Web Analytics in Gefahr?

Wie man ohne Opt-In die DSGVO-Richtlinien einhalten kann

Dienstag, 17. April 2018
Kaum ein anderes Thema sorgt derzeit bei Unternehmen für so viel Unsicherheit wie die europäische Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Etablierte Arbeitsweisen und Prozesse, gerade im Online Marketing, müssen auf den Prüfstand gestellt werden, da die Grundrechte und Freiheiten der EU-Bürger gestärkt werden. Michael Diestelberg, Head of Pre-Sales Consulting bei Webtrekk, erläutert in seinem Gastbeitrag für HORIZONT Online, in welchen Fällen Website-Betreiber die persönlichen Daten ihrer Nutzer weiterhin erfassen und verarbeiten dürfen - und wann sie die Einwilligung einholen müssen.

Bei nahezu allen Unternehmen kann man dieser Tage beobachten, wie Tools und Dienstleister kritisch begutachtet werden. Welche Anpassungen müssen an den Datenschutztexten vorgenommen werden? Muss die Konfiguration der Marketing-Tags verändert werden? Welche Ausnahmeregelung der DSGVO erlaubt weiterhin den Datenaustausch zwischen Dienstleister A und B?

Neue Strategien statt Status Quo

Viele Unternehmen versuchen am etablierten Status Quo festzuhalten. Rechtstexte werden nach allen Regeln der Kunst interpretiert, um den gewohnten Zustand zu legitimieren.


Fakt ist: Unbegrenztes Sammeln und Nutzen von Daten ist den meisten Menschen zu viel – die DSGVO regelt nur, was bereits Realität ist. Dienste wie Snapchat, die eingestellte Inhalte automatisch löschen, gewinnen immer mehr Nutzer. Kommunikationstools mit eingebauter Verschlüsselung haben Hochkonjunktur. Profile in sozialen Netzwerken werden auf „privat“ gestellt.

Unternehmen, die sich gegen den Trend zu mehr Datenschutz stellen, werden zunehmend negativ wahrgenommen. Datenskandale sind in den Massenmedien angekommen.


Statt einem „weiter so“ ist es Zeit für neue Strategien. Welche Daten benötige ich wirklich, um mein Unternehmen effizient zu führen? Welchen Dienstleistern vertraue ich diese Daten an? Diese Fragen sind ein guter Start für jedes Brainstorming zur neuen Datenstrategie.

Web Analytics: Der schmale Grat zwischen Statistik und Profilbildung

Es ist kein Geheimnis, dass die DSGVO die Sammelwut von Konzernen wie Google und Facebook eindämmen soll. Ihr Geschäft basiert auf einer möglichst umfassenden Profilbildung (soziodemografische Merkmale, private Interessen, politische Ansichten etc.), um Werbungtreibenden feingranulare Targeting-Möglichkeiten anzubieten.

„Solange ich als Unternehmen das Interesse verfolge, Statistiken zur Nutzung meiner Website erheben zu wollen, benötige ich kein vorheriges Einverständnis zur Datenverarbeitung.“
Michael Diestelberg
Gerade Google Analytics bietet die Möglichkeit, auf möglichst vielen Websites Daten zu sammeln. Auf die Frage, ob Web-Analytics-Tools in Zeiten der DSGVO weiterhin bedenkenlos eingesetzt werden können, hat der Gesetzestext eine klare Antwort. So heißt es im Artikel 6 zur „Rechtmäßigkeit der Verarbeitung“:


„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

(…)


f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (…)“

Um Daten erfassen und verarbeiten zu können, benötige ich also grundsätzlich die Einwilligung meiner Website-Besucher (Opt-In), es sei denn ich habe ein berechtigtes Interesse daran, diese Daten zu erfassen – dann ist kein Opt-In erforderlich.

