Trackingtechnologien und Datenschutz

In jüngster Zeit entwickeln sich immer mehr neue Trackingtechnologien, die als Alternativen zum Cookie zur Verfügung stehen. Nicht zuletzt durch die e-Privacy Richtlinie der EU versuchen immer mehr Marktteilnehmer, alternative Möglichkeiten auszuloten. Das Cookie ist daher längst nicht mehr die einzige Technologie, die für ein Tracking zur Verfügung steht. Die Stichworte sind „Fingerprinting“, „Local Storage“, eTags, etc.

Um die datenschutzrechtlichen Probleme bei dem Einsatz alternativer Trackingtechnologien besser einschätzen zu können, erscheint es hilfreich, zunächst einmal die datenschutzrechtlichen Grundlagen anzusprechen, die in der Onlinemarketingbranche zur Anwendung gelangen.

Die einschlägigen Gesetze, nämlich das Bundesdatenschutzgesetz (BDSG) und das Telemediengesetz (TMG), unterscheiden dabei zwischen unterschiedlichen Arten von Daten.

Personenbezogene Daten

Die wichtigste Kategorie ist die der „personenbezogenen Daten“. Nach der Definition des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1 BDSG).

Gemeint sind damit Daten wie z.B. Name, Adresse, Telefonnummer, eMail Adresse, etc., also Daten, durch die man eine Person unschwer identifizieren kann. Kurz gefasst bedarf jede Nutzung von personenbezogenen Daten (das Gesetz spricht von „Erhebung, Verarbeitung und Nutzung“) der Einwilligung der betroffenen Person. Wer also solche Daten erfasst, z.B. eMail-Adressen im Rahmen eines Nutzerprofils, bedarf somit der Zustimmung der betroffenen Person. Das gilt auch für die Anreicherung oder Verknüpfung solcher Profile mit personenbezogenen Daten.

Der Vollständigkeit halber sei erwähnt, dass das BDSG „besondere Arten“ von personenbezogenen Daten kennt (§ 3 Abs. 9 BDSG). Das sind besonders schützenswerte Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Wer solche Daten erhebt, muss besondere, vor allem formale Voraussetzungen für ihre Nutzung erfüllen, z.B. sind für die Schriftform von Einwilligungserklärungen besondere Kriterien zu erfüllen.

 

Pseudonyme Daten

Pseudonyme Daten liegen vor, wenn der Name oder andere Identifikationsmerkmale durch ein Pseudonym ersetzt wurden, z.B. durch eine Kennziffer. Das gilt aber nur dann, wenn die Pseudonymisierung reversibel ist, das Pseudonym also wieder aufgelöst werden kann, z.B. durch den Inhaber einer Zuordnungstabelle oder schlicht den Inhaber des „Schlüssels“, der die Pseudonymisierung herbeiführte.

Ein typisches Beispiel ist die User ID in einem Cookie. Sie kann ein Pseudonym darstellen, wenn es einen Schlüssel gibt, der es dem Inhaber dieses Schüssel ermöglicht, die Daten zu re-pseudonymisieren. Können pseudonymisierte Daten nicht mehr aufgelöst werden, sind sie irreversibel. In diesem Fall liegen keine pseudonymen Daten mehr vor, sondern anonyme Daten. Auch für denjenigen, der nicht im Besitz des Schlüssels ist, stellen sich pseudonyme Daten bei genauerer Betrachtung als anonyme Daten dar.

 

 

Anonyme Daten

Anonyme Daten liegen vor, wenn personenbezogene Daten so verändert wurden, dass die Einzelangaben nicht mehr oder nur mit unverhältnismäßig großem Aufwand „an Zeit, Kosten oder Arbeitskraft“ einer bestimmten oder bestimmbaren Person zugeordnet werden können (§ 3 Abs. 6 BDSG).

Insbesondere der Begriff der „bestimmbaren Person“ löst in der Praxis heftige Diskussionen aus. Kommt es für diese Frage auf die Sicht des konkreten Anwenders an (also eine relative Sicht) oder ist eine objektive Betrachtungsweise die richtige? Die Relevanz dieser Frage wird zum Beispiel bei IP-Adressen deutlich. Für einen Zugangsprovider, z.B. die Telekom, ist der Inhaber einer IP-Adresse bestimmbar. Der Vermarkter einer Website ist dagegen nicht ohne weiteres in der Lage, die hinter einer IP-Adresse stehende Person zu ermitteln. Käme es auf die objektive Betrachtungsweise an, würde es ausreichen, dass irgendwer auf dieser Welt in der Lage wäre, eine IP-Adresse aufzulösen. Kommt es dagegen auf die relative Sicht an, wäre die Erfassung einer IP-Adresse durch einen Vermarkter datenschutzrechtlich zulässig. Die Rechtsprechung ist unentschieden, der BGH hat diese Frage dem EuGH vorgelegt. Er scheint aber der relativen Sichtweise zuzuneigen. Es bleibt daher abzuwarten, wie der EuGH in dieser für die Onlinebranche äußerst wichtigen Frage entscheidet.

