Alle Beiträge von Katrin Nebermann

Stellungnahme zum EuGH Urteil „Facebook Like Button“

Aufgrund des aktuellen EuGH Urteils erreichen uns viele Fragen von Kunden und Partnern, inwieweit der Einsatz von etracker auch davon betroffen ist. Im Folgenden finden Sie unsere Stellungnahme zum Urteil und die Begründung, warum das EuGH Urteil etracker Anwender gar nicht betrifft.

Ausgangssituation

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 eine wegweisende Entscheidung gefällt, die jeden Website-Betreiber betrifft, der Inhalte von dritten Anbietern einbindet wie beispielsweise Facebook Like Button, Google Maps, Google Analytics oder auch etracker.

In dem vorliegenden Fall, der noch auf Grundlage der Datenschutzgesetzgebung vor Eintritt der Datenschutzgrundverordnung (DSGVO) verhandelt wurde, sind verschiedene Rechtsfragen aufgeworfen und beurteilt worden. Insbesondere wurde die Frage zur „Verantwortlichkeit“ von Datenverarbeitungsprozessen auf Webseiten abschließend höchstrichterlich geklärt. Da die Verantwortlichkeiten in der heute gültigen DSGVO praktisch identisch definiert sind, wie in der zugrunde liegenden Datenschutzgesetzgebung, entfaltet diese Entscheidung daher auch heute und für die Zukunft Wirkungskraft innerhalb Europas.

Hintergrund und Streitgegenstand

Der Betreiber eines Webshops hatte den Facebook Like Button als sogenanntes „Social Media Plugin“ in seine Website eingebunden. Hierbei wird bei jedem Besuch einer Seite, die ein solches Plugin enthält, die IP-Adresse des Besuchers an Facebook übermittelt – selbst wenn der Besucher den Facebook Like Button gar nicht klickt. Der EuGH urteilte bereits im Januar 2017, dass IP-Adressen personenbezogene Daten sind. Damit unterliegt die Datenübermittlung an Facebook unzweifelhaft dem Datenschutzrecht. Zudem ist Facebook mit über zwei Milliarden registrierten Nutzern in der Lage, praktisch jeden Nutzer, der eine Seite mit dem Social Media Plugin besucht, anhand von IDs (z.B. aus Cookies) persönlich zu identifizieren. Die über das Plugin gewonnenen Daten werden von Facebook Website-übergreifend zu detaillierten Persönlichkeitsprofilen verknüpft, die Facebook zu eigenen Zwecken nutzt. Verbraucherschützer klagten über verschiedene Instanzen und bemängelten zum einen, dass über den Verarbeitungsprozess der personenbezogenen Daten durch Facebook nicht hinreichend aufgeklärt wurde. Zum anderen fehle es an einer wirksamen Einwilligung in den Verarbeitungs­prozess vor dem Verarbeitungsvorgang sowie an einer Widerspruchsmöglichkeit durch den Verbraucher.

Entscheidung des EuGH

Der EuGH stellte nun fest, dass Website-Betreiber für das Erheben personenbezogener Daten beim Besuch des Internetauftritts und für die Weiterleitung der Daten an Facebook gemeinsam mit dem Anbieter des Social Media Plugins verantwortlich sind. Dabei sei es auch nicht erheblich, dass der Website-Betreiber nach der Übermittlung an Facebook gar keinen Zugriff auf die erhobenen Daten habe. Es sei bereits ausreichend, dass der Betreiber von der Datenverarbeitung u.a. durch bessere Werbemöglichkeiten für die betroffenen Besucher bei Facebook profitiere. So erlange sowohl Facebook als auch der Website-Betreiber einen wirtschaftlichen Vorteil und beide seien daher gemeinsam für die Zwecke und Mittel der Datenverarbeitung verantwortlich.

Generelle Auswirkungen des Urteils

Website-Betreiber, die Social Media Plugins verwenden, sind nunmehr angehalten, umfassend über die Datenweitergabe zu informieren und eine Einwilligung zur Datenverarbeitung beim Besucher einzuholen, bevor die Datenweitergabe beginnt. Diese Einwilligung muss wirksam erfasst und entsprechend der heutigen DSGVO dokumentiert werden. Dies gilt auch für andere Plugins und alle eingebundenen Inhalte Dritter wie beispielsweise Instagram, Twitter, Xing oder Trusted Shops. Aber es sind auch „unsichtbare“ Dienste wie Retargeting-Pixel und Website-Tracking betroffen, sofern sie vollständige IP-Adressen verarbeiten oder IDs (z.B. in Cookies) verwenden, die eine persönliche Identifikation des Besuchers ermöglichen.

