BETA

„Das Verfahren von inSites hat den Vorteil, dass man nutzerscharf tracken kann, ohne die Anonymität zu verlieren. Insofern entstehen keine Pflichten nach DSGVO und Hinweise in der Datenschutzerklärung sind ebenfalls nicht nötig.“

– Rechtsanwalt Frank Stiegler, www.stiegler.legal

Wir haben mit Rechtsanwalt Frank Stiegler über die rechtlichen Hintergründe zu inSites und Google Analytics in Bezug auf die Datenschutz-Grundverordnung (DSGVO, englisch “GDPR”) gesprochen.

Frank Stiegler arbeitet seit 2006 als Rechtsanwalt und hat seinen Schwerpunkt im IT- und Datenschutzrecht. Sein Podcast „Legal Bits“ behandelt Themen rund um IT-Recht und angrenzende Rechtsgebiete. Privat ist er seit 1997 in der Demoszene als Musiker, Host und Organisator in der Computerkunstszene aktiv.

inSites:
Hallo Frank, danke, dass du dir die Zeit für uns nimmst.
Wir fallen gleich mit der Tür ins Haus: Ist aus deiner Sicht der Einsatz von Google Analytics in der EU mit der DSGVO vereinbar?

Google Analytics in der EU:

Um es kurz zu
machen: Es ist
kompliziert.

Frank Stiegler:
Ich meine, es ist möglich, aber in der breiten Masse, für die Google Analytics ja gedacht ist, wird es oft falsch gemacht. Der Dienst ist recht einfach installier- und einsetzbar, und das ist einerseits toll, andererseits problematisch: Es ist eben nicht damit getan, “es halt anzumachen”, sondern man hat eine Reihe von Hürden, die man nicht nur kennen, sondern dann auch noch überwinden muss. Man könnte auch sagen: Der Dienst selbst und sein Einsatz sind zwei Paar Schuhe.

Die Hürden gehen bei fehlerhaften Einwilligungen in das Setzen von Cookies los, streifen fehlende, falsche oder fehlplatzierte Datenschutzhinweise und enden schließlich bei der Frage, wie man damit umgeht, dass Daten in die USA gehen und die DSGVO dafür weitere Hürden aufgestellt hat. Und selbst wenn man es wirklich richtig machen will, hat man das Problem, dass in Deutschland unterschiedliche Aufsichtsbehörden Rechtsfragen unterschiedlich bewerten und manche recht “hart” vorgehen, während man von anderen so gut wie nichts mitbekommt. Um es kurz zu machen: Es ist kompliziert.

inSites:
Google reagiert ja und plant auf FLoC umzustellen. FLoC ist die Abkürzung für „Federated Learning of Cohorts“, also das verteilte Lernen (oder Bilden) von Kohorten. Die Nutzer*innen werden also nicht mehr persönlich erkannt, sondern sollen in Gruppen eingeteilt werden. Wird damit alles besser im Bereich Datenschutz? Wie sieht deine Einschätzung dazu aus?

Frank Stiegler:
Das ist ein gleichzeitig vielschichtiges und kompliziertes Thema, das problemlos Stoff für einen 90-Minuten-Podcast hergäbe. So viel vorab: Es hilft an mehreren Stellen, aber möglicherweise nicht so, wie Google es vielleicht gern hätte oder wie man denken könnte.

Um meine Antwort zu verstehen, muss man zunächst wissen: Die “Cookie-Dialoge”, die uns seit einer Weile quälen, sind zunächst gar nicht wegen der DSGVO nötig, sondern (noch) wegen der E-Privacy-Richtlinie. Was fast niemand weiß: E-Privacy und Datenschutz sind rechtlich gesehen zwei Paar Schuhe mit völlig unterschiedlichen Perspektiven und Anforderungen. Aber beide Bereiche sind zu beachten. Ohne Expertenhilfe kann damit dummerweise praktisch niemand souverän umgehen.

Zu Google FLoC:

Insofern nein, es wird
dadurch nicht “alles besser
im Bereich Datenschutz”,
sondern je nach Art der
Umsetzung für
Nutzer*innen eher noch
intransparenter.

