Analyse-Cookies sind verboten, wir brauchen etwas Neues!

Teil 1 – Ist Online-Tracking DSGVO-konform ohne Einwilligung möglich?

Patrick Vieregge
Revisionspraxis PRev 03-2021 | S. 182-183

PDF herunterladen [*]

Cookies sollten das Internet nutzerfreundlicher machen, indem Sie das Surfverhalten erfassen und Webseiten sowie Suchfunktionen darauf abstimmen. Allerdings geht es den meisten Unternehmen nicht nur um die reine Optimierung der Funktionsweise ihrer Website, denn diese ist ohne eine datenschutzrechtliche Einwilligung machbar, sondern auch um die Analyse des Nutzerverhaltens. Dass Letzteres nicht stillschweigend mit den geltenden Datenschutzbestimmungen einhergeht, hat das Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II des BGH1 noch einmal bestätigt. Demnach sind ein Tracking und der Einsatz von Third Party-Cookies im Internet ohne eine aktive Einwilligung nicht mehr möglich.

Das wäre also endlich das von vielen Nutzern herbeigesehnte Ende der nervigen und unerwünschten Werbung im Internet, oder etwa doch nicht? Es heißt ja immer, dass Werber kreativ sind und wer besonders kreativ ist, arbeitet bei einem global tätigen Werbeunternehmen. Einige Werbeunternehmen bedienen sich des altbekannten Fingerprintings in neuen Abwandlungen. Google geht sogar noch einen Schritt weiter und versucht sich derzeit an seiner neuen Personalisierungstechnik FloC.

Aber was genau passiert dabei eigentlich, und wie verspricht man sich hierbei Datenschutzkonformität?

Beim Fingerprinting (Browser Fingerprinting oder Device Fingerprinting) wird, wie der Name schon vermuten lässt, ein individueller Abdruck der Nutzereinstellung und seinem Browsingverhalten erstellt. Dabei werden auf dem Endgerät gespeicherte Informationen ausgelesen. Dies können Schriftarten, Auflösung, Plugins, Browsertyp, Zeitzone, Hersteller und Typbezeichnung des Gerätes selbst und auch die IP-Adresse sein. Diese Daten werden auf dem Server des jeweiligen Webseitenbetreibers gespeichert und beim nächsten Aufruf der Seite mit den vorher gespeicherten Daten abgeglichen.

Um bei diesem Vorgehen datenschutzkonform zu handeln, sollen die Daten um die personenbezogenen Parameter gekürzt werden. Dabei soll dann unter anderem auf die IP-Adresse und alle Daten, die einen direkten Personenbezug zulassen, verzichtet werden. Dies soll am Ende einen Datenpool hervorbringen, der nicht auf eine natürliche Person zurückschließen lässt. Gleicht man allerdings die übrigen gesammelten Daten ab, kann mit einer hohen Wahrscheinlichkeit ein Profil von einem definierten Endgerät erstellt werden. Wenn man dieses Gerät jetzt noch mit einer eigenen ID versieht, kennt man zwar nicht den Namen des Nutzers oder wo genau sich dieser aufhält, aber man weiß, was der Nutzer des definierten Endgerätes bevorzugt. Darauf aufbauend kann ein Profil zu Werbezwecken erstellt werden, ohne eine Einwilligung zu benötigen, wie es bei Cookies der Fall ist. Ein Zustand, der sehr kritisch zu betrachten ist.