Auswirkungen des Urteils auf Website Tracking und ähnliche Dienste

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben in Deutschland mit Verabschiedung der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ Anfang April 2019 eine klare Leitlinie für rechtskonformes Tracking unter der DSGVO vorgegeben. Diese Orientierungshilfe (im Folgenden kurz DSK-Papier genannt) steht vollständig im Einklang mit der jetzigen Entscheidung des EuGH. Denn auch sie sieht vor, dass die Einwilligung des Betroffenen vor dem Datenverarbeitungsvorgang einzuholen ist, sofern personenbezogene Daten – also auch vollständige IP-Adressen – durch einen Dritten verarbeitet werden. Darüber hinaus sieht sie auch dann die Notwendigkeit der Einwilligung vor, wenn Daten über einen Betroffenen über verschiedene Websites hinweg gesammelt und zusammengeführt werden. Denn damit ist allein durch die Vielzahl der gesammelten Einzelmerkmale eine Identifikation des Betroffenen möglich, selbst wenn zunächst keine personenbezogenen Daten (wie vollständige IP-Adressen) übermittelt werden. Insbesondere ist auch dann eine Einwilligung notwendig, wenn der Betreiber des eingebundenen Dienstes in der Lage ist, den Nutzer (z.B. unter Zuhilfenahme von IDs aus Cookies) persönlich zu identifizieren, selbst wenn keine vollständigen IP-Adressen verarbeitet werden. Dies ist beispielsweise häufig dann der Fall, wenn der Dienstanbieter Nutzern die Möglichkeit zur Registrierung eines Nutzerkontos anbietet und dabei die Einwilligung zur Datenzusammenführung über verschiedene Websites einholt. Beispiele für derartige Anbieter sind Facebook, Google aber auch Microsoft mit LinkedIn. Werden die Dienste dieser Anbieter (sei es der Facebook Like Button, LinkedIn Button, Google Maps oder Google Analytics) in Webseiten eingebunden, ist zwingend die informierte und freiwillige Einwilligung des Betroffen vor der Datenverarbeitung einzuholen.

Auswirkung auf den Einsatz von etracker

Neben der Notwendigkeit der Einwilligung beschreibt das DSK-Papier die Möglichkeit, die Datenverarbeitung auf das „berechtigte Interesse“ des Website-Betreibers zu stützen, wobei diesem sehr enge Grenzen gesetzt werden:

Der Website-Betreiber hat ein berechtigtes Interesse an der Erfassung statistischer Informationen zur Optimierung des Internetangebotes, sofern die Datenerfassung erforderlich ist und eine Interessenabwägung stattgefunden hat. Der Website-Betreiber hat damit ein berechtigtes Interesse an Tracking, solange eine persönliche Identifikation nicht erforderlich ist und auch keine Website-übergreifende Profilbildung durch den Tracking-Anbieter stattfindet. Denn beides ist nicht erforderlich für die statistische Auswertung und Optimierung seines Angebotes.

Der Einsatz von etracker stellt daher ein berechtigtes Interesse des Website-Betreibers dar und erfordert keine Einwilligung des Besuchers. Dies vor folgendem Hintergrund:

(1) etracker verarbeitet keine vollständigen IP-Adressen

etracker hält sich strikt an die „Privacy by Design“- und „Privacy by Default“-Prinzipien und benötigt für die statistischen Auswertungen keine personenbezogenen Daten. Anders als bei vielen anderen Analytics-Lösungen ist bei etracker keine zusätzliche Implementierung im Tracking Code oder eine aufwendige Konfiguration zur Anonymisierung der IP-Adresse notwendig. Eine Verarbeitung vollständiger IP-Adressen findet bei etracker niemals statt.

(2) etracker hat keine weiteren personenbezogenen Daten

Die von etracker gewonnenen Daten werden stets ausschließlich pseudonym (unter Verwendung einer ID) verarbeitet. Eine Registrierung von Nutzern und die Verknüpfung der Registrierungsdaten mit den verwendeten IDs ist bei etracker nicht möglich.Bei Google werden hingegen die mit Google Analytics gewonnenen Daten stets mit den personenbezogenen Daten aus dem Google Konto zu einem Persönlichkeitsprofil kombiniert, wenn der Nutzer ein Google Konto besitzt und der Zusammenführung nicht aktiv widersprochen hat.

(3) etracker erstellt keine Website-übergreifenden Nutzerprofile

Als Auftragsverarbeiter verknüpft etracker die Daten unterschiedlicher Kunden nicht miteinander und erstellt auch keine Website-übergreifenden Nutzerprofile. Dies ist rechtlich im Rahmen der AGB nicht zulässig und daher auch technisch gar nicht möglich.Anders ist die Website-übergreifende Profilbildung aber genau das Ziel von Anbietern wie Google, die mit Analytics jeden Internet-Nutzer über alle Websites und Geräte genau verfolgen, um umfangreiche Persönlichkeitsprofile zu erstellen. Denn diese dienen dem eigentlichen Geschäftszweck: dem gezielten Ausspielen von Werbung anhand von umfangreichen Persönlichkeitsprofilen.

(4) etracker ist klassischer Auftragsverarbeiter

etracker verarbeitet sämtliche Daten ausschließlich im Auftrag des Kunden und hat keinerlei Rechte an den erfassten Daten. Dem Auftraggeber stehen umfangreiche Weisungs- und Kontrollmöglichkeiten zu – bis hin zur physischen Kontrolle des Rechenzentrums.Diese für die Auftragsverarbeitung wichtigen Rechte und die sich daraus ergebenen Pflichten und Verantwortlichkeiten sind bei Anbietern wie Google in der Regel nicht gegeben, selbst wenn formell ein Vertrag zur Auftragsverarbeitung geschlossen wird. Die an Google zur Verarbeitung übergebenen Daten gehen ins Eigentum von Google über – und sind letztlich die Währung, in der Google Analytics bezahlt wird.

