Datenschutz
Was muss ich tun, um etracker DSGVO-konform einzusetzen?
Dank der datenschutzfreundlichen Voreinstellungen ist etracker analytics standardmäßig DSGVO-konform konfiguriert. Der erforderliche Vertrag zur Auftragsverarbeitung (AVV) wird automatisch mit dem Account-Anlegen oder der schriftlichen Bestellung geschlossen. Zudem musst du in deiner Datenschutzerklärung auf deiner Website auf den Einsatz von etracker hinweisen und ein Opt-out anbieten. Hierfür stellen wir einen Text mit Widerspruchs-Button (Opt-out) in deinem Account zur Verfügung: Datenschutz → Datenschutzhinweis.
An wen wende ich mich, wenn ich Fragen zum Datenschutz habe?
Du kannst dich an unseren Datenschutzbeauftragten oder an unseren Privacy Manager Elke Hollensteiner wenden. Beide erreichst du am besten unter privacy@etracker.com.
Ist der Einsatz von Event-Tracking mittels Javascript einwilligungspflichtig?
Nur das aktive Auslesen von Informationen, die mittels JavaScript im Endgerät des Nutzers gespeichert sind, ist einwilligungspflichtig. In der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) heißt es hierzu:
„Demgegenüber ist es bereits als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.“
Beim Event- oder auch eCommerce-Tracking kommt zwar JavaScript-Code zum Einsatz, es werden jedoch damit keine Informationen aus der Endeinrichtung ausgelesen, sondern stattdessen Informationen über Elemente oder Meta-Daten über den Content der Website erfasst: Welche Elemente wurden angeklickt? Welche Produkte wurden in den Warenkorb gelegt? Usw. Es kommt hingegen kein JavaScript-Code zum Einsatz, um Daten über das Endgerät zu erfassen. Genauso wird kein Browser-Fingerprinting genutzt im Sinne der Orientierungshilfe:
„Ebenso kommt mittlerweile häufig das sogenannte Browser-Fingerprinting zum Einsatz. Dies bezeichnet den Prozess der serverseitigen Bildung eines möglichst eindeutigen und langlebigen (Hash-)Werts oder Abbildes als Ergebnis einer mathematischen Berechnung von Browser-Informationen, wie beispielsweise Bildschirmauflösungen, Betriebssystemversionen oder installierte Schriften.“ Das etracker Session Token-Verfahren ist explizit so ausgelegt, dass langlebige Kennungen bzw. Hash-Werte ausgeschlossen werden, indem den Session-Kennungen sich täglich ändernde Zeichenketten hinzugefügt werden. Ebenfalls ist die Eindeutigkeit durch vorherige Kürzung der IP-Adresse nicht gegeben und eine Re-Identifikation oder das gezielte Re-Targeting bestimmter Nutzer ausgeschlossen.
Wo finde ich die Technisch-organisatorischen Maßnahmen (TOMs)?
Die Die Technisch-organisatorischen Maßnahmen sind Teil des Auftragsverarbeitungsvertrags (AVV) und hängen diesem als Anlage 1 an. Du kannst den AVV mit den TOMs jederzeit in deinem Account abrufen: Einstellungen → Auftragsverarbeitungsvertrag.
Wo finde ich den mit etracker geschlossenen Auftragsverarbeitungsvertrag (AVV)?
Du kannst den mit etracker geschlossenen Auftragsverarbeitungsvertrag (AVV) jederzeit in deinem Account abrufen. Auch findest du hier das Datum der Zustimmung. Logge dich in deinen Account ein und gehe zu: Einstellungen → Auftragsverarbeitungsvertrag.
Ist der Datenschutzhinweis für etracker auch in Englisch vorhanden?
Ja, der Datenschutzhinweis ist auch in Englisch vorhanden. Stelle die Sprache des Accounts unter Profil → Meine Daten → Anzeige und Sprache auf Englisch, oder nutze den Sprach-Switcher unten im Dropdown-Menü.
Sobald dies geschehen ist, ist der Datenschutzhinweis im Account auf Englisch verfügbar: Privacy → Data protection notice.
