Tracking vs. Analytics – Was ist der Unterschied?

Fachbeitrag

Tracking und Analytics sind für viele Websiten- und App-Betreiber mittlerweile unverzichtbar. Angebote können damit nutzerfreundlicher gestaltet, Werbung personalisiert und Marktforschung betrieben werden. Doch was steht eigentlich dahinter und wie setzt man sie datenschutzkonform ein?

Was bedeutet Analytics und Tracking?

Man muss Tracking auf der einen Seite und Analytics, Reichweitenmessung und Webanalyse auf der anderen Seite unterscheiden. Alle Begriffe werden gesetzlich nicht definiert, haben sich aber im allgemeinen Sprachgebrauch durchgesetzt.

Analytics – statistische Auswertung

Analytics, Reichweitenmessung und Webanalyse messen „nur“ statistische Aussagen über eine Gruppe von Nutzern einer Website oder App. Hierzu werden Daten zur Verweildauer, dem verwendeten Browser, Betriebssystem, Gerät, Spracheinstellung, Bildschirmauflösung, und Nutzeraktionen auf der Website erhoben. Zweck sind die bedarfsgerechte Gestaltung von Websiten oder die Marktforschung.

Tracking – individuelle Auswertung

Beim Tracking hingegen wird der einzelne Nutzer identifiziert und sein Nutzungsverhalten wird nachverfolgt. Hierdurch kann dem Nutzer z.B. individuelle Werbung angezeigt werden oder Preise können individuell gestaltet werden. Der Unterschied ist, dass durch die individuelle Identifizierung beim Tracking Persönlichkeitsprofile und Verhaltensmuster gebildet werden können.

Auf welcher Rechtsgrundlage kann ich Analytics und Tracking einsetzen?

Wie bei jeder Verarbeitung personenbezogener Daten gilt, dass jegliche Datenverarbeitung verboten ist, es sei denn es liegt eine Rechtsgrundlage vor.

Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten ist in Art. 6 Abs. 1 DSGVO geregelt. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig,

  • wenn eine Einwilligung der betroffenen Person vorliegt,
  • zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen,
  • zur Erfüllung einer rechtlichen Verpflichtung
  • zum Schutze lebenswichtiger Interessen,
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder
  • aufgrund einer Interessenabwägung erforderlich ist.

Hier sind die Rechtsgrundlagen der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO anwendbar.

Analytics auf Grundlage einer Interessenabwägung

Dienste zur rein statistischen Auswertung wie Analytics, Webanalyse und Reichweitenmessung können aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO rechtskonform eingesetzt werden. Der Website-Betreiber hat ein berechtigtes Interesse daran, seine Website den Nutzerpräferenzen entsprechend zu gestalten, indem er weiß woher die Nutzer kommen (Spracheinstellung), welche Browser und Geräte sie nutzen (Bildschirmdarstellung) und welche Angebote (Videos, Bilder, Beiträge) besonders häufig angeklickt werden.

Tracking – Streit um die Rechtsgrundlage

Beim Tracking muss nach Ansicht der Datenschutz-Aufsichtsbehörden der Nutzer im Vorfeld seine Einwilligung erteilen, weil hier umfangreichere personenbezogene Daten gesammelt werden und die Bildung eines Profils des Nutzers möglich ist.

Nach anderer Ansicht kann auch das Tracking auf das berechtigte Interesse des Website-Betreibers gestützt werden. Ein Argument hierfür ist Erwägungsgrund 47 S. 7 DSGVO, wonach Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Tracking kann danach, da es häufig dem Einspielen personalisierter Werbung dient, auf eine Interessenabwägung gestützt werden. Voraussetzung hierfür ist jedoch die Pseudonymisierung der Nutzerdaten. Nähere Informationen zu dem Meinungsstreit finden Sie im dem Fachbeitrag „Tracking nur noch mit Opt-In? Kritische Anmerkungen zum DSK-Papier„.

Und was ist dann Google Analytics?

Anders als der Name vermuten lässt, ist Google Analytics kein reines Analytics-Tool, sondern ein Tracking-Tool. Google nutzt die Daten noch für eigene Zwecke und bildet ein umfangreiches Profil damit. Deswegen muss hierfür nach Auffassung der Datenschutzaufsichtsbehörden eine vorherige Einwilligung eingeholt werden. Wird jedoch auf die Einholung einer Einwilligung verzichtet, ist der Einsatz von Google Analytics auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f DSGVO zu stützen. Hier ist dann weiter auf die Opt-Out-Lösung zu setzen.

Allgemein gilt: Es kommt ganz auf die individuelle Ausgestaltung des Dienstes an. Informationen dazu, welche Daten erhoben werden und für welche Zwecke genutzt werden, findet man in den Datenschutzerklärungen der Anbieter.

