Im § 25 TTDSG geht es tatsächlich um den Zugriff auf die Endeinrichtung von Nutzern. Cookies sind nur eine Möglichkeit dieses Zugriffs. Auch andere Technologien sind vom TTDSG betroffen. Beispielsweise könnte das Auslesen von Systemvariablen im Browser des Nutzers über JavaScript ein solcher Zugriff sein.
Das TTDSG schreibt vor, dass eine Einwilligung vom Nutzer einzuholen ist, wenn ein Zugriff (Cookie oder Auslesen einer Systemvariablen) vorliegt, der nicht notwendig ist (in § 25 Abs. 2 TTDSG steht es etwas exakter, dafür länger und für den juristischen Laien unverständlicher).
Bisher waren über das Telemediengesetz nur Cookie zu Marketing-Zwecken und zur Nutzerprofilbildung von der Einwilligungsregelung betroffen. Mit dem TTDSG wird das Zählen von Besuchern nun noch anspruchsvoller, wenn dies einwilligungsfrei geschehen soll.
Tracking und Besucherzählen
Der Tracking-Begriff ist nicht genau definiert. Normalerweise ist mit Tracking das Nachverfolgen von Nutzern über mehrere Sitzungen und Webseiten hinweg gemeint. Ein bekanntes Tool, welches Nutzer derart invasiv nachverfolgt, ist Google Analytics. Nicht nur aus diesem Grund, sondern alleine schon wegen der eingesetzten Cookies ist Google Analytics einwilligungspflichtig. Sie müssten also jedes Mal ein nerviges Cookie Popup einblenden, wenn jemand Ihre Webseite besucht. Diese Cookie Popups sind aber nicht nur nervig, sondern sorgen sehr oft für rechtswidrige Webseiten (siehe meine Untersuchung zum Cookiegeddon).
Der Einfachheit halber verwenden wir in diesem Artikel den Begriff Tracking auch für das an sich unkritische Besucherzählen. Das Zählen von Besuchern bedeutet, dass ein Nutzer von anderen Nutzern unterschieden werden können muss. Denn wenn diese Unterscheidung fehlt, werden entweder zu wenige oder zu viele Zugriffe gezählt. Einen Nutzer in der Kategorie Unique Visitor doppelt zu zählen, wenn er zwei Seiten hintereinander aufruft, verfälscht die Statistik. Zwei Nutzer insgesamt nur einmal zu zählen, wenn sie ein und dieselbe Webseite aufrufen, klingt auch nicht nach exakter Wissenschaft.
Die Frage lautet also, wie Nutzer von einander unterschieden werden können. Das http-Protokoll, welches für den Abruf von Webseiten verwendet wird, kennt selbst keinen Zustand. Zustandslos können Nutzer jedenfalls ad hoc nicht unterschieden werden. Es ist so, als hätte jemand kein Gedächtnis und denkt jedes Mal, wenn dieselbe Person vorbeiläuft, dass es jemand anderes wäre.
Dieses Gedächtnis waren früher die Cookies. Die sind aber jetzt einwilligungspflichtig, und zwar nun auch für das unverfängliche Besucherzählen. So jedenfalls kann das TTDSG verstanden werden. Dort ist von „unbedingt erforderlich“ die Rede. Cookies zum Besucherzählen sind nicht unbedingt erforderlich, und zwar aus zwei Gründen. Erstens ist das exakte Besucherzählen bereits nicht unbedingt erforderlich (hierüber kann gestritten werden, wobei ich mehr Chancen für die strenge Sichtweise sehe). Zweitens sind Cookies für das Besucherzählen nicht erforderlich. Um diesen zweiten Punkt geht es nun.
Wie können Nutzer voneinander unterschieden werden?
Cookies fallen als Möglichkeit weg, wenn eine Einwilligungsabfrage vermieden werden soll.
Nutzer können auch ohne Cookies sehr gut voneinander unterschieden werden. Hierfür können Metadaten verwendet werden, die bei jeder http-Verbindung vom Browser eines Nutzers zum Abrufziel einer Webseite übertragen werden.
Diese Metadaten werden von Technikern oft auch als Verbindungsdaten oder Verkehrsdaten bezeichnet. Juristen verwenden diese letzten beiden Begriffe aber womöglich in anderer Bedeutung. Daher sprechen wir hier allgemeiner von Metadaten.
