Social Media Monitoring, CRM, HR & Recht – Teil 4 – Tracking, Targeting & Online Behavioral Marketing

Teil 2- Rechtliche Vorgaben für Tracking & Online Behavioral Marketing

Nachdem Sie die technischen Hintergründe kennen, werden Sie in diesem Abschnitt erfahren, welche rechtlichen Vorgaben Sie beachten müssen. Das erste was Sie beachten müssen, ist der Unterschied zwischen personenbezogenen und pseudonymen Daten.

Opt-In bei Erfassung personenbezogener Daten

Wenn Sie beim Tracking oder Targeting personenbezogene Daten eines Nutzers erfassen oder verarbeiten, benötigen Sie dessen Einwilligung (Opt-In). Personenbezogene Daten liegen vor, wenn die Identität einer Person anhand des Nutzerprofils mit verhältnismäßigen Aufwand bestimmt werden kann. Dazu ein Beispiel:

Angenommen ein Kunde legt in einem Shop einen Kundenaccount an, in dem dessen Name, E-Mailadresse und andere personenbezogene Daten stehen. Während der Kunde sich im Shop umsieht, erfassen Sie die Artikel, die er sich angeguckt hat. Wenn Sie diese Verhaltensdaten mit dem Kundenaccount verknüpfen möchten, benötigen Sie eine Einwilligung des Kunden.

Das Gesetz erlaubt es Ihnen die personenbezogenen Daten eines Kunden zu speichern, weil ansonsten der Einkauf unmöglich wäre. Möchten Sie jedoch zusätzlich die Bewegungen des Kunden im Shop oder seine Produktvorlieben speichern, haben Sie die Wahl. Wenn Sie diese Daten mit dem konkreten Kundenaccount verbinden möchten, brauchen Sie eine Einwilligung des Kunden. Wollen Sie auf die Einwilligung verzichten, müssen Sie die statistischen Daten pseudonym erfassen. Das heißt, in einem separaten Nutzerprofil speichern.

Einwilligung heißt, dass der Nutzer sich ausdrücklich damit einverstanden erklären muss, dass sein Verhalten aufgezeichnet wird. Dies kann auch in den AGB oder den Datenschutzbedingungen erfolgen. Voraussetzung sind diese Punkte:

Einwilligung (Opt-In) – Die Einwilligung muss aktiv erfolgen, zum Beispiel durch Anhaken von „[ ] Ich bin mit der Datenschutzrichtlinie einverstanden„.
Information – Der Nutzer muss informiert werden, welche Daten im welchen Umfang und zu welchem Zweck erhoben werden. Stehen diese Informationen in der Datenschutzrichtlinie, müssen Sie als Teil der Einwilligung hervor gehoben werden (z.B. Fettschrift).
Widerrufsbelehrung – Der Nutzer muss belehrt wird, dass er der künftigen Datenerhebung widersprechen kann und bisherige Daten löschen lassen kann. Auch das geschieht in den Datenverwendungsbestimmungen.

Das Einwilligungsverfahren ist jedoch nur bei lokaler Profilbildung praktikabel. Beim globalen Tracking und Online Behavioral Marketing ist dies kaum durchführbar:

Die Weitergabe bedarf der Einwilligung – Der Nutzer müsste auch über die Weitergabe der Daten an Dritte, z.B. das Werbenetzwerk X informiert werden. Denn die Übermittlung von Daten bedarf einer Einwilligung. Dabei muss der Dritte benannt werden. Eine pauschale Aussage, wie „wir geben Ihre Daten an Marktforschungsunternehmen weiter“ wäre nicht ausreichend. Erst recht nicht, wenn eine Weitergabe ins Ausland erfolgt.
Die Datenanreicherung bedarf der Einwilligung – Jedes Mal, wenn das Profil des Nutzers mit zusätzlichen Daten angereichert werden sollte, müsste der Nutzer dem zustimmen. Das heißt, um aufschlussreiche Nutzerprofile zu bilden, müssten dieser auf fast jeder Webseite Einwilligungserklärungen abgeben. Ein solches System wäre zum Scheitern verurteilt.

Aus diesen Gründen werden Nutzerprofile nicht personenbezogen, sondern pseudonym gebildet.

