Tracking: Welche Regelungen wären sinnvoll?
Es geht wieder rund im Datenschutzrecht. Aktuell steht erneut das „Tracking” von Internet-Besuchern auf der Agenda deutscher Datenschützer. Seit der Düsseldorfer Kreis, eine Konferenz der Landesdatenschutzbeauftragten, Ende letzten Jahres beschlossen hat, Google Analytics und andere Tracking-Tools als rechtswidrig einzustufen, wird der Ton rauer und erste rechtliche Konsequenzen drohen.
Aber ist ein Verbot von Tracking-Mechanismen wirklich realistisch? Könnte das deutsche Datenschutzrecht einen Ausweg schaffen?
So funktioniert Tracking
Der Begriff des Trackings ist nicht ganz eindeutig. Wörtlich übersetzt heißt es soviel wie „das Verfolgen”, was technisch gesehen aber nicht ganz genau ist. Meist wird Tracking eher als Oberbegriff für Statistik-Software benutzt, die dazu dient, den Erfolg und die Reichweite einer Webseite zu messen. Viele solcher Programme versuchen, einzelne Benutzer einer Webseite zu „identifizieren”, um festzustellen, wie viele einzelne Personen eine Webseite aufgerufen haben, wer sie bereits früher schon einmal besucht hat und wie oft einzelne Personen eine Webseite regelmäßig aufrufen.
Eine solche „Identifizierung” sollte man allerdings auch nicht wörtlich nehmen. Ziel der Software ist es nicht, herauszufinden, welche natürliche Person eine Webseite aufgerufen hat. Es geht vielmehr darum, einzelne Personen abstrakt zu unterscheiden – nicht aber festzustellen, ob diese Personen nun Herr Müller oder Herr Mayer heißen.
Um diese abstrakte Unterscheidung vorzunehmen, setzt die Tracking-Software einen Cookie beim jeweiligen Internetbenutzer, um ihn später wieder zu erkennen und festzustellen, ob der Besucher bereits zuvor die Webseite aufgerufen hat. Außerdem werden die IP-Adresse, der verwendete Browser und allerhand weitere Meta-Daten des Nutzers übertragen und statistisch ausgewertet.
Datenschutzrechtliche Probleme
Datenschutzrechtlich stellen sich dabei gleich mehrere Probleme. Schon das Setzen der Cookies kann zu Problemen führen. Wird eine Tracking-Software nicht auf dem Server des Webseitenanbieters betrieben, sondern wird externe Software wie Google Analytics oder IVW benutzt, kann die Software webseitenübergreifend messen. Google erfasst kann also nicht nur die Besuche auf einer Webseite, sondern auf allen Webseiten erfassen, die Google Analytics einsetzen. Die Masse der Daten kann zu einem sehr umfassenden Profil eines Internetnutzers führen.
Nachtrag: Ob Google tatsächlich webseitenübergreifend misst, ist mir nicht bekannt. Google selbst gibt an, dies technisch weitgehend auszuschließen. Jedenfalls ist ein webseitenübergreifendes Tracking bei externen Diensten aber möglich.
Das datenschutzrechtliche Hauptproblem ist jedoch die Übertragung der IP-Adresse. Denn mit der IP-Adresse ist ein Internetanschluss eindeutig identifizierbar, theoretisch sogar mit Namen des Inhabers. Die IP-Adresse ist damit das Einfallstor für den „Personenbezug”, an den das gesamte deutsche Datenschutzrecht anknüpft. Wird also die IP-Adresse übertragen und kann mit der IP-Adresse eine natürliche Person identifiziert werden, liegt damit eine Übertragung personenbezogener Daten vor. Und eine solche benötigt eine spezielle Erlaubnis – entweder in Form einer Einwilligung des Nutzers oder in Form einer gesetzlichen Ausnahme. Ist beides nicht vorhanden, ist die Übertragung der Daten rechtswidrig.
