Webtracking - Dos and Don´ts: Was erlaubt ist und was nicht!
Professionelle Internet-Nutzer, etwa Online-Shop-Betreiber, Web-Dienste-Anbieter oder Publisher, kommen am Tracking kaum vorbei. Dabei werden Daten von Nutzern und Website-Besuchern gesammelt und bezüglich des Browsing-Verhaltens ausgewertet. Doch auch wenn Tracking zum alltäglichen Business im Web gehört, bringen die Auswertungen auch Schwierigkeiten mit sich. Wer nicht weiß, was erlaubt und was verboten ist, handelt sich schnell eine Abmahnung ein.
Bei exali.de erklärt unser Gastautor, Rechtsanwalt Felix Gebhard von der Kanzlei BPM Legal in München, worauf beim Tracking geachtet werden muss.
Tracking: Ich weiß wer du bist und was du tust
Typischerweise wird beim Tracking untersucht, woher Besucher kommen, welche Bereiche auf einer Internetseite aufgesucht werden und wie oft und wie lange bestimmte Unterseiten und Kategorien angesehen werden.
Aus dem Nutzerverhalten können Wahrscheinlichkeits-Aussagen über deren Hobbys und Interessen gemacht werden (sog. „Korrelation“). Dies hat den Zweck, Inhalte und, ja, auch Werbung, gezielter gestalten und ausspielen zu können, um so Traffic und Conversion eines Online-Dienstes oder -Shops zu erhöhen, z.B. durch Retargeting. Je größer und aussagekräftiger die zur Verfügung stehende Datenbasis ist, umso wahrscheinlicher sind die getroffenen Aussagen. Dabei sind die Datenbestände von sozialen Netzwerken (z.B. Facebook oder Twitter) besonders aussagekräftig. Denn auf diesen Webseiten geben die Nutzer viele Angaben freiwillig heraus.
Um Besucher konkreten Nutzerprofilen zuzuordnen, kommen verschiedene Techniken zur Wiedererkennung zum Einsatz; beispielsweise Cookies, Beacons, Digital Fingerprints, IP-Adressen-Speicherung, Social-Media-Plugins oder Tracking-Pixel. Bei den Nutzern von Smartphones kommen weitere Informationen hinzu. Zudem ist es möglich, auf weitere im Telefon verfügbare Daten zuzugreifen (z.B. Standort des Telefons oder Telefonbuch).
Alle Techniken haben gemeinsam, dass persönliche Daten erhoben, gespeichert und verarbeitet werden. Völlig unabhängig von den verwendeten Tools, unterliegt das Tracking deshalb verschiedenen rechtlichen, insbesondere datenschutzrechtlichen Regelungen.
Rechtliche Vorgaben beim Tracking
Die Frage, ob, und wenn ja in welchem Rahmen Webtracking zulässig ist, ist im Einzelfall schwer zu beantworten. Dies liegt zunächst daran, dass zumeist schon die Frage, welches nationale Recht im globalen Internet zur Anwendung kommt, nicht einfach zu beantworten ist. Grundsatz ist jedoch, dass sich auch ein Anbieter, dessen Sitz oder datenverarbeitende Stelle außerhalb der EU liegt, grundsätzlich an europäisches und gegebenenfalls deutsches Datenschutzrecht halten muss, wenn in Deutschland Daten erhoben werden. Dem strengen europäischen Datenschutzrecht entziehen kann man sich – zumindest theoretisch – somit auch dann nicht, wenn man seinen Sitz ins ferne Ausland verlegt. Wie dann allerdings in der Praxis die Rechtsdurchsetzung aussieht, steht auf einem anderen Blatt.
Personenbezogene Daten
Die Anwendung des Datenschutzrechts beschränkt sich zunächst auf personenbezogene Daten. Dies sind solche Informationen, die sich – auch mit gewissem Aufwand – einer konkreten Person zuordnen lassen. Jedoch ist die Frage, wann ein solcher Personenbezug vorliegt, im Einzelfall umstritten. Insbesondere für IP-Adressen ist die Frage bisher ungeklärt und liegt aktuell dem Europäischen Gerichtshof zur Entscheidung vor. Das Urteil der Luxemburger Richter könnte weitreichende Auswirkungen auf die alltägliche Internet-Nutzung haben.
