Hilf mit die Spendenziele zu erreichen!
Matthias Eberl
27. Februar 2023

Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2

EinleitungTTDSG

Erlauben die Behörden Analysetracking ohne Einwilligung? Diese zentrale Frage steht bei diesem zweiten Teil der Serie im Vordergrund. Im ersten Teil hatten wir die Geschichte und Entstehung von TTDSG §25 und dem dahinterstehenden Artikel 5 der ePrivacy-Richtlinie kennengelernt.

Wir beginnen mit der Auslegung des Paragraphen §25 im TTDSG in Deutschland, obwohl dieses Gesetz viel später umgesetzt wurde als die entsprechenden anderen ePrivacy-Gesetze in Europa. Anschließend schauen wir uns die Auslegungen in fast allen europäischen Behörden an. Dieser umfassende Blick ist wichtig, weil oft nur die wenigen großzügigen Behörden hervorgehoben werden und so das Gesamtbild der europäischen Auslegung verzerren. Schließlich geht es noch um Rechtskommentare und die Frage, welche Urteile schon bekannt sind. Am Ende schauen wir, was man gegen Analysetracking tun kann.

Dieser Beitrag ist Teil einer Artikelserie:

1. Aktuelle Auslegung von TTDSG §25 durch Behörden

Nachdem das TTDSG im Dezember 2021 in Kraft getreten war, mussten zahlreiche Webseitenbetreiber und Unternehmen den neuen Geräteschutz in die Praxis umsetzen, falls sie es nicht bereits vorher  wegen des BGH-Urteiles getan hatten. Das bedeutete viele Fragen, aber vor allem: In welchen Fällen darf ein Webserver Daten wie Cookies auf fremde Geräte schreiben?

Die Datenschutzkonferenz (DSK)

Um diese Fragen im föderalen Länderchaos der Bundesrepublik einheitlich zu klären, gibt es die Deutsche Datenschutzkonferenz, einen Zusammenschluss der 16 Landesbehörden und dem Bundesdatenschutzbeauftragten. Sie einigen sich in der rechtlich nicht bindenden Gruppe auf Kompromisse, die dann die Regulierungsarbeit der Behörden maßgeblich bestimmt. Die Rundfunkbehörden gehören diesem Gremium nicht an, sie haben eine eigene Rundfunkdatenschutzkonferenz organisiert.
DSK

Die Datenschutzbehörden der Länder und des Bundes treffen sich regelmäßig zur Datenschutzkonferenz

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

Die »Orientierungshilfe Telemedien«

Ein zentrales Dokument für Seiten- und Appbetreiber ist seither die Orientierungshilfe Telemedien (OH Telemedien). Sie wurde im Dezember 2022 leicht überarbeitet. Der Entwicklungsprozess wurde in einem Konsultationsverfahren mit verschiedenen Lobbyorganisationen gut dokumentiert. Daher gibt es noch ein zweites Papier: Der Auswertungsbericht zur Konsultation enthält gute Begründungen für die aktuelle strenge Auslegung. Er bewertet auch Vorschläge und Verbesserungsideen von unzufriedenen Wirtschaftsverbänden. Beide Dokumente sind daher eine gute Argumentationshilfe für datenschutzinteressierte Laien, die sich gegen die Argumentation von Unternehmen wehren wollen: Denn was die Orientierungshilfe fordert, kann man im Normalfall ohne Probleme auch bei den Landesdatenschutzbehörden durchsetzen.

DSK: Jammern erlaubt, große Ausnahmen nicht

In der OH Telemedien erteilt die DSK einer weiten Auslegung von TTDSG §25 eine klare Absage:

Diese strenge rechtliche Wertung mag im Ergebnis diskutabel sein, die Richtlinie lässt nach der obigen Auswertung jedoch keine andere Umsetzung zu. Deutsche Umsetzungsvorschriften werden generell von den Gerichten richtlinienkonform ausgelegt.

Mit anderen Worten: Das Jammern der Industrie über fehlende Analysemöglichkeiten ist nachvollziehbar, aber die ePrivacy-Richtlinie und damit der gemeinsame europäische Schutz des Endgeräts gehen vor. Die DSK erklärt in beiden Papieren nochmals und ausführlich, dass zwei Merkmale vorliegen müssen, damit ohne Einwilligung auf Daten zugegriffen werden darf: Der Dienst muss »ausdrücklich gewünscht« sein und »unbedingt erforderlich«. Eine Interessensabwägung sei nicht vorgesehen, ebenso wenig Ausnahmen für eine Nützlichkeit oder Förderlichkeit des Trackings.

