Cross Device Tracking: Nutzerverfolgung vs. Datenschutz

smartphone 18
Fachbeitrag

Nutzer von Webinhalten verwenden regelmäßig verschiedene Geräte. Um Kunden möglichst individuell bewerben zu können, versuchen Unternehmen verstärkt, deren Verhalten über Gerätegrenzen hinweg zu erfassen und auszuwerten. Mit Cross Device Tracking soll der Nutzer stets individualisiert werden, wenn er auf unterschiedlichen Wegen das Internet nutzt.

Was ist Cross Device Tracking?

In der Vergangenheit wurden Webinhalte nahezu ausschließlich über den PC abgerufen, sodass das Nutzerverhalten z.B. über Browser-Cookies relativ einfach nachverfolgt werden konnte. In der Ära von Smartphones, Tablets oder internetfähiger TV-Geräte ist ein Wiedererkennen des einzelnen Nutzers auf diese Weise jedoch praktisch ausgeschlossen.

Cross Device Tracking soll eine eindeutige Identifizierung des Nutzers ermöglichen, auch wenn er Inhalte über verschiedene Geräte abruft. Ziel des Ganzen ist selbstverständlich, den Nutzer jederzeit und möglichst genau seinen Interessen entsprechend zu bewerben.

Methoden des Cross Device Trackings

Dazu kommen verschiedene Methoden des Cross Device Trackings zum Einsatz:

  • Deterministic Linking
    Das sog. deterministic Linking wird dann verwendet, wenn Nutzer sich z.B. über einen Login identifizieren lassen. Da sich etwas ein Nutzer von Facebook bei sämtlichen Diensten und geräteübergreifend mit demselben Account anmeldet, können alle Informationen über sein Verhalten (z.B. Klicks, Likes, Cookie-Daten, Informationen von Facebooks Kooperationspartnern) erfasst und ausgewertet werden.
  • Probabilistic Linking
    Die zweite Methode ist das probabilistic Linking. Dabei verwenden spezialisierte Anbieter (z.B. BlueKai) verschiedene Technologien und Algorithmen, um Verbindungen zwischen verschiedenen Geräten herzustellen. Da die eindeutige Nutzerzuordnung über einen Account hier fehlt, werden hier sehr viele Informationen gespeichert. Dabei handelt es sich z.B. um die IP-Adresse, Gerätetyp, Device-ID, Standortdaten, Uhrzeit, Nutzungsmuster oder installierte Browser-Schriftarten. Auch allein durch diese Informationen lässt sich der individuelle Nutzer hinter den Geräten eindeutig bestimmen und es kann ein entsprechendes Nutzerprofil erstellt werden.
  • Ultraschall-Tracking
    Eine noch relativ junge Methode ist das Tracking mittels Ultraschall. Dabei sendet der Fernseher während Werbespots ein für den Menschen nicht wahrnehmbares Tonsignal im Ultraschallbereich. Dieses auch audio beacon genannte Signal kann durch das in der Nähe liegende Smartphone oder Tablet registriert werden, falls darauf bestimmte Apps installiert sind. Diese können das Signal zuordnen in so eine Verbindung zum Nutzer herstellen.

Datenschutz und Cross Device Tracking

Ob diese Tracking Methoden datenschutzrechtlich zulässig sind, hängt davon ab, ob es sich bei den erhobenen Informationen um personenbezogene Daten handelt und, falls ja, ob ein gesetzlicher Erlaubnistatbestand erfüllt ist oder eine Einwilligung des Nutzers eingeholt wird.

Personenbezug der Informationen

Während die IP-Adresse nach herrschender Ansicht ein personenbezogenes Datum darstellt, ist die Einordnung der weiteren gerätspezifischen Informationen nicht unumstritten. Wird jedoch durch die Fülle der erhobenen Informationen der Datenbestand einzigartig und ein Nutzer eindeutig von anderen zu unterscheiden, liegt auch hier ein Personenbezug vor, auch wenn z.B. der Name des Nutzers nicht bekannt ist.

Rechtmäßigkeit von Cross Device Tracking

Da beim Cross Device Tracking – auch wenn die Profilbildung unter einem Pseudonym erfolgt – personenbezogene Daten erhoben und verarbeitet werden, ist eine Rechtsgrundlage erforderlich. Diese variiert je nach Art der verarbeiteten Daten.

Nutzungsdaten

Wenn ausschließlich Nutzungsdaten verarbeitet und unter einem Pseudonym zusammengefasst werden, richtet sich die Zulässigkeit nach § 15 Abs. 3 TMG.

Danach dürfen pseudonymisierte Nutzungsprofile zu Werbezwecken erstellt werden, wenn der Nutzer nicht widerspricht. Keinesfalls dürfen diese Profile mit personenbezogenen Daten über den Träger des Profils zusammengeführt werden. Die Widerspruchsmöglichkeit kann mittels einer gut zugänglichen Opt-Out-Funktion umgesetzt werden.

Bestandsdaten

Werden neben reinen Nutzungsdaten auch Bestandsdaten oder sonstige personenbezogene Daten verwendet, kann diese Verarbeitung nicht mehr auf § 15 Abs. 3 TMG gestützt werden. Die Profilerstellung ist dann nur mit einer Einwilligung des Nutzers zulässig.

Bestandsdaten dürften in der Regel bei der Methode des deterministic linking anfallen, da der Nutzer ja über seinen Account registriert ist. Auch soweit vollständige IP-Adressen erhoben und verarbeitet werden, kann dies nur mit einer Einwilligung gerechtfertigt werden.

Informationspflichten

In jedem Fall muss der Nutzer zu Beginn des Nutzungsvorganges über das Tracking und damit über Art, Umfang und Zweck der Datenerhebung und -verwendung informiert und über sein Widerspruchrecht aufgeklärt werden. Dies kann durch eine verständliche und transparente Form in der Datenschutzerklärung erfolgen.

Fazit

Es besteht also grundsätzlich Möglichkeit eines zulässigen Einsatzes solcher Technologien, wenn die entsprechenden datenschutzrechtlichen Voraussetzungen berücksichtigt werden.

Eine konkrete Beurteilung ist sicherlich nur im Einzelfall vornehmbar, da sich die Verfahren bzgl. der konkreten Art der erhobenen Infomationen z.T. stark unterscheiden und ggf. weitere Voraussetzungen zu berücksichtigen sind. Dies ist etwa bei der Nutzung von Tracking-Dienstleistern der Fall. Hier sind zusätzlich Verträge zur Auftragsdatenverarbeitung abzuschließen und bei Dienstleistern Dittstaaten die Anforderungen an den internationalen Datentransfer zu berücksichtigen.

Gerade die Informationspflichten sollten allerdings in jedem Fall sehr gewissenhaft umgesetzt werden, da die Datenverarbeitung bei Cross Device Tracking oft versteckt und für den Nutzer nicht erkennbar erfolgt. Hier haben viele Unternehmen großen Nachholbedarf. Insbesondere das Tracking via Ultraschall kann nicht nachvollzogen werden und steht daher zurecht in der Kritik.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonformer Einsatz von Webanalyse-Tools, wie z.B. Google Analytics und Piwik
  • Prüfung und Gestaltung der Datenschutzerklärung auf Ihrer Website
  • Erstellung und Anpassung erforderlicher datenschutzrechtlicher Vereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Webanalyse und Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.