Zu den Metadaten, die immer vom Nutzer zu einer besuchten Webseite übertragen werden, zählen:
- Browser-Typ und Browser-Version. Beispiel: Mozilla Firefox Version 95.3, Unterversion 47.11
- Betriebssystem-Typ und Version. Beispiel: Microsoft Windows 10, 64 Bit
- Bevorzugte Sprache. Beispiel: Deutsch
- Netzwerkadresse (IP-Adresse)
- Cache-Einstellung
- Angeforderte Seite. Beispiel: https://dr-dsgvo.de/
- Zeitpunkt des Abrufs (wird nicht direkt mitgeschickt, ist aber bei Erhalt der Anfrage logischerweise vorliegend)
Werden diese Metadaten verwendet, um Nutzer ohne Cookies von einander unterscheidbar zu machen, wird das als Browser Fingerprinting bezeichnet.
Das Fingerprinting kann noch exakter gestaltet werden, wenn zusätzliche Informationen über JavaScript-Zugriffe ermittelt werden. Hierzu zählen beispielsweise:
- Bildschirmauflösung. Beispiel: 1920x1080
- Größe des Browser-Fensters. Beispiel: 1788x910
- Beispiel: 24 Bit
- Zeitzone: Beispiel: GMT+1
Diese Fingerabdrucksdaten müssen explizit abgefragt werden, wohingegen die zuvor genannten Metadaten direkt (weil zwangsweise) vorliegen, also nicht abgefragt werden müssen. Obwohl die Bildschirmauflösung nach meiner Meinung nicht im Endgerät des Nutzers gespeichert ist, könnte die Interpretation des TTDSG dem entgegenstehen. Als Argument für meinen Standpunkt nenne ich unter anderem, dass die Ausrichtung eines Smartphones, also Hochformat oder Querformat, offensichtlich nicht im Endgerät gespeichert werden muss, weil sich diese Geräteausrichtung andauern ändern kann. Zudem hängt das Bildformat (hoch oder quer) nach dem Neueinschalten des Smartphones nicht davon ab, wie es vor dem Ausschalten war, sondern davon, wie der Nutzer sein Smartphone gerade hält.
Über Techniken wie Canvas Fingerprinting können weitere zusätzliche Daten zum Nutzer gewonnen werden, die helfen, ihn von anderen Nutzern noch besser unterscheidbar zu machen. Das Canvas Fingerprinting allerdings ist wohl recht unstrittig ein einwilligungspflichtiger Zugriff.
Die höchste Rechtssicherheit wird erreicht, wenn gar keine Metadaten beim Nutzer ausgelesen werden.
Die Herausforderung hierbei ist, eine ausreichend hohe Datenqualität zu haben, um Besucher ordentlich zählen zu können.
Besucher zählen ohne Einwilligung
Dass die mildeste Version des Trackings ohne Cookies, ohne Gerätezugriffe und somit ohne Einwilligung funktioniert, zeigt Trackboxx.
Die Metadaten, die Trackboxx nutzt, sind nur die Daten, die sowieso immer bei jedem Webseitenabruf vorliegen. Es werden also keine eigenen Zugriffe auf den Browser des Nutzers durchgeführt. Für diese Zugriffe wäre nämlich eine Einwilligung erforderlich, wenn das TTDSG streng ausgelegt wird.
Auch verwendet Trackboxx keine Cookies, nicht einmal Sitzungs-Cookies (außer, der Kunde konfiguriert das Tool anders). Wenn ein Cookie nur für eine Sitzung gilt, ist es sicher unkritischer als ein Cookie, das beispielsweise einen Monat lang lebt (das wird auch Funktionsdauer oder Lebensdauer genannt). Das TTDSG unterscheidet rechtlich aber nicht zwischen Sitzungs- und dauerhaften Cookies, sondern kennt nur notwendige und nicht notwendige Cookies bzw. Zugriffe.
Weil gar keine Zugriffe im Sinne des TTDSG stattfinden, ist die Nutzung von Trackboxx aus TTDSG-Sicht einwilligungsfrei.
DSGVO und TTDSG
Nun gilt aber auch noch die DSGVO, die allerdings erst ins Spiel kommt, nachdem das TTDSG (für Cookies und andere Zugriffe) abgearbeitet ist. DSGVO steht für Datenschutzgrundverordnung und wird juristisch korrekt eigentlich DS-GVO geschrieben. Der Bindestrich wird in Texten für Nichtjuristen oft weggelassen.
Die DSGVO gilt für personenbezogene und für personenbeziehbare Daten. Personenbeziehbar sind Daten auch dann, wenn Nutzer voneinander abgrenzbar sind. Der EuGH hatte bereits im Jahr 2016 festgestellt, dass Netzwerkadressen (IP-Adressen) als personenbezogene Daten anzusehen sind. Der BGH bestätige dieses Urteil im Jahr 2017.