DSK: Ist die Analyse nicht bewusst wahrnehmbar, kann sie nicht gewünscht sein

Ausdrücklich gewünscht bedeute, dass maßgeblich die Perspektive durchschnittlich verständiger Nutzer:innen einzubeziehen sei. Wenn Nutzer:innen eine Funktion wie beispielsweise die »Analyse von Besucherzahlen« nicht bewusst wahrnehmen und auswählen können, seien sie per se nicht dem Basisdienst zuzurechnen.

DSK: Keine langlebigen Cookies ohne Login erlaubt

Die DSK geht außerdem ausdrücklich von einer technischen Erforderlichkeit aus. Sie folgt darin dem im ersten Teil der Artikelserie zitierten Erwägungsgrund 66, der die technische Erforderlichkeit unterstreicht, aber sie ersetzt den harten Blockiertest aus WP 194 mit einer komplexeren Prüfung: Die unbedingte technische Erforderlichkeit bedeute demnach, dass Zugriffe hinsichtlich aller Dimensionen (Wann? Wie lange? Was? Für wen?) auf das erforderliche Minimum zu reduzieren seien. Eine Cookie-Laufzeit über eine Sitzung hinaus sei beispielsweise grundsätzlich nur dann erlaubt, wenn es sich um einen anmeldepflichtigen Dienst handele.

Bei den darauf folgenden Anwendungsbeispielen macht die DSK klar, dass man keine generelle Liste von Diensten erstellen könne. Eine Reichweitenanalyse wie bei Pressemedien oder im Rundfunk sei aber ohne Zugriffe nur über die Logfiles oder mit einem Zählpixel zu erreichen. Das kann man als weiteres Beispiel verstehen, wie die DSK sich die Prüfung auf das erforderliche Minimum vorstellt.

Einer Analyse ohne Einwilligung werden in der Orientierungshilfe also sehr enge Grenzen gesetzt. Die Bedingungen hat sich nicht die DSK ausgedacht, sondern sie steht im Gesetz. Wenn die Behörden sauber arbeiten, können sie also folgerichtig die Analyse weder grundsätzlich erlauben noch grundsätzlich verbieten.

Existiert die seltene Ausnahme in der Praxis?

Die Praxisfrage, die daraus folgt: Gibt es das denn überhaupt in der Realität? Eine »ausdrücklich gewünschte« Analyse? Im Kopf kann man solche Beispiele konstruieren: Eine Webseite, mit der man Trackingblocker testen kann: Wer eine solche Seite besucht, würde natürlich ausdrücklich wünschen, dass der Server versucht, Cookies zu schreiben, um dann zu sehen, ob der Trackingblocker die Cookies erfolgreich blockiert. Aber im Alltag der Behörden ist es noch nicht zu dieser Ausnahme gekommen: Wir haben bei allen 16 Landesbehörden nachgefragt. Keine einzige Behörde konnte uns einen Fall nennen, bei dem eine Webseitenanalyse ohne Einwilligung rechtmäßig gewesen wäre.  

Generelle Verbote von Analysetracking in Baden-Württemberg und bei öffentlichen Stellen in Bayern

Da die DSK die gemeinsame Position der Landesbehörden darstellt, verwundert es nicht, dass diese keine großzügigeren Auslegungen formuliert haben. Wohl findet man aber strengere Auslegungen, so erklärt beispielsweise die Behörde in Baden-Württemberg in ihren FAQs, dass eine Reichweitenanalyse nicht zu den einschlägigen Ausnahmen im §25 zählt und daher eine Einwilligung benötigt. Die darunter folgenden Vorschläge (3.1b) für zum Beispiel selbstgehostete Analysedienste bezieht sich wohlgemerkt auf die Regelungen der DSGVO. Erlaubt bleibe aber eine Log-Analyse unter Zuhilfenahme von IP-Adresse und User-Agent.

