Datenschutz beim Website-Tracking für die Leadgenerierung

Ist die B2B-Website-Besuchererkennung rechtlich zulässig?

von Dr. Thomas Schafft, Fachanwalt für Informationstechnologierecht, SSH Rechtsanwälte

Verschiedene Anbieter spezieller Webanalyse-Tools für B2B-Websites werben damit, anonyme Website-Besucher in konkrete Leads für den Website-Betreiber zu verwandeln. Insbesondere soll der Website-Betreiber erkennen können,

• welche Unternehmen seine Website besucht haben und
• für welche Website-Inhalte sich die jeweiligen Besucher interessiert haben.

Beispielsweise könnte die Digitalmarketing-Agentur Publicare mit Hilfe einer solchen Software erkennen, dass ein Mitarbeiter der (fiktiven) XYZ GmbH am 14. April 2020 von 15.30 bis 15.45 Uhr die Website publicare.de besucht und dabei verschiedene Beiträge zum E-Mail-Marketing gelesen hat. Um die Kontaktaufnahme zu erleichtern, stellt das Werkzeug außerdem die Website-Adresse der XYZ GmbH und die daraus ausgelesene Anschrift bereit – die weitere Bearbeitung dieses Leads kann also beginnen.

I. Funktionsweise

Die Tracking-Tools werten vor allem die IP-Adressen der jeweiligen Website-Besucher aus. Anhand der öffentlich verfügbaren „Whois“-Datenbanken und gegebenenfalls zusätzlicher proprietärer Datenbanken können die Anbieter bestimmte statische IP-Adressen einer konkreten Organisation zuordnen. Beispielsweise lässt sich so erkennen, dass ein (fiktiver) Website-Besucher mit der IP-Adresse 160.46.226.100 vermutlich ein Mitarbeiter von BMW ist, ein Besucher mit der IP-Adresse 143.163.12.100 ein Mitarbeiter von Volkswagen sein dürfte und die IP-Adresse 141.113.0.100 für den Website-Besuch eines Daimler-Mitarbeiters spricht. Website-Besucher mit dynamischen IP-Adressen werden dagegen von den B2B-Tracking-Tools ignoriert, da solche Besucher (i) mit einer gewissen Wahrscheinlichkeit „nur“ Privatpersonen sind und (ii) anhand der dynamischen IP-Adresse ohnehin nicht genauer identifiziert werden können.

Die wesentliche Leistung der Anbieter besteht also darin, nicht identifizierbare Website-Besucher anhand ihrer (dynamischen) IP-Adresse schon vor dem Tracking auszufiltern und nur solche Besuche zu erfassen, die anhand der (statischen) IP-Adresse einem konkreten Unternehmen zugeordnet werden können. Neben der Identifizierung dieser Firma erfassen die Anbieter die typischen weiteren Informationen einer Webanalyse-Software, beispielsweise den sogenannten Referrer (um die „Quelle“ des Besuchs zu erkennen und z. B. einer bestimmten Google Ads-Kampagne zuzuordnen) oder das Besuchsverhalten auf der Website, um z. B. aus den besuchten Seiten auf die konkreten Interessengebiete des Besuchers zu schließen.

Bemerkenswert ist, dass die Anbieter solcher Tracking-Tools für ihre Analysen typischerweise keine Cookies nutzen, d. h. es handelt sich um eine Variante des „Cookie-less Tracking“. Bestimmte Informationen können daher aus technischen Gründen zwangsläufig nicht erfasst werden, beispielsweise die session-übergreifende Erkennung von wiederholten Besuchen ein- und desselben Nutzers. Für die Leadgenerierung im hier betrachteten B2B-Kontext sind solche Zusatzinformationen aber ohnehin zweitrangig.

II. Rechtliche Bewertung

Wie jedes andere Website-Tracking wirft auch die hier beschriebene Technik datenschutzrechtliche Fragen auf. Dabei sind vor allem die europäische Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG in der durch die Richtlinie 2009/136/EG geänderten Fassung, dazu sogleich unter 1.) und die europäische Datenschutz-Grundverordnung („DSGVO“, dazu anschließend unter 2.) zu betrachten.

