GDPR Sensible personenbezogene Daten: Wenn Cookie-Daten sensibel werden können

GDPR Regeln für sensible personenbezogene Daten können für das Web-Tracking gelten, wenn das Surfverhalten geschützte Merkmale offenbart. Ein Cookie ID allein mag technisch aussehen. Ein Cookie ID im Zusammenhang mit Besuchen über Krebsbehandlung, Gewerkschaftsorganisation, religiöse Dienste, Fruchtbarkeitspflege oder politische Kampagnen kann viel sensibler werden.

GDPR nennt diese „besondere Kategorien personenbezogener Daten“. Artikel 9 umfasst Daten, aus denen die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung hervorgehen (GDPR Artikel 9).

Warum Webanalysen sensible Daten erzeugen können

Webanalysen erfassen häufig:

• Seite URLs.
• Suchbegriffe.
• Referenten.
• Kampagnenparameter.
• Cookie oder Gerät IDs.
• IP-abgeleiteter Standort.
• Klick- und Conversion-Ereignisse.
• Konto-IDs- oder E-Mail-Hashes in einigen Implementierungen.

Auf einer normalen Produktseite dürfte das Risiko gering sein. Auf der Website einer psychiatrischen Klinik, einer Ressource für reproduktive Gesundheit, einer Website für politische Kampagnen, einer Website einer Religionsgemeinschaft oder einer Seite für Arbeitsstreitigkeiten können dieselben Daten vertrauliche Informationen über den Besucher preisgeben.

Das Risiko steigt, wenn Analysedaten über Seiten, Sitzungen, Konten oder Plattformen Dritter hinweg verknüpft werden.

Die Meta/Bundeskartellamt-Warnung

Der Gerichtshof der Europäischen Union befasste sich im Urteil Meta Platforms gegen Bundeskartellamt mit Bedenken zu besonderen Kategorien. Das Gericht stellte fest, dass beim Besuch von Websites oder Apps, die sich auf spezielle Themenkategorien beziehen, sensible Daten preisgegeben werden können und dass die Verarbeitung solcher Daten je nach den Umständen unter Artikel 9 fallen kann (EuGH Rechtssache C-252/21).

Der praktische Unterricht beschränkt sich nicht nur auf soziale Netzwerke. Wenn Tracking-Systeme Verhaltensweisen auf Seitenebene erfassen, die sensible Interessen offenbaren, müssen Unternehmen diese Daten mit erhöhter Sorgfalt behandeln.

Beispiele für Analytics-Teams

Beispiele mit hohem Risiko:

• Eine Gesundheitsklinik sendet Seite URLs mit Informationen zu bestimmten Erkrankungen an einen externen Analyseanbieter.
• Eine gemeinnützige Organisation verfolgt Besucher von Ressourcen zu häuslicher Gewalt mit anhaltendem IDs.
• Eine politische Kampagne teilt Ereignisbesuchsseiten mit Werbeplattformen.
• Eine gewerkschaftlich organisierte Website richtet das Retargeting von Besuchern basierend auf den aufgerufenen Seiten aus.
• Eine App für psychische Gesundheit zeichnet Seitenaufrufe zu Therapiethemen in einem allgemeinen Marketingstapel auf.

Beispiele für geringeres Risiko:

• Aggregierte Seitenzahlen ohne dauerhafte Identifikatoren.
• Serverseitige Protokolle mit kurzer Aufbewahrung und IP-Minimierung.
• Ereigniszählungen, die vertrauliche Seitentitel oder Abfragezeichenfolgen vermeiden.
• Berichterstattung auf Länderebene ohne Historien auf Benutzerebene.

Der Kontext ist wichtig. Dasselbe Analyseereignis kann auf einem allgemeinen Blog harmlos und auf einer Gesundheitsseite sensibel sein.

Compliance-Auswirkungen

Die Verarbeitung besonderer Kategorien ist im Allgemeinen verboten, es sei denn, es gilt eine Ausnahme gemäß Artikel 9, beispielsweise eine ausdrückliche Einwilligung oder eine andere spezifische Rechtsgrundlage. Eine gewöhnliche Einwilligung für Analyse-Cookies reicht möglicherweise nicht aus, wenn die Verarbeitung sensible Daten und die Profilerstellung Dritter umfasst.

Teams benötigen möglicherweise außerdem:

• Eine Datenschutz-Folgenabschätzung.
• Stärkere Zugangskontrollen.
• Kürzere Aufbewahrung.
• Anbieterbeschränkungen.
• Gegebenenfalls ausdrückliche Einwilligung.
• Ein Verbot der Werbenutzung.
• Sorgfältige Offenlegung der Privatsphäre.
• Überprüfung internationaler Überweisungen.

Für gesundheitsbezogene Websites in den Vereinigten Staaten kann HIPAA ebenfalls gelten, wenn es sich bei der Organisation um eine betroffene Einrichtung oder einen Geschäftspartner handelt. HHS hat Leitlinien und Durchsetzungshinweise zu Online-Tracking-Technologien herausgegeben, die von HIPAA-regulierten Unternehmen verwendet werden (HHS-Leitfaden zu Online-Tracking-Technologien). Wichtiger Vorbehalt für 2024: HHS stellt fest, dass ein Bundesgericht das Bulletin insofern aufgehoben hat, als es eine IP-Adresse sowie einen Besuch bestimmter nicht authentifizierter Seiten zur öffentlichen Gesundheit als automatisch auslösende HIPAA-Verpflichtungen behandelte. Dadurch wird das Risiko für Portale, Termin-, Aufnahme-, Zahlungs-, authentifizierte oder PHI-offenlegende Arbeitsabläufe nicht beseitigt.

