TüV Süd Datenschutzgutachten - Datenschutzkonformität des Lead Inspector, Überblick



Beschreibung

Die Erfolgskontrolle des eigenen Internetauftritts ist für ein Wirtschaftsunternehmen im digitalen Zeitalter unverzichtbar. Unternehmen zeigen daher großes Interesse zu sehen, wer sich für welche Produkt- oder  Dienstleistungsseiten auf einer Webseite interessiert hat. Ergeben sich doch daraus neue Absatzmöglichkeiten. Hier setzt die Analysesoftware Lead Inspector an, indem sie dem Webseitenbetreiber ein Werkzeug in die Hand gibt, um gewerbliche Webseitenbesucher namenttlich zu identifizieren und für den Vertrieb nutzbar zu machen. Der Anwender erhält also mit dem Firmenprofil die postalische Adresse sowie Kontaktmöglichkeiten inklusive Entscheider. Das entspricht einem herkömmlichen Vorgang im Adressbroking.

Im vorliegenden Gutachten des TüV Süd soll eine Bewertung des Einsatzes vom Lead Inspector aus der Sicht des Datenschutzes erfolgen.


background image

Filderstadt, 04.09.2014

Unsere Zeichen: So

Seite 1 von 2

Sitz: München

Amtsgericht München HRB 119 208

USt-IdNr. DE147841848

Informationen gemäß § 2 Abs. 1 DL-InfoV

unter www.tuev-sued.de/impressum

Geschäftsführer:

Dipl.-Ing. M. Sc. Christoph Göbel

Telefon:  +49 711 7005-436

Telefax:  +49 711 7005-598

www.tuev-sued.de

TÜV SÜD Informatik und

Consulting Services GmbH

Gottlieb-Daimler-Straße 7

70794 Filderstadt

Deutschland

Web-Analyse-Verfahren finden im Internet weite Verbreitung, weshalb sich zunehmend die
Datenschutz-Aufsichtsbehörden dafür interessieren, inwieweit solche Analysen datenschutz-
konform ablaufen. In der Folge hat sich inzwischen eine einheitliche Auffassung zur Einschät-
zung von Web-Analysesystemen und zu deren datenschutzrechtlicher Bewertung durchge-
setzt. Zum einen wird seit dem Urteil des Landgerichts Berlin vom 6.9.07 (Az.: 23 S 3/07) die
ungekürzte IP-Adresse als personenbezogenes Datum angesehen, zum anderen hat der Düs-
seldorfer Kreis, eine informelle Vereinigung der obersten Aufsichtsbehörden für den Daten-
schutz im nicht-öffentlichen Bereich in Deutschland, im November 2009 detaillierte Vorgaben
zur „Datenschutzkonforme[n] Ausgestaltung von Analyseverfahren zur Reichweitenmessung
bei Internet-Angeboten“ gemacht. Eine legale Nutzung von Web Analysesystemen ist demnach
nur noch unter großen Einschränkungen und unter strenger Beachtung der Vorgaben des
Telemediengesetzes (TMG) möglich. Die Durchsetzung dieser Vorgaben wird von den
Aufsichtsbehörden massiv vorangetrieben.
Die Erfolgskontrolle des eigenen Internetauftritts ist für ein Wirtschaftsunternehmen unverzicht-
bar. Unternehmen zeigen daher großes Interesse zu sehen, wer sich für welche Produkt- oder
Dienstleistungsseiten interessiert hat. Ergeben sich doch daraus neue Absatzmöglichkeiten.
Hier setzt die Analysesoftware Lead Inspector an, indem sie dem Webseitenbetreiber ein
Werkzeug in die Hand gibt, um gewerbliche Webseitenbesucher namentlich zu identifizieren.
Im Folgenden soll eine Bewertung des Einsatzes vom Lead Inspector aus der Sicht des Daten-
schutzes erfolgen.