Google hat FLoC nach meiner Kenntnis erfunden, um zwei Dinge zu ersetzen, nämlich Cookies von Drittanbietern (Third-Party-Cookies, hier ein E-Privacy- und ein DSGVO-Thema) und das Auslesen des Browser-Fingerabdrucks (Fingerprint, ein DSGVO-Thema). Cookies werden auf den Endgeräten der Nutzer*innen gespeichert, die Fingerprints liest der (Google-)Webserver aus und speichert sie bei sich. Mit FLoC soll der Browser des jeweiligen Endgerätes sozusagen beides ersetzen, indem er Surfverhalten trackt und die Nutzer*innen dann bestimmten Gruppen (“Kohorten”) zuordnet. Ich habe bisher nicht herausfinden können, ob ein bestimmtes Endgerät oder, wie ich es in verschiedenen Artikeln verstanden habe, tatsächlich die Nutzer*innen getrackt werden. Das kann einen wesentlichen Unterschied machen: Wenn ich mit meinem Handy ständig nach Werkzeug suche, weil ich das auf der Arbeit regelmäßig brauche, dagegen zu Hause an meinem privaten Laptop nur Schnulzenfilme schaue, bekomme ich im einen Fall jeweils zum Endgerät passende Werbung, im anderen überall passend zu “mir” statt zum Endgerät.

Spätestens wenn tatsächlich die Nutzer*innen und nicht nur die Endgeräte getrackt werden, ersetzt FLoC sozusagen nur einen Strauß von Rechtshürden durch einen anderen. FLoC sorgt vielleicht dafür, dass die Werbeindustrie weniger Hürden hat, aber das Datenschutzproblem bleibt. Für mich als Nutzer heißt das: Es wäre zwar gut, wenn ich nicht mehr überall Cookie-Dialoge vor der Nase hätte, aber das Tracking wird dann möglicherweise trotzdem gemacht, und im schlimmsten Fall habe ich dann nicht einmal mehr eine Wahl, verliere also die Kontrolle über “meine” Daten.

Insofern nein, es wird dadurch nicht “alles besser im Bereich Datenschutz”, sondern je nach Art der Umsetzung für Nutzer*innen eher noch intransparenter.

inSites:
Es gibt ja noch diverse andere Anbieter von Website-Analytics neben Google. Darf ich als Seitenbetreiber denn überhaupt Tools einsetzen, die im Gegensatz zu inSites die persönlichen Daten meiner Besucher wie z. B. das Alter, den Wohnort oder Interessengebiete ohne deren Zustimmung tracken?

Frank Stiegler:
Es ist meines Erachtens möglich, dass personenbezogenes Tracking in bestimmten Ausprägungen auch ohne Einwilligung rechtskonform geht, aber das zu tun, sorgt dafür, dass immer ein Rest von Unsicherheit bleibt, ob “das so okay ist.”

Es ist hier wohl wichtig, dass wir begrifflich sauber arbeiten: Die DSGVO spricht von “personenbezogenen” Daten, nicht von “persönlichen”. Es gibt zwar eine Art “besonders sensible” Daten unter der DSGVO, aber darunter fallen eher Dinge wie sexuelle und religiöse Orientierung und Gesundheitsdaten, aber nicht Alter, Wohnort oder allgemeine Interessen. Jetzt zur Frage: “Zustimmung” im Sinne einer Einwilligung nach DSGVO-Standard ist nicht immer erforderlich, und wenn man mehrere Rechtsgrundlagen hat, auf die man Tracking fußen kann, ist es oft sogar die schlechteste. Warum? Weil “rechtssichere” Einwilligungen schwer einzuholen und jederzeit widerrufbar sind. Einwilligungen sind deshalb sozusagen am schwersten zu kriegen und am leichtesten zu verlieren.

Es ist stattdessen nach DSGVO (Art. 6 Abs. 1 S. 1 lit. f) auch möglich, Tracking auf die so genannte Interessenabwägung zu stützen. Grob gesagt heißt das: Wenn ich als Unternehmen mein Interesse an Absatzförderung/Direktwerbung nutzen möchte, um mir anzusehen, wer sich wie auf meiner Website bewegt, darf ich das tun, wenn nicht die Interessen der Betroffenen höher wiegen. Das heißt übrigens auch: Wenn beide gleich schwer wiegen, ist es erlaubt. Der Haken an der Sache ist: Diese Abwägung lässt sich selten “rechtssicher” machen; denn wenn die Aufsichtsbehörde ein Bußgeld gegen mich verhängt oder wenn Betroffene mich verklagen und ein Gericht das hinterher anders sieht, bringt es mir wenig, dass ich das vorher für zulässig gehalten habe.

inSites:
Kannst du uns darlegen, was der Unterschied ist zwischen „personenbezogener“, „pseudonymer“ und „anonymer“ Erhebung von Nutzerdaten ist?

