Erläuterungen zu Webtracking

Webtracking-Dienste werden von Webseitenbetreibern und Werbenetzwerken eingesetzt, um die Besucherbewegungen auf einer Website oder das Surfverhalten von Internetnutzern zu erfassen. Die damit erhobenen Daten ermöglichen es, Rückschlüsse auf die Interessen, Vorlieben oder Gewohnheiten der Userinnen und User zu ziehen. Aus datenschutzrechtlicher Sicht sind viele der bekannten Webtracking-Dienste problematisch.

Die Techniken für das Webtracking sind vielfältig. Die einfachste Form ist das Aufzeichnen und Analysieren von Log-Dateien auf dem Server der aufgerufenen Webseite. Der Server erhält bei jedem Aufruf verschiedene Daten vom Browser, unter anderem den Browsertyp und das Betriebssystem, die Browser-Sprache, die IP-Adresse oder die Adresse (URL) der besuchten Seite. Einen Schritt weiter geht das Tracking mittels Cookies. Cookies sind kleine Dateien, die auf dem Computer des Besuchers gespeichert werden, sobald er eine Internetseite aufruft. Darüber existieren auch komplexere Trackingverfahren bei denen detailliertere Angaben protokolliert und analysiert werden, wie z.B. Mausklicks oder Scrollverhalten. Mit Angaben zum Scrollverhalten könnte man beispielsweise erkennen, ob ein Benutzer eines Blogs einen Artikel tatsächlich liest und wie schnell er das tut. Man könnte auch erkennen, ob die Kommentare zu einem bestimmten Artikel gelesen werden.

Webtracking wird für unterschiedliche Zwecke eingesetzt. Einen typischen Anwendungsbereich stellt die Website-Analyse dar, womit vorwiegend die eigene Website optimiert und effektiver gestaltet werden soll. Weitere Informationen dazu finden sich in folgenden Erläuterungen des EDÖB:
- Analysetools für Webseiten
- Datenschutzfreundliche Analysesoftware für Auswertung von Internetseiten

Nachfolgend soll kurz aufgezeigt werden, wie die Online-Werbebranche diese Technologie nutzt und welche Funktionen hinter dem Einsatz von «Social Plugins» stecken.

Dem Surfverhalten angepasste Werbeansprache

Für die Werbebranche wird Online-Werbung immer wichtiger. Das Internet bietet die Möglichkeit, schnell eine grosse Reichweite zu erlangen und den Erfolg einer Kampagne einfach zu messen. Werbemassnahmen mittels Webtracking erlauben den Werbetreibenden, ihre Zielgruppe exakt anzusprechen. Je besser die Informationen aus dem Tracking, desto gezielter kann dem Nutzer Werbung angezeigt werden.

Dabei gibt es unterschiedliche Verfahren der Werbeansprache: Beim sog. «Behavioral Advertising» etwa wird das Surfverhalten des Internetnutzers beobachtet, um ihm darauf basierende digitale Werbung einzublenden. Wenn ein Nutzer zum Beispiel hinreichend oft in einem bestimmten Zeitraum Inhalte zum Thema Automobil im Web angesurft hat, wird aus diesem Verhalten abgeleitet, dass er sehr an Autothemen interessiert ist und wird mit entsprechenden Online-Inseraten beworben. Beim «predictive Online Behavioral Advertising» wird die digitale Werbung an Zielgruppen ausgeliefert, denen bestimmte Attribute (Soziodemografie, Produkt- und Kaufinteressen etc.) mit Hilfe von statistischen Prognosen basierend auf dem Surfverhalten zugeschrieben werden.

Das Surfverhalten wird vorwiegend mittels Tracking-Cookies aufgezeichnet. Relevant sind v.a. Cookies, die von Servern Dritter gesetzt werden (sog. «Third-Party-Cookies»).Dabei werden auf der aufgerufenen Webseite kleine Bilddateien des Trackingdienstanbieters eingebunden (Werbebanner, Zählpixel oder sog. Beacons), welche die Verbindung zum Drittserver herstellen, ohne dass der Webseitenbesucher dies merkt. Verteilt der Trackingdienstanbieter diese kleinen Bilddateien auf unterschiedlichen Websites, kann der Internetnutzer von verschiedenen Seiten und Diensten immer wieder erkannt werden. So werden gezielt Daten gesammelt, wobei das Surf- und Klickverhalten gespeichert, ausgelesen und schliesslich ausgewertet wird. Besonders heikel stellt sich die Situation dar, wenn sich der Internetnutzer auf Seiten bewegt, auf denen er sich mit seinem Namen einloggen muss - beispielsweise auf sozialen Netzwerken. Dann ist er dem Webtracking-Anbieter namentlich bekannt.

