Datenschutzkonformes Tracking wird, aufgrund der fortlaufenden Digitalisierung und der derzeitigen Gesetze, immer wichtiger. Die Frage, die sich immer häufiger gestellt wird, ist: „Wie kann ich tracken, ohne dabei den Datenschutz zu verletzen?“ Im Folgenden finden Sie wichtige und nützliche Informationen zum datenschutzkonformen Tracking.
Was ist Datenschutz und was bedeutet datenschutzkonformes Tracking?
Datenschutz ist der Schutz des Persönlichkeitsrechts vor missbräuchlicher Datenverarbeitung der personenbezogenen Daten und der Schutz des Rechts auf informationelle Selbstbestimmung. Er soll somit die Rechte eines Individuums in Bezug auf seine Daten während der Verarbeitung schützen.
Aufgrund der fortschreitenden Digitalisierung gewinnt der Datenschutz immer mehr an Bedeutung. Warum dieser so wichtig ist, zeigt Art. 5 DSGVO. Dieser Artikel enthält die Grundsätze für die Verarbeitung von personenbezogenen Daten. Mit den Datenschutz-Maßnahmen werden die Persönlichkeitsrechte geschützt und die Privatsphäre gewahrt.
Bei datenschutzkonformem Tracking ist es demnach wichtig, die Bestimmungen des Datenschutzes zu erfüllen. Um die Daten von NutzerInnen während der Verarbeitung zu schützen, kann man unter anderem Folgendes tun:
- Datensparsamkeit – nur so viele Daten werden verarbeitet, wie nötig
- Speicherbegrenzung – Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck notwendig sind
- Zweckbindung – Daten dürfen nur für einen festgelegten und eindeutigen Zweck erhoben werden
- Richtigkeit – die Daten, die verarbeitet werden, müssen korrekt sein
- Anonymisierte oder pseudonymisierte Nutzerprofile erstellen
Im Webtracking werden oft personenbezogene Daten erhoben. Aus diesem Grund müssen entweder anonymisierte oder pseudonymisierte Nutzerprofile erstellt werden. Bei anonymisierten Nutzerprofilen ist es nur gestattet Daten zu erheben, die nicht personenbezogen oder personenbeziehbar sind. Dazu zählen beispielsweise Informationen wie das Datum, die Uhrzeit oder die aufgerufene Datei. Die IP-Adresse darf nur in verkürzter Form gespeichert werden. Bei den pseudonymisierten Nutzerprofilen werden personenbezogene Daten erhoben. Diese Daten werden aber nicht einer Person zugeordnet, sondern einem Pseudonym, was meist aus einer Zahlenfolge besteht.
Tracking Tools
Matomo
Bei Matomo läuft die Datenverarbeitung dezentral ab. Das bedeutet, dass Matomo unabhängig und an kein Unternehmen gebunden ist. Die Daten werden auf eigenen Servern gespeichert und nur der Webseitenbetreiber kann auf diese erhobenen daten zugreifen. Die IP-Adressen werden in den Standardeinstellungen anonymisiert.
PIWIK PRO
Bei Piwik Pro steht der Datenschutz an oberster Stelle. Sie beachten die Datenschutzgesetzte der EU, die Auflagen der USA, China und Russland sowie der DSGVO.
eTracker
Etracker kann DSGVO-konform genutzt werden, da die gesammelten Daten anonymisiert werden und nicht an Dritte weitergeleitet oder zugänglich werden. Die gesammelten Daten werden nicht für eigene Zwecke verwendet. Weitere Informationen zum datenschutzkonformen Analyse-Tool Etracker erhalten sie hier:
mapp
Bei Mapp (ehem. Webtrekk) hat der Schutz von persönlichen Daten und die Einhaltung der DSGVO oberste Priorität. Mapp ist nach dem Standards ISO 27018 und ISO 27001 zertifiziert und behandelt alle aktuellen Datenschutzbestimmungen mit höchsten Ansprüchen.
Econda
Bei Econda steht der Datenschutz der erhobenen Daten an oberster Stelle. Dadurch, dass die Server in Deutschland stehen, erfüllt Econda alle wichtigen Richtlinien der DSGVO. Econda wird regelmäßig auf alle datenschutzrechtlichen Regularien überprüft und vom TÜV zertifiziert, um ein datenschutzkonformes Tracking zu garantieren.
