[Aktualisiert] Stellen Tools zur Sitzungsaufzeichnung ein Risiko für die Privatsphäre im Internet dar? 07. März 2018

Der Datenschutz im Internet und insbesondere die Verwendung von Tools zur Sitzungsaufzeichnung waren in den letzten Monaten eine heiße Debatte. Während Regulierungsbehörden und Branchenführer sich damit befassen, wie Vermarkter die von diesen Tools gesammelten aufgezeichneten Sitzungen verwenden, gibt es auch Bedenken hinsichtlich der sozialen und kriminellen Auswirkungen der Speicherung persönlicher, datenschutzrelevanter Daten ohne Wissen des Besuchers.

Die Aussicht, dass diese datenschutzrelevanten Daten offengelegt werden oder in die falschen Hände geraten, sowie die Tatsache, dass Besucher oft nicht wissen, dass sie überhaupt gespeichert werden, wirft eine Reihe verschiedener Fragen auf. Gibt es rechtliche Risiken für Unternehmen, die Tools zur Sitzungsaufzeichnung auf ihren Websites verwenden? Stehen solche Tools derzeit im Einklang mit den Datenschutzgesetzen? Wie ändern sich diese Gesetze und was werden die Folgen für Unternehmen in der Zukunft sein?

In diesem Artikel wirft Mopinion einen genaueren Blick auf Tools zur Sitzungsaufzeichnung und was die Zukunft bringt. Wir werden darauf eingehen, was diese Tools von anderen Online-Marketing-Tools unterscheidet, z. B. wo sie sich auszeichnen und wo sie zu kurz kommen. Nachdem wir mehrere Datenschutzexperten konsultiert haben, darunter Frank Wijnans (Sprecher der Piratenpartij, Mitglied der Pirate Parties International – PPI) und Arnoud Engelfriet (IT- und Datenschutzanwalt), werden wir uns auch mit den potenziellen Datenschutzrisiken und rechtlichen Folgen der Verwendung solcher befassen Werkzeuge.

Was sind Sitzungsaufzeichnungs- und Sitzungswiedergabetools?

Sitzungsaufzeichnung und -wiedergabe ist im Wesentlichen die Fähigkeit, die Interaktionen Ihrer Besucher auf Ihrer Website aufzuzeichnen, zu speichern und wiederzugeben. Eine wertvolle Sitzungswiedergabe ist eine, die Online-Vermarktern und UX-Designern tiefe Einblicke in die Benutzererfahrung von Website-Besuchern bietet. Dies geschieht, indem Besucher auf der Website aufgezeichnet werden, während sie auf verschiedene Webseiten klicken, scrollen, tippen oder navigieren.


Quelle: Hotjar

Nach der Analyse einzelner Sitzungsaufzeichnungen und der Identifizierung von Schwachstellen können Benutzer ihre Website entsprechend optimieren, um Conversions und Verkäufe zu steigern sowie das allgemeine Benutzererlebnis zu verbessern. Einige Beispiele für solche Tools sind Hotjar, Mouseflow und Inspectlet.

Klicken Sie hier, um eine vollständige Übersicht über Tools zur Besucheraufzeichnung und Sitzungswiedergabe zu erhalten.

Kostenloses Whitepaper: Die Zukunft des Online-Kundenfeedbacks

Erfahren Sie, wie Sie das Potenzial von Online-Kundenfeedback nutzen können, um Websites und Apps zu optimieren.

Laden Sie das Papier herunter

Wie schneiden Tools zur Sitzungsaufzeichnung im Vergleich zu anderen Online-Marketing-Tools ab?

Wenn wir Tools zur Sitzungsaufzeichnung mit anderen Online-Marketing-Tools vergleichen, sind Datenschutz und Profilerstellung das, was diese Tools wirklich auszeichnet. Beispielsweise wissen Tools wie Online-Werbung viel über Ihr Online-Verhalten und Sie als Besucher. Ein gutes Beispiel dafür sind die Werbeanzeigen auf Facebook. Der Unterschied zwischen Werbetools und Sitzungsaufzeichnungstools besteht jedoch darin, dass der Werbetreibende (Endbenutzer) niemals persönliche oder datenschutzrelevante Daten sieht, z. B. Benutzernamen oder andere private Informationen.



