Verknüpfung von Tracking Systemen und Marketing Automation

Hallo zusammen,

Ich habe eine Anfrage wegen der Verknüpfung von Systemen und der Nutzung von Nutzer IDs von einem System im anderen.

Grundsätzliches
Bei uns in der Firma nutzen wir Google Analytics und HubSpot. Beide Systeme sind in unserer Datenschutzerklärung erfasst und dass wir Daten über diese generieren und für Auswertungen nutzen. Hierzu haben wir uns mit unserem Datenschutzbeauftragen abgestimmt. Allerdings haben wir einen Sonderfall und zwar, dass wir die beiden Systeme miteinander kombinieren wollen. Zusätzlich würden wir gerne noch Microsoft Clarity für die Sitzungsaufnahmen von Nutzern und Heatmaps einbauen.

Techniches Setup
Wir haben unser Google Analytics mithilfe des Tag Managers so angepasst, dass es detaillierte Daten pro Sitzung generiert die Server Logs entsprechen. Dabei ist auch eine Google Analytics Client ID die eindeutig pro Nutzer ist. Sie wird allerdings bei einem Löschen der Cookies erneuert. Die Frage die sich dabei grundsätzlich stellt ist, ob wir die beiden Systeme gerne miteinander verknüpfen könnten wenn wir dabei keine personenbezogenen Daten. Das heißt wir würden gerne die Google Analytics Client ID in HubSpot speichern und ebenfalls die HubSpot ID eines Kontakts nach Google Analytics. Dies würde jeweils nur bei Personen passieren die

  1. Eingewilligt haben Cookies von uns gesetzt zu bekommen
  2. Sich beereits in unserer HubSpot Instanz angemeldet haben.

In HubSpot selber liegen, aufgrund der Art des Systems, natürlich personenbezogene Daten. Auch ebenfalls Tracking Daten die schon sehr detailliert pro Nutzer sind. Hier kann man, wenn man in einen Nutzer geht seinen detaillierten Besuch von Seiten und Aufrufe sehen. Diese wird allerdings in den Kontakteigenschaften nach 21 Änderungen abgeschnitten. Das heißt mit der Verknüpfung von Google Analytics und HubSpot, indem wir die jeweiligen IDs ins andere System schreiben, würden wir ein viel schärferes Bild von den Nutzern bekommen.

Die zusätzliche Verknüpfung von Microsoft Clarity würde, so hat es jedenfalls anhand der Doku den Anschein, es uns ermöglichen einer Sitzung ein “Playback” also eine Videoaufnahme der Sitzung zuzuweisen. Kombiniert man das mit der Verknüpfung von HubSpot und Google Analytics könnten wir also personenbezogen sagen wer wann welche Seite besucht hat und wie er mit dieser Seite interagiert hat, anhand eines Videos.

Die grundsätzliche Frage dabei ist, wenn wir in unserer Datenschutzerklärung explizit schreiben, dass wir diese Systeme miteinander verknüpfen und sie nutzen wollen um ein schärferes Bild über unsere Nutzer zu bekommen ob das dann überhaupt ein Fall wäre der überhaupt so denkbar oder erlaubt wäre und ob wir mit unserem Zusatz in unserer Datenschutzerklärung schon ausreichend abgesichert wären?

Unsere Systeme würden dabei, wie schon erwähnt nur Daten von Personen erfassen, die auch in unsere Cookies eingewilligt haben. Andere Personen werden nicht getrackt.

Sollte noch etwas unklar sein oder ich mich nicht gut ausgedrückt haben gerne fragen!