Amplitude
Amplitude ist eine leistungsstarke Analyseplattform, welche tiefe Einblicke in das Nutzerverhalten bietet. Durch Eventbasiertes Tracking können die NutzerInnen wertvolle Insights erlangen und somit Ihre Web und App Performance optimieren.
Ein Deep Dive zum Thema:
„Datenschutzkonformes Tracking“
Jetzt anmelden und Whitepaper sichern!
Fehler beim Tracking – Darum wird Google Analytics wahrscheinlich verboten
Google Analytics weist in Bezug auf den Datenschutz große Lücken auf. In manchen EU-Ländern ist das Tool bereits verboten, da es nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist. Google Analytics verstößt gegen die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO. Die Nutzung des Webanalyse-Diensts ist aufgrund der Datenübermittlung von personenbezogenen Daten in ein Drittland, die USA, rechtswidrig. Mit der Nutzung des Tools werden persönliche Nutzerinformationen an die Google-Zentrale weitergegeben.
Die umfassende Nutzeranalyse speichert Unmengen an Daten. Es können eindeutige Nutzer-Profile mit beispielsweise der genutzten IP-Adresse, der Sprache und des genutzten Browsers erstellt werden. NutzerInnen können demnach mit anderen Parametern als der IP-Adresse identifiziert werden, weshalb eine Anonymisierung der IP-Adresse eine unzureichende Lösung bietet. Google klärt in seinen Datenschutzbestimmungen nur unzureichend darüber auf, welche Daten überhaupt von den NutzerInnen gespeichert und übertragen werden. Google Analytics bietet zu viele Möglichkeiten die NutzerInnen zu identifizieren. Problematisch ist auch, dass NutzerInnen von Google eindeutig identifiziert werden können, wenn sie mit ihrem Google Konto angemeldet sind.
Das Problem, welches Google hat, ist, dass sie nach dem US-Recht der Überwachung von US-Geheimdiensten unterliegen. Zwar hat Google mit der Standardvertragsklausel zugesagt diverse technische Maßnahmen umzusetzen, um die Daten von europäischen NutzerInnen vor einem Zugriff der US-Behörden zu schützen, doch diese Vertragsklausel weist kein angemessenes Schutzniveau auf, um zuverlässig den Zugriff von US-Behörden durch das US-Recht zu verhindern. Auch alle Maßnahmen, die Google ergriffen hat reichen nicht aus, da die US-Behörden das Recht und die technischen Mittel dazu hat auch auf verschlüsselte Daten zuzugreifen. Der Transfer der erhobenen Daten ist nicht ausreichend geregelt.
Diese Tatsache wurde auch mit dem Urteil des EU-Gerichtshof, vom 16. Juli 2020, im Fall Schrems ii bestätigt. Welches mit dem Argument angefochten wurde, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann.
Cookies & Tracking Cookies
Ein Cookie ist ein kleines Datenpaket, welches auf dem Rechner der BenutzerInnen abgelegt wird. Darin werden Nutzerdaten lokal und serverseitig gespeichert, die für verschiedene Dienstleistungen notwendig sind, um diese nutzerfreundlicher zu gestalten. Die gespeicherten Daten werden bei jedem erneuten Aufruf einer Seite abgefragt. Der Cookie wird von einem Programm auf dem Server ausgewertet und kann damit die Seiteninhalte für die NutzerInnen personalisieren.
Anhand eines Cookies erkennt eine Website, wer sie gerade besucht. NutzerInnen können eindeutig identifiziert und ihr Verhalten getrackt werden. Sie kann sich dadurch den Nutzerbedürfnissen in einem gewissen Rahmen anpassen. Durch die Datenspeicherung der Cookies bemerkt man einen Effekt bei dem Benutzen der Seite.
Tracking Cookies werden automatisch beim Besuch einer Website gesetzt, wenn diese Methode verwendet wird. Sie dienen nicht wie gewöhnliche Cookies dazu, Seiteninhalte zu personalisieren, sondern dazu Informationen über NutzerInnen und das Verhalten zu sammeln. Die gesammelten Daten ermöglichen es, Informationen über Interessensschwerpunkte zu erhalten. Die Informationen werden für gezielte Marketingmaßnahmen verwendet, um Anzeigen so genau wie möglich auf NutzerInnen auszurichten und anzuzeigen.
