Webanalyse-Werkzeuge rechtskonform einsetzen – Teil 1

28/11/2016

Webanalyse wird zweifelsohne immer wichtiger, birgt aber auch Gefahren, dass die eingesetzten Analyse-Werkzeuge nicht mit den gesetzlichen Vorschriften in Einklang zu bringen sind. Aus diesem Grund beschäftigt sich diese Serie im Detail mit dem Thema und soll besonders für Startups Anhaltspunkte zum rechtskonformen Einsatz von Webanalyse-Werkzeugen aufzeigen. Lesen Sie hier nun Teil 1 der Serie.

Webanalyse-Werkzeuge werden seit Jahren von Unternehmen eingesetzt, um die Zugriffe ihrer Kunden auf die Webseite des Unternehmens zu analysieren. Durch die immer stärkere Verbreitung internetfähiger Geräte (Smartphones, Tablets etc.) erlangt der Einsatz von Webanalyse-Werkzeugen wie „Google Analytics“ noch größere Bedeutung als bisher. Gerade für Startups, deren Geschäftsmodell oftmals auf dem innovativen Einsatz neuer Technologien basiert, ist die optimale Positionierung ihres Webauftritts daher von größter Bedeutung. Der Einsatz von Analyse-Werkzeugen betrifft in der Regel jedoch die Verarbeitung personenbezogener Daten der Nutzer, womit die Zulässigkeit des Einsatzes solcher Werkzeuge nach den Grundsätzen des Datenschutzrechts zu beurteilen ist.

Obwohl sich Webanalyse-Werkzeuge immer größerer Beliebtheit erfreuen und trotz der Verwendung tiefgreifender datenschutzrechtlicher Implikationen, fehlt bislang jedoch eine verbindliche Rechtsprechung der österreichischen Datenschutzbehörde. Im Gegensatz zu den Datenschutzbehörden anderer Länder hat die österreichische Datenschutzbehörde auch keine Richtlinie zur rechtskonformen Verwendung von Webanalyse-Werkzeugen und Cookies im Allgemeinen herausgegeben.

Was genau heißt Webanalyse eigentlich?

Unter Webanalyse ist die Messung, Sammlung, Analyse und Auswertung von Internetdaten zwecks Verständnis und Optimierung der Webnutzung zu verstehen. Bei der Webanalyse soll ermittelt werden, wie die Nutzer eine Webseite verwenden, um dadurch die Bedienbarkeit oder den Aufbau der Webseite zu verbessern oder um mithilfe der erhobenen Daten und basierend auf den Interessen der Nutzer zielgerichtete Werbung schalten zu können.

Zum besseren Verständnis der Webanalyse

Webanalyse-Werkzeuge sind in der Lage aufzuzeichnen, von wo aus die zu analysierende Webseite angesteuert wurde, welche Seiten der Nutzer aufgerufen hat, wie der Nutzer durch die Seite navigiert ist und wo die Seite anschließend wieder verlassen wurde. Dabei werden Nutzungsdaten, wie die Anzahl der Zugriffe, die Zahl der Nutzer und ihre regionale Herkunft, die aufgerufenen Seiten, die Verweildauer auf einzelnen Seiten, Informationen über das vom Nutzer verwendete Endgerät sowie dessen IP-Adresse erhoben. Neuere Webanalyse-Werkzeuge sind überdies in der Lage zu erkennen, wie der Nutzer im Detail mit der Webseite interagiert. Mithilfe sogenannter „Heatmaps“ wird dargestellt, wo und wie häufig die Nutzer bestimmte Stellen der Webseite angeklickt haben, wie sie die Maus über die Seite bewegt haben und wie sie über die Seite gescrollt sind. Webanalyse-Werkzeuge werden von vielen Webseitenbetreibern zu Zwecken der Marktforschung, Werbung oder bedarfsgerechten Gestaltung ihrer Angebote genutzt.

Aus technischer Sicht werden zur Verfolgung des Nutzers regelmäßig dessen IP-Adresse verarbeitet und Cookies eingesetzt. Ein Cookie ist eine kleine Textdatei, die ein Server auf dem Computer eines Nutzers mithilfe des Browsers ablegt. Der Einsatz von Cookies ermöglicht es, verschiedene Nutzer im Internet zu „markieren“ und ihren Weg durch das Netz zu verfolgen. Für diesen Zweck wird eine eindeutige Kennung generiert und im Cookie gespeichert, das schließlich auf dem Rechner des Nutzers gespeichert wird. Sobald der Nutzer eine Webseite erneut besucht, wird dieses Cookie ausgelesen, um den Besucher zu identifizieren. Neben den herkömmlichen „Web-Cookies“ existieren vergleichbare Technologien wie sogenannte „Flash-Cookies“ (Objekte die vom Flashplayer der Firma Adobe eingesetzt werden) oder neuere Technologien wie die sogenannte „Structured Client-Side Storage“, die in der neuesten Version (HTML5) der Hypertext Markup Language (HTML) eingeführt wurde.

Ein neueres Phänomen ist auch das sogenannte „Device Fingerprinting“, wo versucht wird durch Analyse der Konfiguration des Browsers, der Java-Script Objekte oder der HTTP-Headerinformationen einen eindeutigen Fingerabdruck des Nutzers zu erstellen, um dessen Verhalten im Internet zu verfolgen.