Das besondere an anonymen Daten ist der Umstand, dass für sie die Datenschutzgesetze nicht mehr gelten. Die Nutzung und Verarbeitung von anonymen Daten ist gesetzlich praktisch nicht geregelt. Sie bedarf insbesondere keiner Einwilligung eines Betroffenen, denn es gibt in diesem Fall niemanden, der sich betroffen fühlen könne.

Der Umstand, dass eine Verarbeitung von anonyme Daten praktisch grenzenlos möglich ist, hat für die Onlinebranche eine wesentliche Bedeutung. Denn in der Regel erfordert der Einsatz von Trackingtechnologien nicht die Nutzung personenbezogener Daten. Die Verarbeitung anonymer Kennziffern und Nutzerprofile, die einen Rückschluss auf die dahinter stehende Person nicht zulassen, reicht in der Regel aus.

Das Anonymisieren eines personenbezogenen Datums, ist übrigens nicht zustimmungsbedürftig. Wer also seine in der CRM vorhandenen Kundendatenbestände anonymisiert und anschließend mit (anonymen) Offlineprofilen „matcht“, benötigt häufig keine Einwilligung der betroffenen Nutzer. Natürlich kommt es dabei sehr auf den konkreten Einzelfall an. Die Anonymisierung muss auch nicht durch einen Dritten erfolgen, zum Beispiel einen externen Anonymizer, auch wenn das im Sinne einer „informationellen Gewaltenteilung“ durchaus wünschenswert erscheint. Allein maßgeblich ist, dass technisch sichergestellt wird, dass jede Re-Identifizierung endgültig technisch ausgeschlossen ist.

 

Nutzungsdaten, Inhaltsdaten und Bestandsdaten

Die Datenschutzgesetze kennen weitere Arten von Daten, die der Vollständigkeit halber hier erwähnt werden sollen.

So sind Nutzungsdaten Daten, die ein Diensteanbieter erhebt, um die Inanspruchnahme seines Dienstes zu ermöglichen und abzurechnen (§ 15 Abs 1 Telemediengesetz (TMG)). Nutzungsdaten spielen eine Rolle für § 15 Abs. 3 TMG. Danach ist es möglich, pseudonyme Nutzungsdaten für die Zwecke der Werbung und Marktforschung zu nutzen, eine weltweit fast einzigartige Vorschrift. Ihr ist auch das Selbstregulierungsabkommen der Onlinewirtschaft (DDOW) nachgebildet, das sog. „OBA Framework“.

Inhaltsdaten sind Daten, die gerade nicht für die Nutzung eines Dienstes erforderlich sind, zum Beispiel Ortsdaten. Für sie gilt also § 15 Abs. 3 TMG nicht.

Bestandsdaten sind Daten, die für die Begründung, Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind, also die klassischen CRM-Daten, Vertragsdaten, etc.

 

Welche Rolle spielt die Unterscheidung in der Praxis?

Die Unterscheidung insbesondere zwischen personenbezogenen und anonymen Daten ist von kaum zu überschätzender Bedeutung für die Onlinebranche. Wer personenbezogene Daten erhebt, braucht die vorherige Einwilligung des Nutzers. Wer dagegen anonyme Daten verarbeitet befindet sich in einem quasi rechtsfreien Raum. Die einschlägigen Datenschutzgesetze finde keine Anwendung. Die Frage, ob eine Tracking-technologie zur Verarbeitung von personenbezogenen Daten führt, ist daher für ihren rechtlich zulässigen Einsatz entscheidend. Greift die jeweilige Technologie nur auf anonyme Daten zurück, ist ihr Einsatz ohne Zustimmung eines Users zulässig; werden dagegen personenbezogene Daten verarbeitet oder kommt es auch nur zur Anreicherung anonymer Daten mit personenbezogenen Daten (z.B. beim Hinzuspeichern von Mailadressen zu einem anonymen Nutzerprofil), bedarf dies der Zustimmung.

Es muss daher das Ziel jedes Geschäftsmodells in der Onlinebranche sein, mit anonymen Daten zu arbeiten, jedenfalls dort, wo es sinnvoll ist und das ist insbesondere beim Tracking der Fall.

Für alternative Tracking Technologien, die auf anonyme Daten zurückgreifen, gilt daher nichts anderes. Auch sie sind von der Anwendung der Datenschutzgesetze befreit, wenn sie nur auf anonyme Daten zurückgreifen.

Werden im Rahmen einer Trackingtechnologie dagegen pseudonyme Daten verarbeitet, ist es immerhin noch möglich, im Rahmen des § 15 Abs. 3 TMG Nutzungsdaten für die Zwecke der Werbung und Marktforschung zu nutzen. Auch diese Möglichkeit eröffnet einen großen Anwendungsspielraum für alternative Trackingtechnologien, solange – wie es § 15 Abs. 3 TMG vorschreibt – die Nutzer in einer Datenschutzerklärung auf diesen Umstand hingewiesen werden und ihnen die Möglichkeit gegeben wird, dieser Nutzung zu widersprechen („Opt-out“).

Haben Sie Fragen zu diesem Thema, dann nehmen Sie mit uns Kontakt auf. Wir sind auf diese Fragestellungen spezialisiert. Wir unterstützen Sie mit unserer Expertise bei der rechtlichen Beurteilung der von Ihnen geplanten Technologien.