Viele Nutzer verwenden das Internet heutzutage über verschiedene Geräte. Um Kunden möglichst individuell bewerben zu können, versuchen Unternehmen verstärkt, deren Verhalten über Gerätegrenzen hinweg zu erfassen und auszuwerten. Mit Cross Device Tracking soll der Nutzer stets individualisiert werden, wenn er auf unterschiedlichen Wegen das Internet nutzt. Der Datenschutz setzt dabei Grenzen.
Der Inhalt im Überblick
Was ist Cross Device Tracking?
Tracking wird heutzutage von nahezu jedem Unternehmen genutzt, um durch die Auswertung von Nutzerverhalten die Bedürfnisse und Vorlieben der Kunden für den eigenen Unternehmenserfolg zu nutzen.
In der Vergangenheit wurden Webinhalte nahezu ausschließlich über den PC abgerufen, sodass das Nutzerverhalten z.B. über Browser-Cookies relativ einfach nachverfolgt werden konnte. In der Ära von Smartphones, Tablets oder internetfähiger TV-Geräte ist ein Wiedererkennen des einzelnen Nutzers auf diese Weise jedoch praktisch ausgeschlossen.
Cross Device Tracking soll eine eindeutige Identifizierung des Nutzers ermöglichen, auch wenn er Inhalte über verschiedene Geräte abruft.
Alles nur zu Werbezwecken?
Nein! Das Cross Device Tracking wird oft auch für Sicherheitszwecke genutzt. Das Verfolgen der spezifischen Geräte kann dazu genutzt werden, um für die Anmeldung mit einem neuen Gerät eine weitere Authentifizierung über ein bereits bekanntes Gerät zu erfragen. So soll verhindert werden, dass sich fremde, unberechtigte Nutzer mit betrügerischen Absichten auf dem Konto anmelden können.
Insbesondere das Deterministic Linking kommt auch für das Angebot des sog. „continuity of service“ zum Einsatz. Das Tracking kommt dem Nutzer hier beispielsweise dann zugute, wenn er seine Lieblingsserie abends zunächst vom Sofa auf dem Smart-TV anschaut und dann ins Bett geht und sich freut, die Serie genau an der Stelle, an der er sie pausiert hat, auf dem Tablet weiterschauen zu können.
Wie können Nutzer über Geräte hinweg nachverfolgt werden?
Es kommen verschiedene Methoden des geräteübergreifenden Trackings zum Einsatz:
Deterministic Linking
Bei dem sog. Deterministic Linking wird der Nutzer anhand einer individuellen ID über mehrere Geräte hinweg verfolgt. Diese ID kann unter anderem eine E-Mail-Adresse, eine Telefonnummer oder auch eine Login-ID sein. Wenn sich ein Nutzer also z.B. sowohl über sein Smartphone, sein Tablet als auch mit dem Arbeitslaptop auf seinem Google- oder auch LinkedIn-Account anmeldet, können geräteübergreifend alle Informationen über sein Verhalten (z.B. Klicks, Likes, Cookie-Daten, Informationen von Kooperationspartnern der Plattform) erfasst und ausgewertet werden.
Durch die Einbettung von z.B. Social-Share-Buttons auf Webseiten kann ein Cookie so platziert werden, dass der Nutzer die Share Funktion gar nicht nutzen muss, sondern allein der Besuch auf der Webseite, auf der ein solcher Button eingebunden ist, ausreicht, dass der Anbieter des Buttons erfährt, dass der Nutzer diese Webseite besucht hat, sofern er in seinem Account angemeldet ist.