1. Datenschutzrichtlinie für elektronische Kommunikation

Die auf vielen Websites immer prominenter werdenden „Cookie-Banner“ mit der Bitte um Einwilligung in Cookies und in das darauf beruhende Website-Tracking basieren primär auf der Datenschutzrichtlinie für elektronische Kommunikation. Artikel 5 Abs. 3 dieser Richtlinie lautet wörtlich (mit Hervorhebungen und Auslassungen (…) nur hier):

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer (…) seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn (…) dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“

Diese Rechtsnorm ist aus folgenden Gründen bemerkenswert:

• • Die hier geregelte „Speicherung von Informationen“ im Endgerät eines Nutzers sowie der „Zugriff auf Informationen, die bereits im Endgerät (…) gespeichert sind“ meint insbesondere die Nutzung von Cookies, die im Browser eines Website-Besuchers gesetzt oder ausgelesen werden.
  • Nach Art. 5 Abs. 3 sind solche Cookies (und vergleichbare Speicher-Technologien wie z. B. DOM Storage) nur zulässig, wenn
    • entweder der Nutzer in sie eingewilligt hat (vgl. Satz 1 der oben zitierten Regelung) oder
    • sie technisch unbedingt erforderlich sind, um die besuchte Website zur Verfügung zu stellen (vgl. Satz 2 der oben zitierten Regelung).

Tracking- und Marketing-Cookies sind praktisch nie „unbedingt erforderlich“ im Sinne von Satz 2, so dass sie nach Satz 1 nur mit einer Einwilligung zulässig sind. Das Ziel der immer häufiger verwendeten Cookie-Banner ist, solche Einwilligungen einzuholen.

Diese rechtlichen Erwägungen stellen sich allerdings nur bei cookie-basiertem Website-Tracking, da es nur dann zu einer „Speicherung von Informationen“ im Endgerät eines Nutzers und zum „Zugriff auf Informationen, die bereits im Endgerät (…) gespeichert sind“ kommt. Die hier betrachteten Anbieter spezialisierter Lösungen für B2B-Tracking arbeiten jedoch – wie oben beschrieben – typischerweise ohne den Einsatz von Cookies oder ähnlichen Speicher-Technologien; sie begnügen sich mit der Auswertung der IP-Adresse. Anders als beim „normalen“ (d. h. cookie-basierten) Website-Tracking spielt Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation also hier keine Rolle – die Zulässigkeit des B2B-Trackings richtet sich allein nach der DSGVO.

2. DSGVO

a) IP-Adressen als personenbezogene Daten?

Die DSGVO gilt ausschließlich für die Verarbeitung „personenbezogener Daten“. Dies sind nach der gesetzlichen Definition in Artikel 4 Nr. 1 DSGVO

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Die Beschränkung auf „natürliche Personen“ (d. h. Menschen) bedeutet insbesondere, dass Daten über Organisationen und juristische Personen wie z. B. eine GmbH oder AG nicht in den Anwendungsbereich der DSGVO fallen.

Die erste Frage ist, ob statische IP-Adressen, die typischerweise nur von Unternehmen und nicht von Privatpersonen verwendet werden, überhaupt natürliche Personen betreffen. Falls nicht, stellen sie (und die mit ihrer Hilfe erhobenen weiteren Informationen) keine personenbezogenen Daten dar und die DSGVO ist gar nicht anwendbar. Bei dynamischen IP-Adressen privater Internet-Nutzer zeigt das systematische rechtliche Vorgehen der Musikindustrie gegen illegales Filesharing, dass sich einzelne Internet-Nutzer über ihren Internet-Service Provider in vielen Fällen anhand ihrer dynamischen IP-Adresse identifizieren (und damit auch rechtlich verfolgen) lassen. Die Rechtsprechung geht daher davon aus, dass dynamische IP-Adressen eher nicht anonym, sondern zumindest in bestimmten Fällen personenbezogene Daten sind (vgl. hierzu etwa ein Urteil des BGH vom 16. Mai 2017). Statische IP-Adressen sind dagegen nur einer Organisation wie der einleitend genannten „XYZ GmbH“ zugewiesen. Solche Unternehmen erstellen – im Gegensatz zu Internet-Service-Providern bei ihren dynamischen IP-Adressen – in den meisten Fällen keinerlei Log-Dateien über die Internet-Nutzung ihrer einzelnen Mitarbeiter. Damit fehlt schlichtweg die erforderliche Zusatzinformation, um den Besuch der fraglichen Website durch die „XYZ GmbH“ einem ganz konkreten Mitarbeiter dieses Unternehmens zuordnen zu können. Der Personenbezug statischer IP-Adressen ist daher sehr fraglich.