Es genügt nicht, in der Datenschutzerklärung zu schreiben, dass die Dienste verknüpft werden. Die Nutzer sollten vor der Einwilligung in das Profiling informiert werden, dass und wie dieses Profiling stattfindet. Die herkömmliche Einwilligung für Cookies reicht dafür nicht aus, da sie das Profiling durch Clarity nicht einbezieht und die Nutzer über diese Verarbeitung nicht aufklärt. Eine wirksame Einwilligung erfordert Freiwilligkeit und die Informationen zur Verarbeitung (Aufzeichnung des Nutzerverhaltens auf der Webseite, Übermittlung von personenbezogenen Daten an ein US-Unternehmen, Speicherung der Daten beim US-Unternehmen (hier Azure Cloud), Verarbeitung durch das US-Unternehmen(?), Folgen der Verarbeitung). Die Information “um ein schärferes Bild über unsere Nutzer zu bekommen” wäre weder ausreichend noch vor der Einwilligung angesiedelt. Es kann auch nicht davon ausgegangen werden, dass jemand, der mit dem Setzen von Cookies einverstanden ist, der Aufzeichnung seines Verhaltens auf der Webseite zustimmt.

4 „Gefällt mir“

Hallo anzolino,

Danke dir für die Antwort! Ich fasse das nochmal kurz mit meinen eigenen Worten zusammen:

Wir müssen sämtliche Dienste in unsere Datenschutzerklärung mit aufnehmen

  • Abgesehen von Clarity schon der Fall

Wir müssen die Nutzer über das Profiling bzw. das Erstellen von Profilen informieren.

  • In unserer Datenschutzerklärung schreiben wir, dass einer der Zwecke der Verarbeitung “Profile mit nutzerbezogenen Daten” sind. Dadurch wäre das doch bereits abgedeckt, wenn ich dich richtig verstehe oder?

Es kann auch nicht davon ausgegangen werden, dass jemand, der mit dem Setzen von Cookies einverstanden ist, der Aufzeichnung seines Verhaltens auf der Webseite zustimmt.

  • Wäre hier eventuell eine andere Art des Cookie Banners nötig, der genauer darüber aufklärt oder wie war das gemeint? Aktuell ist es so, dass auch ohne das Klicken im Cookiebanner unsere Site genutzt werden kann, es werden dann halt einfach keine Cookies gesetzt.

Wenn wir denn jetzt davon ausgehen, dass wir alles so abdecken, könnten wir dann mit dem von mir erwähnten Satz im Original Post die dort beschriebene Verknüpfung der Systeme ermöglichen?

Sollte ich was falsch verstanden haben, gerne Bescheid geben!

In Wiederholung von anzolino:

Das geht nur mit Einwilligung nach Art 7. Und die ist klar abzugrenzen vom Cookie-Teil.

2 „Gefällt mir“

Ja, hinreichende Information schon bei (vor) der Einwilligung. In der Datenschutzerklärung kann man noch mal alles auführlich beschreiben.

Die Besucher können nicht pauschal “in Cookies” einwilligen, sondern es müssten Einwilligungen in die damit verfolgten Zwecke sein. (Eure eigenen, und ggf. darüber hinausgehende Zwecke der eingebundenen Dienste. Bei voneinander unabhängigen Zwecken getrennt aktivierbar.)

Bisherige “Cokie”-Einwilligungen, die das noch nicht berücksichtigten wären für neue (damals ungenannte) Zwecke wertlos.

Auch über “Profiling” zu informieren würde nicht genügen, sondern dabe wären die damit verfolgten Zwecke anzugeben.

Es ist immer etwas tricky, verschiedene Generationen von Einwilligungen berücksichtigen zu müssen. Alle Datensätze (Profile) dürften nur im Rahmen der jeweils zutreffenden Erlaubnis genutzt werden. D. h. nicht alle verknüpfen oder an einen Dienst übermitteln, sondern nur solche wo die Erlaubnislage es zulässt.

D., der nicht gern Einwilligungen für Internetbesucher einsetzt, weil sich die Anforderungen selten zuverlässig (zulässig) erfüllen lassen und weil sie bei ehrlicher Information keinen Spaß mehr machen (Akzeptanz /Nutzen bringen).