(5) etracker verarbeitet alle Daten ausschließlich in Deutschland

Die von etracker verarbeiteten Daten werden ausschließlich auf eigenen Servern im Hamburger Rechenzentrum verarbeitet. Es werden keinerlei Cloud-Dienste Dritter verwendet, bei denen die Datenspeicherung unter Umständen außerhalb der EU stattfindet. Alle von etracker verarbeiteten Daten verbleiben in der EU und unterliegen der DSGVO.

Die Voraussetzungen, die zum EuGH Urteil bei Facebook geführt haben, sind daher bei etracker gar nicht gegeben, so dass das Urteil – anders als bei anderen Analytics Anbietern – gar keine Anwendung findet.

Fazit

Auch wenn das aktuelle EuGH Urteil grundsätzlich einschneidende Veränderungen für den Betrieb von Websites mit sich bringt, wirkt es sich nicht auf den Einsatz von etracker aus. etracker Kunden haben im Einklang mit dem DSK-Papier ein berechtigtes Interesse an der Datenverarbeitung und müssen daher nur ihren Informationspflichten zur Datenerhebung im Rahmen der Datenschutzerklärung nachkommen. Eine explizite Einwilligung in die Verarbeitung, wie der EuGH und das DSK-Papier sie fordern, ist nicht notwendig. Dies wird auch durch ein unabhängiges Datenschutz-Audit bestätigt, so dass etracker das ePrivacyseal erhalten hat.

Websites von etracker Anwendern können daher weiterhin ungestört und friktionsfrei besucht werden, und es drohen keine Risiken aufgrund des etracker Einsatzes.

 

 

Der Beitrag Stellungnahme zum EuGH Urteil „Facebook Like Button“ erschien zuerst auf etracker.com.

Browser rüsten auf in Sachen „Tracking Protection“

Die führenden Browser-Hersteller rüsten gerade massiv ihre Privatsphäre-Funktionen auf. Offensichtlich hat Datenschutz das Thema Geschwindigkeit als top Argument bei der Browserwahl abgelöst. Im Visier der Schutzmaßnahmen ist eigentlich nicht die Web-Analyse, sondern vielmehr das Tracking über verschiedene Website-Anbieter hinweg, wie es große Online-Plattformen und Werbenetzwerke betreiben. Dabei dreht sich mal wieder alles um Cookies.

Auch etracker setzt für Web-Analyse und Browser-Benachrichtigungen Cookies ein. Doch wir haben bereits Lösungen für Sie!

Third-Party Cookie ade!

Tracking ProtectionBegonnen hat Apple mit dem Safari-Browser, der bereits seit vergangenem Jahr Cookies von Drittanbietern standardmäßig blockiert. Jetzt zieht Mozilla mit dem Firefox-Browser in der neuen Version nach. Auch Microsoft hat für den neuen Edge-Browser weitere Einstellungs-Möglichkeiten angekündigt. Und Google hat erklärt, zukünftig einfach erkenntlich zu machen, wenn Cookies für Cross-Site-Tracking genutzt werden.

Bei etracker sind wir schon lange nicht mehr auf Third-Party Cookies angewiesen, sondern setzen primär auf First-Party Cookies. Insofern haben die aktuell getätigten Änderungen der Standard-Einstellungen keine maßgeblichen Auswirkungen auf die mit etracker Analytics erhobenen Daten. Auch verschiedene Subdomains (also z. B. www.abc.de und blog.abc.de) sind nicht betroffen, da diese sich ein First-Party Cookie teilen.

Cookie-Laufzeit 7 Tage

Cookies werden in sog. First- und Third-Party Cookies unterteilt, je nachdem, ob diese von der Domain kommen, die Nutzer gerade aufrufen (First-Party), oder von einer externen Domain (Third-Party). Bei First-Party Cookies kann man weiterhin unterscheiden, ob diese client- oder serverseitig gesetzt werden. Clientseitige Cookies können auch zum Verfolgen von Nutzern über mehrere Websites hinweg verwendet werden. Um das zumindest deutlich einzuschränken, werden in Kürze clientseitige Cookies in Safari- und Firefox-Browsern auf eine Gültigkeit von sieben Tagen begrenzt. Somit könnten Konversionen nur Kampagnenkontakten innerhalb einer Woche vor der Konversion zugerechnet werden. Auch wären Aussagen über die (eindeutige) Anzahl der Besucher und Wiederkehrraten jenseits von sieben Tagen erschwert.

etracker wird daher für alle Kunden eine längere Cookie-Laufzeit mittels „local storage“ aktivieren. Einzige Einschränkung ist, dass so kein Cross-Subdomain-Tracking mehr möglich sein wird. Für diesen Fall bieten wir in Kürze aber die Möglichkeit, serverseitig ein First-Party Cookie zur Wiedererkennung zu setzen, was geringe Konfigurationen des Webservers erfordert.

Die Web-Analyse mit etracker ist somit nicht in Gefahr. Wir sind bestens auf die Änderungen vorbereitet und stehen nicht im Fokus der Maßnahmen, da wir keine Daten anbieterübergreifend zusammenführen oder teilen. Hingegen wird sich Einiges im Ad Remarketing verändern. Wie gravierend dies ausfällt, wird man sehen müssen. Im Bereich Online-Werbung muss man das Thema sehr ernst nehmen, zumal selbst Mark Zuckerberg auf der letzten F8 Entwicklerkonferenz verkündet hat: „The future is private“.

