Verknüpfung von Tracking Systemen und Marketing Automation

Hallo zusammen,

Ich habe eine Anfrage wegen der Verknüpfung von Systemen und der Nutzung von Nutzer IDs von einem System im anderen.

Grundsätzliches
Bei uns in der Firma nutzen wir Google Analytics und HubSpot. Beide Systeme sind in unserer Datenschutzerklärung erfasst und dass wir Daten über diese generieren und für Auswertungen nutzen. Hierzu haben wir uns mit unserem Datenschutzbeauftragen abgestimmt. Allerdings haben wir einen Sonderfall und zwar, dass wir die beiden Systeme miteinander kombinieren wollen. Zusätzlich würden wir gerne noch Microsoft Clarity für die Sitzungsaufnahmen von Nutzern und Heatmaps einbauen.

Techniches Setup
Wir haben unser Google Analytics mithilfe des Tag Managers so angepasst, dass es detaillierte Daten pro Sitzung generiert die Server Logs entsprechen. Dabei ist auch eine Google Analytics Client ID die eindeutig pro Nutzer ist. Sie wird allerdings bei einem Löschen der Cookies erneuert. Die Frage die sich dabei grundsätzlich stellt ist, ob wir die beiden Systeme gerne miteinander verknüpfen könnten wenn wir dabei keine personenbezogenen Daten. Das heißt wir würden gerne die Google Analytics Client ID in HubSpot speichern und ebenfalls die HubSpot ID eines Kontakts nach Google Analytics. Dies würde jeweils nur bei Personen passieren die

1. Eingewilligt haben Cookies von uns gesetzt zu bekommen
2. Sich beereits in unserer HubSpot Instanz angemeldet haben.

In HubSpot selber liegen, aufgrund der Art des Systems, natürlich personenbezogene Daten. Auch ebenfalls Tracking Daten die schon sehr detailliert pro Nutzer sind. Hier kann man, wenn man in einen Nutzer geht seinen detaillierten Besuch von Seiten und Aufrufe sehen. Diese wird allerdings in den Kontakteigenschaften nach 21 Änderungen abgeschnitten. Das heißt mit der Verknüpfung von Google Analytics und HubSpot, indem wir die jeweiligen IDs ins andere System schreiben, würden wir ein viel schärferes Bild von den Nutzern bekommen.

Die zusätzliche Verknüpfung von Microsoft Clarity würde, so hat es jedenfalls anhand der Doku den Anschein, es uns ermöglichen einer Sitzung ein “Playback” also eine Videoaufnahme der Sitzung zuzuweisen. Kombiniert man das mit der Verknüpfung von HubSpot und Google Analytics könnten wir also personenbezogen sagen wer wann welche Seite besucht hat und wie er mit dieser Seite interagiert hat, anhand eines Videos.

Die grundsätzliche Frage dabei ist, wenn wir in unserer Datenschutzerklärung explizit schreiben, dass wir diese Systeme miteinander verknüpfen und sie nutzen wollen um ein schärferes Bild über unsere Nutzer zu bekommen ob das dann überhaupt ein Fall wäre der überhaupt so denkbar oder erlaubt wäre und ob wir mit unserem Zusatz in unserer Datenschutzerklärung schon ausreichend abgesichert wären?

Unsere Systeme würden dabei, wie schon erwähnt nur Daten von Personen erfassen, die auch in unsere Cookies eingewilligt haben. Andere Personen werden nicht getrackt.

Sollte noch etwas unklar sein oder ich mich nicht gut ausgedrückt haben gerne fragen!