Frank Stiegler:
Die Unterscheidung zwischen “personenbezogen” und “anonym” kann sich glaube ich jeder schon recht gut vorstellen: Im einen Fall bin ich als Person – auf welche Art auch immer – identifizierbar, im anderen bin ich ein nicht identifizierbarer Teil einer Menge, z. B. einer Zahl von Nutzern, die an einem bestimmten Tag auf einer Website waren. “Pseudonym” ist grob gesagt auch personenbezogen, aber mit einer Art Chiffre, die nur bestimmten Leuten ermöglicht, mich zu identifizieren. Das Pseudonym erlaubt diese Identifikation also nur manchen, nicht allen. Ein Pseudonym kann z. B. im Studium die Matrikelnummer sein, die der Verwaltung erlaubt, die Person zu identifizieren, den Mitstudierenden und anderen aber nicht. Bei der Verwendung von Cookies bzw. beim Tracking kann z. B. die vergebene ID ein Pseudonym sein. Anonymes Webtracking ist übrigens komplizierter, als man meinen möchte, jedenfalls wenn man wissen möchte, wie viele unterschiedliche Personen die Website besucht haben. Wenn man stumpf jeden Seitenaufruf zählt, ohne nach Nutzer*innen zu unterscheiden, sind 100.000 Aufrufe als Aussage technisch korrekt, verschweigen aber möglicherweise die wichtige Information, dass sie nur von 50 Nutzern (und damit möglicherweise Bots) kamen.

Zur Vorgehensweise von inSites:

Das Verfahren von inSites
macht nach meinem
Kenntnisstand etwas, das
so weit wie möglich von
der Identifizierbarkeit
natürlicher Personen
entfernt ist, ohne dass man
die Information über
nutzerscharfe Zugriffe,
also “unique accesses”
komplett verliert.

inSites:
Bei inSites legen wir sehr viel Wert auf die Anonymisierung der Daten. Wir haben dir unsere technische Vorgehensweise zur Anonymisierung der Besucher*innen-Daten im Vorfeld dargelegt. Wie ist aufgrund dessen deine Einschätzung von inSites in Bezug auf die DSGVO?

Frank Stiegler:
Um das deutlich zu sagen: Ich habe schon bei diversen Anbietern gelesen, dass sie anonym tracken. Oft ist das schlicht falsch, weil sie zwar pseudonym tracken, aber eben nicht anonym. Da aber pseudonyme Daten nach der DSGVO auch personenbezogene Daten sind, anonyme Daten aber nicht, ist der Unterschied wichtig. Das Verfahren von inSites macht nach meinem Kenntnisstand etwas, das so weit wie möglich von der Identifizierbarkeit natürlicher Personen entfernt ist, ohne dass man die Information über nutzerscharfe Zugriffe, also “unique accesses” komplett verliert. Das Verfahren generiert bei Personen, die auf die mit inSites laufende Website kommen, aus verschiedenen Faktoren über ein Hash-Verfahren IDs, die Website-Betreiber*innen ohne weitere Daten keinerlei Rückschluss auf die Identität der Besucher*innen erlauben. Es werden somit keinerlei personenbeziehbare Daten gespeichert; selbst die für das Verfahren genutzte IP-Adresse wird schon verstümmelt, bevor sie zur zur Herstellung des Hash-Wertes genutzt wird. So kann man also nutzerscharf und trotzdem anonym tracken. Es wissen also weder Website-Betreiber*innen noch weiß die Betreiberin von inSites, welche Personen hinter den IDs stehen, können aber trotzdem sehen, wie viele unterschiedliche Personen auf der Website waren.

Ich habe oben deshalb “ohne weitere Daten” geschrieben, weil klar ist: Wenn Website-Betreiber*innen inSites einsetzen, sind die Daten an sich erst einmal anonym. Wenn sie aber z. B. an irgendeiner Stelle weitere Daten erheben, die eine Identifizierung ermöglichen, ist es natürlich mit der Anonymität dahin. Das hat dann aber natürlich mit inSites nichts zu tun; das Phänomen hat man bei jedem eingesetzten Dienst, egal wie anonym er arbeiten kann.

inSites:
Das heißt, mit inSites ist es im Grunde nicht einmal nötig den Einsatz in den Datenschutzhinweisen aufzuführen?

Frank Stiegler:
Ja, das sehe ich so: Wer anonyme Daten verarbeitet, muss insoweit keine Pflichten in der DSGVO beachten und deshalb z. B. auch keine Hinweise zu den entsprechenden Prozessen in eine Datenschutzerklärung o. Ä. aufnehmen.

inSites:
Was würdest du Seitenbetreibern in der EU, die Daten über die Nutzung ihrer Website erheben wollen, jetzt raten?