Probabilistic Linking
Im Rahmen des Probabilistic Linking werden Algorithmen verwendet, um Verbindungen zwischen verschiedenen Geräten herzustellen. Bei dieser Methode fehlt eine eindeutige Nutzerzuordnung über einen Account. Es wird allein durch die Analyse von Mustern in den Daten eine Auswertung vorgenommen, welche Geräte wahrscheinlich demselben Benutzer zuzuordnen sind. Durch Cookies, Hardware-Kennung oder Device Fingerprinting werden Daten wie z.B. IP-Adressen, Gerätetyp, Device-ID, Standortdaten, Uhrzeit, Nutzungsmuster oder Browserdaten von verschiedenen Geräten ausgewertet und zusammengeführt. So kann der individuelle Nutzer hinter den Geräten sehr eindeutig bestimmt werden und anhand der zusammengefassten Informationen dann ein entsprechendes Nutzerprofil erstellt werden. Auch wenn diese Methode auf statistischen Modellen beruht, kann je nach Datenmenge eine Trefferquote mit einer Genauigkeit von weit über 90 % erzielt werden.
Ultraschall-Tracking
Eine weitere Methode ist das Tracking mittels Ultraschall (uXDT). Dabei werden Ultraschall-Beacons, also für den Menschen nicht wahrnehmbare Tonsignale im Ultraschallbereich genutzt. Diese Signale können dann durch in der Nähe liegende Smartphones oder Tablets registriert werden, falls darauf Apps installiert sind, die diese Tracking Variante nutzen und der Zugriff auf das Mikrofon des Geräts erlaubt wird. Diese Apps können das Signal zuordnen und so eine Verbindung zum Nutzer herstellen. Da sie für den Nutzer völlig unerkannt ablaufen können, sehen Datenschützer die Anwendung dieser Technologie insbesondere als bedenklich an. Das Unternehmen SilverPush, hatte zum Beispiel sein darauf ausgelegtes Unternehmenskonzept nach massiver Kritik umgestellt.
Die Analyse von Nutzerdaten bietet Unternehmen die Möglichkeit ihren Unternehmenserfolg maßgeblich zu beeinflussen. Daher nutzen fast alle Anbieter, die online vertreten sind, irgendeine Form von Trackingmethoden wie die oben beschriebenen oder auch Mischformen davon.
Was sagt der Datenschutz zum Cross Device Tracking?
Ob diese Tracking Methoden datenschutzrechtlich zulässig sind, hängt davon ab, ob es sich bei den erhobenen Informationen um personenbezogene Daten handelt und, falls ja, ob eine Rechtsgrundlage gegeben ist.
Rechtmäßigkeit von Cross Device Tracking
Die Verarbeitung personenbezogener Daten ist möglich, wenn der Nutzer eine ausdrückliche Einwilligung erteilt hat oder die Verarbeitung für die Erbringung einer gewünschten Leistung erforderlich ist.
Cross Device Tracking zur Profilbildung
Wenn das Cross Device Tracking zur Erstellung von Nutzerprofilen für personalisierte Werbung genutzt werden soll, wird dafür das Verhalten der Betroffenen meist im erheblichen Umfang aufgezeichnet. Dies bedarf nach der DSGVO in jedem Fall der ausdrücklichen, informierten und freiwilligen Einwilligung Nutzers.
Beim Deterministic Linking ist die Verarbeitung personenbezogener Daten auch direkt erkennbar, da hier von dem Nutzer eindeutig zurechenbare Informationen wie die E-Mail-Adresse oder eine Login-ID genutzt werden.
Es liegt aber auch dann ein Personenbezug vor, wenn z.B. der Name des Nutzers nicht bekannt ist, aber der Nutzer als ein Individuum erkennbar ist. Das ist der Fall, wenn durch die Fülle der erhobenen Informationen der Datenbestand einzigartig und ein Nutzer eindeutig von anderen zu unterscheiden ist.
Das bedeutet, dass auch bei den anderen Tracking Methoden, die zur Profilerstellung von Werbezwecken genutzt werden, eine Einwilligung stets erforderlich ist.
Aber: Nicht jedes Cross Device Tracking bedarf einer Einwilligung
Grundsätzlich ist im Rahmen der DSGVO ist keine Einwilligung nötig, wenn keine einwilligungsbedürftige Verarbeitung vorgenommen wird. Für das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) gilt, dass eine Einwilligung nicht nötig ist, wenn entweder keine Informationen auf den Endgeräten des Nutzers abgelegt oder von dort ausgelesen werden, die nicht unbedingt erforderlich sind, damit dem Nutzer ausdrücklich gewünschte Dienste zur Verfügung gestellt werden können.
