Unternehmen analysieren häufig das Surfverhalten der Nutzer der unternehmenseigenen Homepage unter Einsatz webbasierter Dienste oder Programme, beispielsweise Google Analytics oder Matomo (Tracking). Die Auswertung erfolgt zu Zwecken der Marktforschung und bedarfsgerechten Gestaltung des Internetangebots. Anhand der Auswertungen können die Bewegungen der Nutzer nachvollzogen werden.
Der datenschutzkonforme Einsatz dieser Tools erfordert die Einhaltung verschiedener technischer und organisatorischer Maßnahmen. Die Aufsichtsbehörden haben sich bereits umfassend mit dieser Thematik auseinandergesetzt und Vorgaben zum Einsatz von Analysetools veröffentlicht.
Nach dem Beschluss der Datenschutzkonferenz (Zusammenschluss der Aufsichtsbehörden) vom 12.5.2020 müssen beim Einsatz von Google Analytics – dem am weitesten verbreiteten Tool – mindestens nachstehende Maßnahmen umgesetzt werden:
- Die Besucher der Website müssen in einer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt werden.
- Es muss eine informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer eingeholt werden.
- Es muss ein einfacher und immer zugänglicher Mechanismus (z. B. Schaltfläche) zum Widerruf der einmal vom Nutzer erteilten Einwilligung implementiert sein.
- Google sollte durch entsprechende Einstellungen im Google-Analytics-Programmcode mit der Kürzung der IP-Adressen beauftragt werden. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion "_anonymizeIp()" zu ergänzen.
Die Vorgaben des TTDSG werden durch die genannten Maßnahmen grundsätzlich erfüllt. Hinsichtlich der Gestaltung des Cookie-Banners zum Einholen der Einwilligung für die Verwendung des Dienstes siehe vorstehendes Kap. 2.1.3 Verwendung von Cookies und ähnlichen Technologien.
Nach Auffassung der Aufsichtsbehörden liegt bei der Verwendung von Google Analytics eine gemeinsame Verantwortlichkeit vor und keine Auftragsverarbeitung. Solange es jedoch noch keinen Vertrag gemäß Art. 26 DSGVO von Google gibt, sollte zumindest die Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. Generell ist zu beachten, dass auch bei Umsetzung der genannten Anforderungen die datenschutzrechtliche Zulässigkeit des Dienstes umstritten ist, da Google die Daten in einem nicht unerheblichen Umfang zu eigenen Zwecken verarbeitet. Vor diesem Hintergrund müssen die rechtlichen Entwicklungen verfolgt werden. Es wird erwartet, dass eine Auslegung durch den Europäischen Datenschutzausschuss und auch eine Rechtsprechung durch den EuGH erfolgt.
Neben Google Analytics wird häufig die Software/der Dienst Matomo, ehemals Piwik, eingesetzt. Es gelten dieselben Anforderungen mit der Ausnahme, dass keine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt, da keine Daten an den Hersteller übertragen werden.
Sind Tracking-Tools erforderlich?
Häufig werden Tracking-Tools von den Programmierern der Website eingebaut, die sich daraus Vorteile für die Wartung der Website versprechen. Die Wohnungsunternehmen nutzen diese Tools oftmals allerdings gar nicht. Es sollte daher immer genau geprüft, ob ein entsprechender Dienst überhaupt erforderlich ist.