Analyse-Cookies sind verboten, wir brauchen etwas Neues!

Teil 1 – Ist Online-Tracking DSGVO-konform ohne Einwilligung möglich?

Patrick Vieregge
Revisionspraxis PRev 03-2021 | S. 182-183

PDF herunterladen [*]

Cookies sollten das Internet nutzerfreundlicher machen, indem Sie das Surfverhalten erfassen und Webseiten sowie Suchfunktionen darauf abstimmen. Allerdings geht es den meisten Unternehmen nicht nur um die reine Optimierung der Funktionsweise ihrer Website, denn diese ist ohne eine datenschutzrechtliche Einwilligung machbar, sondern auch um die Analyse des Nutzerverhaltens. Dass Letzteres nicht stillschweigend mit den geltenden Datenschutzbestimmungen einhergeht, hat das Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II des BGH1 noch einmal bestätigt. Demnach sind ein Tracking und der Einsatz von Third Party-Cookies im Internet ohne eine aktive Einwilligung nicht mehr möglich.

Das wäre also endlich das von vielen Nutzern herbeigesehnte Ende der nervigen und unerwünschten Werbung im Internet, oder etwa doch nicht? Es heißt ja immer, dass Werber kreativ sind und wer besonders kreativ ist, arbeitet bei einem global tätigen Werbeunternehmen. Einige Werbeunternehmen bedienen sich des altbekannten Fingerprintings in neuen Abwandlungen. Google geht sogar noch einen Schritt weiter und versucht sich derzeit an seiner neuen Personalisierungstechnik FloC.

Aber was genau passiert dabei eigentlich, und wie verspricht man sich hierbei Datenschutzkonformität?

Beim Fingerprinting (Browser Fingerprinting oder Device Fingerprinting) wird, wie der Name schon vermuten lässt, ein individueller Abdruck der Nutzereinstellung und seinem Browsingverhalten erstellt. Dabei werden auf dem Endgerät gespeicherte Informationen ausgelesen. Dies können Schriftarten, Auflösung, Plugins, Browsertyp, Zeitzone, Hersteller und Typbezeichnung des Gerätes selbst und auch die IP-Adresse sein. Diese Daten werden auf dem Server des jeweiligen Webseitenbetreibers gespeichert und beim nächsten Aufruf der Seite mit den vorher gespeicherten Daten abgeglichen.

Um bei diesem Vorgehen datenschutzkonform zu handeln, sollen die Daten um die personenbezogenen Parameter gekürzt werden. Dabei soll dann unter anderem auf die IP-Adresse und alle Daten, die einen direkten Personenbezug zulassen, verzichtet werden. Dies soll am Ende einen Datenpool hervorbringen, der nicht auf eine natürliche Person zurückschließen lässt. Gleicht man allerdings die übrigen gesammelten Daten ab, kann mit einer hohen Wahrscheinlichkeit ein Profil von einem definierten Endgerät erstellt werden. Wenn man dieses Gerät jetzt noch mit einer eigenen ID versieht, kennt man zwar nicht den Namen des Nutzers oder wo genau sich dieser aufhält, aber man weiß, was der Nutzer des definierten Endgerätes bevorzugt. Darauf aufbauend kann ein Profil zu Werbezwecken erstellt werden, ohne eine Einwilligung zu benötigen, wie es bei Cookies der Fall ist. Ein Zustand, der sehr kritisch zu betrachten ist.

Google geht, als global tätiges Werbeunternehmen, einen Schritt weiter und ist derzeit dabei, zielgerichtete Werbung noch datenschutz-„freundlicher“ zu machen2. Eine sog. „Privacy Sandbox“ soll neben den Third Party-Cookies auch das Fingerprinting unterbinden. Hierzu wird die hauseigene Personalisierungstechnik FLoC API eingesetzt. FLoC (Kurzform für Federated Learning of Cohorts) soll das Surfverhalten des Nutzers auf dem lokalen System nachverfolgen und anhand der daraus abgeleiteten Interessen den Nutzer in eine Kohorte (Nutzergruppe) eingliedern. Hierbei wird nur der Kohorte eine ID gegeben und nicht einem einzelnen Gerät. Diese Kohorten sollen dann mit Werbetreibenden geteilt werden, um zielgruppengerichtete Werbung für die Nutzergruppe zu ermöglichen. Google bewirbt mit einem Whitepaper3, dass Rückschlüsse auf den jeweiligen Nutzer durch die Vielzahl an Nutzern in einer Kohorte erschwert werden („hide in the crowd“). Je mehr, desto sicherer – je weniger, desto genauer? Auch hierbei stehen am Ende wieder Fragen zur Datenschutzkonformität im Raum. Derzeit ist FLoC zwar noch nicht in Europa verfügbar, wird anscheinend aber in naher Zukunft über Googles Browser Chrome seinen Weg zu uns finden.

Am Ende zeigt sich hierbei wieder einmal, dass Datenschutz ein lebendes Konstrukt ist, das sich stetig in Bewegung befindet. Wann immer ein Gesetz oder ein Urteil es dem Datensammler schwieriger machen möchte, mutiert dieser zu einem mehr oder wenig kreativen Jäger auf der Suche nach neuen (derzeit noch erlaubten) Jagdgründen in den Weiten des World Wide Web.

Weiter geht’s…

Patrick Vieregge hat einen zweiten Teil zu diesem Thema verfasst.

Hinweis

Patrick Vieregge
Revisionspraxis PRev 03-2021 | S. 182-183

PDF herunterladen [*]

Neueste Beiträge

  • Wenn personenbezogenen Daten in ein Drittland übermittelt bzw. dort verarbeitet werden, müssen Verantwortliche bzw. Auftragsverarbeiter prüfen, ob die allgemeinen Voraussetzungen der DSGVO für eine Datenübermittlung erfüllt sind. Seitdem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission (2016/1250) zur Übermittlung personenbezogener Daten in die USA (sog. „Privacy Shield“) für unwirksam erklärt hat, herrscht viel Unsicherheit in Bezug auf die notwendigen Schritte und Maßnahmen, die ab diesem Zeitpunkt zu treffen waren, um weiterhin eine datenschutzkonforme Übermittlung oder Verarbeitung personenbezogener Daten in die USA zu ermöglichen.

  • Bilderkennungstechnologien haben in den letzten Jahren enorme Fortschritte gemacht. Durch den Einsatz von künstlicher Intelligenz („KI“) und maschinellem Lernen sind Systeme entstanden, die in der Lage sind, Personen, Objekte und sogar Emotionen auf Fotos oder in Echtzeit-Videos zu erkennen. Während diese Technologien viele positive Anwendungen finden, wie zum Beispiel in der Medizin oder im Verkehrswesen, gibt es auch ernsthafte Bedenken hinsichtlich des Datenschutzes und der Privatsphäre von Personen, welche durch solche Systeme identifiziert werden können. In diesem Beitrag wird erläutert, wie Bilderkennungstechnologien genutzt werden können, um Personen zu identifizieren, und welche Datenschutzprobleme damit verbunden sind.

  • Vertrauen braucht Konsistenz. Es wird durch viele Handlungen im Laufe der Zeit aufgebaut und bewahrt. Es erfordert ein echtes Interesse und sichtbare Beispiele.

  • Die Datenschutz-Grundverordnung (DSGVO) setzte einen neuen Standard für den Datenschutz, da sie einen umfassenden Regelungsrahmen für die Verarbeitung personenbezogener Daten geschaffen hat. In den vergangenen Jahren hat die DSGVO sowohl in Europa als auch außerhalb seiner Grenzen spürbare Auswirkungen gehabt.

Schlagwörter