Cross-Device-Tracking: Dem Nutzer kontinuierlich auf der Spur

hug-2054836_1920Tracking ist mittlerweile ein gut eingeführter Begriff und in der breiten Masse wohl bekannt. Wer hat nicht schon einmal das Angebot zur Sendungsverfolgung eines Paketes in Anspruch genommen und festgestellt, dass es eigentlich recht praktisch ist. Aber dass dies auch für eine andere Art der gezielten Nachverfolgung eingesetzt wird – nämlich um Kenntnis über das Verhalten von Nutzern im Internet zu erhalten – ist immer noch nicht Jedermann so richtig bewusst, beziehungsweise teilweise werden hier die Möglichkeiten nach wie vor unterschätzt. Dabei generieren Unternehmen beständig neue Methoden, um das Verhalten im Web zu analysieren, da die Verbraucherdaten ein wichtiger Rohstoff sind – je umfangreicher und genauer, desto aussagekräftiger und letztendlich wertvoller. Denn darüber lassen sich im Weiteren wichtige Schlüsse ziehen. Zum Beispiel, wofür sich Nutzer interessieren, was sie konsumieren, ob sie alleine leben oder nicht, welchen Bildungsstand sie haben und vieles mehr. Somit sind diese Daten wesentlich für gezielte Werbe- und Marketingaktivitäten aber ebenso für die dynamische Preisgestaltung der Anbieter.

An diese Informationen zu gelangen, ist relativ trivial. Hierzu gibt es verschiedene Ansätze: so werden zum Beispiel kleine Code-Elemente in Webseiten eingebettet, welche darauf ausgelegt sind, die Daten von dem Computer eines Nutzers direkt an dritte Parteien zu übermitteln. Dieser Vorgang geschieht im Hintergrund, ohne dass der Nutzer davon etwas merkt und funktioniert sogar über die Webseiten verschiedener Anbieter hinweg.

Aktuellste Methode: Cross-Device-Tracking

Bernd_Fuhlert_sw
Bernd Fuhlert, Geschäftsführer @yet GmbH und Experte für Datenschutz und Online Reputation Management

In den letzten Jahren hat sich das Nutzerverhalten jedoch dahingehend geändert, dass regelmäßig mit unterschiedlichen Geräten auf Webinhalte zugegriffen wird. Somit lässt sich eine nahtlose Nachverfolgung über sogenannte Browser-Cookie allein nicht mehr realisieren, dies ist durch die selektive Nutzung von Smartphones, Tablets und internetfähiger Fernsehgeräte nahezu ausgeschlossen. Folglich müssen die Methoden zur, weiterhin umfassenden, Sammlung der Nutzerdaten entsprechend angepasst werden. Das bedeutet, es gilt Möglichkeiten zu finden, um den Nutzer auch künftig stets zu individualisieren, unabhängig davon, auf welchem Wege der Zugang zum Internet erfolgt. Diese eindeutige Identifizierung lässt sich mittels Cross-Device-Tracking realisieren. Hierbei kommen verschiedene Methoden zum Einsatz:

  1. Deterministic Links (Login)

Anbieter wie Facebook oder Google können ihre Nutzer leicht über das Login identifizieren, da sich diese üblicherweise bei sämtlichen Diensten sowie auf allen genutzten Endgeräten mit demselben Account anmelden. Von daher werden automatisch alle Informationen über deren Verhalten wie Klicks, Likes sowie auch Informationen von (Facebook oder eben Google-) Kooperationspartnern, erfasst und ausgewertet.

  1. Probabilistic Links

Probabilistic Links basieren auf Algorithmen. Diese ermitteln über Charakteristiken und Metadaten wie beispielsweise IP-Adresse, Betriebssystem, Gerätetyp, Nutzungsmuster oder Standortdaten exakt die Verbindung zwischen einem Endgerät und einer Person. Somit können einem Nutzer verschiedene Endgeräte zugeordnet werden. Dies lässt sich relativ leicht realisieren, wenn der Nutzer mit diesen dieselbe Webseite besucht – dann wird er über die IP-Adresse identifiziert. Aber die eindeutige Identifizierung über mehrere Geräte hinweg funktioniert auch, wenn weder eine eindeutige Zuordnung des Nutzers mittels Login (Account) möglich ist noch dieselben Webseiten besucht werden – hierzu gilt es einfach nur sehr viele Informationen zu speichern.

  1. Ultraschall-Tracking (XDT) 

Eine noch relativ neue Methode ist das Ultraschall-Tracking. Dabei sendet eine, auf einem Gerät angezeigte, Werbung ein Audiosignal im Ultraschallbereich zwischen 18 und 20 kHz aus. Das kann zum Beispiel ein Werbespot im Fernsehen sein oder ebenso ein Werbebanner auf einer Webseite. Das Prinzip ist stets das Gleiche: Das Audiosignal wird von präparierten Apps auf den anderen Geräten des Nutzers, etwa Smartphones oder Tablets, empfangen, ohne dass dies für das menschliche Ohr hörbar ist. Diese können das Signal zuordnen und so eine Verbindung individuell zum Nutzer herstellen.