Die Zukunft von Remarketing

Nicht nur die Browser-Hersteller haben der domainübergreifenden Profilbildung den Kampf angesagt, auch die offiziellen Stellen, ob Deutsche Datenschutzkonferenz (DSK) oder Europäischer Datenschutzausschuss (EDSA), haben sich klar zum rechtskonformen Tracking positioniert. Ob nur noch mit expliziter Einwilligung à la „Ich bin damit einverstanden, dass meine Daten an Facebook und Google übermittelt werden, damit ich über deren Dienste wiedergefunden und mit zugeschnittener Werbung erreicht werden kann“ oder nur noch kurzfristige Erinnerungen an stehengelassene Warenkörbe: Ad Remarketing wird in Zukunft nur noch deutlich eingeschränkt möglich sein.

Deshalb gewinnen die eigenen Kommunikations-Kanäle und der direkte Draht zu den eigenen Nutzern immer mehr an Bedeutung. Aktuell gibt es noch viel Potenzial bei E- und Direct Mailings sowie bei Web-, App- und Messenger Push, das Unternehmen ausschöpfen können. Das gilt sowohl für das gezielte Einholen von Opt-Ins als auch für die Möglichkeiten der personalisierten und verhaltens-getriggerten Ansprache. Hier gilt es, sich jetzt richtig aufzustellen und Anpassungen vorzunehmen, um Chancen zu nutzen bzw. negative Effekte auszugleichen.

Unser Tipp: Starten Sie jetzt mit Remarketing und Marketing Automation via Browser-Benachrichtigungen. Unser neues Produkt signalize macht´s möglich. Damit setzen Sie auf einen Kanal, der perfekt zur heutigen Kommunikation passt und standardmäßig „Privacy by Design“ der Browser umsetzt.

Der Beitrag Browser rüsten auf in Sachen „Tracking Protection“ erschien zuerst auf etracker.com.

Endlich Klarheit zum DSGVO-konformen Tracking

Die Datenschutzgrundverordnung (DSGVO) gilt schon seit fast einem Jahr, jedoch war bislang unklar, wie diese konkret im Internet anzuwenden ist. Seit wenigen Tagen ist die Unsicherheit und das rechtliche Vakuum vorbei, denn endlich haben die Datenschutzbehörden des Bundes und der Länder klar Stellung bezogen:

Die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden macht unmissverständlich deutlich, dass eine Datenverarbeitung mit Google Analytics erst nach einer selbstbestimmten und informierten Einwilligung der Betroffenen stattfinden darf, während bei etracker eine Widerspruchslösung ausreicht.

Warum erst jetzt und nicht direkt zum 25. Mai 2018?

Im vergangenen Jahr wurde noch auf eine Verabschiedung der ePrivacy-Verordnung (ePV) gehofft, die ergänzend zur Datenschutzgrundverordnung die elektronische Kommunikation regeln soll. Allerdings konnten in den vergangenen Monaten auf europäischer Ebene kaum Fortschritte bei den Verhandlungen erzielt werden. Insofern mussten wir zwar lange Zeit auf Klarheit warten, können uns jetzt aber erst einmal voll und ganz auf die DSGVO und die dazugehörige Stellungnahme der Datenschutzkonferenz stützen. In dem Papier heißt es: „Es bleibt daher bei der generellen Anwendung der Regelungen der DSGVO“.

Wie sehen die Regelungen für Tracking von Online-Diensten jetzt genau aus?

Wir haben für Sie die wesentlichen Stellen herausgestellt. Das vollständige Dokument der Aufsichtsbehörden finden Sie hier.

Google Analytics im Gegensatz zu etracker nur mit Einwilligung einsetzbar

Auch wenn nicht namentlich aufgeführt, ist klar, dass Google Analytics gemeint ist, wenn von Analysediensten gesprochen wird, „die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen“. Schließlich erklärt Google selbst in seiner Datenschutzerklärung Stand: 25.05.2018 (Wirksamkeit):

„Wenn Sie Websites besuchen, auf denen Google Analytics eingesetzt wird, werden Google und der Google Analytics-Kunde gegebenenfalls Daten über Ihre Aktivitäten auf dieser Website mit Aktivitäten auf anderen Websites verknüpfen, auf denen ebenfalls unsere Werbedienste genutzt werden.“

Aus der Orientierungshilfe der Datenschutzkonferenz zu den Kriterien der Erforderlichkeit und Erwartung:

„Erforderlichkeit meint, dass die Verarbeitung geeignet ist, das Interesse […] des Verantwortlichen zu erreichen, wobei kein milderes, gleich effektives Mittel zur Verfügung steht.“

„Beispiel: Der Verantwortliche betreibt eine Website und möchte wissen, wie sein Online-Angebot angenommen wird und ob gegebenenfalls Verbesserungen erforderlich sind. Dazu möchte er wissen, wie viele Nutzer die Website in einem bestimmten Zeitraum besuchen, welche Geräte die Nutzer verwenden und welche Spracheinstellungen sie haben. Der Verantwortliche benötigt diese Informationen, um sein Webangebot zu optimieren und die Darstellung an die Endgeräte anzupassen.