Sinnvoller Einsatz von Tracking
Allerdings darf man auch nicht vergessen, dass es für Tracking eine Fülle von sinnvollen Einsatzmöglichkeiten gibt. Kein Online-Shop kommt ohne eine Messung der Reichweite und eine Analyse des Nutzerverhaltens aus: An welcher Stelle brechen Nutzer regelmäßig ihren Einkauf ab? Woran liegt das und kann man den Shop an dieser Stelle verbessern? Welche Produkte werden besonders häufig angesehen aber nicht verkauft? Muss man das Portofolio ausbauen?
Und auch die Werbung – der mit Abstand wichtigste Weg zur Refinanzierung im Internet – kommt ohne eine entsprechende Analyse nicht aus. Reichweite und Zielgruppe einer Internetseite bestimmen den Preis, die Aufzeichnung von Klicks ermöglicht die Messung des Erfolgs einer Werbekampagne.
Aber auch für private Betreiber von Webseiten gibt es durchaus ein berechtigtes Interesse, die Besucherstruktur einer Webseite auszuwerten. Wer etwa ein Weblog betreibt, gibt unter Umständen viele persönliche Fakten aus dem eigenen Leben preis. Da macht es schon einen Unterschied, ob die eigene Webseite täglich von 10 oder von 10.000 Besuchern genutzt wird und wie sich diese Leser statistisch zusammensetzen.
Die IP-Adresse als Wurzel des Übels
Wurzel allen, oder zumindest des größten Übels ist der Personenbezug der IP-Adresse. Ob eine IP-Adresse Personenbezug hat oder nicht, ist auch unter Juristen nach wie vor umstritten. Die wohl herrschende Meinung nimmt einen Personenbezug jedoch an. Die Konsequenz daraus ist bitter: Wo auch immer eine IP-Adresse übertragen wird, muss eine Einwilligung oder gesetzliche Ausnahme her. An die Einwilligung sind im Datenschutzrecht sehr große Anforderungen gestellt und sie muss vor der Übertragung eingeholt werden. In der Praxis ist das kaum umzusetzen. Gesetzliche Ausnahmen sind hingegen spärlich gesät und allesamt nicht auf die Übertragung solcher technischen Nebenprodukte ausgelegt.
Die Konsequenzen eines solchen Personenbezugs sind dagegen gewaltig: Sobald eine Internetseite Inhalte von einem anderen Server aus einbindet, findet eine Übertragung der IP-Adresse statt – das ist systemimmanent. Ob die IP-Adresse auf dem anderen Server gespeichert wird, lässt sich meist gar nicht sagen.
Ein Beispiel: Viele Internetseiten binden ein Logo von Creative Commons ein, um ihre Inhalte als frei zu deklarieren. Oft ist dieses Logo nicht direkt auf der jeweiligen Seite gespeichert, sondern wird von creativecommons.org aus eingebunden. Bei jedem Aufruf der Webseite findet daher eine Übertragung der IP-Adresse an creativecommons.org statt. Ob die IP-Adresse dort gespeichert wird, weiß man nicht und man hat auch keinen Einfluss darauf.
Creative Commons kann auch herausfinden, von welcher Webseite die Grafik eingebunden wurde und könnte – theoretisch – diese Daten aufzeichnen. Datenschutzrechtlich haben wir hier also fast das selbe Problem wie beim Tracking: Mit der IP-Adresse wird ein personenbezogenes Datum übertragen und dazu brauchen wir eine Einwilligung oder eine gesetzliche Erlaubnis. Ob es sich hier wirklich um eine Übertragung der Daten durch den Webseitenbetreiber handelt, ist sicher nicht ganz eindeutig. Dennoch: Der Personenbezug von IP-Adressen macht in der Praxis an allen Ecken und Enden Probleme.
