DSGVO und ePrivacy auf Websites – Analytics, Tracking und die allgemeine Websitesicherheit

Analytics und Tracking

Tracking und Analytics oder auch auf Deutsch „Reichweitenmessung“ sind Verfahren, welche die statistische Reichweite einer Website messen, d. h. z. B. die Verweildauer der Nutzer, das verwendete Gerät, Betriebssystem, Standort und Nutzeraktionen.

Tracking (Profiling) wiederum beschreibt alle Verfahren, die einen Nutzer identifizieren und dessen Nutzerverhalten über einen längeren Zeitraum auswerten, um anschließend ein Nutzerprofil zu erstellen, welches seine Interessen und persönlichen Merkmale widergibt. In der Regel geschieht dies zu Zwecken der personalisierten Werbung.

Die Datenverarbeitung durch die Benutzung eines Analytics-Tools erfordert nicht die Einwilligung der Websitenutzer, sofern nur statistische Analysen und gerade kein Tracking des Nutzers erfolgt, sondern ist zulässig, da der Websitebetreiber ein berechtigtes Interesse im Sinne des Art. 6 Abs.1 S. 1 lit. f DSGVO an der Datenverarbeitung hat.

Hingegen erfordert Webtracking z. B. durch den Einsatz von Google Analytics eine vorherige Einwilligung der Nutzer, da eine umfangreiche Profilbildung erfolgt, die wiederum ein gezieltes Nutzertracking ermöglicht.

Die Einwilligung muss im sog. Opt-in-Verfahren eingeholt werden, d. h. durch eine aktive Handlung der Nutzer erfolgen. Der Einwilligungstext zum Tracking sollte in Form eines Banners erscheinen, der den Nutzern beim erstmaligen Aufruf der Seite angezeigt wird und eine Beschreibung des Trackingverfahrens, Verarbeitungszwecks, der Speicherdauer und der Betroffenenrechte enthält.

Werden Nutzer geräteübergreifend (Cross-Device) getrackt, muss auch hier eine vorherige Einwilligung eingeholt werden und gesondert darauf hingewiesen werden, dass ein Cross-Device-Tracking erfolgt.

Websitebetreiber sollten mit den Dienstleistern von Analytics- und Trackingtools zudem Auftragsverarbeitungsverträge (Art. 28 DSGVO) abschließen. Gerade Dienstleister, die in den USA niedergelassen sind, sollten eine Privacy-Shield-Zertifizierung haben, um ein angemessenes Datenschutzniveau sicherzustellen. Von Anbietern außerhalb der EU und den USA wird in Ermangelung solcher Absicherungsmöglichkeiten abgeraten.

Da Websitebetreiber ihren Informations- und Transparenzpflichten nachkommen müssen, sollten sie u. a. in der Datenschutzerklärung verständlich beschreiben, welcher Dienst für was genutzt wird, da für Websitenutzer erkennbar sein muss, ob durch ein Analytics-Tool nur analytische Zwecke verfolgt werden oder eben auch ein Tracking und der damit einhergehenden Profilerstellung erfolgt.

Hinsichtlich der Wahrung der Betroffenenrechte müssen Websitenutzer bereits im Rahmen der Einwilligung auf das Widerrufsrecht hingewiesen werden und mittels Opt-out-Verfahren die Möglichkeit gegeben werden der statistischen Auswertung ihrer Daten zu widersprechen.

Zudem müssen Websitebetreiber technische und organisatorische Maßnahmen zum Schutz der Daten rund um die Website ergreifen.

Tipp: IP Adressen schnellstmöglich löschen oder anonymisieren.

Da gerade das Tracking zu den umstrittenen datenschutzrechtlichen Themen zählt, bleibt abzuwarten, ob sich durch die ePrivacy-Verordnung Änderungen ergeben, sodass Websitebetreiber angehalten sind, sich regelmäßig auf den Websites der zuständigen Datenschutzaufsichtsbehörden hinsichtlich der bestehenden/neuen Anforderungen für Analytics &Tracking zu informieren.

Websitesicherheit im Allgemeinen

Die DSGVO stellt (u. a. in Art. 32 DSGVO) konkrete Anforderungen an die Sicherheit der Datenverarbeitung, indem Verantwortliche, hier Websitebetreiber. angemessene und wirksame technische und organisatorische Schutzmaßnahmen für die personenbezogenen Daten ergreifen müssen.

Bei Datenverarbeitungen ist daher stets darauf zu achten, dass diese sicher sind und Unbefugte keine Kenntnis oder Zugriff auf diese Daten haben.

Websitebetreibern ist daher zu raten, u. a. folgende Maßnahmen zu ergreifen:

• Webserver gegen Beschädigungen und Umwelteinflüsse schützen
• Dokumentation der wesentlichen Sicherheitsinformationen
• Eingerichtetes Beschwerdemanagement und Protokollierung
• Erstellung von unternehmensinternen Sicherheitsrichtlinien (v. a. bei größeren Unternehmen)
• Verschlüsselungsmöglichkeiten nutzen
• Backup-Konzept erstellen
• Umgang mit Cyberattacken vorbereiten (Prävention, Detektion und Reaktion)
• Regelmäßige Überprüfung der eingerichteten Sicherheitsmaßnahmen

Websitebetreiber müssen im Falle eines DataBreach (Sicherheitsvorfall oder Datenpanne) ihren Meldepflichten aus Art. 33 und 34 DSGVO nachkommen, d. h., sie müssen alle relevanten Informationen (welche Daten sind betroffen etc.) an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis des Sicherheitsvorfalles melden, um keine Geldbuße/Sanktion zu riskieren. Bei den meisten Aufsichtsbehörden ist hierfür online eine Meldemöglichkeit eingerichtet.

Hinsichtlich der Implementation entsprechender Sicherheitsmaßnahmen fordert die ePrivacy-Verordnung v. a. eine angemessene Verschlüsselung der Daten. Eine solche wird allerdings bereits durch die DSGVO gefordert, sodass durch die Einführung der ePrivacy-Verordnung keine neuen Erkenntnisse/Anforderungen im Bereich der Sicherheit der Datenverarbeitung zu erwarten sind.

Websitebetreiber sollten ihre Nutzer in ihrer Datenschutzerklärung über die eingerichteten technischen und organisatorischen Maßnahmen informieren. Das schafft Vertrauen und Transparenz in die Verarbeitung ihrer persönlichen Daten.

Marc E. Evers

Rechtsanwalt 

zert. Datenschutzbeauftragter

zert. Datenschutz-Auditor