Achtung: Auch die IP-Adresse wird von deutschen Datenschützern als ein personenbezogenes Datum betrachtet. Das heißt, wenn Ihr Statistik-Tool die IP-Adressen der Nutzer speichert, müssen die Nutzer darin einwilligen. Daher sollten Sie nur Tools und Werbenetzwerke nutzen, welche die IP-Adressen entweder gar nicht speichern oder sie kappen. Mittlerweile haben viele Anbieter Einstellungsmöglichkeiten, um die IP-Adresse so zu anonymisieren. Weitere Informationen: „IP-Adressen – personenbezogene Daten“.

Opt-Out bei Erfassung pseudonymer Daten & Nutzerprofile

Um die Hürde der Einwilligung zum umgehen, muss beim Tracking und Targeting auf personenbezogene Daten verzichtet werden. Statt dessen werden alle Daten unter einem pseudonymen Nutzerprofil, z.B. Nutzer „40474“, gespeichert. Die gesetzlichen Voraussetzungen lauten dann wie folgt:

Information – Der Nutzer muss in der Datenschutzrichtlinie über das Tracking informiert werden.
Zusammenführungsverbot – Dem pseudonymen Profil dürfen keine personenbezogenen Daten beigemischt werden. D.h. der Shopbetreiber im Beispiel zuvor dürfte das Verhalten des Nutzers nicht in dessen Kundenaccount, sondern davon getrennt speichern.
Widerrufsbelehrung (Opt-Out)– Der Nutzer muss belehrt werden, dass er der künftigen Datenerhebung widersprechen kann (so genanntes „Opt-Out“).

Ein Opt-Out kann auf vielerlei Art und Weise erfolgen. Zwei Methoden haben sich durchgesetzt:

Opt-Out Cookie – Beim Nutzer wird ein Cookie gesetzt, der eine Erfassung durch ein bestimmtes Tool oder ein Werbenetzwerk verhindert (Opt-Out-Beispiele bei IVW, Comscore, Quantcast, Piwik)
Browser-Add-On – Der Nutzer installiert ein Add-On für seinen Browser, der eine künftige Datenerfassung vermeidet (Google Analytics).

Das ist zumindest der gegenwärtige rechtliche Stand, der sich jedoch in der Zukunft verändern wird.

Ein Beispielshinweis aus der Datenschutzerklärung mit Informationen zur statistischen Erfassung und der Belehrung über die Opt-Out-Möglichkeit.

Betreiben Sie Tracking ohne es zu wissen?

Viele Seitenbetreiber setzen oft Tracking-Tools ein oder nehmen an Werbenetzwerken teil, ohne es zu wissen und damit auch ohne die gesetzlichen Pflichten zu erfüllen.

Zum Beispiel ist der Like-Button von Facebook ein Tracking-Tool, mit dem Facebook Nutzerbewegungen erfassen kann (dazu mein Artikel „Das rechtliche Risiko bei Facebooks Like-Button inkl. Muster für die Datenschutzerklärung„). Auch Plugins, wie Jetpack/Wordpress-Stats für WordPress oder das Klout-Badge bringen nicht nur die erwarteten Funktionen mit, sondern binden zusätzlich Scripte der Werbenetzwerke in Ihre Seite mit ein.

Aus diesem Grund sollten Sie auch die eigene Seite regelmäßig auf deren Trackingverhalten überprüfen.

Bitte nutzen Sie Browserplugins wie Ghostery oder Collusion for Chrome, um zu prüfen, welche Trackingmaßnahmen von Ihrer Seite aus ausgehen. Ghostery hilft Ihnen mit den Links die Anbieter heraus und so deren Opt-Out-Möglichkeiten zu finden. Denn hier gilt „Unwissenheit schützt nicht vor Strafe“.

Cookie-Richtlinie und die Zukunft

Der oben dargestellte „Handel“ zwischen der Werbewirtschaft und dem Gesetzgeber lautet wie folgt: Solange keine personenbezogenen Daten erfasst werden, ist ein Opt-Out ausreichend.

Das Problem dabei ist die schiere Menge an Daten. Weil die pseudonymen Profile so detailliert und genau werden, entsprechen Sie zunehmend den dahinter stehenden Personen. Wenn Sie nach einem Rechtsanwalt suchen, der am Bundesplatz 8 in Berlin arbeitet, Mitte dreißig ist und sich mit dem Datenschutz beschäftigt, werden Sie mich ausfindig machen können.