Warum wird mir der Opt-out Button nicht in meiner Datenschutzerklärung angezeigt?
Sollte der Opt-out Button nach dem Einfügen der von uns zur Verfügung gestellten Widerspruchsmöglichkeit nicht angezeigt werden, überprüfe bitte, ob der etracker Tracking Code auf der Seite, auf der der Opt-out Button angezeigt werden soll, implementiert ist. Auch kann es sein, dass JavaScripte vom Browser, Addons oder vom CMS blockiert werden.
Falls der Opt-Out Button aus dem Account nicht in der Datenschutzerklärung angezeigt oder eingefügt werden kann, können hier Alternativen eingesehen werden: https://help.etracker.com/article/datenschutzhinweis/
Warum habe ich keinen Zugriff auf den Datenschutzhinweis unter dem Menüpunkt „Account“?
Der Menüpunkt „Account“ steht nur Nutzern mit Administrationsrecht zur Verfügung.
Wie erkenne ich, dass ich die Cookie-less Lösung von etracker implementiert habe?
Im etracker Skript wird das Setzen von Cookies durch das Attribut data-block-cookies
mit dem Wert true
unterbunden. Ob die Cookie-less Version auf deiner Website eingebaut ist, kannst du im etracker Code auf den Webseiten sehen: Ist bereits data-block-cookies="true"
gesetzt, so werden standardmäßig von etracker keine Cookies gesetzt.
Welche personenbezogenen Daten werden von etracker erhoben?
Im Standard enthalten die Reports in etracker analytics nur anonymisierte Daten. Die IP-Adresse, die zwangsweise bei Internetverbindungen übermittelt wird, wird frühestmöglich im Arbeitsspeicher der Datenannahme-Server gekürzt und damit anonymisiert. Nach Definition der Datenschutzgrundverordnung ist bereits die Anonymisierung eine Verarbeitung. Insofern gibt es keine Web-Analyse ohne Verarbeitung von personenbezogenen Daten.
Aufgrund der sehr weiten Definition von Art. 4 Nr. 1, 13, 14 und 15 EU-DSGVO können gegebenenfalls folgende weitere Daten als personenbezogen verstanden werden:
- Nutzer-Kennungen: zufallsgenerierte Werte (Beispiel: 108bf9a85547edb1108bf9a85547edb1), die nach Zustimmung des Nutzers in Cookies gespeichert werden können
- Gerätekennungen, nur sofern das App Tracking verwendet wird
- vom Auftraggeber optional übergebene oder in der Website inklusive URL enthaltene Kennungen
Bei Links von Marketing-Plattformen oder in URLs nach einem Login sind häufig Kennungen der jeweiligen Werbe-Dienste enthalten. URL-Parameter werden standardmäßig nicht von etracker analytics erfasst. Zudem haben wir verschiedene Mechanismen implementiert, um selbst vermeintliche Kennungen in der eigentlichen URL zu anonymisieren. Der EuGH hat in seinem Urteil vom 09.11.2023 in der Rechtssache C-319/22 außerdem geurteilt, dass derartige Kennungen nur dann als personenbezogen gelten, wenn die Datenempfänger bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die Kennungen einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen.
Wie lange werden welche Daten von etracker gespeichert?
Die im Rahmen unserer Vertragsbeziehung gespeicherten persönlichen Daten werden 90 Tage nach Vertragsende gelöscht, sofern eine längere Speicherung nicht in Hinblick auf die Einhaltung gesetzlicher Aufbewahrungsfristen erforderlich ist.
Bei den aggregierten Reporting-Daten handelt es sich um rein statistische Auswertungen, die keine personenbezogenen Daten enthalten. Diese werden nach Beendigung des Vertragsverhältnisses gelöscht. Der etracker Kunde kann jedoch auch jederzeit früher die in seinem Account vorhandenen Daten löschen: Integration→ Statistik Reset.
Rohdaten werden standardmäßig in Intervallen nach Ablauf der vertraglich zugesicherten Aufbewahrungsfrist von 13 Monaten gelöscht.