Erlaubt das TDDDG das Tracken von QR Codes mit Informationen aus dem User Agent?

Disclaimer: Dieser Artikel ist rechtlich nicht verbindlich. Er versucht lediglich die aktuelle Gesetzeslage mit den darin vorkommenden Begriffsdefinitionen in Verbindung mit QR Code Tracking zu erörtern und dem Leser zu unterrichten, welche Tracking Einstellungen er bei uns in der Plattform nutzen kann, um DSGVO und TDDDG konform anonymisierte Tracking Daten zu erfassen.

Das TDDDG (ehemals TTDSG) ist seit dem 1. Dezember 2021 in Deutschland in Kraft und bezieht sich unter anderem auf den Schutz der Privatsphäre bei der Nutzung von Telekommunikationsdiensten, insbesondere auf die Verarbeitung personenbezogener Daten.

Alle Informationen zu dem Gesetz finden Sie unter TDDDG Homepage.

Das Gesetz regelt den Schutz der Privatsphäre bei Endeinrichtungen hinsichtlich der Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in Endeinrichtungen der Endnutzer gespeichert sind.

Die Niederschrift zum vollständigen Anwendungsbereich finden Sie unter Gesetzte im Internet

Der Begriff Endeinrichtungen steht hier als Platzhalter für Smartphones, die den QR Code scannen.

Der Begriff Endnutzer steht hier als Platzhalter für die Person, die mit ihrem Smartphone den QR Code scannt.

Wird ein QR Code von einem Smartphone (=Endeinrichtung) gescannt, leitet der QR Code in den meisten Fällen auf eine Webseite weiter. Die Webseite hat technisch die Möglichkeit ein Cookie (=Speicherung von Information) auf dem Smartphone zu hinterlegen. Sofern das Cookie den Benutzer eindeutig identifizieren kann, darf die Speicherung nur erfolgen, wenn der Benutzer sein Einverständnis dafür gibt.

Wenn ein Smartphone eine Webseite aufruft, schickt es bestimmte Informationen an die Webseite. Das sind unter anderem der User Agent, die akzeptierten Sprachen und falls vorhanden gespeicherte Cookies. Es wird ebenfalls die dem Smartphone zugeteilte die IP Adresse mitgeschickt, falls dieses sich nicht hinter dem TOR-Netzwerk oder hinter einem VPN versteckt.

Die oben angeführten Informationen u.a. auch der User Agent werden von der Endeinrichtung nicht aktiv ausgelesen, sondern automatisch an die Webseite übermittelt (=PUSH).

Informationen wie zum Beispiel die Bildschirmauflösung oder
installierte Plug-Ins müssten von der Webseite in der Endeinrichtung per JavaScript jedoch aktiv ausgelesen werden (=PULL).

Die MAC Adresse oder Telefonnummer in der Endeinrichtung kann technisch niemals von der Webseite weder durch PUSH oder PULL ausgelesen werden.

Der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

Quelle: DSGVO Gesetz

Im Prinzip wird in §25 TDDDG allgemein auf „Informationen“ Bezug
genommen und nicht nur auf personenbezogene Daten. Es sind somit alle
Informationen betroffen, die gespeichert oder gelesen werden. Das betrifft also den User Agent, die IP Adresse oder Cookies die das Smartphone bei Scan eines QR Codes mitschickt.

Wir tracken DSGVO konform da beim Tracken des User Agent von uns keine weiteren Daten wie die IP-Adressen gespeichert, keine Cookies auf dem Smartphone hinterlegt werden und auch keine Browser-Fingerprinting Techniken verwendet werden, die Rückschlüsse auf eine Person liefern.

Der User Agent allein enthält Informationen über den verwendeten Browser, das Betriebssystem und manchmal auch das Gerät. Diese Informationen sind jedoch nicht ausreichend, um eine Person eindeutig zu identifizieren oder zu tracken, solange sie nicht mit anderen identifizierbaren Daten (wie der IP-Adresse, Cookies oder Browser Fingerprinting) kombiniert werden.

In den meisten Fällen kann der User Agent-String alleine keinen Nutzer
eindeutig identifizieren, da viele Nutzer denselben Browser und dasselbe Betriebssystem verwenden. Somit ist das Risiko einer Personenidentifizierung durch den User Agent allein gering.

