DSGVO & Webtracking - Wie soll ich das denn zukunftssicher lösen?

Lesezeit: ca. 20 Minuten

Google bestätigt im März 2021 das nahende Ende der Third-Party Cookies. Apple Safari und Mozilla Firefox limitieren schon länger die Verfolgung des Nutzerverhaltens innerhalb ihrer Browsertechnologie. Entscheidungsträger in den EU-Behörden sind fest entschlossen das Thema “ePrivacy” weiterhin zu stärken und nationale Datenschutzbehörden widmen sich zunehmend der Exekution der komplexen gesetzlichen Rahmenbedingungen.

Innerhalb von zwei Jahren wurde die Welt der Online Marketer und Daten Analysten auf den Kopf gestellt. Die Datenschutz-Grundverordnung und die nationalen Telekommunikationsgesetze mit ePrivacy-Richtlinie haben die Karten neu verteilt – und damit große Unsicherheit in der Branche geschürt.

Welche Methoden sind legal?
Kann ich auf Basis von ausschließlich legal erfassten Daten tatsächlich die richtigen Entscheidungen treffen? Auf welche Daten kann ich mich verlassen?

Herkömmliche Lösungen versprechen bislang keine rechtssichere Antworten, die neben der DSGVO zusätzlich die einzelnen, nationalen Umsetzungen der ePrivacy-Richtlinie in den Fokus nehmen. 


Muss ich jetzt also mit folgenreichen Verlusten von entscheidenden Daten leben lernen?
Um dir selbst diese Frage besser beantworten zu können, stellen wir dir auf den folgenden Seiten die wichtigsten Insights zur Verfügung, die wir in monatelanger Abstimmung mit Rechtsanwälten bei der Entwicklung unserer Lösung berücksichtigt haben.

Diese Einblicke sollen dir als Leitfaden helfen, um bei einer Prüfung durch die für dich zuständige Datenschutzbehörde besser gerüstet bereit zu stehen als dein Mitbewerb.

Zum besseren Verständnis vorweg eine kurz gefasste Erläuterung zu den Geltungsbereichen von nationaler ePrivacy-Richtlinie und europäischer DSGVO.

Nationale Umsetzungen der ePrivacy-Richtlinie vs. Europäische Datenschutz-Grundverordnung (DSGVO)

Alle nationalen Umsetzungen der ePrivacy-Richtlinie haben eines gemeinsam. Sie legen fest, welchen Einfluss Unternehmen auf die persönlichen Endgeräte der Nutzer haben dürfen.
Die für ganz Europa geltende DSGVO bestimmt, wie Firmen und andere Organisationen - bzw. “Verantwortliche” - mit personenbezogenen Daten umgehen müssen, die von natürlichen Personen erhoben, gespeichert und weiter verteilt werden. Alle Daten-Tracking Tools müssen beiden Gesetzen folgen.

(c) Jentis GmbH - 2021

Daten mit objektivem Personenbezug 

Irgendjemand auf der Welt oder Du als Verwender der Daten kann
aufgrund des getrackten Datums
den Bezug zu einer Person herstellen.

Daten mit subjektivem Personenbezug 

Du als Verwender der Daten kannst
aufgrund des getrackten Datums
den Bezug zu einer Person herstellen.

Daraus ergibt sich, dass Daten wie IP-Adressen oder Autokennzeichen unweigerlich als “Daten mit objektivem Personenbezug” gelten.

Ad 2. Warum dürfte ich meine getrackten Daten verwenden?

Einwilligung erhalten - Existiert ein positiver Consent?
Für die Verwendungen personenbezogener Daten (objektiver und subjektiver), die dir aus Analyse-, Marketing- oder sonstigen Gründen wahrscheinlich am wichtigsten sind,  ist eine Einwilligung nach DSGVO vom Nutzer notwendig. Erhältst du diesen Consent - in der Regel durch den Einsatz einer Consent Management Platform (CMP) - kannst du diese Einwilligung auch beweisen.

ACHTUNG: Ein gerne übersehenes Detail dabei ist allerdings, dass du diese Daten NICHT ohne einen weiteren User-Consent an Unternehmen aus Drittländern (wie USA) senden darfst  - obwohl du vom User sogar einen Consent für deren Verwendung erhalten hast. Diese Möglichkeit ist durch den Fall des PrivacyShields nicht erlaubt. Eine Weiterleitung an europäische Unternehmen stellt natürlich kein Problem für dich dar.