Der Bayerische Landesbeauftragte für Datenschutzaufsicht (eine Behörde, die ausschließlich für öffentliche Stellen wie beispielsweise Gemeinden zuständig ist) führt Cookies zur Reichweitenmessung und Webseitenoptimierung als Beispiel für nicht notwendige Cookies:

Bei der Prüfung der Erforderlichkeit ist auf die Sichtweise der Nutzerin oder des Nutzers abzustellen, nicht auf die der Telemedienanbieterin oder des Telemedienanbieters. Daher sind auch Cookies, die der statistischen Auswertung oder der Webseitenanalyse dienen – selbst wenn sie für die Verbesserung der Webseitenangebote nützlich sein können – als nicht erforderlich anzusehen. Denn sie wirken sich nicht (unmittelbar) auf die Funktionalität des durch die Nutzerin oder den Nutzer gewünschten Telemediendienstes aus.

2. Aktuelle Auslegung der ePrivacy-Umsetzungen in Europa

Fast alle anderen europäischen Behörden positionieren sich ähnlich streng (mit Ausnahme von Italien, Frankreich und Niederlande, die ich im nächsten Abschnitt behandele). Da die große Menge an strengen Behörden in Europa von verschiedenen wirtschaftsnahen Rechtsexperten gerne übersehen wird, habe ich mir die Mühe gemacht, die aktuellen Aussagen so weit wie möglich zu recherchieren.

Mindestens zehn EU-Länder verbieten eine Analyse ohne Einwilligung komplett

Von den insgesamt 15 EU-Ländern, bei denen ich konkrete Cookie-Anweisungen und Interpretationen gefunden habe, untersagen zehn den Einsatz von Analysetracking ohne Einwilligung komplett. Hier die Übersicht über die europäischen Regelungen für Cookies und das Analysetracking.

Legende

Bezeichner Beschreibung
Nur Einwilligung: Gerätezugriff für Analysen nur mit Einwilligung erlaubt
🙏 Ausdrücklich gewünscht: Analysetracking mit Gerätezugriff ohne Einwilligung erlaubt, wenn nachgewiesen werden kann, dass es absolut notwendig für den ausdrücklich gewünschten Dienst ist
📊 Einfache Analysen: Gerätezugriff auch ohne Einwilligung erlaubt für einfache, anonyme Analysen
Land Erlaubnis für Analysetracking
Belgien
Dänemark
Deutschland (DSK) 🙏
Finnland 🙏
Frankreich 📊
Griechenland
Großbritannien
Irland
Italien 📊
Lettland
Luxemburg 🙏
Niederlande 📊
Österreich
Portugal
Spanien
Ungarn

Hier die Reglungen im Wortlaut:

  • Die österreichische Behörde erlaubt keine Dienste ohne Einwilligung, die »das Nutzerverhalten von Personen auf der jeweiligen Website oder über mehrere Websites oder Endgeräte aufzeichnen und auswerten«.
  • Die dänische Behörde schreibt, man muss »Nutzer über statistische Cookies informieren und ihre Zustimmung einholen«. (maschinelle Übersetzung)
  • Die britische ICO schreibt eine Einwilligung vor für: »Cookies, die zu Analysezwecken verwendet werden, z. B. um die Anzahl der einzelnen Besuche auf einer Website zu zählen«.
  • Die Behörde von Belgien legt fest, dass eine Einwilligung einzuholen ist für: »Cookies zur Messung der Zuschauerzahlen« – selbst wenn es sich um »First-Party-Cookies« handelt – und für »statistische Cookies«.
  • Die griechische Behörde stellt fest: »Der Einsatz von Trackern Dritter, wie z.B. Google Analytics, zum Zwecke der statistischen Auswertung (Webanalyse), kann nur mit Zustimmung des Website-Nutzers erfolgen.« (maschinelle Übersetzung)
  • Die irische Behörde hat eine FAQ zu Cookies veröffentlicht und schreibt dort: »Do analytics cookies require consent? Yes.« Aber es wäre nicht die irische Behörde, wenn sie nicht noch den Nachsatz schreiben würde, dass First-Party-Analytics nicht der Schwerpunkt ihrer Regulierung werden wird.
  • Die ungarische Behörde erläutert in ihrer Empfehlung für Web-Shops, dass Betreiber, die Cookies nutzen, »die die Aktivitäten der Nutzer verfolgen«, »für jedes Cookie die ausdrückliche und unmissverständliche Zustimmung des Nutzers« einholen müssen (maschinelle Übersetzung).
  • Die Behörde in Lettland unterteilt Cookies in drei Kategorien und legt sowohl für »personalisierte Cookies« als auch für »analytische Cookies« fest, dass eine Einwilligung eingeholt werden muss (maschinelle Übersetzung).
  • Die Behörde in Portugal sah sich wegen Mediennachfragen veranlasst, eine kurze Notiz zu veröffentlichen, in der sie daran erinnert, dass Seitenbetreiber „verpflichtet sind, dafür zu sorgen, dass alle gesetzlichen Anforderungen erfüllt werden, d.h. die Nutzer zu informieren und ihre Zustimmung einzuholen, wenn dies erforderlich ist, wie im Fall von Cookies zu Analysezwecken“.
  • Die spanische Behörde zitiert die Ausnahmebeispiele der Artikel-29-Datenschutzgruppe und stellt ohne große Eigenanstrengung fest, dass alle anderen Arten von Cookies eine Einwilligung benötigen. Ohne Einwilligung erlaubte Cookie seien danach nur: »User access‘ cookies, User identification or authentication […], User security cookies, Media player session cookies, Session cookies for load balancing, Cookies for user interface personalisation, Certain plug-in cookies to exchange contents from social media«.