Wir verwenden den User Agent lediglich dazu, statistische Informationen zu sammeln, z. B. über die Verteilung von Browsern oder Betriebssystemen, und erstellen kein Nutzerprofil oder führen ein individuelles Tracking durch.

Da der User Agent ohne zusätzliche Daten wie IP-Adresse, Cookies oder Browser-Fingerprinting in der Regel keine personenbezogenen Informationen liefert, wird die Speicherung dieser Daten meist nicht als datenschutzrechtlich kritisch angesehen, solange keine weiteren Informationen zur Identifizierung des Nutzers verwendet werden.

Die Verarbeitung des User Agent ohne die Speicherung von IP-Adressen, Cookies oder Browser-Fingerprinting kann mit § 25 TDDDG konform sein, solange bestimmte Bedingungen erfüllt sind. Schauen wir uns an, wie § 25 TDDDG in diesem Zusammenhang zu interpretieren ist.

Zur Wiederholung: Der Paragraph § 25 regelt, dass Informationen, die in der Endeinrichtung eines Nutzers gespeichert werden oder auf die zugegriffen wird (wie etwa Cookies, Local Storage oder ähnliche Technologien), nur mit der Einwilligung des Nutzers genutzt werden dürfen, außer in bestimmten Ausnahmefällen, die primär technisch notwendige Verarbeitungen betreffen.

Der User Agent ist eine Information, die nicht aktiv in der Endeinrichtung des Nutzers gespeichert wird, sondern die vom Browser bei jeder Anfrage an den Server automatisch übermittelt wird.

Da wir auf diese Information nicht in der Endeinrichtung zugreifen, sondern sie durch den regulären Betrieb des Browsers zur Verfügung gestellt wird (=PUSH) , fällt das reine Erfassen des User Agent-Strings nicht unter den strengen Anwendungsbereich des § 25 TDDDG, solange keine weitergehenden Tracking- oder Identifizierungsmethoden verwendet werden (z.B. Erfassen der IP, setzen von Cookies, Browser Fingerprinting).

Da wir auch keine Cookies speichern und kein Browser-Fingerprinting betreiben, fällt das Vorgehen nicht unter den Teil des Gesetzes, der explizit den Zugriff oder die Speicherung von Daten in der Endeinrichtung des Nutzers (z. B. durch Cookies) regelt. Der User Agent wird nur zur Kommunikation zwischen dem Browser und dem Server verwendet.

Wenn der User Agent nicht dazu verwendet wird, Nutzer zu tracken oder zu identifizieren (z. B. durch Browser-Fingerprinting), sondern lediglich technische Informationen erfasst werden, um die Nutzung der Website zu optimieren, fällt dies in der Regel nicht unter die Einwilligungspflicht gemäß § 25 TDDDG. Dies wäre datenschutzrechtlich nur problematisch, wenn zusätzliche Methoden wie Cookies oder andere Identifikatoren verwendet werden.

Nach unserer Auffassung ist das Erfassen des User Agent ohne Speicherung von IP-Adressen, Cookies oder Browser-Fingerprints und ohne aktive Auslesung von Daten in der Endeinrichtung des Nutzers § 25 TDDDG-konform, solange die Daten ausschließlich für technisch notwendige Zwecke zum Beispiel für eine Weiterleitung in den passenden App Store je nach Marke des Endgeräts oder zum Blockieren der Anfrage, falls es sich um einen Bot handelt.

Man braucht keine Einwilligung, solange keine personenbezogenen
Tracking-Maßnahmen durchgeführt werden oder Informationen in der
Endeinrichtung des Nutzers aktiv ausgelesen werden.

Für den Fall, dass Sie das Tracking mit Informationen, die aus dem User Agent bezogen werden, deaktivieren möchten, haben wir eine Anleitung zum Deaktivieren vorbereitet.

Wir speichern neben der Anzahl, wie oft ein QR Code gescannt wurde, auch die Anzahl der eindeutigen Besucher die den QR Code aufgerufen haben. Um hier Datenschutz konform zu agieren bzw. das Tracking von eindeutigen Besuchern zu unterbinden finden Sie eine Anleitung wie Sie die IP Adressen anonymisieren können.

Durch Nutzung der beiden obigen Maßnahmen sind Sie immer auf der sicheren Seite, wenn Sie TDDDG konformes QR Code Tracking in Deutschland betreiben möchten.