Aus diesem Grund fordern die Datenschützer zunehmend auch für das pseudonyme Nutzertracking eine Einwilligung. Diese Forderungen mündeten in der so genannten Cookie-Richtlinie. D.h. wenn ein Trackingtool das erste Mal bei einem Nutzer ein Cookie setzen möchte, muss der Nutzer um Einwilligung gebeten werden. In vielen Ländern Europas ist die Cookie-Richtlinie bereits umgesetzt worden. In Deutschland noch nicht (dazu mein Artikel „Cookie-Richtlinie der EU – Augenwischerei, Do-Not-Track und Praxisempfehlungen„).

In Großbritannien ist die Cookie-Richtlinie schon umgesetzt. Bevor Nutzer erfasst werden, müssen Sie der Setzung des Cookies zustimmen. ~~Hier auf der Seite der britischen Datenschutzbehörde~~. Update 04.02.2013 Aaaand it’s gone

Die Dichte an Informationen in Nutzerprofilen ist auch der Grund, warum beim Einsatz von Google Analytics ein so genannter Auftragsdatenverarbeitungs-Vertrag mit Google abgeschlossen werden muss (dazu mein Artikel „Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster„). In diesem Vertrag verpflichtet sich Google u.a. mit den Daten sorgfältiger umzugehen und sie nicht für andere Zwecke zu nutzen.

Hinweis: Die Werbewirtschaft versucht diesen Gesetzesverschärfungen zu entgehen, in dem sie sich Selbstverpflichtungen auferlegt (Z.B. Gründung des Deutschen Datenschutzrats Online-Werbung „DDOW“ nebst einem OBA-Kodex sowie dem hier abgebildeten Symbol, das auf Online Behavioral Marketing hinweisen soll). Die Datenschützer, wie zuletzt Peter Schaar, weisen darauf hin, dass dies nicht ausreichend sei.

Fazit und Checkliste

Der Beitrag hat Ihnen wahrscheinlich gezeigt, dass es praktisch kaum möglich ist, allen gesetzlichen Anforderungen zu genügen. Ich persönlich denke, dass heutzutage Daten ein Wirtschaftsgut sind, die viele Nutzer als Bezahlung für kostenlose Dienste eintauschen würden.

Dieser Tausch kann jedoch nur dann funktionieren, wenn er transparent ist und die Nutzer auf ihn Einfluss nehmen können. Opt-Ins in Pop-Ups oder Opt-Outs in Datenschutzrichtlinien halte ich dafür für ungeeignet. Meines Erachtens kann hier weniger das Recht, als die Technik helfen. Dafür sind jedoch technische Standards notwendig, um sie zum Beispiel im Browser einstellen können. Aber auch daran bestehen noch Zweifel, wie Adrian Schneider im Telemedicus schreibt: „Warum „Do not Track” den Datenschutz nicht retten wird„.

Um gegenwärtig Probleme mit den Datenschutzbeauftragten oder gar Bußgelder zu vermeiden, sollten Sie jedoch weiterhin die folgende Checkliste beachten.

Checkliste

Verbinden Sie keine Statistik- & Verhaltensdaten mit personenbezogenen Daten (z.B. IP-Adresse) und nutzen Sie keine Tools, die das tun.
- Tun Sie es trotzdem, brauchen Sie eine ausdrückliche Einwilligung mit
- Informationen welche Daten, zu welchem Zweck, durch wen erhoben und an wen weiter gegeben werden und eine
- Belehrung über Widerrufsmöglichkeit für die Zukunft sowie Löschungsanspruch für bestehende Daten (Opt-Out)
Wenn Sie pseudonyme Daten erhoben haben oder pseudonyme Nutzerprofile bilden, bzw. Tools nutzen oder Scripte von Werbenetzwerken einbinden, die das tun, müssen Sie
- Informationen für die Nutzer über die statistische und Verhaltenserfassung sowie
- Belehrung über Widerrufsmöglichkeit für die Zukunft (Opt-Out) bereitstellen sowie das
- Zusammenführungsverbot mit personenebezogenen Daten beachten.

Praktisch bedeutet es, dass Sie in Ihrer Datenschutzerklärung für jedes Tool das Sie einsetzen und für jedes Werbenetzwerk, das Sie einbinden, einen Abschnitt mit Informationen und Opt-Out-Möglichkeiten bereit halten müssen. Ferner müssen Sie die Entwicklungen beobachten, ganz besonders was die Umsetzung der so genannten Cookie-Richtlinie angeht.

Bisherige Teile von „Social Media Monitoring, CRM, HR & Recht“

Übrigens, im nächsten Teil wird das Social Media Monitoring im Mittelpunkt stehen.
[callto:buch_datenschutz]