Google geht, als global tätiges Werbeunternehmen, einen Schritt weiter und ist derzeit dabei, zielgerichtete Werbung noch datenschutz-„freundlicher“ zu machen2. Eine sog. „Privacy Sandbox“ soll neben den Third Party-Cookies auch das Fingerprinting unterbinden. Hierzu wird die hauseigene Personalisierungstechnik FLoC API eingesetzt. FLoC (Kurzform für Federated Learning of Cohorts) soll das Surfverhalten des Nutzers auf dem lokalen System nachverfolgen und anhand der daraus abgeleiteten Interessen den Nutzer in eine Kohorte (Nutzergruppe) eingliedern. Hierbei wird nur der Kohorte eine ID gegeben und nicht einem einzelnen Gerät. Diese Kohorten sollen dann mit Werbetreibenden geteilt werden, um zielgruppengerichtete Werbung für die Nutzergruppe zu ermöglichen. Google bewirbt mit einem Whitepaper3, dass Rückschlüsse auf den jeweiligen Nutzer durch die Vielzahl an Nutzern in einer Kohorte erschwert werden („hide in the crowd“). Je mehr, desto sicherer – je weniger, desto genauer? Auch hierbei stehen am Ende wieder Fragen zur Datenschutzkonformität im Raum. Derzeit ist FLoC zwar noch nicht in Europa verfügbar, wird anscheinend aber in naher Zukunft über Googles Browser Chrome seinen Weg zu uns finden.

Am Ende zeigt sich hierbei wieder einmal, dass Datenschutz ein lebendes Konstrukt ist, das sich stetig in Bewegung befindet. Wann immer ein Gesetz oder ein Urteil es dem Datensammler schwieriger machen möchte, mutiert dieser zu einem mehr oder wenig kreativen Jäger auf der Suche nach neuen (derzeit noch erlaubten) Jagdgründen in den Weiten des World Wide Web.

Weiter geht’s…

Patrick Vieregge hat einen zweiten Teil zu diesem Thema verfasst.

Hinweis

Patrick Vieregge
Revisionspraxis PRev 03-2021 | S. 182-183

PDF herunterladen [*]

Neueste Beiträge

  • Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.

  • In den letzten Jahren hat sich Künstliche Intelligenz (KI) immer weiterverbreitet und wird zunehmend in verschiedenen Branchen und Anwendungen eingesetzt. Einer der neuesten KI-Anwendungen ist die KI-Chat-Technologie GPT („ChatGPT“) von der Firma OpenAI OpCo, LLC („Open AI“). ChatGPT ermöglicht es dem Nutzer, Fragen oder Aufgaben zu stellen, welche anschließend von der künstlichen Intelligenz beantwortet oder erledigt werden. Das kann etwa das Schreiben eines Artikels beinhalten, aber auch kreativere textbasierte Ideen, wie das Brainstormen von Firmennamen umfassen. Nicht nur für Privatpersonen, sondern auch für Unternehmen kann diese Technologie dementsprechend von Vorteil sein. So kann beispielsweise auch die Kommunikation mit Kunden verbessert und durch eine Automatisierung eine personalisierte und effektive Kundenbetreuung geboten werden

  • Künstliche Intelligenz – Nicht umsonst findet dieser Begriff immer öfter seinen Raum sowohl in privaten als auch in öffentlichen Diskussionen.
    Doch was genau verbirgt sich hinter künstlicher Intelligenz eigentlich? Ist schon das Navi im Auto künstlich intelligent oder fängt eine solche Intelligenz doch erst bei neuen Entwicklungen, wie etwa bei ChatGPT oder ausgeklügelten Algorithmen an? Ist die künstliche Intelligenz eine Bedrohung oder eher eine Chance, die Zukunft besser zu gestalten?

  • Daten sind in der heutigen Zeit mit das wichtigste Gut – nicht nur für Tech-Giganten, sondern auch für den Großteil von kleineren Unternehmen spielen sie eine immer wichtigere Rolle. Nicht umsonst entflammen also immer wieder Diskussionen rund um das Thema personenbezogene Daten und deren Schutz: denn schließlich werden Tag ein, Tag aus Daten gesammelt, verkauft und missbraucht. Unternehmen tragen heutzutage folglich eine weitere Verantwortung; die des Schutzes der verarbeiteten Daten. Dafür muss eine Auseinandersetzung damit stattfinden, wie die Sicherheit dieser Daten gewährleistet werden kann. Einer der wichtigsten Schritte dafür, ist das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (nachfolgend „VVT“).

Schlagwörter