Weltweit verschärfen sich die Datenschutzgesetze – bald auch in der Schweiz mit dem revidierten Datenschutzgesetz. Die noble Absicht der Gesetzgeber kann nicht von der Hand gewiesen werden, die Persönlichkeit und die Grundrechte müssen geschützt werden! Doch wurde etwas übersehen? Werden etwa unzählige Webseitenbetreiber faktisch gezwungen, blind zu wirtschaften oder in die Illegalität abzudriften?
(Bildquelle: Pixabay)
Um was geht es genau?
Für Webseitenbetreiber ist es seit jeher erfolgsentscheidend, Daten zur Nutzung ihres Auftritts zu erheben, um daraus Erkenntnisse zu gewinnen, welche Inhalte oder Funktionalitäten verbessert oder welche Marketingmassnahmen optimiert werden müssen. Diese Daten werden zum hier geschilderten Zweck in den allermeisten Fällen ohne jegliches Interesse in Bezug auf die einzelnen Personen, die die Website besuchen, erhoben. Analysiert werden also am Schluss aggregierte Metriken, wie zum Beispiel Anzahl Besucher, Anzahl Seitenansichten oder durchschnittliche Besuchsdauer, in Bezug auf Dimensionen wie Herkunft des Zugriffs, Inhaltskategorien oder Einkaufsverhalten.
Was ändert sich?
Seit dem Inkrafttreten der DSGVO und im Hinblick auf die baldige Revision des Schweizer Datenschutzgesetzes erhärtet sich die allgemeine Auffassung, dass Online-Kennungen wie IP-Adressen und in Cookies gespeicherte Kennungen als personenbezogene Daten betrachtet werden müssen (siehe Erläuterungen des EDÖB).
Damit werden die Webseitenbetreiber dazu verpflichtet, vor jeglicher Datenerhebung die Besucher über deren Zweck zu Informieren und über sogenannte Cookie- oder Privacy-Banners die dazu notwendige Einwilligung zu erhalten.
Was ist die Konsequenz?
Durch die vom Banner erzeugte Verzögerung in der Datenerhebung – auch wenn die Besucher schliesslich einwilligen – geht einer der wichtigsten Messpunkte verloren, nämlich die Einstiegsseite. Diese offenbart unter anderem die Herkunft des Zugriffs (also auch kostspielige Marketingmassnahmen), direkte Absprünge (Bounces) und für welche Seite sich die Besucher interessiert haben. Da für das Setzen nicht funktionaler Cookies ebenso eine Einwilligung nötig ist, können diese Informationen auch nicht zwischengespeichert und allenfalls nach der Einwilligung erhoben werden.
Was irritiert?
Da die IP-Adresse integraler Bestandteil jeglicher Onlinekommunikation ist, wird mit dieser Auslegung – trotz des begründeten Bundesgerichtsentscheids (Logistep, 2010), dass IP-Adressen nicht generell als personenbezogene Daten betrachtet werden können – massiv in die Wirtschaftlichkeit von Internetauftritten eingegriffen, obwohl die hier beschriebene klassische digitale Analyse in keiner Weise darauf abzielt, personenbezogene Profile anzulegen.
Art. 5 Begriffe
In diesem Gesetz bedeuten:
a. Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
Zudem wird mit dieser Auslegung angenommen, dass der Personenbezug gemäss Art. 5 Abs. a revDSG absolut betrachtet werden muss. Dies wird in juristischen Fachkreisen stark debattiert und es zwingt sich aus technischer Sicht die Frage auf, inwiefern ein Verantwortlicher, ohne bedeutende Rechtsmittel, über eine IP-Adresse bzw. einer Cookie-ID einen Personenbezug herstellen oder diese Daten im Rahmen eines Auskunftsbegehren berücksichtigen könnte.
Wie weiter?
Für die allermeisten Webseitenbetreiber wird es eine Alibiübung werden, diese Cookie-Banner aufzuschalten, nur damit die allermeisten Besucher diese unbedacht wegklicken.
Nur die grösseren Unternehmen werden in der Lage sein, die komplexen und teuren technischen Massnahmen zu ergreifen, um dieser Problematik aus dem Weg zu gehen, und die noch Grösseren, die sich wahrscheinlich im Visier der Gesetzgeber und Datenschützer befinden, werden sicherlich ein Schlupfloch finden, um ihre milliardenschweren Märkte zu verteidigen.