Technisch kann man zusätzlich versuchen, die für die Analyse verwendeten statischen IP-Adressen nicht direkt zu verwenden, sondern diese durch die Verwendung von nicht rückrechenbaren „Einweg-Hashes“ noch weiter zu verschlüsseln. Die Argumentation, dass ein solches „Hashing“ zur Anonymisierung der zugrundeliegenden Ausgangsdaten führt, wird von den Aufsichtsbehörden zumindest bei klar strukturierten Ausgangsdaten wie z. B. Telefonnummern oder E-Mail-Adressen nicht akzeptiert, und zumindest bislang unterstützen die Gerichte diese Auffassung (vgl. Rn. 45 einer Entscheidung des VG Bayreuth vom 8. Mai 2018, die in der nächsten Instanz vom VGH München bestätigt wurde). Die Verwendung solcher Einweg-Hashes ist als zusätzliche Maßnahme zum Schutz der Daten aber trotzdem sinnvoll und wünschenswert. Sie verstärkt in jedem Fall das Argument, dass die verwendeten Daten lediglich unternehmensbezogen und nicht personenbezogen sind, um auf diese Weise den Anwendungsbereich des Datenschutzrechts zu verlassen.

Selbst wenn man diesen Überlegungen nicht folgt und auch statische IP-Adressen für personenbezogene Daten hält, so ist der Personenbezug bei ihnen doch zumindest ausgesprochen schwach ausgeprägt. Die Identifizierung einer natürlichen Person anhand ihres Namens, ihrer Anschrift oder E-Mail-Adresse ist sehr einfach, so dass die Nutzung solcher „Identifier“ für praktisch Jedermann möglich und nachvollziehbar ist. Bei dem hier betrachteten B2B-Tracking wäre dagegen – wenn es denn überhaupt möglich ist – zumindest erheblicher Rechercheaufwand vonnöten, um über die bloße Identität des Unternehmens hinaus auch die konkrete natürliche Person zu identifizieren, die die Website besucht hat (z. B. mit Hilfe der vom Arbeitgeber dieser Person gespeicherten Log-Dateien für die Internet-Nutzung, die jedoch – falls sie überhaupt existieren – für Dritte außerhalb des Unternehmens praktisch nie zugänglich sind). Hinzu kommt noch, dass in der Regel weder der Website-Betreiber noch der verwendete Tracking-Dienstleister überhaupt ein Interesse daran haben, diese natürliche Person zu identifizieren. Vielmehr versuchen Unternehmen mittels B2B-Webanalyse diejenigen Organisationen zu ermitteln, bei denen durch ihren Website-Besuch vertriebliches Potenzial vermutet werden kann, nicht welche konkrete natürliche Person bei dieser Organisation die Website besucht und dadurch das Interesse zum Ausdruck gebracht hat. Selbst wenn man statische IP-Adressen als personenbezogen ansieht, so sind sie doch zumindest „fast anonym“, was für die nachfolgende rechtliche Beurteilung eine Rolle spielt.

b) Datenschutzrechtliche Rechtfertigung

Würde man die von den B2B-Trackern erhobenen Daten als personenbezogen ansehen, so stellt sich als nächstes die Frage, wie die Verarbeitung dieser Daten nach der DSGVO gerechtfertigt werden kann. Hierfür muss mindestens einer der in Artikel 6 Abs. 1 DSGVO genannten Erlaubnistatbestände erfüllt sein.

Ein Ansatz hierfür wäre eine Einwilligung nach Art. 6 Abs. 1 a) DSGVO. Eine solche Einwilligung müsste über ein „Cookie-Banner“ der oben angesprochenen Art eingeholt werden, d. h. beim Aufruf der Website erscheint ein entsprechendes Pop-up mit der Bitte um Einwilligung. Aus Sicht des Website-Betreibers ist an dieser Lösung nachteilig, dass viele Besucher nicht geneigt sein werden, die Einwilligung zu erteilen. Die Information über ihre Besuche gehen dem Website-Betreiber dann zwangsläufig verloren.