Dies ist im Einzelfall zu prüfen, wenn das Cross Device Tracking gerade nicht zur Profilerstellung von Werbezwecken genutzt wird. Für eine genauere Abgrenzung der Vorgaben von TTDSG und DSGVO eignet sich dieser Artikel.
Kein Tracking, ohne Erfüllung der Informationspflichten
In jedem Fall muss der Nutzer zu Beginn des Nutzungsvorganges über das Cross Device Tracking und damit über Art, Umfang und Zweck der Datenerhebung und -verwendung informiert werden. Die Hürden dies in einem ausreichenden Umfang zu darzustellen steigen, je komplexer und schwerer nachvollziehbarer der technische Vorgang für den Nutzer ist.
Weiterhin ist wichtig, dass wie in den meisten Fällen notwendig, die Einwilligung des Nutzers im sog. Opt-in Verfahren eingeholt wird.
Aufsichtsbehörden: noyb Verfahren wegen Cross Device Tracking
An anderer Stelle haben wir bereits darüber berichtet, dass Apple und Android ihre Smartphones mit vorinstallierten individualisierte Werbe-IDs versehen. Diese ermöglichen es, einen Nutzer anwendungsübergreifend zu identifizieren. Der Datenschützer Maximilian Schrems mit seiner NGO noyb („none of your business“) hatte daher Beschwerde gegen Google und Apple eingereicht. Der Vorwurf lautete, dass diese IDs ohne Einholung einer Einwilligung der Nutzer von Apple und Google zum Tracking eingesetzt wurden. Die CNIL hatte die Beschwerde u.a. abgelehnt, da Google nach eigenen Angaben keinen „Zugriff“ auf die ID hat und vielmehr Dritte, die auf die diese zugreifen, die Einwilligung der Nutzer einholen müssten.
Nun hat noyb erneut Anträge auf Beschwerdeverfahren eingereicht. Diesmal gegenüber einigen App-Betreibern, die diese Daten nachweislich ohne Einwilligung und Wissen der Nutzer für ihre Zwecke genutzt haben sollen. Offenbar haben neben Google und Apple auch Werbetreibende oder App-Anbieter Zugriff auf diese Werbe-IDs. Dadurch erhalten sie z.B. Einblicke in die Google-Suchen der Nutzer und erhalten damit die Möglichkeit, personalisierte Werbung anhand der Vorlieben vorzuschlagen.
Das Tracking wird bleiben
Für Unternehmen ist das Cross Device Tracking ein wichtiges Tool, um ihre Kunden bestmöglich nach deren Vorlieben die eigenen Waren und Dienstleistungen anbieten zu können. Das Tracking trägt einen wesentlichen ein Teil zum Unternehmenserfolg bei, indem es zur Prozessoptimierung und Erfolgsmessung genutzt wird.
Daher werden Unternehmen auch in Zukunft Technologien wie das Probabilistic und Deterministic Tracking einsetzen und auch nach weiteren Möglichkeiten suchen, das Verhalten ihrer Kunden durch Tracking zu analysieren. Wichtig bleibt dabei, die entsprechenden datenschutzrechtlichen Grenzen zu berücksichtigen.
Gerade die Umsetzung von Informationspflichten und die Einholung von Einwilligungen sind unerlässlich und sollten in jedem Fall sehr gewissenhaft umgesetzt werden. Die Datenverarbeitung beim Cross Device Tracking darf nicht versteckt und für den Nutzer unerkannt bleiben. Hier haben viele Unternehmen großen Nachholbedarf. Für den Nutzer ist es wichtig, neben den Vorzügen, die das Cross Device Tracking für sein Nutzererlebnis bieten kann, auch ein Bewusstsein über die mit dem Tracking verbundenen weiteren Möglichkeiten und Risiken zu haben.
Für ein Weiterschauen der Lieblingsserie braucht man kein Tracking, denn das geht schon durch das Einloggen beim Streamer. Cross Device Tracking dient ausschließlich der personalisierten Werbung.