Zwei weitere Länder mit dem deutschen Modell

Zwei Behörden sind wie Deutschland mittelstreng und erlauben nach dem Wortlaut der ePricacy-Richtlinie ein Analysetracking, wenn die Notwendigkeit für den gewünschten Dienst nachgewiesen werden kann:

  • Die Behörde in Luxemburg ist der Ansicht, dass es für Cookies, »die zur Messung des statistischen Publikums einer Website verwendet werden (‚analytische Cookies’)« notwendig ist, »dass der Betreiber der Website die Zustimmung des Nutzers einholt, bevor er diese Art von Cookies platziert.« Wer nachweisen könne, dass die Analysecookies notwendig sind, dürfe sie im engen Rahmen ohne Einwilligung verwenden.
  • Die finnische Behörde schreibt vor, dass Analysecookies nur dann ohne Einwilligung erlaubt sind, wenn der Seitenbetreiber nachweisen kann, dass sie »absolut notwendig« für den Dienst sind.

Sonderweg »einfache Analyse«: Frankreich, Niederlande und Italien

Nur in drei europäischen Ländern ist man beim Analysetracking großzügiger als in Deutschland. Dort hat man die Idee einer engen Webanalyse-Ausnahme, die in einer zukünftigen Version der ePrivacy-Richtline aufgenommen werden könnte, durch behördliche Duldung oder sogar rechtliche Normen vorgezogen umgesetzt.

Frankreich

Die französische Datenschutzbehörde CNIL duldet, dass Cookies ohne Einwilligung genutzt werden, um »anonyme, statistische Daten« zu erstellen. Damit stellt die Behörde vermutlich auf die Anzeige im Dashboard des Tools ab und nicht auf die Datenverarbeitung in der Datenbank, die pseudonym bleibt. Diese Idee wird uns im vierten Teil dieser Serie noch beschäftigen. In der Liste der Analysedienste, die von der CNIL als grundsätzlich einwilligungsfrei deklarierten sind, tauchen daher nur die üblichen relativ datenschutzfreundlichen Anbieter wie etracker, Piwik und AT Internet auf, aber nicht Google Analytics.

Niederlande

In den Niederlanden wurde hingegen ein Gesetz geschaffen, welches die bisher auf EU-Ebene nur vorgeschlagene Änderung der ePrivacy-Richtlinie vorzieht. In Artikel 11.7a(3) Telecommunicatiewet heißt es (maschinell übersetzt):

Die Bestimmungen von Absatz 1 gelten nicht, wenn die Speicherung oder der Zugriff a. […] b. unbedingt erforderlich ist, um den vom Teilnehmer oder Nutzer gewünschten Dienst der Informationsgesellschaft bereitzustellen oder – sofern dies keine oder nur geringe Auswirkungen auf die Privatsphäre des betreffenden Teilnehmers oder Nutzers hat – um Informationen über die Qualität oder Wirksamkeit eines bereitgestellten Dienstes der Informationsgesellschaft zu erhalten.