Google Analytics
Das am weitesten verbreitete Tracking-Tool ist Google Analytics. Mit dem relativ simpel zu integrierenden Programm lassen sich bereits im kleinen Rahmen aufschlussreiche Analysen zum Nutzerverhalten erstellen. Aus rechtlicher Sicht ist jedoch problematisch, dass die Nutzerdaten an Google-Server in den USA weitergegeben und dort ausgewertet werden. Aus diesem Grund ist die Nutzung nach allgemeiner Auffassung nur unter bestimmten Voraussetzungen zulässig. So muss zunächst mit Google eine sogenannte Auftragsdatenverarbeitungsvereinbarung geschlossen werden, die auf der Google Website heruntergeladen werden kann. Ferner muss Analytics mit der sogenannten „IP-Masken-Methode“ verwendet werden, bei der IP-Adressen gekürzt und so anonymisiert werden. Schließlich muss in der Datenschutzerklärung der Website auf die Nutzung hingewiesen werden (vgl. zuletzt Landgericht Hamburg, Beschluss vom 10.03.2016. Az. 312 0 127/16).
Cookies
Wer dieser Tage im Internet unterwegs ist, kennt die allgegenwärtigen „Diese Website verwendet Cookies“-Hinweise, meist am oberen Bildrand im Browserfenster. Rechtlicher Hintergrund ist ein kleiner aber entscheidender Konflikt zwischen deutschem und europäischem Recht.
Während nach der einschlägigen deutschen Vorschrift das Erstellen von Nutzungsprofilen (und damit das Tracking) zulässig ist, „sofern der Nutzer dem nicht widerspricht“ (§ 15 Abs. 3 TMG), ist es nach der europäischen E-Privacy-Richtlinie (2002/58/EG) und Cookie-Richtlinie (2009/136/EG) erforderlich, dass der Nutzer „seine Einwilligung gegeben hat“ (Art. 5 Abs. 3 der Cookie-Richtlinie). Nun ist „nicht widersprechen“ (Opt-out) bereits sprachlich etwas völlig anderes als „Einwilligung geben“ (Opt-in). Welche Konsequenzen dieser Widerspruch jedoch auf deutsche Online-Anbieter hat, ist höchst umstritten. Wann und in welcher Form müssen Nutzer informiert werden? Zu welchem Zeitpunkt – vor oder nach einem „OK-Klick“ – dürfen Cookies gesetzt werden? Ein einheitliches Vorgehen gibt es bisher nicht. Vor dem Hintergrund strengerer Vorschriften in anderen EU-Staaten (etwa auch Österreich), gehen zahlreiche Anbieter zu Kompromiss-Lösungen über. Eine Änderung der Rechtslage ist jedoch nicht unwahrscheinlich.
Technische Hürden
Verbraucher haben grundsätzlich verschiedene technische Möglichkeit, um Webtracking zu erschweren oder sogar zu verhindern. So kann mit Hilfe von Browser-Erweiterungen (z.B. Adblock oder Ghostery) die Anzeige von Werbung im Browser unterdrückt werden. Andere Erweiterungen bieten die Möglichkeit, zu erkennen, welche Formen von Tracking stattfinden (z.B. Lightbeam). Im Dezember 2010 hat die amerikanische Federal Trade Commission (FTC) zudem dazu aufgerufen, ein „Do-not-track“-System (DNT) zu entwickeln.
Rechtliche Konsequenzen
Rechtliche Konsequenzen können bei Datenschutzverstößen aus unterschiedlichen Richtungen drohen. Für die Überwachung sind zunächst die Datenschutzbehörden der Bundesländer zuständig. Im schlimmsten Fall drohen Überprüfungen und sogar Bußgelder. Aufgrund einer kürzlich beschlossenen Gesetzesänderung erhalten die Behörden demnächst Unterstützung von Verbraucherschutzverbänden. Ihnen steht künftig ein sogenanntes Verbandsklagerecht bei Datenschutzverstößen zu.
Obwohl zahlreiche Gerichte Datenschutzverstöße auch als Wettbewerbsverstöße beurteilen, sind Abmahnungen unter Mitbewerbern bisher eher selten. Grund hierfür dürften erstens die zahlreichen Unklarheiten im Datenschutzrecht sein, zweitens die Tatsache, dass es kaum Anbieter gibt, die wirklich „alles richtig machen“. Ausnahme: Die fehlerhafte Verwendung von Google Analytics (vgl. oben) scheint sich zu einem echten Abmahn-Klassiker zu entwickeln. Ferner steht nach einer kürzlich ergangenen Entscheidung des Landgerichts Düsseldorf (Urteil vom 09.03.2016, Az. 12 O 151/15), wonach die Verwendung von Facebook-Like-Buttons auf Websites wettbewerbswidrig sein soll, zu befürchten, dass sich auch in diesem Bereich Abmahnungen in nächster Zeit häufen werden.
Über unseren Gastautor:
Felix Gebhard ist Rechtsanwalt in der Münchner Kanzlei BPM legal, die schwerpunktmäßig in den Bereichen IP und IT berät. Er ist insbesondere im Online- und Wettbewerbsrecht tätig und bloggt hierzu auf dem Weblog seines Kollegen Christos Paloubis. Über das Thema Datenschutz schreibt er auf seinem eigenen Infoblog