Vertragserfüllung wäre unmöglich - Anderer Rechtfertigungsgrund als “Einwilligung”
Eine der beiden einfacheren Gründe zur Erhebung und Nutzung personenbezogener Daten ist die Vertragserfüllung (z.B. Online-Kaufabschluss). Daten für die Vertragserfüllung sind dabei wirklich ein “Nobrainer”.

Bedenke aber, dass der Zweck der Datensammlung an den User kommuniziert und an die von dir gesammelten Daten geknüpft sein muss. Auch später darfst du auf diese Daten nur zugreifen, wenn sie zum exakt selben Zweck verwendet werden.

Mit Daten aus dem Vertragserfüllungsgrund “Versand” darfst du also beispielsweise keine Analyse erstellen, in der du erkennen kannst, welche Regionen/Städte du am häufigsten mit Bestellungen belieferst.

Berechtigtes Interesse - Anderer Rechtfertigungsgrund als “Einwilligung”
Datensammlung aus berechtigtem Interesse ist eigentlich ein einfacher Rechtfertigungsgrund - und leider gleichzeitig am schwierigsten zu argumentieren.

Dein berechtigtes Interesse tritt in Kraft, wenn das Interesse deines Unternehmens die personenbezogenen Daten zu verwenden das Interesse des Nutzers nach Datenschutz übersteigt. Aber ernsthaft - was kann das sein, außer beispielsweise die Daten deines Users zu anonymisieren, bevor du sie einfach in Welt sendest?

Daten DSGVO-konform mit Drittländern teilen

Wie kannst du also diesem Problem entkommen und trotzdem alle deine gewohnten, wirklich guten Tools weiterverwenden? Im Prinzip ist das relativ einfach.

  1. Speicher als europäisches Unternehmen deine gesammelten Daten selbst serverseitig (firstparty)
  2. Sorge dafür, dass du keine Cloud verwendest, die ein Drittland-Unternehmen betreibt
  3. Achte auf die DSGVO-Vorgaben 
  4. Anonymisiere personenbezogene Daten selbst
  5. Schicke deine Daten erst nach deiner Anonymisierung zu deinen verwendeten Tools

Alle deine Tools haben eine API, die du nach deiner server-seitigen Anonymisierung jeweils ansteuern kannst. Du musst nur noch pro API entscheiden, welche Daten du vor dem Versand anonymisieren willst/musst.

Schon bist du optimal vorbereitet auf jegliche Anfragen von abmahnfreudigen Datenschützern oder ein unvermutetes, verpflichtetes Nachgehen deiner Datenschutzbehörde auf eine einzelne Beschwerde eines Users - jetzt kannst du alles entspannt auf dich zukommen lassen.

TIPP: Deine Technik sollte dabei zur Sicherheit ein Auge auf eventuelle Änderungen bei den unterschiedlichen APIs halten, um innerhalb deiner Tools Daten auch ohne Unterbrechung und mit der gewünschten Qualität zur Verfügung zu stellen.

Was bedeutet Datenübermittlung in Drittländer

In der Praxis kommt es meist dazu, dass viele deiner Tools von Unternehmen angeboten sind, deren Headquarter in Drittländern liegen. Am Beispiel der USA sind diese Unternehmen lt. CLOUD Act verpflichtet ihre Daten der US-Regierung zur Verfügung zu stellen - ein absolutes NoGo für alle europäischen Datenschützer

Diesen Tools ist damit leider die nötige rechtliche Grundbedingung lt. DSGVO komplett entzogen. Spätestens seit den Schrems - EuGH Urteilen zum Privacy Shield (Kurzform Schrems II) sind also auch beliebte und hilfreiche Tools wie beispielsweise Google Analytics, Facebook und Omniture (Adobe Analytics) bei herkömmlicher Integration fatalerweise nicht mehr DSGVO-konform (Unternehmensstandort = USA).

Solltest du also für Google Analytics einen Consent nach ePrivacy-Richtlinie erhalten haben, kannst du personenbezogene Daten trotzdem NICHT zu Google senden. Mit folgendem Beispiel wird es eventuell deutlicher:

  1. Die IP-Adresse deines Users gilt als personenbezogenes Datum. 
  2. Deine Seite sendet dessen IP-Adresse zu Google, um sie mittels “anonymizeIP=true” zu anonymisieren. 
  3. Und schon sitzt du in der Falle!


Einem Unternehmen in einem Drittland die Anonymisierung deiner Daten zu überlassen kann ja gar nicht möglich sein. Dann gilt ja für das zu anonymisierende Datum bereits nicht mehr alleine europäisches (bzw. gleichwertiges) Recht. Das US-Unternehmen Google würde in o.g. Fall diese Information bereits besitzen.