Italien

In Italien schließlich hat die zuständige Behörde, kurz »Garante«, mit einer besonderen Interpretation an einer anderen Stelle angesetzt: Sie beruft sich bei ihrer offiziellen Cookie-Leitlinie unter anderem auf die Kollisionshilfe im Artikel 95 der DSGVO. Dieser Artikel erlaubt die Verbindung von Maßnahmen aus DSGVO und ePrivacy-Richtlinie, sodass bei gleichem oder höherem Schutz kein zusätzlicher bürokratischer Aufwand entsteht. In jedem Fall sieht sich die Behörde dadurch weiterhin ermächtigt, die Regulierung der Schreibvorgänge nach ePrivacy-Richtlinie mit den Datenschutzregelungen aus DSGVO Art. 25 (Datenschutz durch Technikgestaltung) zu kombinieren. Dadurch wird die ältere Einstufung von Analysecookies als einwilligungsfreie »technische« Cookies aufrechterhalten, wenn für die Cookies entsprechend strenge Maßnahmen zum Datenschutz ergriffen werden. Doch diese Forderungen an den technischen Schutz haben es in sich:

In other words, in order for analytics cookies to be treated on a par with technical cookies, it is essential to prevent direct identification – i.e., singling out – of the data subject through their use, which is tantamount to preventing the use of analytics cookies that can work as direct, unique identifiers on account of their features.

Die Anonymisierungsvorgaben in Italien

Die Cookies dürfen also keine eindeutigen IDs mehr enthalten, sondern müssen anonymisiert sein. Und das gilt auch für gespeicherte IP-Adressen, bei denen man auch gleich eine empfohlene Randomisierungs-Wahrscheinlichkeit erfährt: Wenn jeder 256te Besucher die gleiche ID bekommt, geht die Behörde von einer Anonymisierung aus.

Gruppenanonymität

Gruppenanonymität : Wenn sich alle Menschen in Deutschland nur diese 250 Gesichter und Bekleidungsoptionen teilen würden, dann wären sie recht gut anonymisiert.
Bildquelle: You said 150, that’s much more than 150 by Michael Cannon auf Flickr CC-BY-SA

Dadurch werde wahrscheinlich, dass ständig mehrere Geräte die gleiche ID haben.

Accordingly, analytics cookies will have to be structured in such a way as to enable the same cookie to relate to several devices, which will create reasonable uncertainty as to the IT identity of the cookie recipient. This is usually achieved by masking out appropriate portions of the IP address in the cookie.

Damit lassen sich gerade noch kurze Klickpfade auf der Seiten zusammenknüpfen, falls man nicht sehr hohe Besucherzahlen hat. Unabhängig davon, dass mir keine Drittanbieter bekannt sind, die diese nachträgliche Aggregierung (Ver-Gruppierung) von IDs in diesem hohen Anonymisierungsgrad vornehmen, lässt sich diese schwache Verbindung zwischen ID und Gerät bereits ohne Cookies, mit dem Browser-String und der gekürzten IP-Adresse realisieren. Beide fallen nicht unter die ePrivavy-Richtlinie. Eine Ausnahme von ihrer Vorgabe lässt die Behörden aber gelten: Die Minimierung gilt nicht für Statistiktools, die auf den eigenen Ressourcen des Anbieters laufen.

Das Problem der anonymen oder einfachen Analyse

Vor allem die weitgehenden Ausnahmen in Frankreich und den Niederlanden haben das Problem, dass sie eigentlich nicht mit dem Wortlaut der ePrivacy-Richtlinie vereinbar sind, weil sie an der bisherigen Ausnahmeprüfung vorbei (unbedingt erforderlich, vom Nutzer gewünscht) eine dritte, generell geltende Ausnahme etablieren, die in der Richtlinie nicht existiert: anonyme, minimalinvasive Webanalyse.Die »Anonymisierung« oder Aggregierung von Daten nach dem Auslesen kommt aber zu spät für die ePrivacy-Richtlinie. Denn der Geräteschutz ist in diesem Moment bereits verletzt. Ein unberechtigter Zugriff kann, anders gesagt, nicht durch Anonymisierung in weiteren Verarbeitungen berechtigt werden.Der Rechtskommentar Taeger/Gabel (DSGVO – BDSG – TTDSG, TTDSG §25, RN 56) schreibt zur Duldung der CNIL:

Auch wenn eine entsprechende Ausnahmeregelung wohl von allen Entwürfen zur ePrivacy-Verordnung umfasst wäre, lässt sich unter der aktuell geltenden ePrivacy-Richtlinie (Richtlinie 2002/58/EG) nur schwer begründen, dass eine Webanalyse – selbst in diesem begrenzten Umfang (»einfach«) – für den Betrieb der Seite zwingend erforderlich ist.