Da all diesen Technologien gemein ist, dass sie der Verfolgung des Nutzers im Internet dienen, werden sie im Folgenden mit dem gemeinsamen Begriff „Cookie“ bezeichnet. Mithilfe von Cookies ist es nicht nur möglich, den Nutzer auf der Seite zu verfolgen, die das Cookie setzt, sondern auch auf anderen Webseiten.

Cookies, insbesondere solche, die eine eindeutige Benutzerkennung enthalten, und IP-Adressen sind in den meisten Fällen im Zusammenhang mit Webanalyse-Werkzeugen als personenbezogene Daten anzusehen. Dazu sind folgende Überlegungen anzustellen:

IP-Adressen und Cookies per se ermöglichen zunächst keinen Bezug zu einer bestimmten Person, sondern nur zum jeweiligen Endgerät (PC, Smartphone etc.) und stellen damit (vorerst) nur maschinenbezogene und damit keine personenbezogene Daten dar. Dies ändert sich jedoch dann, wenn diese Informationen verarbeitet werden, um einen bestimmten Nutzer zu identifizieren. Dabei reicht es, wenn durch die Verwendung solcher Technologien ermöglicht wird, dass einzelne betroffene Personen „ausgewählt“ werden können, selbst wenn ihr tatsächlicher Name nicht bekannt ist. Entscheidend für die Einordnung als personenbezogene Daten ist die Individualisierbarkeit, welche auch durch die Zuordnung von verhaltensbezogenen Merkmalen zu einem Internetnutzer eines bestimmten Computers erreicht werden kann.

Der aktuelle rechtliche Rahmen der Webanalyse

Datenschutzrechtliche Rollenverteilung

Das Datenschutzgesetz 2000 („DSG“) ist anwendbar, wenn personenbezogene Daten im Inland verwendet werden. Unter dem „Verwenden von Daten“ versteht man sämtliche Verarbeitungsarten wie das Ermitteln, Erfassen, Speichern, Verändern und Abfragen von Daten. Das DSG unterscheidet zwischen drei Akteuren: dem Betroffenen, dem Auftraggeber und dem Dienstleister.

Bei der Prüfung der datenschutzrechtlichen Verantwortlichkeit gilt zunächst zu ermitteln, wer als datenschutzrechtlicher Auftraggeber die Verantwortung für eine konkrete Datenanwendung, wie dem Einsatz eines Webanalyse-Werkzeugs, trägt.

Auftraggeber ist jede natürliche oder juristische Person, wenn sie die Entscheidung trifft, Daten für einen bestimmten Zweck zu verwenden. Auf der anderen Seite der Datenanwendung steht der Betroffene – unter dem jede, vom Auftraggeber verschiedene natürliche oder juristische Person zu verstehen ist, deren Daten verwendet werden. Als Dritter Akteur kommt der sogenannte Dienstleister ins Spiel, worunter eine natürliche oder juristische Person zu verstehen ist, wenn sie Daten nur zur Herstellung eines ihr aufgetragenen Werks verwendet. Der Dienstleister kann daher als „verlängerter Arm“ des Auftraggebers verstanden werden. Charakteristisch für den Dienstleister ist, dass er mit der Verarbeitung der Daten keine eigenen Zwecke verfolgt, sondern lediglich den Auftrag des Auftraggebers ausführt. Verantwortlich für die rechtmäßige Datenverarbeitung ist nach dem DSG der Auftraggeber. Als Verantwortlichen der Datenanwendung treffen ihn zahlreiche Verpflichtungen. So hat er bspw. dem Betroffenen auf dessen Anfrage Auskunft über die verarbeiteten Daten zu erteilen.

Beim Einsatz von Webanalyse-Werkzeugen entscheidet der Webseitenbetreiber, den Nutzer beim Surfen auf der Webseite zu verfolgen und dessen Daten zur Analyse zu verarbeiten. Er ist daher als „Auftraggeber“ der Datenanwendung „Webanalyse“ zu qualifizieren. Der Nutzer, der auf der Webseite surft und dessen personenbezogene Daten (IP-Adresse, Verweildauer, aufgerufene Seiten, angeklickte Inhalte etc.) erhoben werden, ist als „Betroffener“ zu qualifizieren.

Sofern der Webseitenbetreiber ein anderes Unternehmen beauftragt, das Surfverhalten der Nutzer zu analysieren, ist dieses Unternehmen als Dienstleister anzusehen. Voraussetzung dafür ist jedoch, dass dieses Unternehmen die Daten ausschließlich im Rahmen des konkreten Auftrags verarbeitet. Verarbeitet der Dienstleister die Daten (auch) für eigene Zwecke und nicht nur im Rahmen des Auftrags, so wird das Unternehmen selbst zum Auftraggeber und es liegt keine Überlassung, sondern eine Übermittlung von Daten vor, deren Zulässigkeit nach dem DSG gesondert zu prüfen ist.

 

Mit allen weiteren gesetzlichen Rahmenbedingungen geht es in Kürze in Teil 2 dieser Serie weiter...

Autoren

Das Photo von Johannes Scharf
Johannes Scharf
Associate