Funktionsweise

Wie  viele  andere Web-Analysesysteme  auch,  setzt  Lead  Inspector  auf  der  Betreiberseite  ein
Zählpixel  (Web  Beacon)  ein,  mit  dessen  Hilfe  die  IP-Adresse  des  Besuchers  erfasst  wird.  In
einem zweistufigen Erkennungsprozess werden u.a. folgende Informationen ermittelt:

  Name und Herkunft des besuchenden Unternehmens

  Besuchsdatum, -uhrzeit und -dauer

  Browserinformationen

  etc.


Die Identifikation des besuchenden Unternehmens erfolgt über allgemein zugängliche Informa-
tionskanäle mittels der Auswertung von Routing- und Datenbank-Informationen.

Überprüfung der B2B Web-Analyse Lead Inspector auf Daten-
schutzkonformität

background image

Seite 2 von 2

Datenschutzkonformität

Dem Datenschutz unterliegen nur personenbezogene Daten. Personenbezogene Daten sind
Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimm-
baren natürlichen Person (§ 3 BDSG). Die Verarbeitung personenbezogener Daten unterliegt
einem Erlaubnisvorbehalt, weshalb die ermittelten Nutzungsprofile entweder keine personen-
bezogenen Daten enthalten dürfen (Pseudonymisierung) oder es liegt eine Einwilligung des
Nutzers vor.

  Pseudonymisierung

Der Lead Inspector wurde so konzipiert, dass die Erfassung von personenbezogenen
Daten ausgeschlossen werden kann. Er verarbeitet dabei lediglich statische IP-
Adressen. In weiteren Schritten findet eine Kontextprüfung und Auswertung ausschließ-
lich des Impressums der besuchten Seite statt. Somit wird gewährleistet, dass nur  ge-
werbliche Nutzer (und auch dort nur solche, die im öffentlich einsehbaren Impressum
gelistet sind) analysiert und natürliche Personen ausgeschlossen werden. Erst dann fin-
det eine ausführlichere Auswertung des Seitenbesuchs statt.

  Einwilligung / Widerspruchsmöglichkeit

Um den Empfehlungen des Düsseldorfer Kreises zu genügen wird in einem vorgeschal-
teten Prozess dem Nutzer ein Widerspruchsrecht eingeräumt (opt out), welches über
das zeitlich begrenzte Setzen eines Cookies aufrechterhalten wird. Kunden, die Lead
Inspector einsetzen, werden unter Hinweis auf das TMG vertraglich verpflichtet, den
oben genannten opt out-Mechanismus  in geeigneter Weise zu aktivieren. Eine vorge-
fertigte Datenschutzerklärung soll dem Kunden zur Aufnahme in seine Internetseite zur
Verfügung gestellt werden. Auf die Möglichkeit zum Widerspruch wird im Rahmen der
Datenschutzerklärung hingewiesen.


Die Web-Analyse erfolgt im Auftrag des Kunden und hat daher die Vorgaben des § 11 Bundes-
datenschutzgesetz (BDSG) einzuhalten (Auftragsgestaltung, Einhaltung der erforderlichen
technischen und organisatorischen Maßnahmen). Gleiches gilt auch für Vertragsverhältnisse
im Unterauftrag (z. B. mit externen Rechenzentren). Entsprechende Verträge müssen mit den
Kunden abgeschlossen werden.

Solange im Rahmen einer Webstatistik keine Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ermittelt werden und
dem Betroffenen die Möglichkeit zum Widerspruch eingeräumt wird, erfolgt der Einsatz einer
Web-Analysesoftware im Einklang mit dem TMG und ist somit zulässig. Letztlich ist aber zu
betonen, dass nicht der Vertreiber des Analyse-Tools, sondern der Webseitenbetreiber, der
das Produkt einsetzt, für den datenschutzgerechten Einsatz verantwortlich ist. Lead Inspector
bietet ihm dazu die entsprechende Handhabe.
Zum Zeitpunkt der Begutachtung ist daher davon auszugehen, dass die Nutzung der Web-
Analyse Lösung Lead Inspector aus Sicht des Datenschutzes als unbedenklich gelten kann.

Der Sachverständige
(H.-J. Sommer)