Das Wichtigste zum datenschutzkonformen Webtracking in Kürze
- Tracker-Software wie Google Analytics, eTracker, Piwik und Co. darf nur eingesetzt werden, wenn die strengen Richtlinien des BDSG und der DSGVO beachtet werden.
- Die erhobenen Daten müssen entweder anonymisiert oder pseudonymisiert werden. Ohne diese Vorkehrungen verstößt Webtracking nahezu immer gegen den Datenschutz im Internet.
- Möchten Sie beim Webtracking den Datenschutz wahren, müssen Sie Ihren Nutzern die Möglichkeit eines Opt-Outs bieten.
- Internetnutzer können eine Reihe an Maßnahmen ergreifen, um nicht getrackt zu werden: Aktivieren Sie den privaten Modus, nutzen Sie die angebotenen Opt-Outs, schützen Sie sich durch zusätzliche Plugins.
Mehr zum Thema: Spezifische Ratgeber zum Datenschutz beim Webtracking
Pflichten der Websitebetreiber: So kommen sich Webtracking und Datenschutz nicht in die Quere
Inhaltsverzeichnis
Wer, was, wann, wo, wie lange… Websitebetreiber haben dank Online-Tracking vielfältige Möglichkeiten, das Verhalten ihrer Seitenbesucher genau unter die Lupe zu nehmen. Was bei privaten Blogbetreibern vor allem die Neugierde befriedigt, bedeutet für gewerbliche Seiteninhaber bares Geld.
Durch gezieltes Tracking lassen sich nämlich Nutzerprofile erstellen, welche beispielsweise personalisierte Werbung erlauben. Inwieweit das Webtracking mit dem Datenschutz vereinbar ist und wie sich Internetnutzer gegen die invasive Datenerhebung wehren können, lesen Sie hier.
Die Krux mit den personenbezogenen Daten
Beim Webtracking werden oft personenbezogene Daten erhoben – und sei es nur die IP-Adresse des Nutzers. Aus diesem Grund müssen Websitebetreiber eine von folgenden Maßnahmen ergreifen, um den Datenschutz zu wahren:
- Anonymisierte Nutzerprofile erstellen
- Pseudonymisierte Nutzerprofile erstellen
Entscheiden Sie sich für Variante 1, dürfen Sie nur jene Daten verwenden, welche weder personenbezogen noch personenbeziehbar sind (also beispielsweise Datum und Uhrzeit des Besuchs, aufgerufene Dateien usw.). Eine Ausnahme besteht bei der IP-Adresse: Wird diese in gekürzter Form gespeichert, gilt sie ebenfalls als anonym.
Weitaus beliebter ist die zweite Variante, da komplett anonymisierte Profile nur ungenaue Resultate liefern. Dabei werden einerseits personenbezogene Daten der Nutzer erhoben. Um bei dieser Form vom Webtracking dem Datenschutz nicht in die Quere zu kommen, werden personenbezogene Informationen pseudonymisiert. Das bedeutet, dass jedem Nutzer ein Pseudonym zugeteilt wird (meist eine Zahlenfolge) und für dieses Pseudonym das Profil erstellt wird. Die Zuordnung einer Person zu einem Profil ist gemäß § 15 Bundesdatenschutzgesetz (BDSG) nicht erlaubt.
Um ein komplett personalisiertes Nutzerprofil ohne Pseudonym zu erstellen, müssen Sie, um mit dem Webtracking den Datenschutz zu wahren, Folgendes einrichten:
- Opt-In: Die Nutzer müssen der Erhebung ihrer Daten freiwillig, bewusst, und im vollen Wissen zustimmen
- Diese Einwilligung muss protokolliert werden
- Dem Nutzer muss der Zweck der Erhebung klar sein
- Die Einwilligung muss für den Nutzer jederzeit einsehbar sein
- Sie muss jederzeit verbindlich widerrufbar sein.
Was bedeutet Tracking eigentlich?
Das Wort „Tracking“ kommt aus dem englischen (Verfolgen). Beim Webtracking werden sämtliche Daten, welche über einen Nutzer erhoben werden können, ausgewertet und zu einem Profil zusammengeführt. Anhand dieser Profile ist es beispielsweise möglich, gezielte Werbung zu schalten.
Datenschutzerklärung anpassen und Opt-Out/Opt-In einrichten
Möchten Sie Webtracking verwenden, müssen Sie zudem die Datenschutzerklärung Ihrer Seite anpassen und Ihre Seitenbesucher über die Erstellung der Profile informieren. Weiterhin steht es den Nutzern zu, über Umfang und Zweck der Erhebung ihrer Daten aufgeklärt zu werden.
