Kann ich serverseitiges Tracking verwenden, um die TTDSG oder DSGVO zu erfüllen?

Serverseitiges Tracking ist eine relativ neue Methode des Trackings, die im Zusammenhang mit der zunehmenden Regulierung im Telemedienbereich in jüngster Zeit vermehrt diskutiert wird. Dabei wird das Tracking vom Endgerät des Nutzers auf den Server des Verantwortlichen ausgelagert, der bereits den gesamten Traffic einer Website sehen kann. Dort werden die Daten dann gezielt erhoben, verarbeitet und – idealerweise in anonymisierter Form – an den Tracking-Dienstleister übermittelt, der wiederum die gewünschte Analyse durchführt.

Was sind die Vorteile von serverseitigem Tracking?

Der offensichtliche Vorteil für den Anbieter des Telemediendienstes besteht darin, dass weder Cookies von Drittanbietern noch Serververbindungen von Drittanbietern erforderlich sind und somit keine direkte Verbindung zum Anbieter des Tracking-Dienstes besteht, einschließlich einer obligatorischen Übermittlung einer IP-Adresse der Daten Thema. Darüber hinaus hat der Anbieter des Telemediendienstes die Möglichkeit, die Datenübertragung und eine ggf. durchzuführende Re-Pseudonymisierung oder Anonymisierung selbst zu bestimmen und so die Risiken der Verarbeitung erheblich zu reduzieren. Eines der Hauptrisiken der direkten Einbindung von Tracking-Dienstleistern, nämlich das Tracking des Verhaltens von Personen auf Websites, ist mit serverseitigem Tracking und entsprechenden Schutzmaßnahmen wesentlich besser zu kontrollieren als mit herkömmlichen Tracking-Methoden.

Was sind die Nachteile von serverseitigem Tracking?

Für betroffene Personen besteht die Gefahr, dass serverseitige Verbindungen für den Nutzer nicht mehr einsehbar sind, wodurch der Verantwortliche diese auch bei Geheimhaltung und Transparenz der Datenverarbeitung durchführen könnte. Denkbar ist auch, dass der Verantwortliche zusätzliche Informationen (z. B. durch Hinzufügen zusätzlicher Informationen aus einem user_inaccount) an den Dritten übermittelt, die der Benutzer selbst nicht nachvollziehen kann. Für den Anbieter besteht das Risiko, dass die vom Drittanbieter bereitgestellte serverseitige Übertragungssoftware unklare Programmabläufe enthält, die auf dem Server ausgeführt werden.

Wenn die Nutzungsdaten vor der Übermittlung an einen Tracking-Dienstleister vollständig anonymisiert werden, kann diese Verarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. 1 Buchstabe f DSGVO übernommen werden. Dies bedeutet, dass eine Anwendung des TTDSG ausgeschlossen ist.

Das einfache Ersetzen von Kennungen durch andere wie Nutzerkennungen oder Hashes führt zu keiner Pseudonymisierung oder Anonymisierung. Wenn beispielsweise die Zugriffswege individualisiert werden und diese Individualisierung über eine Session hinausgeht, liegt auch keine Anonymisierung vor. Die Verwendung von Cookies oder Fingerabdrücken, z.B. durch Auslesen installierter Schriftarten über JavaScript, beeinflusst den Anwendungsbereich des TTDSG. In diesen Fällen ist der Anwendungsbereich offen.

Wenn identifizierende Merkmale verarbeitet oder an den Tracking-Dienstleister übermittelt werden, sind der Anwendungsbereich der DSGVO und die konkreten Risiken der Verarbeitung zu berücksichtigen. Es ist möglich, dass trotz aller getroffenen Maßnahmen nicht ausgeschlossen werden kann, dass ein Tracking-Dienstleister eigene Ressourcen und verfügbare Daten verwendet, um eine betroffene Person erneut zu identifizieren. Dieses Risiko ist aufgrund der teilweise riesigen Datenbanken und der hohen Marktdurchdringung der großen Tracking-Dienstleister nicht zu vernachlässigen.