Und auch die italienische Behörde, die neben dem Phantom eines randomisierten Analysecookies nur selbst installierte Tools wie beispielsweise Matomo erlaubt, bricht den Wortlaut der Richtlinie. Dazu passt eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB), der über eine Beschwerde von noyb.eu entschieden hat. Dabei kommt es, unter Berufung auf WP 194 (siehe erster Teil der Artikelserie) auch zu folgender generellen Beurteilung von First-Party-Webanalysen:

Tracking cookies from social plug-ins, third-party advertising and analytics clearly require the data subject’s consent. Even first-party analytics, which ‘are often considered as a »strictly necessary« tool for web service operators, are not strictly necessary to provide a functionality explicitly requested by the user and are consequently, in principle, subject to the requirement of consent.

Die Regelungen Frankreich, Niederlanden und Italien können also wieder zu einer Ablehnung durch den EuGH führen. Das dürfte der Grund sein, warum sich der deutsche Gesetzgeber und die meisten europäischen Länder auch trotz massiver Lobbyarbeit nicht so weit vorgewagt haben.

3. Auslegung von TTDSG §25 durch Kommentare

Gesetzeskommentare

Gesetzeskommentare oder Handkommentare kennen die meisten aus dem Studium: Das sind diese dicken, oft roten Bücher, in die man Jurist’innen oft vertieft sah, während sie die Bibliotheken von so ziemlich allen anderen Studiengängen verstopften. Zwar sind Gesetzeskommentare nicht bindend. Aber sie spielen genauso wie wissenschaftliche Fachaufsätze in der Rechtsprechung eine wichtige Rolle, weil hier eine Bewertung mit verschiedenen Stimmen und verschiedenen Perspektiven vorgenommen wird. Für das Gericht wird so eine Abwägung leichter möglich.

Eine Handvoll Kommentare gibt es zum TTDSG §25. Sie beschäftigen sich mit sehr vielen Details, die für uns hier keine Rolle spielen, etwa die Frage, was als Endgerät gilt und wie man mit wechselnden Nutzern oder Geräten in Unternehmen umgeht. Zum Thema Webanalyse kann man sie wie folgt zusammenfassen:

Simon Assion, Herausgeber von »TTDSG« stellt fest:

Ob solche Performance-Cookies [zur Websiteoptimierung] unter den Ausnahmetatbestand Abs. 2 Nr. 2 fallen, ist umstritten, wird jedoch überwiegend abgelehnt.

Säcker/Körber (Hrsg.) kommentieren in »TKG – TTDSG« überblickend, dass die Aufsichtsbehörden »First-Party-Analysecookies« für nicht unbedingt erforderlich einstufen.

Anne Riechert betont zusammenfassend in Riechert/Wilmer (Hrsg.), »TTDSG«:

Unter Zugrundelegung eines objektiven Maßstabs sind daher Cookies […] zur Reichweitenmessung und Webseitenoptimierung grundsätzlich als nicht technisch erforderlich anzusehen.

Christoph Werkmeister kommentiert in Taeger (Hrsg.), »DSGVO BDSG TTDSG« (bereits oben zitiert):

Auch wenn eine entsprechende Ausnahmeregelung wohl von allen Entwürfen zur ePrivacy-Verordnung umfasst wäre, lässt sich unter der aktuell geltenden ePrivacy-Richtline (Richtlinie 2002/58/EG) nur schwer begründen, dass eine Webanalyse – selbst in diesem begrenzten Umfang (»einfach«) – für den Betrieb der Seite zwingend erforderlich ist.

Mit Schwartmann/Jaspers/Eckhardt und ihrem Heidelberger Kommentar befasse ich mich aus guten Gründen gesondert im nächsten Teil der Artikelserie.

4. Was sagen die Gerichte?

Leider nicht viel – aber diese zwei Fälle zu Analysetracking sind bekannt:

Das LG Dresden hat am 11.01.2019 geurteilt (1a O 1582/18), dass die Übermittlung der IP-Adresse an einen Tracking-Dienst, in diesem Fall Google Analytics, einen rechtswidrigen Eingriff in das Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung darstellt. In dem Fall wurde allerdings nicht der Parameter zur Anonymisierung der Daten in der weiteren Verarbeitung bei Google eingesetzt. Da fast alle Seitenbetreiber in Deutschland diesen Anonymisierungs-Parameter (»aip«) mitsenden, ist das Urteil nicht sehr aussagekräftig.