Bei Marketing-Tools wie der Webanalyse basieren die Daten auf anonymem Klickverhalten, was bedeutet, dass der Klick keine sensiblen Informationen über die Person preisgeben kann, und – in vielen Fällen – werden die IP-Adressen anonymisiert. Das Analysetool zeigt einfach, dass Besucher auf etwas geklickt haben, und misst Online-Interaktionen wie Sitzungen auf Webseiten oder identifiziert, wo Besucher die Website verlassen haben. Das Gleiche gilt für viele andere User Experience (UX)-Tools, die das Maus- und Klickverhalten verfolgen, wie z. B. Heatmapping und A/B-Testing-Tools.

Auch andere Online-Marketing-Tools wie Kundenfeedback unterscheiden sich von Sitzungsaufzeichnungs-Tools dadurch, dass sie „benutzerinitiiert“ sind. Dies bedeutet, dass das „Opt-in“ stattfindet, wenn der Besucher der Website oder der Benutzer der mobilen App sich entscheidet, ein Feedback-Formular auszufüllen.

Vor- und Nachteile von Tools zur Sitzungsaufzeichnung

Warum entscheiden sich Unternehmen also für die Arbeit mit Sitzungsaufzeichnungstools? Überwiegen die Vorteile wirklich die Nachteile? Die einzige Möglichkeit, dies herauszufinden, besteht darin, beide Seiten zu betrachten. Schauen wir uns das unten an.

Vorteile:

• Zeigt tatsächliche Online-Besucherinteraktionen.
• Betrachtet Besuchersitzungen auf individueller Ebene.
• Zeigt auf, wo Besucher in bestimmten Trichtern (z. B. dem Einkaufswagen) stecken bleiben oder aussteigen.
• Hilft beim Entdecken und Reproduzieren von Fehlern, um die Benutzererfahrung zu verbessern.
• Onboarding-Prozesse verstehen und verbessern. Sehen Sie genau, wo Benutzer in Onboarding-Flows versagen.
• Testen und verbessern Sie neue Funktionen oder Seiten. Sehen Sie sich beispielsweise an, wie Besucher auf eine neue Zielseite reagieren.

Nachteile:

• Kontext fehlt. Es gibt keine Erklärung direkt vom Besucher bezüglich seiner Aktivität. Die Interpretation der Besucheraktionen bleibt dem Unternehmen überlassen.
• Es ist schwierig, eine große Anzahl einzelner Besuchersitzungen zu analysieren.
• Es ist zeitaufwändig, einzelne Aufzeichnungen anzusehen, und nicht jede Aufzeichnung liefert wertvolle Erkenntnisse.
• Führt ein Datenschutzrisiko für persönliche Besucherdaten ein.

Hinweis: Der letzte Punkt oben kann sowohl von Verbrauchern als auch von Unternehmen, die Sitzungsaufzeichnungen verwenden, als etwas beunruhigend empfunden werden. Denn viele Unternehmen, die Tools zur Sitzungsaufzeichnung einsetzen, sind oft ausschließlich dafür verantwortlich, die notwendigen Kontrollen zum Schutz der Daten ihrer Kunden bereitzustellen. Welche Risiken bestehen also?

Datenschutzrisiken bei der Verwendung von Tools zur Sitzungsaufzeichnung

Online-Besucher beteiligen sich täglich an verschiedenen Online-Prozessen. Vom Ausfüllen von Kontaktformularen und Beratungsdiensten bis hin zum Aufgeben von Online-Bestellungen werden ihre Aktionen bei jedem Schritt aufgezeichnet. Das heißt, wenn die Website über ein Sitzungsaufzeichnungstool verfügt.

Ein wichtiger Faktor, der hier zu erkennen ist, ist, dass während der Sitzungsaufzeichnungen auch Elemente wie Texteingaben und Formularauswahlen aufgezeichnet werden. Hier scheint das größte Risiko zu liegen, da die eingegebenen oder ausgewählten Informationen datenschutzrelevante Informationen über den Besucher enthalten können, z. B. persönliche Daten des Besuchers, Finanzdaten oder sogar medizinische Daten.