Und in der Praxis kommen solche Konstruktionen sehr oft vor. Kaum eine Webseite kommt heute ohne externe Ressourcen aus. Seien es Youtube-Videos, externe Javascript-Dateien oder Amazon S3, wo statische Inhalte ausgelagert werden: Überall werden IP-Adressen an externe Server übertragen, häufig ohne dass klar ist, ob die Adressen gespeichert werden, oft sogar ohne dass genau bekannt ist, welcher Server von welchem Standort die Daten ausliefert und entsprechend die Daten speichern kann.
Tracking ist also nicht nur ein Problem von Google Analytics. Die datenschutzrechtlichen Grundlagen betreffen viele, viele andere Dienste im Internet genauso.
Ein Kompromiss muss her
Es muss also ein Kompromiss her. Dass sich selbst die Datenschutzbehörden selbst nicht immer an ihre eigenen Regeln halten, ist ein eindeutiges Indiz dafür, wie weltfremd die datenschutzrechtlichen Regelungen eigentlich sind.
Gleichzeitig darf man auch nicht übersehen, dass von Tracking-Technologien tatsächlich eine Gefahr ausgeht. Bei allen berechtigten Interessen am Tracking: Die Masse der gesammelten Daten kann zu erschreckend genauen Nutzerprofilen führen. Ein Freischein für Tracking kann entsprechend auch nicht das Ziel sein.
Dennoch: Die Speicherung oder gar nur Übertragung von IP-Adressen ist nicht das Problem beim Tracking. Eine IP-Adresse ist bei Weitem nicht so gut zur Identifizierung einzelner Nutzer geeignet, wie man denkt. Dynamische IP-Adressen wechseln ungefähr täglich, viele Nutzer gehen über die selbe IP-Adresse ins Netz. Die IP identifiziert lediglich einen Internetanschluss – das ist für Tracking-Technologien nützlich, aber alles andere als entscheidend.
Wenn das deutsche Datenschutzrecht also an die IP-Adresse anknüpft, um mit Tracking-Technologien umzugehen, dann verursacht das nicht nur Probleme bei vielen anderen Anwendungsbereichen im Internet, sondern geht völlig am eigentlichen Problem vorbei: Das Datenschutzrecht regelt einen Nebenkriegsschauplatz, der beim Tracking nicht das Hauptproblem darstellt und verursacht damit unabsehbare Auswirkungen an anderen Stellen.
Alternative: Lex Tracking
Bislang wurden diese juristischen Probleme so gelöst, dass das Gesetz einfach nicht konsequent angewendet wurde. Google Analytics existiert schon seit vielen Jahren, doch erst jetzt konnte sich der Düsseldorfer Kreis zu einer gemeinsamen, offiziellen Position durchringen. Am Bundesdatenschutzgesetz hat sich freilich nichts geändert, auch die Auslegung des Gesetzes was Personenbezug von IP-Adressen und Cookies betrifft, ist nach wie vor die selbe. Einzig die Tatsache, dass Verstöße künftig auch verfolgt werden, ist neu.
Eine Lösung für all diese Probleme wäre eine technische Datenschutzregelung, ein „lex tracking”: Welche Daten darf man im Internet von seinen Nutzern erheben und welche nicht? Welche Sicherheitsvorkehrungen muss man treffen, welche vertraglichen Absprachen sind mit externen Anbietern nötig? Zu welchen Zwecken dürfen IP-Adressen gespeichert werden? Darf man IPs erheben, aber nur in pseudonymisierter Form speichern? Kurz: Was muss ein Webseitenbetreiber speichern dürfen, welche Rechte der Nutzer muss er dabei wahren?
Diese Entscheidungen über Abstufungen unseres sehr strengen Datenschutzrechtes muss der Gesetzgeber treffen und damit Klarheit schaffen – für die Nutzer genauso wie für die Anbieter. Ein striktes Verbot von Tracking-Tools wie Google Analytics ist jedenfalls weltfremd und dauerhaft nicht durchsetzbar.
Spiegel online zu den aktuellen Diskussionen um Tracking-Software.
Telemedicus zu den Gefahren beim Tracking.