Die Messung der Reichweite und die sich daraus ergebenden Informationen sind geeignet, um das Web-angebot anzupassen (berechtigtes Interesse). Setzt der Website-Betreiber hierfür ein Analyse-Tool ein, welches Daten über das Nutzungsverhalten betroffener Personen an Dritte weitergibt (z.B. soziale Netzwerke oder externe Analysedienste, die Nutzungsdaten über die Grenze der Website hinweg mit Daten von anderen Websites zusammenführen), ist dies nicht mehr erforderlich. Das Ziel – Reichweitenmessung – kann auch mit milderen, gleich geeigneten Mitteln erreicht werden, die deutlich weniger personenbezogene Daten erheben und diese nicht an Dritte übermitteln“

„Im Hinblick auf die Einbindung von Diensten Dritter erwartet ein Nutzer üblicherweise nicht, dass an diese Dritten, zu denen der Nutzer regelmäßig keine Beziehungen unterhält, Informationen darüber weitergegeben werden, welche Websites er besucht oder welche Apps er nutzt. Jedenfalls dann, wenn die Dritten die Nutzerdaten zu eigenen Zwecken weiterverarbeiten, sind die Folgen und potentiellen Risiken für die Interessen, Grundfreiheiten und Grundrechte der betroffenen Personen weder einschätz- noch bewertbar.“

Vorsicht vor Cookie-Bannern

Auch wenn so genannte „Cookie-Banner“ auf vielen Websites vorgefunden werden, sind sie nicht geeignet, um gültige Einwilligungen einzuholen. Die Anforderungen für wirksame Einwilligungen sind alles andere als einfach zu erfüllen:

„Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tatsächlich eine Einwilligung notwendig ist.“

„[…K]onkludente Verhaltensweisen wie „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person“ [stellen] keine Einwilligungen [dar].“

„Eine Verarbeitung personenbezogener Daten ohne ausreichende Kenntnis der betroffenen Personen über die jeweiligen Datenverarbeitungsvorgänge, über die jeweils einbezogenen Dritten sowie ohne Möglichkeit der gesonderten Zustimmung führt zur Unwirksamkeit der Einwilligung und erfolgt daher ohne Rechtsgrund.“

„Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich (durch technische Maßnahmen sichergestellt) stattfinden.“

„Auch genügt es für eine Einwilligung i. S. d. DSGVO nicht, wenn, wie bei vielen einfachen Cookie-Bannern im Web, ein Hinweis auf das Setzen von Cookies zusammen mit einem „OK“-Button erfolgt. In diesen Fällen fehlt es an der nach Art. 7 DSGVO erforderlichen Freiwilligkeit, wenn die betroffenen Personen zwar „OK“ drücken können, aber keine Möglichkeit erhalten, das Setzen von Cookies abzulehnen.“

Gut, dass etracker unabhängig als DSGVO-konform im Rahmen der Interessenabwägung geprüft und zertifiziert wurde

Die Einhaltung der Regelungen von DSGVO wurde für etracker Analytics, etracker Optimiser und signalize unabhängig geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet. Insbesondere wurde bestätigt, dass eine Einwilligungspflicht nicht vorliegt. Dadurch lassen sich auch diese DSK-Anforderungen erfüllen:

„Verantwortliche müssen im Rahmen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachweisen, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Dies bedeutet, dass Verantwortliche vorab prüfen und dokumentieren müssen, auf welchen Erlaubnistatbestand sie die Verarbeitung stützen.“

„Verantwortliche sollten sich bewusst machen, dass die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt und auf den konkreten Einzelfall bezogen sein muss. Unzureichende oder pauschale Feststellungen, dass eine Datenverarbeitung gem. Art. 6 Abs. 1 lit. f) DSGVO zulässig sei, erfüllen nicht die gesetzlichen Anforderungen.“

Sollten Sie Fragen hierzu haben, freuen wir uns auf den Austausch mit Ihnen.

 

Der Beitrag Endlich Klarheit zum DSGVO-konformen Tracking erschien zuerst auf etracker.com.

Vorsicht vor Cookie-Hinweisen

Aktuell geht insbesondere das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gegen Website-Betreiber vor, die sogenannte Cookie-Banner im Zusammenhang mit Tracking-Lösungen einsetzen. Siehe hierzu

https://www.lda.bayern.de/media/pm2019_2.pdf

https://www.lda.bayern.de/media/sid_ergebnis_2019.pdf (ab Folie 20)

Irrtümlicherweise glauben viele Verantwortliche, diese Hinweise auf den Einsatz von Cookies seien im Rahmen der EU-Datenschutzgrundverordnung (DSGVO) hilfreich, erforderlich oder sogar für die Einholung von Einwilligungen ausreichend.

Tatsächlich sind Cookie-Banner nicht nur für Nutzer störend, sie sind insbesondere im Rahmen der DSGVO irreführend und können sich sogar rechtlich negativ auswirken.

Warum sind Cookie-Banner kontraproduktiv in Bezug auf die DSGVO?