Risiken für medizinische Daten
Beispielsweise werden medizinische Daten immer anfälliger für Datenschutzverletzungen. Laut The Independent sind Krankenakten für Kriminelle wertvoller als Finanzdaten, da der Diebstahl solcher Unterlagen ihnen oft Zeit gibt, ihre nächsten Schritte zu planen – falsche Avatare zu erstellen, um Zugang zu Krankenversicherungen oder Zahlungen zu erhalten oder persönliche Daten zu nutzen Informationen gegen jemanden. Leider werden Opfer solcher Verbrechen normalerweise nichts entdecken, bis der Plan bereits in Gang ist.



Risiken für Finanzdaten
Diese Tools stellen auch ein großes Risiko in Bezug auf das Durchsickern von Finanzdaten dar. Sollten finanzielle Details in irgendeiner Weise kompromittiert werden, könnten Besucher potenziell einem Identitätsdiebstahl ausgesetzt sein. Kriminelle können diese Informationen beispielsweise nutzen, um Kredite aufzunehmen, Steuererklärungen zu fälschen oder illegal eine Wohnung zu vermieten.



In einem Offline-Szenario wäre das nahezu Äquivalent zu Sitzungsaufzeichnungstools eine Kamera im Raum. Beispielsweise geben Sie bei einem Gespräch mit Ihrem Finanzberater Details wie Ihre Sozialversicherungsnummer (oder BSN), Ihre Steueridentifikationsnummer und Ihre Kontonummer bekannt. Dies würde alles mit einer Kamera aufgezeichnet und für eine spätere Überprüfung gespeichert.

Risiken personenbezogener Daten
Denken Sie jedoch daran, dass medizinische und finanzielle Daten sicherlich die am stärksten gefährdeten Datenarten sowie die strengsten in Bezug auf die Branchenrichtlinien sind, es jedoch andere Elemente der Sitzungsaufzeichnung gibt, die für Online-Besucher möglicherweise unerwünscht sind.

Stellen Sie sich vor, Sie kaufen auf einer Online-Einzelhandelswebsite ein und wissen, dass jede Ihrer Bewegungen aufgezeichnet wird. Das Einzelhandelsgeschäft kann sehen, wie Sie nach bestimmten Artikeln gesucht haben und welche Produkte Sie in Ihren Warenkorb gelegt haben. Und nicht nur das, sie haben alle diese Aktionen zu einem Profil hinzugefügt, das speziell für Sie erstellt wurde, sobald Sie sich angemeldet und eingeloggt haben. Es könnte ziemlich aufdringlich erscheinen, wenn diese Kunden wissen, dass solche Aufzeichnungen stattfinden.



Vielleicht ist eines der jüngsten und beunruhigendsten Vorkommnisse, das viele Session-Replay-Tools – wie Mixpanel, UserReplay und SessionCam – geplagt hat, die unbeabsichtigte Erfassung von Passwortdaten von ihren Kunden. Ein Beispiel hierfür ist die Funktion „Passwort anzeigen“, die viele Kunden dieser Unternehmen auf ihrer Website haben. Es gab Fälle, in denen die Funktion den Passwortschwärzungsschutz durcheinanderbrachte, sodass das Tool automatisch das Passwort aufzeichnete, wenn der Benutzer auf „Passwort anzeigen“ klickte und dann eine andere Aktion auf der Seite ausführte. Lesen Sie hier mehr darüber, wie das funktioniert.

Welche Maßnahmen sollten ergriffen werden, um die Daten der Besucher zu schützen?

Frank Wijnans, Sprecher der Piratenpartei (NL), teilt seine Gedanken zu diesem Thema:

Diese Debatte [ob Sitzungsaufzeichnungstools ein Risiko für die Privatsphäre im Internet darstellen] läuft alles auf eine Frage hinaus – werden dies als personenbezogene Daten angesehen? Und ich kann Ihnen eine schnelle Antwort geben: Ja, das ist es. Daher sollten diese Informationen mit allen notwendigen Vorsichtsmaßnahmen behandelt werden.

Viele Vermarkter und Analysten konzentrieren sich sehr darauf, wie viele Daten sie sammeln können, was Sitzungsaufzeichnungstools leider sehr anfällig für Funktionseinbrüche macht. „Diese Tools sind daher nicht das, was man von einem ‚sorgsamen Umgang mit personenbezogenen Daten‘ erwarten würde.