Einbindung von Social Plugins

Durch das Einbinden von Social Plugins können Webseitenbetreiber gewisse Dienste von sozialen Netzwerken auf ihren eigenen Websites nutzen. Mithilfe des Like-Buttons von Facebook beispielsweise können die Seitenbesucher die Website mit einem Mausklick auf ihrem Facebookprofil teilen. Die Webseitenbetreiber erhoffen sich so eine schnelle Weiterverbreitung ihrer Seite. Daneben wird die Einbindung auch dazu genutzt detaillierte Statistikinformationen über ihre Nutzer zu erhalten. Facebook stellt den Dienst «Insights» zur Verfügung, mit dessen Hilfe u.a. Webseitenbetreiber, die Funktionen der Facebook-Plattform in ihrer Webseite per Social Plug-In wie dem Like-Button integriert haben, das Verhalten der Nutzer analysieren können.

Social Plugins werden durch kurze Fragmente in die Webseiten eingebunden. Sie lösen automatisch eine Datenübertragung an den jeweiligen Anbieter aus. Bei Facebook beispielsweise werden bereits beim Seitenaufruf Daten wie die IP-Adresse des Seitenbesuchers und die Adresse der besuchten Seite übermittelt. Und das unabhängig davon, ob der Nutzer auf den «Like Button» geklickt hat, ob er bei Facebook eingeloggt oder überhaupt bei Facebook registriert ist. Ebenso wird, sofern vorhanden, ein bereits zu einem früheren Zeitpunkt angelegtes Cookie mit gesendet.

Ist der Internetnutzer beim Surfen gleichzeitig im sozialen Netzwerk eingeloggt, können die Trackingdaten direkt mit ihm in Verbindung gebracht werden. Klickt er auf den «Like Button», kommt die Information hinzu, dass ihm ein bestimmter Inhalt gefällt. So lassen sich detaillierte Nutzerprofile erstellen, mittels derer insbesondere personalisierte Werbung an die Nutzer und deren Freundeskreis im Netzwerk adressiert werden kann.

Datenschutzrechtliche Beurteilung des Webtrackings

Aus datenschutzrechtlicher Sicht sind viele der bekannten Webtracking-Dienste problematisch. Durch eine Analyse der Internetnutzung werden unter Umständen Persönlichkeitsprofile im Sinne des Datenschutzgesetzes beschafft. Auch wenn lediglich die IP-Adresse eines Nutzers bearbeitet wird, ist dies datenschutzrechtlich relevant, da die IP-Adresse grundsätzlich als Personendatum zu qualifizieren ist.

Obwohl die eigentliche Datenspeicherung und -analyse in den meisten Fällen durch den Webtracking-Anbieter im Hintergrund erfolgt, steht der Website-Betreiber genauso in der Verantwortung. Er bindet dessen Code in seine Website ein und veranlasst hierdurch erst eine dem Seitenbesucher nicht bewusste Weiterleitung, das Setzen von Cookies und eine Datenerhebung des Webtracking-Anbieters.

Die Besucher einer Website müssen transparent über die Beschaffung personenbezogener Daten, über den Zweck der Bearbeitung und die Datenanalyse informiert werden. Ansonsten liegt üblicherweise ein Verstoss gegen die Grundsätze der Erkennbarkeit und der Zweckbindung der Datenbearbeitung vor.

Werden durch das Tracking Personendaten erhoben, muss deren Bearbeitung von der Einwilligung des Internetnutzers gedeckt sein. Bei gewöhnlichen Personendaten - wozu üblicherweise auch die IP-Adresse des Nutzers zählt - kann sich die Einwilligung bereits aus dem Verhalten der betroffenen Person ergeben. Aber auch hier gilt, dass die Zustimmung auf der Grundlage angemessener Information und freiwillig erfolgen muss. Wenn Webtracking-Dienste ohne weiteres bereits beim Aufruf der Webseite Personendaten sammeln, fehlt es zudem häufig an der Freiwilligkeit der Zustimmung. Erhöhte Anforderungen werden an die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen gestellt. Die Informationspflicht ist umfassender und die Zustimmung des Nutzers zum Tracking muss ausdrücklich erfolgen, beispielsweise indem er seine Einwilligung mit einem Mausklick kundtut.

