DSGVO: Webtrekk Analytics ohne Opt-In einsetzen


Von Webtrekk CEO Christian Sauer und 
Head of Pre-Sales Consulting Michael Diestelberg

 

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft und reguliert den Datenschutz innerhalb des Europäischen Wirtschaftsraums. 

Die wichtigste Information vorab: Webtrekk Analytics lässt sich weiterhin ohne Opt-In, das heißt ohne explizite Einwilligung des Besuchers, für das Tracking der Website einsetzen. Damit erhalten Sie auch weiterhin ein vollständiges Bild über Ihre Besucher bei bestmöglicher Datenqualität. Der Datenschutz ist seit 14 Jahren in der Webtrekk-DNA verankert, so dass Sie dem Inkrafttreten der DSGVO gelassen entgegenblicken können. 

 

Was regelt die DSGVO bzgl. Opt-In?

Für die Durchführung der Web-Analyse sind diverse Teile der DSGVO von Bedeutung.

So regelt der Artikel 6 die „Rechtmäßigkeit der Verarbeitung“ – er klärt somit die Frage, wer unter welchen Bedingungen Daten verarbeiten darf. Konkret heißt es: 

„Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“ 

ODER

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [...]“ 

Die Verarbeitung der Daten ist somit gestattet, wenn eine Einwilligung vorliegt (Opt-In) oder der Website-Betreiber ein berechtigtes Interesse verfolgt. Doch was gehört zum berechtigten Interesse eines Unternehmens, das eine Website betreibt und darüber möglicherweise sein gesamtes Geschäft abwickelt?

 

Berechtigtes Interesse an der Datenverarbeitung

Die DSGVO nennt einige Beispiele für das berechtigte Interesse eines Unternehmens, nach denen die Datenverarbeitung auch ohne Einwilligung erlaubt ist. Für die Web-Analyse sind es vor allem die folgenden Punkte, die relevanten Einfluss haben:

  1. Es besteht eine „maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen [...], z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ (Erwägungsgrund 47)

  2. „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ (Erwägungsgrund 47)

  3. Die Datenverarbeitung erfolgt zu statistischen Zwecken. („Die Weiterverarbeitung [...] für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten.“) (Erwägungsgrund 50)

Der Einsatz von Webtrekk Analytics als First Party Tracking Lösung ist somit auch nach Inkrafttreten der Datenschutzgrundverordnung ohne Einwilligung des Website-Besuchers möglich, da der Website-Betreiber ein berechtigtes Interesse verfolgt. Insbesondere die statistischen Zwecke („Web Controlling“) sind in jedem Unternehmen gegeben und sind als Argumentation nutzbar.

 

Was kann einen Opt-In erforderlich machen?

Die Datenerfassung muss laut DSGVO sorgfältig abgewogen werden. Dabei stehen auf der einen Seite die Grundrechte und Grundfreiheiten der betroffenen Person, auf der anderen Seite das Interesse des Unternehmens. Unternehmen müssen den Prinzipien der Datensparsamkeit, Anonymisierung bzw. Pseudonymisierung sowie Sicherheit folgen. Eine Einwilligung (Opt-In) kann somit auch beim Einsatz von Web-Analyse-Tools notwendig werden, wenn einer der folgenden Punkte zutrifft:

  1. Die erhobenen Daten werden an Dritte weitergegeben oder zu einer übergeordneten Profilbildung (Profiling) verwendet.

  2. Die erhobenen Daten werden nicht ausreichend verschlüsselt bzw. nicht durch Pseudonymisierung unkenntlich gemacht.

  3. Es werden besonders sensible personenbezogene Daten oder Daten von Kindern erhoben. 

Webtrekk wird Sie auch in Zukunft bzgl. des datenschutzkonformen Einsatzes unserer Analytics-Lösung beraten, so dass Ihnen jederzeit bewusst ist, welche Formen der Datenerhebung eine Einwilligung des Website-Besuchers erforderlich machen. 

 

Warum ist ein Opt-In problematisch für die Web-Analyse?

Wird für den Einsatz des Analytics-Tools das vorherige Einverständnis des Besuchers benötigt, reduziert sich der Nutzen der Web-Analyse erheblich. Experten rechnen damit, dass ein Großteil der Besucher ihr Einverständnis nicht erteilen werden, da dies für sie keinen direkten Nutzen hat. Aufgrund dieser Tatsache kann man mit einem Datenverlust von bis zu 80 Prozent rechnen.

Hinzu kommt das Problem, dass der Opt-In frühestens nach dem ersten Seitenaufruf erteilt werden kann. Die erste Page Impression ist in der Web-Analyse jedoch essentiell: Sie enthält die Information, über welche Einstiegsquelle ein Besucher auf die Website geleitet wurde. Klassische Kampagnen- und Customer-Journey-Analysen werden weniger wertvoll, da keine Information vorliegt, über welche Marketingkanäle die Neubesucher gewonnen werden konnten. 