Es genügt nicht, in der Datenschutzerklärung zu schreiben, dass die Dienste verknüpft werden. Die Nutzer sollten vor der Einwilligung in das Profiling informiert werden, dass und wie dieses Profiling stattfindet. Die herkömmliche Einwilligung für Cookies reicht dafür nicht aus, da sie das Profiling durch Clarity nicht einbezieht und die Nutzer über diese Verarbeitung nicht aufklärt. Eine wirksame Einwilligung erfordert Freiwilligkeit und die Informationen zur Verarbeitung (Aufzeichnung des Nutzerverhaltens auf der Webseite, Übermittlung von personenbezogenen Daten an ein US-Unternehmen, Speicherung der Daten beim US-Unternehmen (hier Azure Cloud), Verarbeitung durch das US-Unternehmen(?), Folgen der Verarbeitung). Die Information “um ein schärferes Bild über unsere Nutzer zu bekommen” wäre weder ausreichend noch vor der Einwilligung angesiedelt. Es kann auch nicht davon ausgegangen werden, dass jemand, der mit dem Setzen von Cookies einverstanden ist, der Aufzeichnung seines Verhaltens auf der Webseite zustimmt.

Hallo anzolino,

Danke dir für die Antwort! Ich fasse das nochmal kurz mit meinen eigenen Worten zusammen:

Wir müssen sämtliche Dienste in unsere Datenschutzerklärung mit aufnehmen

• Abgesehen von Clarity schon der Fall

Wir müssen die Nutzer über das Profiling bzw. das Erstellen von Profilen informieren.

• In unserer Datenschutzerklärung schreiben wir, dass einer der Zwecke der Verarbeitung “Profile mit nutzerbezogenen Daten” sind. Dadurch wäre das doch bereits abgedeckt, wenn ich dich richtig verstehe oder?

Es kann auch nicht davon ausgegangen werden, dass jemand, der mit dem Setzen von Cookies einverstanden ist, der Aufzeichnung seines Verhaltens auf der Webseite zustimmt.

• Wäre hier eventuell eine andere Art des Cookie Banners nötig, der genauer darüber aufklärt oder wie war das gemeint? Aktuell ist es so, dass auch ohne das Klicken im Cookiebanner unsere Site genutzt werden kann, es werden dann halt einfach keine Cookies gesetzt.

Wenn wir denn jetzt davon ausgehen, dass wir alles so abdecken, könnten wir dann mit dem von mir erwähnten Satz im Original Post die dort beschriebene Verknüpfung der Systeme ermöglichen?

Sollte ich was falsch verstanden haben, gerne Bescheid geben!

In Wiederholung von anzolino:

Das geht nur mit Einwilligung nach Art 7. Und die ist klar abzugrenzen vom Cookie-Teil.

Ja, hinreichende Information schon bei (vor) der Einwilligung. In der Datenschutzerklärung kann man noch mal alles auführlich beschreiben.

Die Besucher können nicht pauschal “in Cookies” einwilligen, sondern es müssten Einwilligungen in die damit verfolgten Zwecke sein. (Eure eigenen, und ggf. darüber hinausgehende Zwecke der eingebundenen Dienste. Bei voneinander unabhängigen Zwecken getrennt aktivierbar.)

Bisherige “Cokie”-Einwilligungen, die das noch nicht berücksichtigten wären für neue (damals ungenannte) Zwecke wertlos.

Auch über “Profiling” zu informieren würde nicht genügen, sondern dabe wären die damit verfolgten Zwecke anzugeben.

Es ist immer etwas tricky, verschiedene Generationen von Einwilligungen berücksichtigen zu müssen. Alle Datensätze (Profile) dürften nur im Rahmen der jeweils zutreffenden Erlaubnis genutzt werden. D. h. nicht alle verknüpfen oder an einen Dienst übermitteln, sondern nur solche wo die Erlaubnislage es zulässt.

D., der nicht gern Einwilligungen für Internetbesucher einsetzt, weil sich die Anforderungen selten zuverlässig (zulässig) erfüllen lassen und weil sie bei ehrlicher Information keinen Spaß mehr machen (Akzeptanz /Nutzen bringen).