Praktische Risikominderung

Verwenden Sie eine Checkliste für die Analyse sensibler Kontexte:

1. Identifizieren Sie Seiten, die Gesundheit, Religion, Politik, Sexualität, Gewerkschaftsstatus, Kinder oder andere sensible Themen offenbaren.
2. Deaktivieren Sie Werbepixel auf diesen Seiten.
3. Vermeiden Sie Sitzungswiederholungen und Heatmaps bei sensiblen Flows.
4. Entfernen Sie Abfragezeichenfolgen vor der Analyseerfassung.
5. Senden Sie keine Seitentitel, die sensible Begriffe enthalten, wenn aggregierte Kategorien ausreichen.
6. Vermeiden Sie nach Möglichkeit dauerhafte Identifikatoren.
7. Halten Sie die Berichte aggregiert.
8. Beschränken Sie den Zugriff.
9. Verkürzen Sie die Aufbewahrung von Rohdaten.
10. Überprüfen Sie Anbieter und Unterauftragsverarbeiter.

Privacy-First-Messung

Datenschutzorientierte Analysen sind in sensiblen Kontexten besonders wertvoll. Eine Klinik, eine gemeinnützige Organisation, eine Interessenvertretung oder ein öffentlicher Dienst kann häufig betriebliche Fragen beantworten, ohne identifizierbare Fahrten zu verfolgen.

Zu den nützlichen Kennzahlen für geringes Risiko gehören:

• Gesamtzahl der Besuche einer Ressourcenkategorie.
• Referrer-Domains insgesamt.
• Geräteklasse für Usability-Checks.
• Suchbegriffe nur, wenn sie anonymisiert und überprüft wurden.
• Conversion zählt für nicht sensible Aktionen.

Wenn eine Frage nicht beantwortet werden kann, ohne sensibles Verhalten zu erfassen, fragen Sie, ob die Frage das Risiko wert ist. In vielen Fällen ist eine weniger detaillierte Metrik, Umfrage oder serverseitige Betriebsaufzeichnung sicherer und respektvoller.

Rote Fahnen im Eventdesign

Überprüfen Sie die Ereignisnamen und -eigenschaften vor dem Start. Ereignisse wie depression_quiz_started, union_contact_form_submitted oder pregnancy_help_clicked können intern nützlich sein, können jedoch sensible Bedeutungen preisgeben, wenn sie an allgemeine Analyse- oder Werbetools gesendet werden.

Verwenden Sie nach Möglichkeit neutrale Kategorien, beschränken Sie den Zugriff und halten Sie sensible Analysen von Werbeökosystemen Dritter fern. In sensiblen Kontexten ist „granularer“ oft nicht besser.

Beispiele für sicherere Namen

Durch die Benennung von Ereignissen kann das Risiko verringert werden, ohne dass Berichte unbrauchbar werden. Anstatt pregnancy_options_page_viewed zu senden, senden Sie resource_category_viewed mit einer breiten Kategorie, die nur aggregiert sichtbar ist. Senden Sie anstelle von therapy_for_grief_video_75_percent video_progress mit einem nicht sensiblen Inhalt ID, den nur eine eingeschränkte interne Tabelle interpretieren kann.

Das gleiche Prinzip gilt für URLs. Vermeiden Sie Pfade und Abfragezeichenfolgen, die eine Diagnose, einen rechtlichen Status oder persönliche Belange offenlegen, wenn eine einfachere Seitenstruktur ausreicht. Wenn aus Gründen der Benutzerfreundlichkeit oder SEO sensible Wörter angezeigt werden müssen, konfigurieren Sie die Analyse, um den Pfad zu entfernen oder einen Bericht auf einer breiteren Kategorieebene zu erstellen. Das Ziel besteht nicht darin, den Dienst vor den Benutzern zu verbergen; Es soll vermieden werden, sensible Bedeutungen an allgemeine Analysesysteme zu übertragen.

Sensible-Kontext-Überprüfung

Bevor Sie sensible Seiten verfolgen, dokumentieren Sie die Seitenkategorie, Ereignisnamen, URL-Verhalten, Kennungen, Anbieter, Aufbewahrung, Zugriffskontrollen und ob Artikel 9 oder ein anderes Branchengesetz anwendbar sein könnte. Testen Sie dann die Seite in einem sauberen Browserprofil und überprüfen Sie Netzwerkaufrufe, Cookies, Speicher und serverseitige Ereignisse.

Wenn Analytics weiterhin Bedingungsnamen, sensible Suchbegriffe, dauerhafte IDs oder Werbeaufrufe von sensiblen Seiten sendet, liegt das Problem nicht an der Formulierung in der Datenschutzerklärung. Das Datendesign muss eingegrenzt werden.