrieben. Der Datentransfer in unsichere Drittländer wie die USA erscheint allerdings einwilligungspflichtig (und ist es m. E. nach ganz eindeutig):

  • Font Awesome Schriften
  • Fast Fonts (Fonts.com): Verwendung eines Zählpixels vor allem zu Abrechnungszwecken (Nutzungskontingent)
  • MailChimp
  • MyFonts
  • MapBox (setzt OpenStreetMap ein)
  • SoundCloud Audio Player
  • CloudFlare (Content Delivery Network für Dateien)

Im Zweifel muss der Verantwortliche für die Datenerhebung den Nachweis der Rechtmäßigkeit bringen. Verantwortlich für eine Webseite ist üblicherweise der Betreiber der Webseite, es sei denn, er konnte erfolgreich seine Verantwortung auf eine andere Stelle abwälzen. Bei global agierenden Unternehmen wird die Verantwortlichkeit gerne einem Unternehmen mit geeignetem Firmensitz zugeschanzt.

Auch ist es nicht ohne Risiko möglich, ein Bild von einem externen Server eines Dritten zu laden, anstatt das Bild direkt einzubinden. Der Dritte wird in der Regel keine Nutzeranalyse aufgrund der erhaltenen Verkehrsdaten betreiben, könnte es aber tun.

Ausgesuchte Tools
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/tracking
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Dieser Beitrag wird in anderen Beiträgen erwähnt

  • WordPress-Webseiten DSGVO konform gestalten […] Avatare aktiviert, wird der Gravatar-Tracker geladen, der einer Einwilligung bedürfte, die aber nicht abgefragt werden […]
  • Google Maps […] ohne Einwilligung erscheint demnach kaum bis gar nicht haltbar. Das Kartentool vn Google ist als Tracker […]
  • DSGVO: Datenschutzgrundverordnung der EU […] W stellt einen Link (URL) auf Daten eines Nutzers durch Tracking (Erfassung der URL durch einen Tracker) an Dienstleister D […]

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Glossar: Wichtige Begriffe zum digitalen Datenschutz