Deswegen darf die IP-Adresse des Nutzers nicht einfach so gespeichert werden, jedenfalls nicht, um den Nutzer besser zählen zu können. Würde die IP-Adresse unverschlüsselt gespeichert, müsste aufgrund von Art. 6 DSGVO wohl eine Einwilligung dafür eingeholt werden.
Um auch hier die Einwilligungspflicht zu vermeiden, speichert Trackboxx die IP-Adressen nicht ab. Statt dessen wird jede IP-Adresse pseudonymisiert und auch dies nicht einmal direkt, sondern durch Kombination mit anderen Werten.
Dazu wird ein zeitlich begrenzter Schlüssel verwendet. Dieser Schlüssel wird nun auf die Kombination von IP-Adresse, Browser-Version, Betriebssystem-Version und aktuellem Tag im Kalender angewendet. In der Trackboxx-Datenbank befindet sich also keine IP-Adresse. Nur, wenn ein Nutzer innerhalb desselben Tages die Webseite erneut aufruft, könnte dessen IP-Adresse (theoretisch) aus den verschlüsselten Daten wiedergewonnen werden. Das ist aber nicht nötig, denn bei einem Folgeaufruf liegt die IP-Adresse des Nutzers sowieso (wieder) explizit vor. Somit ist die DSGVO eingehalten und die pseudonymisierte Datenhaltung kann mit dem berechtigten Interesse gerechtfertigt werden. Das berechtigte Interesse ist eine der Rechtsgrundlagen, die die DSGVO neben der Einwilligung bietet.
Im Gegensatz zur Einwilligung kommt das berechtigte Interesse ohne nerviges Cookie Popup aus. Ein weiterer Vorteil neben der Tatsache, dass Nutzer nicht mehr von einer Einwilligungsabfrage genervt werden, ist die höhere Rechtssicherheit. Denn für Cookie Popups gelten zahlreiche Vorschriften, die sich unter anderem aus Art. 7 DSGVO und Art. 13 DSGVO ergeben. So muss dort, wo die Einwilligung abgefragt wird, auch ein Hinweis gegeben werden, wo und wie ein Widerruf erteilt werden kann. Wer sich Cookie Popups auf verschiedenen Seiten ansieht, stellt fest, dass dieser gesetzlich vorgeschriebe Hinweis oft fehlt.
IP-Adressen ändert sich üblicherweise im Laufe der Zeit. Bei kabelgebundenen Internetzugängen passiert dies anscheinend seltener als bei DSL. Allerdings wechseln die Netzwerkadressen nicht genau dann, wenn ein Nutzer eine Webseite aufruft. Insofern kann der Nutzer innerhalb eines Tages mit sehr hoher Wahrscheinlichkeit wieder erkannt werden. In Firmennetzwerken sind Nutzer weniger gut unterscheidbar, wenn ein synchronisierter Update-Mechanismus für die Computer der Mitarbeiter betrieben wird. Denn dieses Update sorgt dafür, dass Browser und Betriebssystem der Firmen-Mitarbeiter nach außen hin gleich wirken. Allerdings zeigt die Praxis, dass die Unschärfe, die Firmennetzwerke mit sich bringen, nicht ins Gewicht fällt.
Fazit
Besucher erfassen und Inhalte optimieren funktioniert völlig ohne Cookies und ohne störendes und fehleranfälliges Cookie Popup. Tools wie Trackboxx bieten eine datenschutzfreundliche Lösung, die die Vorgaben von TTDSG und DSGVO einhalten.
Die Datenqualität ist so gut, dass keine Abstriche gegenüber dem Cookie-behafteten Besucherzählen zu befürchten sind. Immerhin haben all die Lösungen, die auf Cookies basieren, neben der Rechtsunsicherheit eine weitere Schwäche. Bekanntlich kann jeder in seinem Browser Cookies einfach löschen. Dafür gibt es sogar Hilfsprogramme, wie CCCleaner oder Antiviren-Programme. Ein gelöschtes Cookie raubt den datenschutzfeindlichen Trackern ihr Gedächtnis. Sie funktionieren dann nicht besser als Trackboxx, brauchen aber immer noch eine Einwilligung. Auch was Firmennetzwerke angeht, sind Cookie-basierte Tracker nicht bessergestellt. Denn in größeren Firmen werden Cookies aufgrund von Sicherheitsrichtlinien regelmäßig automatisch von den Mitarbeiter-Rechnern gelöscht.
Über den Autor:
Dr. Klaus Meffert ist Diplom-Informatiker und Geschäftsführer der IT Logic GmbH. Er veröffentlicht als Dr. DSGVO regelmäßig Beiträge zum digitalen Datenschutz und betrachtet dabei technische und rechtliche Aspekte gleichermaßen.
