+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Können Tracking-Pixel rechtskonform eingesetzt werden?

Seit einiger Zeit sind die rechtlichen Vorgaben beim Einsatz von Cookies in aller Munde. Doch auf vielen Websites kommen längst ganz andere Technologien zum Einsatz, die ebenfalls datenschutzrechtliche Fragen aufwerfen: das Tracking-Pixel. Facebook und Google bieten mittlerweile einfache Möglichkeiten, solche Tracking-Pixel zu implementieren. Doch wie sieht es mit den rechtlichen Voraussetzungen für deren Einsatz aus? Wir beleuchten die kleinen Bildchen aus rechtlicher Sicht.

  • Tracking-Pixel, 1×1 Pixel, Zählpixel?

Bei Tracking-Pixeln, oft auch 1×1-Pixel, Zählpixel o. ä. genannt, sind winzige Bilddateien, die in eine Homepage eingearbeitet werden. In der Regel sind sie so klein und farblich so gestaltet, dass sie vom Besucher der Seite nicht wahrgenommen werden. Dieses wird mit einem Tracking-Code in den HTML-Code der Webseite implementiert. So kann der Webseitenbetreiber das Nutzerverhalten auch seitenübergreifend und vor allem auch noch nach dem Klick des Nutzers auf einen bestimmten Link verfolgen.
Die Vorteile bei der Nutzeranalyse sind Grund genug von herkömmlichen Cookies auf Tracking-Pixel umzustellen.

  • Rechtliche Grundlage

Grundsätzlich ist auf Webseiten das Telemediengesetz (TMG) anwendbar. Beim Einsatz von Tracking-Tools kommt darüber hinaus auch der Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) in Betracht. Dies ist dann der Fall, wenn Daten erfasst werden, die Rückschlüsse auf die konkrete Person des Nutzers zulassen, also zumindest immer dann, wenn die Daten mit einem Nutzerprofil oder einem Kundenkonto verknüpft werden. Werden die Daten hingegen verschleiert (bspw. wie bei AnonymizeIP bei Google-Analytics), dann sind nur die Voraussetzungen des TMG zu beachten.

  • Opt-in oder Opt-out?

Ob  bei der Nutzeranalyse mittels Tracking-Pixels eine Opt-out-Möglichkeit des Nutzers genügt oder ob dieser zuvor aktiv in die Nutzung des Tracking-Pixels einwilligen (opt-in) muss, hängt von der Rechtsgrundlage ab.
Ist ein Rückschluss auf den spezifischen Nutzer nicht möglich, weil die Informationen anonymisiert und nicht mit einem Profil verknüpft werden, richten sich die rechtlichen Vorgaben nach § 15 Abs. 3 TMG. Danach dürfen Dienstanbieter „für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“ Die Nutzungsprofile dürfen dabei nicht mit den Daten des Trägers des Pseudonyms zusammengeführt werden. In diesem Fall reicht es also aus, wenn der Nutzer ausführlich in der Datenschutzerklärung über den Einsatz des Tracking-Pixels informiert und ihm die Möglichkeit des Opt-outs eingeräumt wird.
Anders sieht es hingegen aus, wenn die Daten mit einem Nutzerkonto verknüpft werden. Hier ist das BDSG zu beachten, insbesondere § 4 BDSG. Danach dürfen personenbezogene Daten nur erhoben werden, wenn ein Gesetz dies ausdrücklich anordnet oder der Nutzer eingewilligt hat. Eine ausdrückliche, gesetzliche Erlaubnis für Tracking-Pixel besteht nicht. Daher kommt es in diesem Fall immer auf die Einwilligung des Nutzers an. Diese muss noch vor der Erhebung der Daten, also bevor das Pixel das erste Mal eingesetzt wird, eingeholt werden. Hier ist dann ein aktives Opt-in des Nutzers erforderlich.

  • Das Facebook Customer Audience-Pixel

Facebook bietet für Facebook-Ads und die genaue Erstellung von Zielgruppen ebenfalls eine einfache Möglichkeit für die Implementierung eines Tracking-Pixels an. Doch wie ist das hier mit den rechtlichen Voraussetzungen?
In den AGB von Facebook finden sich weitere Informationen über das Tool. Diesen ist jedoch auch zu entnehmen, dass Facebook die Daten aus dem Tool mit dem Facebook-Profil des Nutzers verknüpft. Durch die Klarnamenpflicht bei Facebook werden die gesammelten Daten also unmittelbar mit einer identifizierbaren Person verknüpft.
Selbst wenn Facebook die Nutzerdaten anonymisiert bzw. pseudonymisiert, bestehen datenschutzrechtliche Bedenken: Nach Auffassung der Bayerischen Landesdatenschutzbehörde ist die Nutzung von Facebook Custom Audiences gleichwohl unzulässig und kann zu Bußgeldverfahren führen. Die Behörde hat in ihrem „6. Tätigkeitsbericht“ bereits im Frühjahr 2015 festgestellt, dass Facebook mit einfachen technischen Mitteln die Hashwerte zurückrechnen und die Nutzer identifizieren könne: „E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“
Die Datenschutzbehörden in anderen Bundesländern dürften ähnliche Auffassungen vertreten. Wer das Facebook Customer Audience-Pixel verwendet, braucht also vorher die Einwilligung der Besucher seiner Webseite. Allein das Informieren des Nutzers über die Datenschutzinformation, kombiniert mit einer einfachen Opt-out-Möglichkeit, reicht also nicht aus.

  • Retargeting-Pixel (Google, Criteo)

Das Problem beim Google Pixel-Tag ist, das die Daten unter Umständen mit Google-Konten verknüpft werden. Zwar drückt sich Google sehr schwammig aus, jedoch findet sich in der Datenschutzerklärung unter Cookies und ähnliche Technologien folgende Formulierung:
„Die Daten, die wir erfassen, wenn Sie in Ihrem Google-Konto angemeldet sind, und die Daten, die wir von Partnern über Sie erhalten, können mit Ihrem Konto verknüpft werden.“
Nach unserem Kenntnisstand funktioniert beim Google Pixel-Tag auch die Anonymisierung mittels anonymizeIP nicht. Bei diesen Pixeln gilt aus rechtlicher Sicher daher das zum Facebook Customer-Audience-Pixel Gesagte entsprechend.
Criteo gibt in der Datenschutzerklärung dagegen an, garantiert nur anonyme Daten zu erfassen und keinen Rückschluss auf persönliche Daten zuzulassen. Beim Criteo Tracking-Pixel sollte daher die Opt-out Lösung ausreichen.

  • Umsetzung der rechtlichen Vorgaben

Das schwierigste an rechtlichen Vorgaben ist meistens die praktische Umsetzung. Diese ist auch hier nicht ganz einfach. Neben der Anpassung der Datenschutzerklärung ist bei der Variante mit der Verknüpfung eines Nutzerkontos auch die Einwilligung des Nutzers einzuholen. Hierfür empfehlen wir die Einrichtung eines Pop-up Fensters oder eines Banners. Dieses muss enthalten: Die Information über die Verwendung des Tracking-Pixels, einen Link auf die Datenschutzerklärung mit genaueren Informationen zum Tracking-Pixel und ein Zustimmungsbutton für den Nutzer. Erst nach dem Klick auf den Zustimmungsbutton darf dann das Pixel geladen und das Nutzerverhalten ausgelesen werden.

An den Anfang scrollen