Funktionskriechen ist die allmähliche Ausweitung der Nutzung einer Technologie oder eines Systems über den Zweck hinaus, für den es ursprünglich vorgesehen war – insbesondere wenn dies zu einer potenziellen Verletzung der Privatsphäre führt .

Wijnans fährt fort: „Es wäre besser, wenn sich diese Tools mehr auf die Daten konzentrieren würden, die Sie verwenden können. Es wäre eine gute Praxis, im Voraus zu bestimmen, was die möglichen Ergebnisse bedeuten könnten. Bei gespeicherten Daten – in diesem Fall Aufzeichnungen einzelner Benutzer – ist es jedoch schwierig, etwas Aussagekräftiges herauszufiltern, und die Ergebnisse sind unzuverlässig.“

Er erklärt, dass seine Organisation der Ansicht ist, dass die Erhebung personenbezogener Daten zulässig sein sollte, wenn sie für einen klaren und spezifischen Zweck erforderlich ist und mit Wissen dieser Person erhoben wird. Das würde bedeuten, dass bei Sitzungsaufzeichnungstools das Unternehmen, das die Aufzeichnungen durchführt, im Voraus entscheiden muss, was es wissen möchte, und dann den Besucher um Erlaubnis fragen muss, bevor es diese Daten sammelt.

*Die 'Piratenpartij' ist Teil von Pirate Parties International (PPI), einer politischen Bewegung, die sich auf vier Schlüssel konzentriert: darunter Bürgerrechte, Demokratisierung, Transparenz und eine freie Gesellschaft.

Interessanterweise scheint eine andere bekannte Organisation der Notwendigkeit eines Opt-in zuzustimmen…

ESOMAR, früher bekannt als Europäische Gesellschaft für Meinungs- und Marktforschung, ist eine Mitgliederorganisation, die mit großen Marktforschungsagenturen wie Ipsos, Gfk, TNS Nipo/KAntar und Maritz zusammenarbeitet. 2015 veröffentlichte die Organisation die ESOMAR/GRBN Guideline for Online Research. Gemäß Artikel 7.11 (Inakzeptable Praktiken) verbot die Organisation Folgendes:

• Verwendung von Keyloggern ohne Einholung der Opt-in-Zustimmung des Teilnehmers;
• Wenn der Browser des Teilnehmers auf den privaten Modus eingestellt ist, Tracking-Verhalten ohne Opt-in-Einwilligung; und
• Wenn der Teilnehmer sich auf einer Website befindet, die auf sichere Verbindung eingestellt ist (z. B. SSL-Website), sammelt er personenbezogene Daten ohne Opt-in-Zustimmung.

Kurz gesagt, alle Mitgliedsagenturen von ESOMAR müssen eine Opt-in-Zustimmung einholen, bevor sie Verhaltensdaten von Besuchern verfolgen oder erhalten.

Ein genauerer Blick auf "Profiling"

Arnoud Engelfriet, Anwalt für IT und Datenschutz, weist darauf hin, dass Tools zur Sitzungsaufzeichnung ohne entsprechende Genehmigung in der Tat problematisch sind, da sie unter Profiling fallen, was ein sehr komplexes Rechtsgebiet ist.

Es ist sowohl logisch als auch verständlich, dass Unternehmen Sitzungsaufzeichnungstools verwenden möchten. Zu wissen, wie Ihre Website von Ihren Besuchern verwendet wird, ist ein wichtiger Teil der Benutzerfreundlichkeit, Konversion und allgemeinen Verbesserung Ihrer Website. Schade ist allerdings, dass diese Tools immer versuchen, möglichst viele Informationen über einen Besucher herauszuquetschen. Mit einem genauen Blick auf Privacy by Design könnte sicherlich mehr darüber nachgedacht werden

– Engelfried

Sind Maskierungsfunktionen eine Lösung?

Es gibt einige Tools zur Sitzungsaufzeichnung, die „Maskierungsfunktionen“ als Trost für die potenzielle Offenlegung datenschutzrelevanter Daten bieten. Um dies einzurichten, muss das Unternehmen, das das Tool verwendet, das Frontend der Website (einschließlich Layout und HTML) in allen Feldern anpassen, in denen Besucher Text eingeben oder Formularauswahlen treffen können. Durch Hinzufügen dieses zusätzlichen HTML-Codes kann das Unternehmen entscheiden, welche Elemente auf seiner Website verfolgt werden.