 
 

Google Analytics darf nur noch mit Opt-In verwendet werden

Google Analytics darf nach den Vorgaben der DSGVO ab dem 25. Mai 2018 nicht mehr ohne vorherige Einwilligung (Opt-In) der Besucher in vollem Umfang verwendet werden. Dies bestätigt der Konzern gegenüber Kunden und Partnern inzwischen selbst. Der Einsatz übersteigt das berechtigte Interesse der Datenverarbeitung, u.a. durch die übergeordnete Profilbildung.

Zum Thema Profilbildung heißt es in den aktuellen Datenschutzbestimmungen von Google: „Bei Verwendung von Google Analytics zusammen mit unseren Werbediensten, z. B. solchen, die das DoubleClick-Cookie nutzen, werden Google Analytics-Daten vom Google Analytics-Kunden oder von Google mithilfe von Google-Technologie mit Daten über Besuche auf mehreren Websites verknüpft.“

Zudem wird in den überarbeiteten Einwilligungsbestimmungen (Google EU User Consent Policy) Folgendes festgehalten: „If your agreement with Google incorporates this policy, or you otherwise use a Google product that incorporates this policy, you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area. If you fail to comply with this policy, we may limit or suspend your use of the Google product and/or terminate your agreement.

Dabei ist hervorzuheben, dass Google die Einwilligungserklärung des Besuchers nicht selbst speichert, sondern die Verantwortung auf seine Kunden und Partner verlagert. Unternehmen müssen die technischen und organisatorischen Maßnahmen ergreifen, um ihre Website-Nutzer zunächst um einen Opt-In zu bitten, dieses Opt-In permanent zu speichern und im Zweifel auch vorweisen zu können.

 

Webtrekk Analytics datenschutzkonform ohne Opt-In einsetzen

Um Webtrekk Analytics nach Inkrafttreten der DSGVO ohne Opt-In einsetzen zu können, beachten Sie die folgenden Hinweise:

  1. Wir empfehlen die Nutzung einer eigenen Tracking-Domain, d.h. einer Sub-Domain Ihrer eigenen Website, um die Daten zu erfassen. Damit haben Sie nicht nur alle Anforderungen an ein „First Party Tracking“ erfüllt, sondern steigern gleichzeitig Ihre Datenqualität. Weitere Informationen zur eigenen Tracking-Domain finden Sie hier.

  2. Erfassen Sie keine personenbezogenen Daten im Klartext. E-Mail-Adressen und anderen Personendaten sollten nur in pseudonymisierter Form getrackt werden, z.B. durch Anwendung eines nicht rückrechenbaren Hashing-Algorithmus.

  3. Webtrekk kommt seiner Informationspflicht nach und wird Werkzeuge zur Verfügung stellen, um die gespeicherten Daten der getrackten Besucher transparent zur Verfügung zu stellen und löschbar zu machen. 

  4. Die Datenspeicherung erfolgt bei Webtrekk standardmäßig in Deutschland, so dass auch in dieser Hinsicht die Anforderungen der Datenschutzgrundverordnung abgedeckt werden.  

  5. Webtrekk stellt allen Kunden einen Vertrag zur Auftragsdatenverarbeitung (AVV) zur Verfügung, der die Anforderungen aus Art. 28 Abs. 3 EU-DSGVO erfüllt.


Die Erfüllung von Datenschutzvorschriften ist für Webtrekk nicht bloß eine rechtliche Anforderung, sondern seit jeher ein wichtiges Unternehmensprinzip. Das wird besonders angesichts der bevorstehenden Gesetzesänderungen zu Ihrem Vorteil: Nutzen Sie Webtrekk Analytics weiterhin, ohne einen Opt-In bei Ihren Besuchern einholen zu müssen für die bestmögliche Datenqualität.

Mehr Ressourcen zur DSGVO

DSGVO in 16 Schritten

Sie sind Marketer oder Produktmanager und machen Sie sich Gedanken über die DSGVO? Alles, was Sie wirklich wissen müssen, erfahren Sie hier.

Möge der Datenschutz mit euch sein

Als Teil des offiziellen dmexco-Konferenzprogramms hat Webtrekk ein Seminar zum Thema DSGVO, Analytics und Datenschutz gehalten. Die Vortragsfolien finden Sie hier.

6 Passagen in der DSVGO die Sie als Analyst oder Marketer kennen sollten

Dieser Blogpost geht auf konkrete Stellen im Text der EU-DSVGO ein und beleuchtet, was genau sich ädern wird (und was nicht). Jetzt lesen.

DSVGO: Häufig gestellte Fragen

Unser Datenschutzbeauftragter beantwortet die wichtigsten Fragen zur DSVGO. Welche Überraschungen stehen uns bevor? Wie wirkt sich DSVGO auf Ihr Unternehmen aus? Lesen Sie es hier