Hi, bevor hier alle Normenbeschreibungen zusammengepackt werden,die man “im Internet” mit Schlagwortsuche so finden kann, empfehle ich erstmal eine genaue Begriffsbestimmung durchzuführen. Sind die hier angesprochenen “(Werbe)Profile mit personenbezogenen Daten” tatsächlich vom Profiling-Begriff in Zusammenhang mit automatisierter Entscheidungsfindung (Art.22 DSGVO) erfasst? Welche rechtlich und tatsächlich erheblichen Entscheidungen werden denn anhand dieser “Profile” getroffen? Ich konnte nur erkennen, dass offensichtlich extensives Nutzertracking durchgeführt wird. Der daraus entstehende Datensatz wird als “Profil” bezeichnet - m.E. ein Kunstkniff, um das “böse Wort Nutzungsverhaltensprotokoll” zu umschiffen (… ja ja, das ist auch eine Wortkonstruktion … bitte um weitere Vorschläge …). Natürlich muss man beim Marketingsprech immer aufpassen, dass man nicht irreführenderweise mit Rechtsbegriffen kollidiert!

Profiling muss nicht im Internet gesucht werden, das ist in Art.4 Nr.4 DSGVO definiert und die Grundsätze einer fairen und transparenten Verarbeitung machen die Information darüber erforderlich (siehe EG 60 ff). Hier geht’s weniger um eine automatisierte Entscheidungsfindung sondern vielmehr um die Rechtsgrundlage der Datenverarbeitung und die Informationspflichten.

Soll der “Profiling”-Begriff tatsächlich auch auf Trackingdatensammlungen angewendet werden, die anhand von pseudonymen Cookie-IDs mittels GA, Hubspot etc. erstellt wurden und der Auswertung der Seitennutzung und Steuerung von Werbung dienen? Nur, weil jemand für diese Sammlung die Bezeichnung “Profil” gewählt hat?
Andererseits, muss man den Begriff “Profiling” überhaupt erwähnen, wenn Art.22 nicht anwendbar ist (siehe Art.13(2)f) u.ä.)?

Um auf den Eingangs-Post einzugehen:
Das playback-fähige, Video-artige Tracken ganzer Web-Sessions ist schon eine extensive Maßnahme, über die in der einzuholenden Einwilligung umfangreich und explizit informiert werden muss, sonst halte ich die Einwilligung nicht für rechtmäßig erteilt.

Also in meinen Augen ist das Tracking-Profiling gerade das Profiling schlecht hin.

Profiling ist per Definition “jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;”

Also Website Betreiber wollen ihre Website optimieren und an die Wünsche (Vorlieben, Interessen) anpassen - also bilden sie quasi Personas dafür um das Verhalten vorherzusagen.

Also quasi bei normaler Reichweitenmessung haben wir kein Problem, aber beim Profilbilden…

Nunja. Microsoft bewirbt Clarity u.a. mit diesem Satz: “Deep AI and Machine Learning algorithms power insights to help you analyze user behavior efficiently.” Es ist also ein Automatismus im Einsatz, der eine wie auch immer geartete Einzelentscheidung ermöglicht. Und dabei geht es nicht nur um eine Einwilligung in das Profiling. Dabei geht es vor allem um die automatisierte Verarbeitung durch Microsoft, die nur auf einer Einwilligung basieren kann.

Analyse und Bewertung persönlicher Vorlieben, Interessen und des Verhaltens werden mit der Aufzeichnung des Nutzerverhaltens ermöglicht und sind Zweck der Datenverarbeitung. Das beinhaltet keine Sammlung, für die jemand die Bezeichnung “Profil” gewählt hat. Das sind Inhalte der Legaldefinition im Datenschutzrecht, wie sie JoeDS zitierte und auf die ich oben hinwies. Diese Definition ist unabhängig von einer automatisierten Einzelentscheidung erfüllt, denn sie enthält gerade nicht die Einschränkung “soweit die Analyse und Bewertung für eine automatisierte Einzeltentscheidung stattfindet”. Zudem können manuelle Einzelentscheidungen und auch Direktwerbung auf Profiling basieren, wie in Erwägungsgrund 70 zu lesen ist.