Gemäß Artikel 6 DSGVO dürfen Cookie-Kennungen nur dann eingesetzt werden, wenn mindestens eine von drei Voraussetzungen erfüllt ist, nämlich:

  1. Cookies sind rechtlich und technisch unbedingt erforderlich beispielsweise, um eine Bestellung zu tätigen oder damit sich Nutzer einloggen können.
  2. Die mittels Cookies verarbeiteten Daten helfen dem Website-Betreiber bei einem berechtigten Zweck, während die Auswirkungen auf die Privatsphäre der Nutzer nicht überwiegen dürfen.
  3. Der Nutzer hat eingewilligt, dass bestimmte Cookies gesetzt werden dürfen.

Schauen wir uns nun zu jedem der drei Voraussetzungen die Auswirkungen auf das Einholen von Einwilligungen und dazugehörige Datenschutzhinweise an:

Fall a)
Erforderlichkeit: In der eigentlichen Datenschutzerklärung Ihrer Webseite sollten Sie erklären, dass Cookies eingesetzt werden, die grundsätzliche Funktionsweise von Cookies sowie welche Cookies Sie einsetzen, was diese tun, deren Funktionsdauer sowie ob Dritte auf die Cookies Zugriff erhalten. Ein einfacher Cookie Hinweis a la „Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies.“ ist nicht ausreichend. Genauso wenig ist es erforderlich, mittels eines Popups auf die Datenschutzerklärung hinzuweisen. Es reicht vielmehr ein Link beispielsweise im Footer jeder Seite.

Fall b)
Interessensabwägung: Erfolgt der Einsatz von Cookies zu sogenannten berechtigten Zwecken muss zusätzlich zu einem Passus über Cookies in der Datenschutzerklärung noch über die Zwecke des Einsatzes informiert werden und der Nutzer muss die Möglichkeit erhalten, der Datenverarbeitung für die Zukunft zu widersprechen. Ebenso wie unter (a) ist ein einfacher Cookie-Hinweis weder erforderlich noch ausreichend.

Fall c)
Einwilligungspflicht: Wird mittels des Einsatzes von Cookies stärker in die Privatsphäre der Nutzer eingegriffen, etwa wenn Dritte Zugang zu den Daten erhalten, sensible Daten erhoben oder Webseiten-übergreifende Nutzerprofile damit erstellt werden, dürfen dafür genutzte Cookies erst dann gesetzt werden, wenn Einwilligungen der Nutzer rechtmäßig eingeholt wurden. Zur Rechtmäßigkeit gehört, dass

  • die Einwilligung freiwillig erfolgt und Nutzer auch einfach ablehnen beziehungsweise Einwilligungsbanner schließen können.
  • die Einwilligung informiert erfolgt bezüglich Zweck, Umfang, Weitergabe an Dritte usw.
  • die Einwilligung explizit erfolgt und Nutzer aktiv zustimmen, also nicht in dieser Art: „Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.“
  • die Einwilligung vorab erfolgt bevor Cookies gesetzt und Daten erfasst werden.
  • die Einwilligung differenziert erfolgt und Nutzer bei verschiedenen Zwecken, Arten und Lösungen auch einzeln zustimmen und ablehnen können.
  • die Einwilligung dokumentiert wird und nachgewiesen werden kann.

Wie man sieht, ist das Einholen rechtmäßiger Einwilligungen gar nicht so einfach. Ein simpler Cookie-Hinweis wird den Anforderungen keinesfalls gerecht. Wenn man also eine Einwilligung benötigt, helfen keine halben Sachen.

Ein Cookie-Banner hilft also in keinem dieser drei Fälle, sondern schadet eher. Einerseits nerven die Hinweise Ihre Besucher, außerdem stört sich die Datenschutzaufsicht daran. Cookie-Banner erwecken den Eindruck, dass das Tracking und Setzen von Cookies auf der Einwilligung der Nutzer basiert. Und dann sagen die Aufsichtsbehörden zurecht: Wenn das Setzen von Cookies mit der Einwilligung von Nutzern begründet wird, muss die Einwilligung rechtmäßig erfolgen: Cookie-Banner heißt keine wirkliche Zustimmung, also kein DSGVO-konformes Tracking. Gemäß DSGVO sollte man daher lieber auf Cookie-Banner verzichten, da sie eher schaden als helfen.

Was ist mit der Cookie-Richtlinie?

Kurz gesagt: Außerhalb Deutschlands wird es leider kompliziert. Der Grund hierfür ist die so genannte Cookie-Richtlinie, genauer: Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). In Artikel 5 Absatz 3 heißt es dort:

Die Mitgliedstaaten stellen sicher, dass die Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen oder den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.

Auch diese Anforderung erfüllen die meisten Cookie-Hinweise nicht, denn es wird die umfassende Information gefordert ebenso wie die Möglichkeit der Ablehnung. Unklar ist, ob die Richtlinie eine Einwilligung vor dem Setzen von Cookies und der Datenverarbeitung erforderlich macht. Daher wurde die Richtlinie in Mitgliedstaaten der EU sehr unterschiedlich umgesetzt, mal mit Einwilligungspflicht (Opt-In), mal ohne (Opt-Out). In Deutschland ist die Umsetzung in nationales Recht nie erfolgt, obwohl die Frist hierfür 2011 endete. Daher empfiehlt es sich, das nationale Recht des jeweiligen EU-Staats zu beachten, in welchem sich der Sitz des Website-Betreibers befindet. Hinzu kommt, dass sich die Rechtspraxis von Mitgliedstaat zu Mitgliedstaat unterscheiden kann ebenso wie die Interpretation der Rechtsvorschriften durch die Aufsichtsbehörden des jeweiligen Landes.