Das zweite bekannte Urteil ist viel wertvoller: Durch das LG München erging am 29.11.2022 (33 O 14776/19) ein Urteil gegen Burda/Focus. Darin wurde zwar über Google Analytics kein Urteil gefällt, weil weitergehende Behauptungen der Klageseite (dem Verbraucherzentrale Bundesverband) nicht festgestellt werden können. Wohl wurde aber festgestellt, dass Google Analytics auch in einem journalistischen Angebot eine Einwilligung benötigt:

Die Kammer geht (…) beim Einsatz der oben beschriebenen Cookies von einem Verstoß gegen § 25 TTDSG aus, da hierfür eine Speicherung auf dem Endgerät des Nutzers ohne wirksame Einwilligung genügt.

Focus-Urteil

Absurdes Detail: Das Urteil gegen Focus enthielt über 140 Seiten Screenshots vom Cookie-Banner

5. Wie man sich gegen Analysetracking wehrt

Es gibt viele Gründe, warum man nicht möchte, dass man mit Analysetracking durchleuchtet wird. Am Ende der Serie werden wir uns noch mit Argumenten dagegen beschäftigen. Aber was an dieser Stelle bereits klar ist: Sieht man von sehr theoretischen Konstrukten ab, dann muss ein Seiten- oder Appbetreiber fragen, bevor er Tools wie Google Analytics oder AT Internet verwendet. Was aber, wenn das wie so häufig nicht geschieht?  Als Beispiel kann mal wieder der Datenschutz-Dauersünder (1, 2) zeit.de gelten, dort setzt man die Analysedienste von Mapp (Cookie „wt_eid“) und CeleraOne (Cookie „creid“) noch vor der Einwilligungsabfrage. Und begründet dies mit wirtschaftlichen und unternehmerischen Interessen.

Analyseblocker

Ein Trackingblocker ist schnell installiert und oft sehr wirkungsvoll. Die einzige Bedingung für guten Schutz: Er sollte fähig sein, die aufgelösten IP-Adressen zu blocken und nicht nur die Domainadresse des Trackers. Der mitgelieferte Trackingschutz von Firefox kann das nicht: Er filtert beispielsweise AT Internet nur, wenn dieser seine eigene Domain verwendet (xiti.com). Aber nicht, wenn er sich mit dem CNAME-Trick (CNAME-Cloaking) beim Seitenbetreiber versteckt (zum Beispiel unter image.ard.de – mehr dazu im vierten Teil dieser Serie). Das Browser-Addon ublock Origin filtert hingegen auch solche in Subdomains versteckte Tracker ohne Problem heraus.

Beschwerde

tracktor.itWer hier im Kuketz-Blog mitliest, ist in den meisten Fällen kein totaler Laie. Damit auch andere etwas von eurem Technikwissen und euren Bemühungen haben, empfehle ich daher einen anderen Weg als den Trackingblocker: Nämlich direkt per Anschreiben an den Seitenbetreiber und später über die Datenschutzbehörden mit einer Beschwerde gegen die Analysetracker vorzugehen. Dann haben alle mehr davon. Dafür braucht es keine großen Anschreiben. Im Wesentlichen müssen drei Punkte genannt sein: Welcher Tracker, welches Cookie und ein Hinweis, dass ihr nachweisen könnt, selbst betroffen zu sein, z.b. mit Screenshot oder HAR-Datei.

Schnell und einfach erledigt das mein Beschwerdetool tracktor.it: Damit kann man in wenigen Minuten sowohl freundliche Anschreiben als auch ein paar Wochen später Beschwerden für die deutschen Behörden erstellen. Dafür gibt es eine Anleitung, die erklärt, wie man seinen Browser so einrichtet, dass man mit der Netzwerkanalyse Trackingeinbettungen wie Google Analytics aufspüren und belegen kann. In der Trackerdatenbank und später dann im Formular für das Anschreiben kannst du nach gefundenen URLs oder anderen Merkmalen suchen, die zu den Trackern gehören. Das Tool erklärt jeweils, unter welchen Bedingungen (zum Beispiel Lesen und Schreiben eines bestimmten Cookies) eine Einbettung ein Verstoß ist.

Nach einer Beschwerde hängt es ein bisschen von den Bundesländern ab, wie lange es dauert. In weniger als 3-6 Monaten passiert meistens nichts, nach einem Jahr sollte der Tracker aber im Normalfall entfernt sein. Dass diese lange Dauer kein haltbarer Zustand ist, ist vermutlich auch allen klar, aber das soll hier (noch) nicht das Thema sein. Einen Anspruch auf schnelle Erledigung hat man leider nicht.