Um dir das etwas zu veranschaulichen, siehst du nachfolgend wie JENTIS diese Aufgabe löst.

  1. Consent für persönliche Devices nach ePrivacy Vorschriften wird eingeholt
  2. Personenbezogene Daten (wie IP-Adresse) werden als EU-Unternehmen anonymisiert
  3. Wir nutzen EU-Cloud-Server
  4. Anonymisierte Daten werden serverseitig an alle weiteren Tools gesandt, ohne deren Zugriff auf persönliche Devices.

Falls du Zeit, Geld und Nerven sparen möchtest, gibt es übrigens diese Lösung für dich als Plug&Play Lizenz. Damit erfüllst du alle Anforderungen aus der DSGVO und deinen nationalen ePrivacy-Vorschriften für deine Website und löst diese Angelegenheiten einfach und dauerhaft.

Mit der zum Patent angemeldeten Twin-Server Technologie ist erstmals absolut zuverlässiges, server-seitiges Tracking möglich, das zusätzlich client-seitiges Tracking nach Consent gewährleistet. Datenquantität, Datenqualität, Datensouveränität, Datensicherheit, Datenverteilung - alles aus einer Hand.

“Füttere” mit JENTIS alle Tools in deinem Marketing-Stack, die auf Daten angewiesen sind und werde auf einen Streich nicht nur rechtssicher sondern auch zukunftssicher. Wenn du das nicht alleine lösen möchtest, freuen wir uns auf ein deinen Kontakt.

Haftungsausschluss: Die Informationen in diesem Beitrag sind allein als unverbindliche Hinweise zu verstehen. Für die inhaltliche Richtigkeit der hier gemachten Angaben übernimmt JENTIS keine Gewähr.

👉 DSGVO-konform werden 👈Nach oben

Der Einfluss, den Unternehmen auf die persönlichen Endgeräte des Users ausüben, lässt sich am besten mit folgender Frage beschreiben: Lege ich etwas (bspw. Cookies) auf dem persönlichen Endgerät ab oder lese ich Informationen (bspw. Deviceinformationen) von einem persönlichen Endgerät aus?

Um es greifbarer zu machen: War der User schon einmal auf meiner Seite? Nutzt ein User mein Angebot über Mobile-Device oder über Desktop?

[Diese essentielle Grundbedingung für Tracking ist NICHT durch die DSGVO geregelt!]

In ePrivacy Vorschriften ist festgelegt, dass Cookies ohne Einwilligung gesetzt werden dürfen, wenn sie technisch notwendig sind.

Was nicht darunter fällt: Analyse, Marketing, Personalisierung,... Erst mit der Zustimmung des Users dürfen diese Cookies am Desktop, Tablet oder Smartphone des Besuchers hinterlegt werden.
Wenn du also Daten zu o.g. Zwecken verwenden möchtest, ist ein Consent des Users für die gewünschten Verwendungszwecke unumgänglich.

[Die tatsächliche Verwendung von personenbezogenen Daten ist dabei noch NICHT eingeschlossen!]

Was uns im nächsten Schritt zu den Regelungen innerhalb der DSGVO führt.

Was regelt die ePrivacy-Richtlinie

Wenn du also den o.g. Consent bezüglich des persönlichen Endgeräts erhalten hast, regelt die DSGVO im Anschluss deine tatsächliche Verwendung von personenbezogenen Daten. Diese Verwendung musst du für jedes einzelne Tool in deinem Marketing-Stack berücksichtigen.


Wie könntest du dabei vorgehen

  1. Check ob Daten tatsächlich einen Personenbezug haben
    - Beachte objektiven und subjektiven Personenbezug
  2. Check warum du diese Daten mit Personenbezug verwenden darfst
    - Einwilligung vom User erhalten
    - Vertragserfüllung wäre sonst unmöglich
    - Berechtigtes Interesse deines Unternehmens


Ad 1. Haben meine getrackten Daten einen Personenbezug?

Werde dir zuerst klar darüber, welche deiner Daten tatsächlich einen Personenbezug wiederspiegeln. Beachte dabei unbedingt, dass es zwei Varianten von personenbezogenen Daten gibt, die in der DSGVO beschrieben sind. Es geht dabei nicht ausschließlich darum ob du selbst einen Bezug herstellen kannst.

Wo setzt die Datenschutz-Grundverordnung an

Wie kann eine Lösung im Detail ausschauen

Vorwort