Um unseren etracker-Kunden weitestgehende Rechtssicherheit bieten zu können, haben wir uns einerseits dem Prüfverfahren unabhängiger Experten unterzogen, die die Einhaltung der Regelungen von EU-Datenschutzgrundverordnung (EU-DSGVO) und Bundesdatenschutzgesetz neu (BDSG neu) mit dem Datenschutz-Gütesiegel ePrivacyseal attestiert haben. Mit Verleihung des Siegels wurde explizit bescheinigt, dass die Verarbeitung durch das berechtigte Interesse des Website-Betreibers gedeckt ist und somit keine Einwilligungspflicht besteht. Ebenso wurde uns im direkten Dialog mit Professor Dr. Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, bestätigt, dass eine Einwilligungserfordernis vor dem Setzen von Cookies nicht generell bestehe, sondern von der Art der Datenverarbeitung abhänge.

Der Beitrag Vorsicht vor Cookie-Hinweisen erschien zuerst auf etracker.com.

Personenbezogene, personenbeziehbare und persönliche Daten

Es ist nicht immer ganz leicht, die Begrifflichkeiten rund um den Datenschutz auseinanderzuhalten, geschweige denn, die sich daraus ergebenden Problemstellungen richtig einzuordnen.

Gemäß DSGVO ist der Begriff „personenbezogene Daten“ möglichst weit auszulegen. Demgemäß fallen darunter sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Bei Letzterem spricht man auch von personenbeziehbaren Daten.

Bei der Webanalyse kommt man in diesem weiten Sinne eigentlich nicht um die Verarbeitung von personenbezogenen Daten im Sinne der DSGVO herum. Das ist als solches erst einmal nicht kritisch, heißt einfach nur, dass die DSGVO Anwendung findet.

Um beispielsweise Session-übergreifend die Anzahl der Besucher zu ermitteln, müssen Besucherkennungen eingesetzt werden. Dafür werden allerdings keinerlei persönliche Daten wie Namen oder E-Mail-Adressen benötigt. Zufällig generierte Zeichenkombinationen, die in Cookies gespeichert werden, genügen. Ein Rückschluss auf die Person st dadurch nicht möglich.

Wichtig bei der datenschutzrechtlichen Beurteilung ist somit nicht die Frage, ob personenbezogene Daten überhaupt verarbeitet werden, sondern, ob gemäß Art. 6 f DSGVO die Verarbeitung so gestaltet ist, dass nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Bei der Beurteilung der Eingriffsstärke in die Privatsphäre – also des Überwiegens von Schutzrechten – sind folgende Fragestellungen entscheidend:

  • Werden persönliche Daten in Klarform verarbeitet oder gar Daten, die besonders sensibel sind wie Geschlecht, ethnische Herkunft, Religionszugehörigkeit usw.?
  • Ist anhand der Art und Menge der Daten die Identifikation des Nutzers direkt oder indirekt möglich?
  • Erfolgt die Verschlüsselung (a) mit ausreichender Stärke, (b) zum frühestmöglichen Zeitpunkt vor der eigentlichen Verarbeitung und (c) standardmäßig „by design“ bzw. „by default“?
  • Werden personenbezogene Daten an Dritte weitergegeben, mit Daten anderer Anbieter zusammengeführt, mit Anbieter-übergreifenden Identifikatoren versehen oder mit weiteren personenbezogenen Daten aus anderen Systemen angereichert?
  • Werden die personenbezogenen Daten gesichert übertragen, möglichst nur innerhalb der EU verarbeitet und dabei durch ausreichende technische und organisatorische Maßnahmen vor dem unberechtigten Zugriff Dritter geschützt?
  • Werden die Daten auf eine Art und Weise und für Zwecke genutzt, die (a) keinerlei Rechtswirkung für die Betroffenen haben, (b) für die Betroffenen typisch und vernünftigerweise erwartbar sind und über die in den Datenschutzhinweisen klar und verständlich informiert wird?
  • Haben Nutzer auf allen Endgeräten eine einfache Möglichkeit, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen?
  • Werden Einstellungen im Browser und Betriebssystem, die eine Willensbekundung von Betroffenen klar ausdrücken (wie z.B. Do-not-track-Einstellungen), beachtet?

 

Der Beitrag Personenbezogene, personenbeziehbare und persönliche Daten erschien zuerst auf etracker.com.

Ganz einfach Konversionen retten!

Das war das Thema, mit dem sich etracker am vergangenen Mittwoch und Donnerstag auf der dmexco in Köln präsentiert hat.

Mit etracker Analytics lassen sich auch tiefergehende Schwachstellen und Optimierungspotenziale einfach aufdecken. Gleich ob A/B-Testing oder Personalisierung: Konversions-Optimierung ist dank des etracker Optimiser einfach, schnell und effizient umsetzbar – und das für jeden Marketer und ohne Programmierkenntnisse.