Jetzt inSites ausprobieren und anmelden

Frank Stiegler:
In dieser Hinsicht sage ich immer: Personenbezogene Daten, die ich nicht habe, lösen bei mir keine DSGVO-Pflichten aus. Jedes personenbezogene Datum, das ich verarbeite, sorgt dafür, dass ich irgendetwas tun muss. Das können Hinweise sein, eine vertragliche Regelung, eine einzuholende Einwilligung, bestimmte technische und/oder organisatorische Maßnahmen und/oder eine Dokumentation. Mein Rat ist: Wenn man die nötigen Informationen auch mit anonymen Daten bekommt, sollte man auch nur anonyme Daten zum Tracking nehmen.

inSites:
Abschließend noch ein Blick in die Zukunft: wie schätzt du die Entwicklung der nächsten fünf bis zehn Jahre im Bereich der E-Privacy im Internet ein? Werden deiner Meinung nach die Rechte der Nutzer*innen vermehrt gestärkt, oder werden die großen Werbe-Konzerne Strategien finden, mehr Informationen über die Internetnutzer zu sammeln?

Frank Stiegler:
Ehrlich gesagt bin ich nicht besonders optimistisch, was die Situation der Nutzer*innen angeht. Allein diese Frage könnte Tage mit Diskussionen füllen. Ich mache es so kurz wie möglich. Wir haben eine auf veraltete Technologien zeigende und vor allem für juristische Laien undurchsichtige Rechtslage. Und schon jetzt werden weder Technologie noch Geschäftsmodelle von durchschnittlichen Nutzer*innen verstanden. Sind wir ehrlich: Auch heute noch quittieren viele Leute Datenschutzbemühungen mit dem lieblos dahergeredeten Satz, man habe doch nichts zu verbergen, was solle denn bitte die Aufregung.

Frank Stieglers rat an Webseitenbetreiber*innen:

Mein Rat ist: Wenn man die
nötigen Informationen auch
mit anonymen Daten
bekommt, sollte man auch
nur anonyme Daten zum
Tracking nehmen.

Wohin E-Privacy sich entwickelt, ist angesichts eines bislang ziemlich chaotischen Gesetzgebungsverfahrens zur geplanten E-Privacy-Verordnung für mich schwer zu sagen. Aber klar ist: Wer jetzt in der Gesetzgebung fordert, dass Nutzer*innen zu allem und jedem ihre Einwilligung erklären sollen, drückt sich m. E. um seine Arbeit. Denn es ist die Aufgabe der Gesetzgebung, eine Rechtslage zu schaffen, die für die Verbraucher*innen fair ist, ohne dass sie ständig Verantwortung für Dinge übernehmen müssen, die sie offensichtlich nicht verstehen. Trotzdem gilt die Einwilligung vielerorts nach wie vor -- oder vielleicht auch immer mehr -- als das Allheilmittel im Datenschutz. Einwilligung in Cookies hier, in Werbungspersonalisierung da, in Datenweitergabe hier, in Profilbildung da.

Praktisch nichts davon wird vom Durchschnitt wirklich mit seinen Konsequenzen für die Nutzer*innen verstanden. Es “nervt” sie vor allem, und auch wenn das natürlich wenig Beweiskraft hat, hat mir hat noch niemand gesagt, dass er sich jetzt durch die Cookie-Dialogboxen besser geschützt fühlt.

Deshalb schätze ich, es wird wohl dabei bleiben, dass Nutzer*innen an allen denkbaren Stellen, an denen “irgendwas mit Datenschutz” passiert, Dialogboxen bekommen, um eine Zustimmung zu erklären, deren Verweigerung einem in dem Moment nur schlicht zu lästig ist. Man bürdet also in gewisser Weise den Nutzer*innen lästige Klicks auf, deren Bedeutung und Konsequenzen sie nicht verstehen und die sie nicht interessieren, damit Unternehmen eine Rechenschaftspflicht erfüllen können. Aber schon diese Art von Rechenschaftspflicht halte ich für gefährlich. Normalerweise haben halt bestimmte Akteure bestimmte Pflichten, und wenn sie dagegen verstoßen, kann das Konsequenzen haben. Aber dass sie zu jeder Zeit immer belegen können sollen, dass sie alles richtig machen, ist wirklich starker Tobak. Stellen Sie sich vor, Sie müssten beweisen können, dass Sie sich beim Autofahren immer an alle Regeln der StVO gehalten haben! Da merkt man schnell, wie viel Aufwand das macht, ohne dass im Straßenverkehr unmittelbar irgendjemand einen Vorteil hätte.

Nach meiner Meinung müsste man Datenschutz und E-Privacy komplett neu denken und machen, wenn man effektiv etwas für Betroffene verändern wollte.

inSites:
Vielen Dank für deine Einschätzung!

Weitere Information zu Frank und seinen Podcast findet ihr auf seiner Website unter: www.stiegler.legal