Nicht jede Verarbeitung personenbezogener Daten bedarf einer Einwilligung. Alternativ – und wirtschaftlich sinnvoller – kann das Website-Tracking auch auf eine Interessenabwägung nach Art. 6 Abs 1 f) DSGVO gestützt werden. Die Voraussetzungen hierfür sind:

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich,
sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Daten erfordern, überwiegen…“.

Es ist allgemein anerkannt, dass das Interesse an zielgenauer Werbung ein berechtigtes Interesse des jeweiligen Website-Betreibers ist. Somit verbleibt die Frage, ob die „Interessen oder Grundrechte und Grundfreiheiten“ der Website-Besucher dieses werbliche Interesse des Website-Betreibers überwiegen.

Wichtig ist, dass es bei dieser Interessenabwägung allein auf eventuelle Gegeninteressen des individuellen Mitarbeiters ankommt, dessen personenbezogene Daten beim Website-Tracking erfasst werden. Die Vertraulichkeitsinteressen seines Arbeitgebers, der womöglich nicht offenbaren möchte, für welche Themen sich das Unternehmen aktuell interessiert, sind dagegen nicht personenbezogen und daher im Rahmen dieser Interessenabwägung nicht zu berücksichtigen.

Jede Art der Interessenabwägung nach Artikel 6 Abs. 1 f) DSGVO ist mit einer gewissen Unsicherheit behaftet. Die Aufsichtsbehörden für den Datenschutz in Deutschland haben jedoch in einer Stellungnahme (siehe dort insbesondere Seite 11 ff.) erkennen lassen, dass insbesondere bei „wenig sensiblen“ Websites ein Tracking der Besucher durch Artikel 6 Abs. 1 f) DSGVO durchaus gerechtfertigt sein kann. Zu den von den Aufsichtsbehörden angeführten Parametern für die Interessenabwägung (vgl. Seite 16 der Stellungnahme) lässt sich speziell im Hinblick die B2B-Website-Besuchererkennung Folgendes festhalten:

• • Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz: Selbstverständlich muss in den Datenschutzhinweisen der Website über den Einsatz eines B2B-Tracking-Tools informiert werden. Die Aufsichtsbehörden sehen darüber hinaus jedoch zwei Aspekte als kritisch an, nämlich
    • die eventuelle Weitergabe von Tracking-Informationen an Dritte, die diese Daten sodann in eigener Verantwortung weiterverarbeiten (wie es z. B. beim Tracking von Werbe-Netzwerken typischerweise der Fall ist). Bei der hier betrachteten B2B-Website-Analyse ist dies kein Problem, da die entsprechenden Dienstleister als bloße Auftragsverarbeiter tätig werden und daher rechtlich gesehen „im Lager des Website-Betreibers stehen“; oder
    • Techniken, welche das Verhalten von Website-Besuchern nachvollziehen und dokumentieren können, wie z. B. durch die Erfassung von Maus- und Scrollverhalten, was nach Einschätzung der Aufsichtsbehörden außerhalb der Erwartungshaltung der Nutzer ist. Hier hängt es von der konkreten Ausgestaltung des B2B-Website-Trackings ab, inwieweit solche Techniken zum Einsatz kommen und daher bei der Interessenabwägung negativ ins Gewicht fallen.

• • Interventionsmöglichkeiten der betroffenen Personen: Typischerweise bieten die B2B-Tracking-Tools den Website-Nutzern die Möglichkeit, der Erfassung ihrer Daten zu widersprechen. Dieses uneingeschränkte Widerspruchsrecht ist ein positiver Faktor im Rahmen der Interessenabwägung.

• • Verkettung von Daten: Ziel der B2B-Tracking-Lösungen ist allein, die Nutzung der eigenen Website durch bestimmte Unternehmen zu erkennen und zu erfassen. Es droht also keine Verkettung mit anderen Datenbeständen, wie es z. B. bei einer Website-übergreifenden Nutzungserfassung der Fall wäre. Auch dies ist ein positiver Faktor im Rahmen der Interessenabwägung.

• • Beteiligte Akteure: Je mehr Verantwortliche, Auftragsverarbeiter und sonstige Empfänger in die Verarbeitungstätigkeit einbezogen sind, desto größer ist die Beeinträchtigung für die betroffenen Personen. Bei der B2B-Website-Analyse gibt es jedoch nur einen einzigen Verantwortlichen (nämlich den Website-Betreiber), der den Tracking-Dienstleister als einzigen Auftragsverarbeiter einsetzt. Eine besondere Beeinträchtigung für die betroffenen Personen ist hierbei nicht zu erkennen.