Mit diesem zweiten Teil endet die Wissenssammlung zum TTDSG §25 im Kuketz-Blog. In den nächsten zwei Teilen werden wir uns zwei recht hartnäckigen Gegner dieser Mehrheitsmeinung zuwenden und ihre Argumente im Detail durchgehen.

Weitere Folgen der Artikelserie:

Bildquellen:

Stop: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Eberl

Matthias Eberl

Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
TTDSG
12. März 2023

Google Analytics beim Bayerischen Rundfunk und die lascheste Datenschutzbehörde Europas – das TTDSG Teil4

Beim Analysetracking hält sich fast kein Öffentlich-Rechtlicher Sender in Deutschland an die Gesetze für den Daten- und Privatsphäreschutz.
TTDSG
21. Februar 2023

Wissen ist Macht: Das große Wissensdossier zu §25 TTDSG – das TTDSG Teil1

In einer vierteiligen Serie zeigen wir alle Hintergründe, die man wissen muss, um gute Argumente gegen Analysetracking von Unternehmen zu haben.
Microblog
14. Januar 2022

TTDSG: Stellungnahme der ARD bezüglich Apps liegt vor

Im Dezember 2021 hatte ich diverse Apps des öffentlichen Rundfunks (ARD, ZDF) auf ihr Datensendeverhalten überprüft: ARD Mediathek (Version 9.3.0):…
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Cookie-Consent-Banner
1. März 2022

Rechtswidrige Einwilligungs-Abfragen erkennen und dagegen vorgehen

Nicht OK: Das sind die häufigsten Tricks bei Einwilligungsabfragen (Consent-Banner) und so kannst du dagegen vorgehen.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

4 Ergänzungen zu “Wer erlaubt Analysetracking in Deutschland und Europa – das TTDSG Teil2”

  1. Comment Avatar Christian F. sagt:
    27. Februar 2023 um 10:18 Uhr

    Die Advertising-ID eines iOS- oder Android-Geräts stellt demnach doch auch auf Endgeräten gespeicherte Informationen dar. Somit sollten diese nur noch per Opt-In erlaubt sein.
    Und schicken viele Browser in der Standardkonfiguration bei der Abfrage bei Google, ob eine aufgerufene Domain gefährlich ist, nicht auch eine eindeutige Browser-ID mit?

    • Comment Avatar Matthias Eberl sagt:
      27. Februar 2023 um 10:25 Uhr

      Ja, Lesen und Schreiben der Advertising-ID benötigt auch eine Einwilligung. Wenn sie für Werbung oder Marketing genutzt wird auch zusätzlich für die DSGVO. Bei dem Sicherheitsdienst von Google sehe ich kein Problem. Das ist ja vermutlich ein gewünschtes und bekanntes Verhalten und Sicherheitsmaßnahmen sind ohnehin eher einwilligungsfrei. Man könnte aber in Frage stellen, ob die ID und ihre Laufzeit so notwendig ist. Das wird aber vor Gericht oder für die Behörde eine schwierige Auseinandersetzung (allein wegen Irland).

      • Comment Avatar Christian F. sagt:
        28. Februar 2023 um 08:28 Uhr

        Da das Auslesen der Advertising-ID durch eine App nur in seltenen Fällen für die Funktion der App notwendig sein sollte, müsste die App beim ersten Start demnach dieses Auslesen a) per Default ausgestellt haben und b) auch ohne diese Berechtigung funktionieren. Oder verstehe ich das falsch, und es gibt keine Pflicht, dass ein solches Angebot (Webseite, App mit Web-Kommunikation) dann auch funktionieren muss?

        • Comment Avatar Matthias Eberl sagt:
          28. Februar 2023 um 10:30 Uhr

          Richtig, so muss es mMn. im Gesetz und in der Auslegung gemeint sein, auch wenn die Praxis anders aussieht. Es gibt ja keinen technischen Grund, warum eine App die Werbe-ID benötigen würde. Auch Sicherheitsfunktionen lassen sich mit verschiedenen selbsterstellten Geräte-IDs durchführen. Obendrein gibt es ja auch Geräte, die keine Werbe-ID haben. Insbesondere wenn bei Ablehnung die App künstlich deaktiviert wird, ist die Einwilligung nicht mehr freiwillig und das untersagen die Behörden ebenfalls (dazu findet sich auch einiges im DSK-Papier). Die Rahmenbedingungen der Einwilligungen sind nach meinem Wissen beim TTDSG einfach genauso wie bei der DSGVO.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.