Da für die Websites von Schweizer Dienstleistern im Prinzip keine Landesgrenzen existieren, machen wir auf folgende Überlegungen aufmerksam: Einerseits müssen beim Einsatz von Webtracking-Cookies die Vorschriften der e-Privacy-Richtlinie 2002/58/EG des europäischen Parlaments und des Rates berücksichtigt werden. Für weitere Informationen dazu verweisen wir auf unsere Website. Daneben ist es angesichts der Revision des schweizerischen Datenschutzgesetzes und den Empfehlungen des Europarates in Sachen Profiling von Vorteil, den Umgang mit Personendaten transparenter zu gestalten.

Was der Website-Betreiber zu beachten hat

Wichtig ist als Erstes eine transparente Information des Website-Betreibers über den Einsatz von Webtracking auf seiner Webseite. Diese Information kann beispielsweise in einer Datenschutzerklärung erfolgen. Hier muss der Webseitenbetreiber auch erläutern, wie sich der Internetnutzer gegen das Tracking aussprechen kann.

Eine transparente Datenschutzerklärung allein genügt dann nicht, wenn durch das Tracking besonders schützenswerte Personendaten oder Persönlichkeitsprofile beschafft werden. Hier muss der User beim Besuch der Website vorab ausdrücklich gefragt werden, ob er mit dem Tracking einverstanden ist.

Will der Webseitenbetreiber Social Plugins auf seiner Site einsetzen, bieten sich die sogenannte «Zwei-Klick-Lösung» oder die Weiterentwicklung «Shariff» an: Zunächst werden auf der Website keine Daten durch Plugins an die Netzwerkbetreiber übertragen. Durch einen Klick kann der Nutzer diese aktivieren und die Seite anschliessend «sharen». Damit akzeptiert der User, dass eine direkte Verbindung zwischen dem jeweiligen sozialen Netzwerk und seinem Computer vorgenommen wird (vgl. dazu mehr http://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html und http://www.heise.de/newsticker/meldung/c-t-entwickelt-datenschutzfreundliche-Social-Media-Buttons-weiter-2466687.html).

Was die Internetnutzer gegen das Tracking tun können

Als Erstes empfiehlt es sich, die gespeicherten Cookies und den Browserverlauf nach jeder Sitzung zu löschen bzw. den Browser derart einzustellen, dass die Löschung automatisch nach jedem Schliessen des Programms erfolgt. Der Nutzer hat zudem die Möglichkeit, die Speicherung von Drittanbieter-Cookies in seinem Browser zu sperren. Diese Strategie hilft allerdings nicht gegen sog. Flash-Cookies, die unabhängig vom Browser auf dem Rechner abgespeichert werden. Man sollte sie im Einstellungs-Manager des Flash-Players deaktivieren, der in der Systemsteuerung zu finden ist.

Die Installation von kleinen Software-Paketen («Add ons») im Browser erlauben es dem Nutzer, zu beobachten, welche Tracking-Dienste ihn gerade verfolgen - und je nach Produkt lassen sich diese in den Einstellungen spezifisch sperren.

Viele Browser haben inzwischen eine sogenannte Do-not-Track-Funktion. Diese Option lässt sich im Browser einstellen und signalisiert, dass man nicht verfolgt werden möchte («do not track»). Der Internetnutzer sieht allerdings nicht direkt, ob sich die Gegenseite daran hält. Aus datenschutzrechtlicher Sicht stellt die Nichtbeachtung einer solchen Widerspruchserklärung eine widerrechtliche Persönlichkeitsverletzung dar.

Stand: Dezember 2014

Weiterführende Informationen

Arbeitspapier Webtracking und Privatsphäre (Internationale Arbeitsgruppe für Datenschutz in der Telekommunikation, 16.04.2013)
Hinweise für Internetnutzer zum Schutz vor Tracking (ULD, 10.11.2011)
Shariff: Social-Media-Buttons mit Datenschutz (c't magazin, 27.11.2014)

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/Internet_und_Computer/webtracking/erlaeuterungen-zu-webtracking.html