Abgrenzung zwischen Analytics- und Tracking-Tool

Folgende Fragen sollte man sich immer stellen:

  • Werden die Daten mit anderen Daten des Nutzers zusammengeführt (z.B. Stammdaten)?
  • Werden die Daten von dem Anbieter des Tools noch zu eigenen Zwecken verwendet?
  • Ist die Speicherdauer unbegrenzt?
  • Sind die Daten so detailliert, dass eine Profilbildung möglich ist?
  • Besteht keine Widerspruchsmöglichkeit („Opt-Out“) für den Nutzer?
  • Erfolgt nicht nur eine statistische Analyse?

Wenn man eine der Fragen mit „Ja“ beantworten muss, handelt es sich nicht mehr um ein reines Analytics-Tool und man sollte den Streitstand zu der Rechtsgrundlage für Tracking beachten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

11 Kommentare zu diesem Beitrag

  1. Da verbreitet sich gerade ein technisches Missverständnis. Bei Analytics werden nicht weniger Daten erhoben als beim Tracking zu Werbezwecken. Auch bei Analytics werden zunächst individuelle Nutzungsprofile erstellt. Der Unterschied liegt nur in der Auswertung. Bei Analytics werden viele Nutzungsprofile zusammen statistisch ausgewertet, bei Tracking zu Werbezwecken dagegen werden sie individuell ausgewertet. Auch Nutzungsprofile, die für Analysezwecke gebildet wurden, können für Werbezwecke genutzt werden. Auch Analytics ist Tracking.

    • Vielen Dank für Ihren Hinweis.
      Angesichts der Vielzahl der Tracking- und Analytics-Dienste auf dem Markt mag es sein, dass auch bei Analytics zunächst eine individuelle Zuordnung erfolgt, bevor die Daten dann zur statistischen Analyse zusammengefasst werden. Es besteht aber nicht immer eine Personenbeziehbarkeit, z.B bei Erhebung nur gekürzter IP-Adressen.
      Was verstehen Sie genau unter individuellen Nutzungsprofilen? Profile, anhand derer ein Nutzer persönlich identifizierbar wird?

  2. Die technischen Aussagen sind nicht korrekt. Eine Identifizierung der Nutzer vor dem PC findet nicht statt, es werden lediglich Browser erkannt über IDs im Cookie oder Storage. Die Definition von Tracking und Analytics ist willkürlich. Eine Besonderheit von Google Analytics sehe ich hier nicht, die Funktionsweise der Tools ist immer dieselbe egal ob Google Analytics, Adobe Analytics, Webtrends, Webtrekk, Piwik, AT Internet uvm.

    • Vielen Dank für Ihren Hinweis.
      Die Nutzer vor dem PC werden tatsächlich nicht „vor ihrem PC erkannt“, jedoch ist für die Identifizierbarkeit bereits die IP-Adresse oder ähnliches ausreichend. Darauf kommt es datenschutzrechtlich an. Google Analytics wird hier nur beispielhaft beschrieben, siehe: „ Allgemein gilt: Es kommt ganz auf die individuelle Ausgestaltung des Dienstes an.“

  3. Haben Sie Quellen zu folgender Aussage? „Anders als der Name vermuten lässt, ist Google Analytics kein reines Analytics-Tool, sondern ein Tracking-Tool. Google nutzt die Daten noch für eigene Zwecke und bildet ein umfangreiches Profil damit.“ Bezieht sich das (ausschließlich) auf die „Advertising Features“ und/oder „Data Sharing Settings“? Oder auch auf die laut Google GDPR-konforme Nutzung (Advertising Features erst nach Opt-in, keine PII im Datensatz, anonymisierte IP)?

    • Aus der Datenschutzerklärung von Google ist ersichtlich, dass nicht nur rein statistische Daten erhoben werden, sondern ggf. auch personenbezogene Daten wie der Standort, die Werbe-ID eines Nutzers, die IP-Adresse etc. Umfassende Informationen zu der Datenverarbeitung bei Einsatz von Google Analytics finden Sie hier.

      Google hat, auch wenn die „Advertising Features“ nicht aktiviert sind, zumindest die Möglichkeit, die Analytics-Daten zur Bildung von Profilen zu nutzen. Denn auch ohne die Aktivierung der „Advertising Features“ und/oder „Data Sharing Settings “Funktion wird zumindest immer die IP-Adresse an Google Server übertragen.

      Auch bei der laut Google DSGVO-konformen Nutzung von Google Analytics werden personenbezogene Daten übermittelt. Denn auch bei der Aktivierung der IP Anonymisierung wird die IP-Adresse zunächst ungekürzt an Google übermittelt und erst dann von Google anonymisiert. Durch Übermittlung der IP-Adresse kommt es also auch dann zur Verarbeitung personenbezogener Daten.

      Eine Alternative, bei der keine personenbezogenen Daten übermittelt werden, ist die lokal gehostete Variante von Matomo (ehemals PIWIK). Ansonsten wird immer Kontakt mit einem Server aufgenommen, um Analytics-Auswertungen überhaupt erst zu ermöglichen.

