Ein praktischer Leitfaden zu GDPR-konforme Webanalyse ohne Einwilligung

Dieser Leitfaden erklärt GDPR-konforme Webanalyse ohne Einwilligung praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Eine einwilligungsfreie Webanalyse ist in manchen Fällen möglich, allerdings sind die Bedingungen enger, als viele Blogbeiträge vermuten lassen. Die Frage ist nicht, ob sich das Tool selbst als Cookieless bezeichnet. Die Frage ist, ob nicht unbedingt erforderliche Gerätezugriffe und die Verarbeitung personenbezogener Daten vermieden werden oder ob es eine andere gültige Rechtsgrundlage für eine eingeschränkte Verarbeitung gibt.

Dies ist eine Übersicht über rechtliche Risiken, keine Rechtsberatung. Teams, die in regulierten Sektoren oder mehreren EU-Ländern tätig sind, sollten ihre Einrichtung mit einem Anwalt validieren.

Die zwei Einwilligungsfragen

Es gibt zwei getrennte Fragen:

1. Speichert das Analysetool Informationen auf dem Gerät des Besuchers oder greift es darauf zu?
2. Verarbeitet das Analysetool personenbezogene Daten?

Die erste Frage stammt aus den ePrivacy-Regeln. Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation verlangt eine Einwilligung für die Speicherung von oder den Zugriff auf Informationen auf Endgeräten, sofern keine Ausnahmeregelung gilt. Die endgültigen Richtlinien 2/2023 des EDSA machen deutlich, dass dies nicht auf Cookies beschränkt ist.

Die zweite Frage kommt von GDPR. Wenn Analytics personenbezogene Daten verarbeitet, benötigen Sie eine Rechtsgrundlage, Transparenz, Minimierung, Aufbewahrungsgrenzen und Verfahren zu den Rechten der betroffenen Personen. Die Einwilligung ist eine Rechtsgrundlage, aber nicht die einzige. Wenn ePrivacy jedoch eine Einwilligung für den Erfassungsmechanismus erfordert, ist diese Einwilligung oft auch die Grundlage für die nachgelagerte GDPR-Analyse.

Wenn einwilligungsfreie Analysen am Plausible sind

Einwilligungsfreie Analysen sind am vertretbarsten, wenn das Tool:

• setzt keine Cookies
• verwendet keinen localStorage, sessionStorage, IndexedDB oder ähnlichen Speicher
• Es werden keine Fingerabdrücke auf Geräten erstellt
• verwendet keine dauerhaften Benutzerkennungen
• Erfasst keine rohen IP-Adressen in Berichten
• Abfrageparameter werden entfernt oder auf die Zulassungsliste gesetzt
• Verwendet nur aggregierte Berichte
• gibt keine Daten an Werbenetzwerke weiter
• Es werden keine kundenübergreifenden Analysedaten kombiniert
• Hält die Aufbewahrung kurz

Der Leitfaden zur Zielgruppenmessung von CNIL ist ein nützlicher Maßstab für diese Art von Einrichtung. Es erlaubt begrenzte Ausnahmen von der Zielgruppenmessung nur unter strengen Bedingungen und besagt, dass die meisten großen Angebote zur Zielgruppenmessung unabhängig von der Konfiguration nicht qualifiziert sind.

Berechtigte Interessen sind kein Cookie-Workaround

Einige Teams sagen: „Wir verlassen uns bei der Analyse auf berechtigte Interessen.“ Dies kann unter GDPR für eine eingeschränkte Verarbeitung relevant sein, setzt jedoch die ePrivacy-Einwilligungsanforderungen nicht außer Kraft, wenn das Tool Informationen auf dem Gerät des Benutzers speichert oder darauf zugreift.

Mit anderen Worten: Wenn Ihre Analyse ein nicht notwendiges Cookie erfordert, können Sie die Cookie-Einwilligung in der Regel nicht durch den Hinweis auf berechtigte Interessen umgehen.

Was ist mit Serverprotokollen?

Grundlegende Serverprotokolle können für Sicherheit, Debugging und Servicebereitstellung erforderlich sein. Aus Protokollen erstellte Analysen stellen möglicherweise ein geringeres Risiko dar als browserbasiertes Tracking, sind jedoch nicht automatisch anonym. IP-Adressen können nach EU-Gesetz personenbezogene Daten sein und detaillierte Protokolle können Verhaltensweisen aufdecken.

Wenn Sie Protokolle für Analysen verwenden:

• Trennen Sie Sicherheitsprotokolle von Analyseberichten
• IP-Adressen schnell kürzen oder anonymisieren
• sensible Wege ausschließen
• Beschränkung der Aufbewahrung
• Zugriff einschränken
• Aggregation vor der Berichterstattung

Verwandeln Sie Sicherheitsprotokolle nicht stillschweigend in ein Verhaltensanalyseprodukt.

Was ist mit Hash-Identifikatoren?