Tracking Cookies können nicht nur auf einer einzelnen Website verwendet werden, das heißt, dass mit anderen Seitenbetreibern zusammengearbeitet werden kann. Diese Zusammenarbeit kann über eine direkte Synchronisation der Cookies stattfinden. Nach der Datenschutzverordnung (DSGVO) dürfen Tracking Cookies nur mit einer Zustimmung der NutzerInnen Daten sammeln, verarbeiten und übermitteln.
Problem von Tracking-Cookies
Die Sammlung von Informationen durch Cookies kann man nicht zu datenschutzkonformen Tracking zählen. Das wohl größte Problem mit dem Tracking durch Cookies ist der Datenklau und der Datenmissbrauch. Sind die Cookies unzureichend geschützt, sind die gespeicherten Daten leicht einzusehen.
Ein anderes Problem ist das Profiling. Es werden persönliche Profile durch die Verwendung von Cookies erstellt. In der Regel sollte nur die Erstellung von anonymen Profilen möglich sein. Jedoch kann aufgrund der seitenübergreifenden Tracking Cookies ein detailliertes Profil erstellt werden.
Das Sammeln von privaten Informationen kann in die Privatsphäre der NutzerInnen eingreifen. Dies entspricht nicht den rechtlichen Grundlagen und kann als ein Missbrauch der Privatsphäre belangt werden.
Zudem wird die Funktionalität von Cookies kritisch gesehen, da sie meist ohne das Wissen der NutzerInnen auf ihren Rechnern platziert werden.
Was sind personenbezogene Daten?
Laut Artikel 4 Nr. 1 der Datenschutzgrundverordnung sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gleichermaßen stellen verschiedene Teilinformationen, durch die eine bestimmte Person identifiziert werden kann, personenbezogene Daten dar.
Werden die gesammelten Daten anonymisiert, pseudonymisiert oder verschlüsselt und die NutzerInnen können nicht mehr identifiziert werden, gelten die Daten nicht mehr als personenbezogene Daten. Wenn die Person erneut nach einer Anonymisierung der Daten identifiziert werden kann, bleiben die Daten personenbezogene Daten. Keine personenbezogenen Daten sind Einzelangaben über juristische Personen.
Nutzende sind identifizierbar, wenn besondere Merkmale der Daten direkte oder indirekte Rückschlüsse auf die Identität einer natürlichen Person geben.
Personenbezogene Daten können sein:
- Vor- & Nachname
- Alter
- Geschlecht
- Geburtstag & -ort
- Privatanschrift
- E-Mail-Adresse (nachname@unternehmen.de)
- Telefonnummer
- Kontodaten
- Ausweisnummer
- Einkommen
- Vermögensstand
- IP-Adresse
Das wichtigste zum datenschutzkonformen Webtracking
- Tracking-Softwares müssen die Richtlinien der DSGVO beachten
- Tracking mit Cookies darf nur mit Einwilligung der betroffenen Person geschehen
- Die Anonymisierung oder Pseudonymisierung der erhobenen Nutzungsdaten darf nicht rückgängig gemacht werden
- Vollständige IP-Adressen dürfen nicht gespeichert werden
- Die Datenschutzerklärung muss angepasst werden
- SeitenbesucherInnen müssen über die Erstellung von Profilen informiert werden
- Ein Opt-in muss vorhanden sein. Nutzende müssen der Erhebung ihrer Daten freiwillig, im vollen Wissen und bewusst zustimmen
- Diese Einwilligung muss protokoliert werden, jederzeit einsehbar sein und der Zweck der Erhebung sollte der betroffenen Person klar sein
- Die Möglichkeit eines Opt-Out muss bestehen. Nutzende können damit die Datenverarbeitung untersagen
- Wird das Tracking von einem anderen Unternehmen ausgeführt, muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden
Warum IT-WINGS ?
Ihr Partner bei datenschutzkonformem Tracking
Wir von IT-WINGS haben eine jahrelange Erfahrung in Digital Analytics und Business Intelligence. Bei datenschutzkonformem Tracking stehen wir Ihnen als zertifizierter etracker–, Econda- und Piwik Pro–Partner kompetent zur Seite.
Profitieren Sie von unserer datenbasierten und umfassende Expertise und bringen Ihr Unternehmen auf ein neues Level. Wir erreichen mit Ihnen kurz-, mittel- und langfristige Unternehmensziele. Wir entwickeln gemeinsam mit Ihnen auf Sie perfekt zugeschnittene Konzepte und stehen Ihnen bei jeglichen Anliegen zur Seite.