Zudem muss die Möglichkeit bestehen, dem Webtracking zu widersprechen. Die gängigen Tracking-Anbieter haben hierzu ein sogenanntes Opt-Out entwickelt. In der Regel handelt es sich um ein Script, welche Sie auf Ihrer Seite einfügen können. Anschließend müssen Sie einen entsprechenden Link in Ihrer Datenschutzerklärung einfügen. Mit einem Klick auf diesem schaltet sich das Webtracking der Website für den jeweiligen Nutzer ab.
In Sachen Datenschutz gehen manche Tracking-Programme noch weiter: Sie ermöglichen die Einrichtung eines „Opt-Ins“. In diesem Fall startet die Erhebung der Daten erst dann, wenn der Nutzer dies mit einem Klick auch erlaubt.
Kein Tracking erlauben: So wehren Sie sich gegen Tracker
Mit folgenden Schritten ziehen Sie einem Tracking-Tool die Zähne:
- Stellen Sie bei Ihrem Browser ein, dass Websites aufgefordert werden sollen, kein Tracking zu verwenden.
- Nutzen Sie Ihren Browser im privaten Modus. Je nach Browsertyp kann auch von „anonymen Modus“, „Inkognito-Modus“ oder „InPrivates Surfen“.
- Aktivieren Sie bei besuchten Seiten den angebotenen Opt-Out – diesen finden Sie in der Datenschutzerklärung der Websites.
- Nutzen Sie Browser-Ad-Ons, welche auf jeder Website Tracker aufspüren und deaktivieren können. Beliebte Tools hierfür sind Ghostery, Disconnet, NoScript, Keep My Opt-Outs und Privacy Badger.
Allerdings sorgen insbesondere Anti-Tracking-Tools für ironische Zwischentöne: Manche haben selbst Tracking-Cookies eingebaut, um gezielt Werbung für professionelle Tracker-Blocker zu versenden.
(43 Bewertungen, Durchschnitt: 4,37 von 5)
Loading...Über den Autor
Das hört sich ja alles schön und gut an, Ebay und Kleinanzeigen z.b.bewegen sich da auf sehr dünnen Eis.
Wenn ich Do not Track anhabe verweigern sie mir den Zugriff auf die Webseite, ich werde dann mit SMS und Mails zugemüllt um zu bestätigen das ich es bin. Bei Ebay habe ich daraufhin nach über 20 Jahren meinen Account gelöscht, bei Kleinanzeigen bin ich im Moment dabei mit dem LDI [von Redaktion entfernt] das irgendwie zu unterbinden.
Mit Ebay versuchen zu reden ist für die Tonne, der beste Kommentar war noch „Dann löschen sie doch ihren Account“.
Ich gehe auf einem anderen Weg gegen Kleinanzeigen vor und zwar wegen Diskriminierung Behinderter, ich habe keine Möglichkeit die Seite zu nutzen ohne dass ich bekanntgeben muss wo ich mich befinde bzw. zu bestätigen das ich Ich bin.
Vielen Dank für diesen sehr informativen Bericht.
Habe ich das also richtig verstanden, dass es einer Firma nicht gestattet ist, ohne Zustimmung des Besuchers, ihre Daten zu verwenden?
Gerne würde ich einen Raport erstellen unserer Webseite, inwelchem vorkommen soll, wer mit Namen unsere Webseite besucht hat.
Wäre dies dann erlaubt oder überhaupt möglich?
Freundliche Grüsse
Naomi
Vielen Dank für diese Informationen. Gibt es gesetzliche Vorgaben, wie lange die Daten gespeichert werden dürfen, wenn ich als Websitebetreiber das Surfverhalten anonymisierte speichere?
Wir nutzen Matomo, gehostet auf dem eigene Server. Dort gibt es eine Unterscheidung zwischen Log-Files und Berichten, die erstellt werden. Die Logfiles sollen allein schon wegen der Datenbankgröße nach 6 Monaten automatisiert gelöscht werden. Die Berichte werden aber gespeichert.
Viele Grüße
Janine
Hallo Janine,
feste Löschfristen schreibt die DSGVO nicht direkt vor (hier können ggf. staatliche Vorgaben hinzutreten). In der Regel ist die Löschung erforderlich, wenn der Zweck, zu dessen Erfüllung die Daten erhoben wurden, erfüllt ist bzw. die Daten der Zweckerfüllung nicht mehr genügen oder aber eine berechtigte Löschanfrage des Betroffenen erhoben wurde. Ansonsten sind die Unternehmen dazu angehalten, eigens feste Löschfristen vorzugeben, um die zeitnahe Unzugänglichmachung der Daten zu erzielen. Bei der Auftragsdatenverarbeitung zur Analyse des Nutzerverhaltens können entsprechende Löschfristen ggf. beim beauftragten Datenverarbeiter eingesehen werden.
Die Redaktion von Datenschutz.org