      • Vielen Dank für die detaillierten Informationen. Interessant, dass Google im selben Dokument folgendes schreibt: „Vertragsgemäß dürfen Kunden keine personenidentifizierbaren Informationen an Google Analytics senden“. Wie schätzen Sie das ein?

        Ich hätte (als Nichtjurist) bisher so bewertet:
        – Einwilligung für Werbe-ID liegt Google über den Google Account des Endverbrauchers vor (ggfs. Frage der Transparenz, sind sich die Kunden bewusst, wo überall die IDs erfasst werden können?)
        – Standort bis zur Feinheit „City“ nicht personenbezogen (PLZ wäre ggfs. personenbezogen in schwach besiedelten Regionen)
        – hier wird anonimyzeIp (noch) als datenschutzkonform beschrieben: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

        „…wird das letzte Oktett der IP-Adresse des Nutzers noch innerhalb des Arbeitsspeichers auf null gesetzt. Die IP-Adresse 12.214.31.144 würde beispielsweise in 12.214.31.0 geändert. Wenn die IP-Adresse eine IPv6-Adresse ist, werden die letzten 80 der 128 Bits auf null gesetzt. Erst nach diesem Anonymisierungsprozess wird die Anforderung zur Verarbeitung auf die Festplatte geschrieben. Bei der IP-Anonymisierungsmethode wird die vollständige IP-Adresse zu keinem Zeitpunkt auf die Festplatte geschrieben, da die gesamte Anonymisierung fast unmittelbar nach Erhalt der Anforderung im Speicher erfolgt.“
        Quelle: https://support.google.com/analytics/answer/2763052?hl=de

        • Vielen Dank für Ihren Kommentar. Wir können leider nicht eindeutig auf die Frage antworten, da unklar ist, auf welches Dokument Sie sich beziehen, wenn Sie schreiben „Interessant, das Google im selben Dokument folgendes schreibt: „Vertragsgemäß dürfen Kunden keine personenidentifizierbaren Informationen an Google Analytics senden“.

          Wir möchten dennoch kurz auf Ihre rechtliche Einschätzung eingehen. Eine Einwilligung für die Werbe-ID von Google über den Google-Account eines Endverbrauchers kann nicht die Rechtsgrundlage für die Verarbeitung personenbezogener Daten auf der Webseite desjenigen sein, der Google Analytics auf seiner Webseite einsetzt. Schließlich geht es um eine Verarbeitung personenbezogener Daten durch den Webseitenbetreiber als Verantwortlichen für die Datenverarbeitung. In seiner Rolle als Verantwortliche muss er sicherstellen, dass er eine Rechtsgrundlage für die Datenverarbeitung hat. Google ist in dieser Konstellation nur Auftragsverarbeiter und bedarf als solcher nach herrschender Meinung keiner eigenen Rechtsgrundlage für die Datenverarbeitung.
          D.h. wenn man die Endverbraucher personenbezogen/personenidentifizierbar tracken will, indem man nicht die IP-Adresse anonymisiert, dann bedarf es nach ganz überwiegender Auffassung einer Einwilligung gegenüber dem Webseitenbetreiber. Wenn man allerdings die IP-Adresse anonymisiert, dann kann man auch das berechtigte Interesse des Webseitenbetreibers an Auswertungen heranziehen. Die oben zitierte Aussage von Google, dass keine personenidentifizierbaren Informationen an Google Analytics gesendet werden dürfen ist wahrscheinlich so zu verstehen, dass der Kunde bei Einsatz von Google Analytics ohne Anonymisierung sicherstellen muss, dass er eine Rechtsgrundlage dafür hat.

          Wir hoffen, wir konnten Ihnen weiterhelfen.

  4. Als nicht versierter Webseitenbenutzer bekommt man das Gefühl der undurchsichtigen Datenerhebung. Startet man z.B. in Firefox das Add-On LightBeam verstärkt sich dieser Eindruck. Einzig der Einsatz von Zusatzprogrammen vermitteln einem das Gefühl etwas geschützter zu sein. Dies meine Empfehlung für andere Laien-Benutzer.
    MfG D. L.
    Der Laie

  5. Ich stehe auf dem Schlauch. Wenn ich – etwa mit Matomo – zu einem Webseitenbesuch alle besuchten Seiten und Verweildauern ohne ein weiteres Zuordnungsmerkmal (also insbesondere ohne IP-Adresse) speichere und kein über die Session hinaus existierendes Cookie setze: Aufgrund welcher Norm muss ich dann ein Opt-out anbieten?

    • Soweit ein auf einer Website eingebundener Dienst personenbezogene Daten der Besucher verarbeitet, bedarf es wie im Beitrag beschrieben einer Rechtsgrundlage. Ist diese die Einwilligung, ergibt sich das Widerrufsrecht aus Art. 7 Abs. 3 DSGVO, bei Verarbeitung aufgrund eines überwiegenden berechtigten Interesses aus Art. 21 Abs. 4 DSGVO.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.