• • Dauer der Beobachtung: Im Rahmen der Wertungen ist relevant, wie lange die Möglichkeit besteht, die Nutzer wiederzuerkennen und Informationen zum Nutzungsverhalten zu sammeln und zuordnen zu können. Bei dem hier betrachteten „Cookie-less Tracking“ ist eine session-übergreifende Wiedererkennung einzelner Besucher bereits technisch nicht möglich, was ebenfalls positiv in die Interessenabwägung einfließt.

• • Kreis der Betroffenen (etwa besonders schutzbedürftige Personen): Das B2B-Website-Tracking beschränkt sich auf die Mitarbeiter von Unternehmen, die im Rahmen ihrer beruflichen Tätigkeit eine fremde Website besuchen. Ein besonderes Schutzbedürfnis für solche Personengruppen besteht nicht.

• • Datenkategorien: Hier spielen verschiedene Aspekte eine Rolle:

• • • Bei der Bewertung ist zu berücksichtigen, welche Datenkategorien erhoben und in welchem Detaillierungsgrad Informationen erfasst werden (z. B. die bloße Protokollierung, auf welche Seiten und Dateien zugegriffen wurde, als besonders unkritische Gestaltung; eine darüber hinausgehende Aufzeichnung des Mausbewegung- und Scroll-Verhaltens als eher kritische Gestaltung). Hier hängt es wieder von der konkreten Ausgestaltung des B2B-Website-Trackings ab, welche dieser Techniken zum Einsatz kommen und daher bei der Interessenabwägung entweder positiv oder negativ ins Gewicht fallen.
    • Im Rahmen der Interessenabwägung ist auch zu berücksichtigen, ob die betroffene Person direkt oder nur indirekt identifizierbar ist. Hier spielt der oben beschriebene „fast anonyme“ Charakter der erhobenen Daten eine Rolle, da die konkrete Person des Website-Besuchers für den Betreiber der Website in der Regel nicht zu ermitteln ist.
    • Schließlich ist der B2B-Charakter der besuchten Websites zu berücksichtigen. Der Besuch einer solchen Website ist nicht geeignet, daraus „persönlichkeitsbeschreibende Aspekte“ wie z. B. Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder allgemein das Verhalten des Besuchers zu bewerten. Auch dies ist ein positiver Faktor im Rahmen der Interessenabwägung.

• • Umfang der Datenverarbeitung: Je größer die Menge an verarbeiteten Daten, desto höher ist das Risiko für die Rechte und Freiheiten der betroffenen Person.

• • • Auch hier hängt es wieder von der konkreten Ausgestaltung des B2B-Website-Trackings ab, wie viele Detailinformationen über den Besuch der Website erfasst werden, was dann wiederum bei der Interessenabwägung entweder positiv oder negativ ins Gewicht fällt. Von ihrer Grundstruktur her sind die B2B-Tracking-Tools jedoch eher „datensparsam“ angelegt, da es vor allem um die – sehr überschaubare – Information geht, (i) dass ein konkretes Unternehmen die Website besucht hat und (ii) welche Themenbereiche auf der Website dabei von Interesse waren.
    • Der Umfang der Datenverarbeitung ist darüber hinaus eng mit der Speicherdauer verbunden. Je kürzer die vom Website-Betreiber festgelegte Speicherdauer der erfassten Daten ist, desto besser ist dies im Rahmen der Interessenabwägung. Werden über einen langen Zeitraum permanent Daten hinzugespeichert, so vergrößert dies den Umfang der Datenverarbeitung. Entscheidet sich der Website-Betreiber dagegen für eine eher kurze Speicherdauer der vom Tracking-Tool erfassten Daten, so ist dies im Rahmen der Interessenabwägung positiv zu bewerten.

III. Fazit

Angesichts dieser Überlegungen und vor dem Hintergrund der von den Aufsichtsbehörden veröffentlichten Stellungnahme erscheint es sehr gut vertretbar, die hier betrachteten Lösungen zur Erfassung von B2B-Website-Besuchern auch ohne vorherige Einwilligung der Website-Besucher zu verwenden.