Was aber gilt als berechtigtes Interesse? Auch hier ist die DSGVO verhältnismäßig eindeutig:


„Die Weiterverarbeitung (...) für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten.“ (Erwägungsgrund 50)

Solange ich als Unternehmen das Interesse verfolge, Statistiken zur Nutzung meiner Website erheben zu wollen, benötige ich kein vorheriges Einverständnis zur Datenverarbeitung.

Doch es gibt Einschränkungen, die nicht jedes Web-Analytics-Tool automatisch legitimieren. Insbesondere die übergreifende Profilbildung wird im Artikel 22 der DSGVO explizit mit einer Pflicht zum Einholen einer Einwilligung versehen.

Google Analytics als das weltweit am häufigsten eingesetzte Web-Analyse-Tool macht genau das – es nutzt erhobene Daten zur Profilbildung, wenn zugleich die Google-Werbedienste verwendet werden. In den Datenschutzbestimmungen von Google heißt es:


„Bei Verwendung von Google Analytics zusammen mit unseren Werbediensten, z. B. solchen, die das DoubleClick-Cookie nutzen, werden Google Analytics-Daten vom Google Analytics-Kunden oder von Google mithilfe von Google-Technologie mit Daten über Besuche auf mehreren Websites verknüpft.“

Google weiß um diese Problematik und wies in einem Newsletter an seine Kunden und Partner kürzlich darauf hin, dass es in einigen Fällen notwendig ist, die Erlaubnis der Website-Besucher einzuholen, um Google-Dienste zu verwenden. Entgegen der häufigen Annahme, dass sich der Konzern aus Mountain View selbst um das Einholen dieses Opt-Ins kümmert, wird die Verpflichtung an die Website-Betreiber weitergegeben. Hierzu die EU User Consent Policy, einer Vertragserweiterung der Google-Kunden:


„If your agreement with Google incorporates this policy, (...) you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area. If you fail to comply with this policy, we may limit or suspend your use of the Google product (...).“

Ein Opt-In für die Web-Analyse macht diese größtenteils unbrauchbar. Experten rechnen damit, dass der Großteil der Website-Besucher kein Einverständnis erteilen wird, da der eigene Nutzen fehlt. Hinzu kommt, selbst bei erteiltem Opt-In wird der erste Seitenaufruf nicht erfasst. Das Dilemma: Dieser enthält die für die Marketing-Optimierung so wichtige Kampagneninformationen, d.h. über welchen Kanal Besucher zur Website fanden.

Web Analytics DSGVO-konform einsetzen

Unternehmen sind gut beraten, die zu erfassenden Web-Analyse-Daten im Rahmen einer neuen Datenstrategie zu evaluieren. Jede Bemühung zur Einhaltung der DSGVO muss auf den Prinzipien der Datensparsamkeit beruhen, d.h. es sollten nur die Informationen erfasst werden, die auch tatsächlich für datengestützte Usability-Optimierungen, Überprüfung von Zielerfüllungen und allgemeinen Controlling-Prozessen benötigt werden.

Eine Vermengung von Daten aus klassischer Web-Analyse und Online Marketing dagegen sollte kritisch betrachtet werden, da hier die Grenze zur Profilbildung schnell überschritten wird. Oftmals werden Argumente wie „Pseudonymisierung von personenbezogenen Daten“ und „keine Rückrechenbarkeit von gehashten Daten“ angeführt, um die scheinbar datenschutzkonforme Profilbildung zu rechtfertigen. Doch bei einer ehrlichen Betrachtung kommt man zu dem Ergebnis, dass man sich damit lediglich hinter schwer durchschaubaren technischen Maßnahmen versteckt – Datenschutzbemühungen enden in einem „Privacy Theater“.

Die Web-Analyse ist nicht in Gefahr, sie passt sich lediglich an neue gesetzliche Rahmenbedingungen an und kommt somit dem Wunsch der Menschen nach, nicht von ihren eigenen Daten verfolgt zu werden. Die DSGVO ist keine Strafe, sie ist für Unternehmen eine Chance, das Vertrauensverhältnis mit den Kunden zu stärken.

stats