Ermöglicht wird der Vorgang über In-App Implementierungen (SDK). Das bedeutet: der Nutzer ist weder darüber informiert noch kann er sich dagegen wehren, dass zum Beispiel sein Surfverhalten über mehrere Endgeräte hinweg verfolgt und gesammelt wird, da diese SDKs unbemerkt in kostenlose Apps eingebettet worden sind. Physische Hindernisse wie Wände stellen eine Barriere für die Übertragung dar – aber wenn nichts im Wege ist, dann haben die Signale eine Reichweite von bis zu sieben Metern.

Datenschutz: Neues zu beachten?

Im Grunde genommen wirft Cross-Device-Tracking in puncto Datenschutz keine neuen Fragestellungen auf. Bei der Erhebung und Analyse sind die üblichen Vorgaben zur Nutzung von personenbezogenen Daten zu beachten. Wenn es sich bei den erhobenen Informationen um solche handelt, gilt es zu prüfen, ob ein gesetzlicher Erlaubnistatbestand erfüllt ist oder eine Einwilligung des Nutzers eingeholt werden muss.

Ausdrücklich sind hierbei die Informationspflichten zu berücksichtigen: der Nutzer muss definitiv vor Beginn des Nutzungsvorgangs über das Tracking – dass heißt, über Art, Umfang sowie Zweck der Datenerhebung und -verwendung – informiert sowie über sein Widerspruchrecht aufgeklärt werden. Dies kann im Rahmen einer Datenschutzerklärung erfolgen, wobei darauf zu achten ist, dass hier eine verständliche und transparente Form gewählt wird.

Nutzungsdaten

Laut TMG § 15 darf „der Diensteanbieter [..] personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten sind insbesondere: Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung sowie Angaben über die vom Nutzer in Anspruch genommenen Telemedien“. Werden ausschließlich Nutzungsdaten verarbeitet und unter einem Pseudonym zusammengefasst, dann richtet sich die Zulässigkeit nach § 15 Abs. 3 TMG. Hierüber ist es zulässig, pseudonymisierte Nutzungsprofile zu Werbezwecken zu erstellen, wenn der Nutzer nicht widerspricht. Keinesfalls jedoch dürfen diese Profile mit personenbezogenen Daten über den Träger des Profils zusammengeführt werden. Dem Nutzer muss deutlich eine Widerspruchsmöglichkeit angeboten werden, diese lässt sich jedoch mittels einer gut zugänglichen Opt-Out-Funktion umsetzen.

Bestandsdaten

Bei gleichzeitiger Verwendung von reinen Nutzungs- und Bestandsdaten oder sonstigen personenbezogenen Daten, kann diese Verarbeitung nicht mehr auf § 15 Abs. 3 TMG gestützt werden. Eine Profilerstellung ist in dem Fall nur mit Einwilligung des Nutzers zulässig.

Bestandsdaten dürften in der Regel bei der Methode der Deterministic Links anfallen, da der Nutzer ja über seinen Account registriert ist. Oder aber im Rahmen der Methode des Probabilistic Links, da hier vollständige IP-Adressen erhoben und verarbeitet werden. Auch dies ist nur möglich, wenn hierzu eine Einwilligung vorliegt.

Fazit

Wenn die Vorgaben aus dem Datenschutz berücksichtigt werden, steht der Nutzung von Cross-Device-Tracking grundsätzlich nichts im Wege.

Doch muss hier immer im Einzelfall geprüft werden, ob diese Methode für einen bestimmten Einsatz zulässig ist und in welchem Rahmen. Allein aus dem Grund, da sich die zur Verfügung stehenden Verfahren teilweise stark unterscheiden. So kommt es beispielsweise konkret auf die Art der erhobenen Informationen an oder es gilt weitere Voraussetzungen zu berücksichtigen. Letzteres ist zum Beispiel bei der Nutzung von Tracking-Dienstleistern erforderlich, denn hier müssen zusätzlich Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Sind diese Dienstleister in Drittstaaten ansässig, kommen zusätzlich noch die Anforderungen an den internationalen Datentransfer zum Tragen.

In erster Linie sollten Unternehmen jedoch einen guten Umgang sowie ein offenes Verhältnis mit ihren Kunden anstreben. Dazu gehört definitiv die gewissenhafte Umsetzung der Informationspflichten. Denn im Rahmen des Cross-Device-Tracking – und hier insbesondere beim Ultraschall-Tracking – verläuft die Informationserhebung sowie -verarbeitung oft versteckt und somit für den Nutzer nicht erkennbar. Von daher ist es nicht verwunderlich, dass (momentan) die Methode des Ultraschall-Tracking in der Kritik steht, weil dies überhaupt nicht mehr nachvollzogen werden kann. Diesen Punkt sollten Unternehmen bei ihrer Entscheidung berücksichtigen.

Von Bernd Fuhlert, Geschäftsführer @yet GmbH und Experte für Datenschutz und Online Reputation Management

#Netzpalaver

#yet