Tracking mit Auslieferung sog. personalisierter Werbung oder Auslieferung unterschiedlicher Inhalte fällt nach meiner Ansicht ohnehin unter eine automatisierte Einzelentscheidung. Es werden automatisiert und legaldefinierte Informationen über den Nutzer gesammelt, analysiert, bewertet => Profiling - und darausfolgend automatisiert Inhalte ausgespielt => automatisierte Einzelentscheidung. Die Frage ist, was man unter einer “in ähnlicher Weise erheblich[en]” Beeinträchtigung einordnet. Eine negative Merkmalszuweisung erfüllt den Anspruch ebenso wie das im Vorfeld von Wahlen zur Manipulation eingesetzte Micro-Targeting. Die Klagen über Facebook, Google, Youtube und deren filterblasengenerierende oder -verstärkende Algorithmen lassen sowohl individuelle als auch gesellschaftliche Beeinträchtigungen vermuten. Grundsätzlich weiß ein Nutzer nicht, welche Beeinträchtigung er erfährt oder erfahren soll. Deswegen ist die Information darüber von Relevanz.

Und ja. Entscheidungen zur Auslieferung von Webseiteninhalten und Entscheidungen zur Kreditvergabe sind selbstverständlich unterschiedlicher Gewichtung. Das ändert aber nichts an der Existenz der Baustelle.

Also, ich glaube, wir sind uns einig, dass ein Profiling im Sinne der Definition von @joeDS vorliegt.
Ich hadere aber noch etwas mit der automatisierten Einzelfallentscheidung (EFE), die hier vorliegen soll. Eine autom. EFE nach Art. 22 kann doch nur vorliegen, wenn sie “ihr [dem Betroffenen] gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt”. Davon ist ja letztlich auch abhängig, ob Art. 13 Abs. 2 lit. f zum Tragen kommt.

Klar, wenn ich profilbezogene Werbung ausspiele, sind wir klar im Art. 22, aber was, wenn ich die Verhaltensprofile nur nutze, um zu entscheiden, ob mein CTA-Button grün oder rot ist. Reden wir dann von einer erheblichen Auswirkung für den Betroffenen? Hängt sicher vom Geschäftsmodell seiner Seite ab.
Aber ich konnte bis jetzt nicht wirklich den Zweck dieses vorgenommenen Profilings aus dem Eröffnungspost herauslesen. Oder habe ich etwas übersehen?

Ja @mtob, in der Tat sind die Intention und der Charakter der Webseite, auf der diese Maßnahmen zum Einsatz kommen, im Unklaren geblieben.
Falls es ein soziales Netzwerk ist, in dem jemand mittels meinungsmanipulativer Inhaltssteuerung mit identifizierten Nutzern Schindluder treiben kann, dann ist Art.22 sicherlich anzuwenden.
Falls es aber “nur” eine übliche Webseite ist, auf der z.B. aus 100 Werbemittel das richtige (aus Sicht des Publichers) für den konkreten Besucher anhand der Trackingdaten der letzten Besuche ausgewählt werden soll, ist eine “erhebliche Auswirkung auf den Betroffenen” oder “automatisierte Einzelentscheidung” wohl etwas hoch gegriffen.
Andererseits sollte der Verfasser vllt. nochmal überdenken, ob es für diese (oder ähnliche) Aufgabe tatsächlich von so entscheidender Bedeutung ist, mit großer Pseudogenauigkeit zu wissen, bei welchem Komma der Benutzer letztens aufgehört hat zu lesen - und dies anhand von Sessionaufzeichnungen nachvollziehen zu wollen. Man muss ja vllt nicht alles machen, nur, weil es geht… dann hat man auch nicht den Erklärungsnotstand, es den Betroffenen erläutern zu müssen.
Und natürlich wurde uns auch nicht gesagt, ob die Seitenbesucher immer persönlich identifizierte Nutzer mit aktiver Anmeldung sind, oder ob der Pseudonymvorbehalt eines beliebigen Webseitenbesuchers gelten kann. M.E. wichtig für die Bewertung.