Bei Web Push Notifications handelt es sich grundsätzlich um eine einwilligungspflichtige Funktion von Browsern. Daher können Web Push Notifications per se nur an Nutzer versendet werden, die auf der jeweiligen Website per Einwilligungsdialog des Browsers dem Empfang zugestimmt haben.

Nach der Datenschutz-Grundverordnung (DSGVO) ist eine Datenverarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

(1) Einholung wirksamer Einwilligungen für Push-Benachrichtigungen

Bei der Gestaltung der Einwilligungsdialoge ist darauf zu achten, dass die Einwilligungen in informierter Weise erfolgen. Dass Einwilligungen durch eine eindeutige bestätigende Handlung erfolgen, wird durch den vom Browser vorgegebenen Dialog sichergestellt.

Im Einwilligungsdialog sollten Nutzer darauf hingewiesen werden, dass die Benachrichtigungen verhaltensbasiert ausgelöst bzw. auf die Interessen des Nutzers zugeschnitten sind. Nach Art. 7 Abs. 3 Satz 3 DSGVO sind die betroffenen Personen auch darüber zu belehren, dass sie jederzeit ihre Einwilligung widerrufen können. Um dem nachzukommen, kann ein Link mit weiteren Informationen zum Datenschutz und ein Hinweis auf die Abmeldemöglichkeit in den Browser-Einstellungen eingefügt werden. Diese Anforderungen werden bspw. durch folgende Dialoge erfüllt:
Einladungsdialog: „XYZ Benachrichtigungs-Service: Möchten Sie über News und exklusive Angebote informiert werden?“

Einwilligungsdialog: „Klicken Sie auf “OK”, um Push-Benachrichtigungen zu empfangen. Durch Ihre Zustimmung erhalten Sie auf Ihre Interessen abgestimmte News und exklusive Angebote von XYZ. Der Benachrichtigungs-Service kann jederzeit in den Browser-Einstellungen abbestellt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.“

Hier der DSGVO-konforme Einwilligungsprozess für Web Push Notifications zur Veranschaulichung:

(2) Abmelde- und Widerspruchsmöglichkeit für Push-Benachrichtigungen

Im Bereich der Datenschutzerklärung wird den betroffenen Personen ein Widerspruchsrecht gegen die Verarbeitung eingeräumt und den Informationspflichten nachgekommen. Textvorlagen und Widerspruchsfunktion für das datenschutzkonforme Tracking mit etracker stehen in Ihrem etracker Account zu Verfügung.

Zusätzlich zum Standard-Passus zum Einsatz der etracker Technologie auf Ihrer Website empfehlen wir folgenden Hinweis in Bezug auf Web Push Notifications aufzunehmen:

Benachrichtigungs-Service

Werden Web Push-Benachrichtigungen aktiviert, wird zur Bereitstellung dieser Funktion ein Service des jeweiligen Browsers eingesetzt. Für den Versand von Web Push-Nachrichten werden ausschließlich anonyme bzw. pseudonyme Daten übertragen. Sie können dem Empfang von Benachrichtigungen jederzeit über die Einstellungen Ihres Browsers widersprechen. Informationen über die Abmeldung für Web Push-Benachrichtigungen für die jeweiligen Browser finden Sie hier:

Google Chrome
Mozilla Firefox
Apple Safari

(3) Datenschutzrechtliche Bewertung von Web Push Notifications

Ein Vorteil von Web Push Notifications im Gegensatz zu klassischer Direktwerbung ist, dass keine persönlichen Daten für den Versand erforderlich sind. Bei der Einwilligung wird eine pseudonyme Subscriber ID mit dem Wert der zufallsgenerierten, anonymen bzw. pseudonymen Tracking Cookie ID zur Besucherwiedererkennung von etracker hinterlegt (Beispiel: 108bf9a85547edb1108bf9a85547edb1).

Da in etracker keinerlei Klarnamen oder persönliche Daten gespeichert werden, ist ein Rückschluss auf die betroffene Person nicht möglich. Eine Segmentierung beim Versand der Notifications wird dadurch ermöglicht, dass die Subscriber ID und Tracking ID den gleichen Wert besitzen. Auch die Segmentierungs-Attribute enthalten keine (Klar-) Daten, mit denen ein persönlicher Bezug hergestellt werden kann. Sie enthalten ausschließlich pseudonyme Informationen über das Verhalten auf der Webseite.

Der Versand der Benachrichtigungen basiert auf den Einwilligungen der Betroffenen. Die reine Verarbeitung von Verhaltensdaten zum Zweck der Direktwerbung kann durch Art. 6 Abs. 1 f DSGVO legitimiert werden. Dort heißt es:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Die Datenverarbeitung wird ausschließlich für den jeweiligen Website-Betreiber und nicht Kunden-übergreifend durchgeführt (getrennt aufbereitet und nicht Dritten zugänglich gemacht). Der Eingriff in die Rechte der Betroffenen besitzt keine besonders gravierenden Folgen für diese Betroffenen. Es kommt weder zu einer Verarbeitung besonders umfangreicher Datensätze oder gar sensitiver Daten. Die Eingriffstiefe ist also gering. Es liegt u.E. kein Profiling im Sinne der DSGVO vor, da die dargestellten Datenverarbeitungsprozesse keinerlei Rechtswirkung gegenüber Betroffenen entfalten. Eine Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO erscheint deshalb nicht erforderlich. Es kann weiter festgehalten werden, dass die Datenverarbeitung mit dem Ziel, Benachrichtigungen möglichst orientiert an den tatsächlichen oder mutmaßlichen Interessen der betroffenen Personen auszuspielen, letztlich dem berechtigten Interesse beider Parteien, also dem des Website-Betreibers wie auch den Nutzern dient. Eine Belästigung durch Werbung nach dem „Gießkannenprinzip“ wird hierdurch gerade vermieden.