Der feine Unterschied zwischen Tracking und Analytics

Google Analytics, Piwik & Co. ermöglichen Betreibern von Webseiten umfassende Einblicke in die Performance ihres Online-Auftritts. Durch Messung des Nutzungsverhaltens lassen sich Online-Kampagnen optimal gestalten und die Web­site ideal auf die Kunden ausrichten. Datenschutzrechtlich ist strikt zwischen Reichweitenmessung und Tracking zu unterscheiden. Die Reichweitenmessung erfasst meist, wie häufig die Website besucht wird, ob es regelmässige Nutzer gibt, aus welchen Ländern sie kommen und wie das Nutzungsverhalten ist.

Laut Bayerischem Landesamt für Datenschutzaufsicht ist diese Datenverarbeitung nach transparenter Information der Webseitenbesucher und mit Widerspruchsmöglichkeit (Opt-out) auch ohne deren Einwilligung zulässig. Werden die Daten nicht nur für eigene Zwecke verwendet, sondern an andere Stellen übertragen, um dort zur Erstellung eines umfassenden „Internetprofils“ des Nutzers beizutragen, liegt Tracking vor.

Die bisher gängige Praxis beim Einsatz von Google Analytics beruht auf einer Empfehlung der Hamburger Datenschutzaufsichtsbehörde, die den Abschluss eines Auftrags­datenverarbeitungsvertrags vorsieht, der Google dazu verpflichtet, nach den Weisungen des Auftraggebers (des Webseitenbetreibers) zu handeln. Zudem müsse die Datenschutz­erklärung angepasst, die IP-Adresse des Nutzers anonymisiert und eine Opt-out-Möglichkeit sichergestellt werden.

Laut der Bayerischen Landesdatenschutzbehörde hat sich Google Analytics in den letzten Jahren jedoch so entwickelt, dass sich Google das Recht einräumt, Daten der Webseitenbesucher zu eigenen Zwecken zu verwenden. Folglich ist Goo­gle nicht mehr als Auftragsdatenverarbeiter, sondern als eigenständiger Controller zu klassifizieren. Die Datenweitergabe an Google stellt nun eine erlaubnispflichtige Übermittlung dar, für die als Rechtsgrundlage wohl nur eine Einwilligung infrage kommt. Diese Einwilligung ist nur wirksam, wenn der Nutzer über die geplante Datenverarbeitung vollständig informiert ist und eindeutig zugestimmt hat. Ein Cookie-Banner oder eine voreingestellte Check-Box reichen nicht, da eine aktive Handlung des Nutzers erforderlich ist. Webseitenbetreiber sollten ihr Angebot umgehend auf den Einsatz von Tracking-Software überprüfen und diesen einstellen, sofern keine Einwilligung des Nutzers vorliegt. Andernfalls wird ein Datenschutzverstoss begangen, der mit empfind­lichen Geldbussen geahndet werden kann. So kündigte der Präsident der Bayerischen Datenschutzbehörde an, künftig verstärkt gegen unzulässige Tracking-Methoden vorzugehen.