Quelle: Hotjar

Leider ist dies eine Aufgabe, bei der der Benutzer das Layout jeder Seite ändern muss, auf der der Besucher Informationen hinterlassen kann. Wenn das Unternehmen Tools von Drittanbietern wie Chat, Zahlungstrichter, CRM oder Kontaktformulare verwendet, sind diese „Maskierungs“-Tags möglicherweise nicht immer anwendbar. Ganz zu schweigen davon, dass diese Unternehmen laut Anbietern von Sitzungsaufzeichnungstools diejenigen sind, die das Risiko tragen, falls sie es versäumen, datenschutzrelevante Daten zu maskieren.

Die Rechtsfolgen jetzt und in Zukunft

Engelfriet: „Das Profiling und Erfassen dieser Informationen ist derzeit nach dem Datenschutzgesetz sowie der Datenschutz-Grundverordnung (DSGVO) (in Kraft seit dem 25. Mai 2018) legal, vorausgesetzt, Sie sammeln nur das, was für Ihren Zweck erforderlich ist, und stellen sicher, dass dies gewährleistet ist Schutz der Privatsphäre Ihrer Besucher wie möglich.'

Hinweis: Während sich dieser Artikel hauptsächlich darauf konzentriert, wie Tools zur Sitzungsaufzeichnung betroffen sind, ist es wichtig zu erkennen, dass diese rechtlichen Änderungen (DSGVO) auch andere Bereiche betreffen werden, z. B. HR & Recruitment. Lesen Sie hier mehr darüber.

Das bedeutet, dass Anwender einen „klaren Fall für ihr Tool“ haben müssen. Anstatt also alles aufzuzeichnen und zu sehen, welche Informationen es hinterher liefert, müssen die Nutzer im Voraus wissen, welche Daten sie sammeln und auch begründen können, dass sie diese Datenmenge benötigen. Darüber hinaus müssen die Benutzer Tools so einrichten, dass sie so datenschutzfreundlich wie möglich sind, und in ihrer Datenschutzerklärung angeben, dass sie Tools zur Sitzungsaufzeichnung verwenden.



Engelfried fährt fort: „Eine Genehmigung ist nicht unbedingt erforderlich, wenn Sie die oben genannten Voraussetzungen erfüllen. Sie sind jedoch verpflichtet, ein Opt-out anzubieten, da Personen dieser Art der Profilerstellung rechtlich widersprechen können.'

Während derzeit eine einfache Opt-out-Verpflichtung in Bezug auf die Einholung der Erlaubnis zur Verwendung von Sitzungsaufzeichnungstools gelten kann, wurden neue Gesetze erlassen, die diese Berechtigungen in naher Zukunft ändern könnten. Beispielsweise könnte dies zu einem strengeren Opt-in führen, ähnlich dem Cookie-Gesetz, das Benutzer möglicherweise dazu verpflichtet, die ausdrückliche Erlaubnis von Besuchern über ein auffälliges Popup einzuholen, das angibt, wie sie die zu sammelnden Daten verwenden werden. Alternativ könnte es nur einen Verweis in den Allgemeinen Geschäftsbedingungen oder einen anderen Haftungsausschluss auf der Website erfordern. Dies ist noch zu klären.

Was machen wir jetzt?

Das ist die Millionen-Dollar-Frage. Ist es angesichts der in diesem Artikel dargelegten potenziellen rechtlichen Risiken ratsam, Sitzungsaufzeichnungstools auf Ihrer Website zu verwenden? Alles, was wir sagen können, ist, dass Unternehmen, die sich für die Verwendung von Tools zur Sitzungsaufzeichnung entscheiden, sich der Risiken und Auswirkungen bewusst sein sollten. Dazu gehört das sorgfältige Lesen der Allgemeinen Geschäftsbedingungen des Sitzungsaufzeichnungstools, das Sie verwenden möchten, und das Überprüfen der lokalen Gesetze in Ihrem Land oder Ihrer Region. Dazu gehört auch, gewissenhafte und sorgfältig kalkulierte Entscheidungen darüber zu treffen, welche Daten Sie erheben.