Der große Zulauf der insgesamt 41.000 Messebesucher hat uns gezeigt, dass dies Themen sind, die jeden Marketer treiben.

Wir möchten uns bei allen Kunden, Partnern und Interessenten für die anregenden, hilfreichen und netten Gespräche bedanken. Sie alle haben die dmexco 2018 für uns so zu einer erfolgreichen Messe gemacht. Herzlichen Dank!

Ihr etracker Team

Konversionen

Der Beitrag Ganz einfach Konversionen retten! erschien zuerst auf etracker.com.

10 Jahre etrackie: Herzlichen Glückwunsch, Olaf!

Diese Woche sind die etrackies dank unzähliger Trecker-Küchlein mit voller Fahrt in die neue Woche gestartet. Der Grund dafür: Olaf Brandt, unser Geschäftsführer, feierte sein 10-jähriges etracker Jubiläum.2008 als Partner Manager gestartet, hat er maßgeblich unseren Indirect Sales mit aufgebaut, um dann ins Product Management zu wechseln, das er ab 2013 als Director Product Management verantwortete. Am 01.07.2015 ist Olaf schließlich in die Geschäftsführung berufen worden.

Auch an dieser Stelle noch einmal: Herzlichen Glückwunsch, Olaf! Vielen Dank für deinen Einsatz, die gute Laune und dafür, dass wir gemeinsam die Online-Welt mit Ideenreichtum und Kreativität revolutionieren. Auf die nächsten 10 Jahre!

 

Der Beitrag 10 Jahre etrackie: Herzlichen Glückwunsch, Olaf! erschien zuerst auf etracker.com.

Datenschutzgerechtes Tracking für Websites und Apps nach DSGVO

Datenschutz ist seit der Gründung von etracker vor nahezu 20 Jahren fest in der Unternehmens-philosophie verankert. Um den datenschutzkonformen Einsatz unserer Lösungen unter DSGVO und BDSG neu zu gewährleisten, haben wir uns mit den Aufsichtsbehörden abgestimmt, die Datenschutz-Zertifizierung mit erfolgreicher Verleihung des ePrivacyseal-Gütesiegels durchlaufen und uns mit vielen Datenschutzberatern und Fachanwälten ausgetauscht.

Unser dadurch gewonnenes Fachwissen und unsere praktische Erfahrung in Sachen DSGVO-konformes Tracking möchten wir hier mit Ihnen teilen.

Mehr erfahren? Hier geht es zu unserem Whitepaper.

Der Beitrag Datenschutzgerechtes Tracking für Websites und Apps nach DSGVO erschien zuerst auf etracker.com.

Die etrackies zum 8. Mal beim HSH Nordbank Run

710 Teams, 21.862 Teilnehmer und darunter 12 etrackies.

Dem Wetter zum Trotz ist selbstverständlich auch in diesem Jahr wieder ein etracker Team beim HSH Nordbank Run gestartet. Und wie immer waren mit am Start: Ehrgeiz, Teamgeist und eine Menge Spaß!

4 km durch die Hamburger HafenCity – und das für einen guten Zweck. 162.500 Euro gingen in diesem Jahr als Spende an die Initiative „Kinder helfen Kindern“ des Hamburger Abendblattes.

HSH Nordbank Run 2018

Der Beitrag Die etrackies zum 8. Mal beim HSH Nordbank Run erschien zuerst auf etracker.com.

etracker diskutiert: „DSGVO: Fluch oder Segen für den Beschäftigtendatenschutz?“

Unsere Datenschutzbeauftragte Elke Hollensteiner ist der Einladung des Hamburg@work Women’s Club gerne gefolgt, um  25 Tage nach dem 25. Mai (dem unmittelbaren Inkrafttreten der Datenschutzgrundverordnung in allen EU-Staaten) mit einem hoch interessierten Publikum angeregt über die neue Gesetzgebung zu diskutieren.

Wenngleich ihr Fokus auf dem Datenschutz in der digitalen Welt liegt, stand diesmal der Beschäftigtendatenschutz im Mittelpunkt. Gemeinsam mit  Susanne Becker und Carolin Postel, RAs bei der Kanzlei Vahle Kühnel Becker in Hamburg, wurde der Frage nachgegangen: „DSGVO: Fluch oder Segen für den Beschäftigtendatenschutz?“

Unser Fazit: Datenschutz ist wichtig und richtig, jedoch haben es die Aufsichtsbehörden an vielen Stellen versäumt, Hilfestellungen z. B. in Form von Mustervorlagen zu geben, so dass gerade kleine Unternehmen noch heute oftmals nicht wissen, wie sie die Gesetzesvorgaben umsetzen sollen.

Elke Hollensteiner und Carolin Postel im Interview nach der Veranstaltung kann man sich auf der Facebook-Seite von Hamburg@work ansehen.

Zum Video

Business Breakfast
Hamburg@work BusinessBreakfast Women’s Club am 19.06.2018
Beschäftigungsdatenschutz
Elke Hollensteiner (Datenschutzbeauftragte etracker GmbH) und Carolin Postel (Fachanwältin für Arbeitsrecht bei VAHLE KÜHNEL BECKER)

Der Beitrag etracker diskutiert: „DSGVO: Fluch oder Segen für den Beschäftigtendatenschutz?“ erschien zuerst auf etracker.com.