Beim Hashing werden Daten nicht automatisch anonymisiert. Wenn dieselbe Eingabe dieselbe Ausgabe erzeugt und Sie Besuche im Zeitverlauf verknüpfen können, kann es sein, dass das Ergebnis immer noch pseudonyme personenbezogene Daten sind. Rotierende Salze, kurze Fenster und eine einseitige Ableitung verringern das Risiko, entschuldigen jedoch nicht die unbegrenzte Nachverfolgung.

Verwenden Sie abgeleitete Besuchsschlüssel nur bei Bedarf, wechseln Sie sie häufig und vermeiden Sie die standortübergreifende oder längere Verwendung.

Ein praktischer Entscheidungsbaum

Stellen Sie diese Fragen:

1. Setzt oder liest das Tool etwas auf dem Gerät des Benutzers?
   • Wenn ja, prüfen Sie die ePrivacy-Einwilligung oder eine enge Ausnahmeregelung.
2. Erstellt das Tool eine stabile Kennung?
   • Wenn ja, behandeln Sie es als Nachverfolgung und bewerten Sie das GDPR-Risiko.
3. Sendet das Tool Daten an Dritte?
   • Wenn ja, überprüfen Sie die Rolle, den Zweck, die Übertragungen und die Wiederverwendung des Anbieters.
4. Werden Daten für Werbung, Personalisierung oder Profilerstellung verwendet?
   • Wenn ja, ist wahrscheinlich eine Einwilligung erforderlich und das Datenschutzrisiko ist hoch.
5. Kann dieselbe Geschäftsfrage mit aggregierten Daten beantwortet werden?
   • Wenn ja, sammeln Sie weniger.

Was Sie in Ihre Datenschutzerklärung einfügen sollten

Auch wenn Sie kein Einwilligungsbanner benötigen, seien Sie transparent. Erklären:

• welches Analysetool Sie verwenden
• welche Daten erhoben werden
• ob Cookies verwendet werden
• ob Daten an Dritte weitergegeben werden
• Aufbewahrungsfrist
• wie Benutzer Einwände erheben oder Fragen stellen können

Datenschutz an erster Stelle bedeutet nicht, dass wir unsichtbar sind.

Checkliste für einwilligungsfreie Beweise

Bevor Sie Analytics als einwilligungsfrei bezeichnen, bewahren Sie Beweise für vier Behauptungen auf: keine nicht unbedingt erforderliche Gerätespeicherung oder Zugriff, keine stabile Besucherkennung oder Fingerabdruck, keine Werbung oder standortübergreifende Wiederverwendung und keine personenbezogenen Daten, die über das für die aggregierte Messung erforderliche Maß hinausgehen. Fügen Sie dem Datensatz Browser-Speicher-Screenshots, Netzwerk-Payload-Beispiele, Aufbewahrungseinstellungen und Anbieterdokumentation hinzu.

Führen Sie dann nach Marketing- oder Tag-Manager-Änderungen einen erneuten Test durch. Der Status „Einwilligungsfrei“ ist nicht dauerhaft, wenn jemand ein Pixel, einen dauerhaften ID, einen Export auf Benutzerebene oder ein neues Ziel hinzufügt.

Das Fazit

Der stärkste Fall einer einwilligungsfreien Analyse ist einfach: keine Browserspeicherung, kein Fingerabdruck, keine persönlichen Identifikatoren in Berichten, keine Wiederverwendung von Werbung, kurze Aufbewahrung und aggregierte, zweckbegrenzte Messung.

Wenn Ihr Analysetool Personen im Laufe der Zeit erkennen, das Anzeigenpublikum bereichern oder Daten über mehrere Websites hinweg kombinieren muss, ist das nicht dasselbe. Mit der richtigen Einwilligung und den richtigen Kontrollen mag es immer noch rechtmäßig sein, aber es handelt sich nicht um eine einwilligungsfreie Analyse, bei der der Datenschutz an erster Stelle steht.

Dokumentieren Sie den einwilligungsfreien Fall

Wenn Sie entscheiden, dass Analysen ohne Zustimmung ausgeführt werden können, dokumentieren Sie die Begründung auf einer Seite. Geben Sie an, ob das Tool Geräteinformationen speichert oder liest, ob IP-Adressen erfasst oder gekürzt werden, ob Kennungen stabil sind, ob Berichte aggregiert sind, wo Daten verarbeitet werden, wer sie empfängt und wie lange sie aufbewahrt werden.

Fügen Sie technische Beweise bei: Browser-Speicher-Screenshots, Beispielnetzwerkanfragen, Beispiele für Ereignisnutzlasten und Anbieterdokumentation. Planen Sie dann nach Produktänderungen eine erneute Überprüfung ein. Der Status „Einwilligungsfrei“ kann verloren gehen, wenn jemand Fingerabdruck, Benutzer-IDs, Werbeexporte oder eine Tag-Manager-Integration hinzufügt. Es geht nicht darum, Papierkram um seiner selbst willen zu schaffen; Es soll verhindern, dass eine enge Implementierung stillschweigend zu gewöhnlichem Tracking wird.