Zum Inhalt wechseln
cutty.dev
All posts

Link-Shortener und DSGVO — was Sie wissen müssen, bevor Sie einen Link in den Newsletter einfügen

Link-Shortener sammeln Klickdaten — und das ist bereits ein Thema der DSGVO. Wir erklären, was der Shortener sieht, wo diese Daten landen und warum der Standort des Servers wichtig ist, wenn man in der EU tätig ist.

Ein einziger Klick auf einen Kurzlink bedeutet im Durchschnitt vier stillschweigend gespeicherte Daten: IP-Adresse, Browser, Betriebssystem, Quelle des Zugriffs. Vier. Und nun multiplizieren Sie das mit 3000 Newsletter-Abonnenten, die am Sonntagmorgen auf den Link zu Ihrem Angebot klicken. Plötzlich haben Sie eine Datenbank mit mehreren tausend Datensätzen, die Sie noch nie mit eigenen Augen gesehen haben.

Und genau das ist der Moment, in dem die Link-Kürzer und die DSGVO aufhören, ein theoretisches Problem für Anwälte zu sein, und anfangen, deines zu sein.

Denn eine IP-Adresse in der EU ist ein personenbezogenes Datum. Nicht „fast“, nicht „in einigen Fällen“. Ein personenbezogenes Datum. Wenn Sie einen Kurzlink in einer Unternehmenskampagne verwenden, sind Sie als Administrator dafür verantwortlich, was mit den IPs der Personen geschieht, die darauf klicken.

Was ein Kürzer wirklich sieht, wenn jemand klickt

Die Liste ist kürzer, als sie scheint, aber dicht genug:

  • IP des Besuchers (also die oben genannte Person),
  • User Agent, also Browser und Betriebssystem,
  • Referrer — von welcher Seite der Zugriff kam,
  • ungefähre Lokalisierung, berechnet aus dieser IP.

Das reicht aus, um schöne Klickstatistiken zu erzielen. Das reicht auch aus, um in Pflichten zu geraten, an die die meisten Menschen nicht denken, wenn sie schnell vor dem Versenden einen Link einfügen.

Wo diese Daten landen (und warum das wichtiger ist als die Statistiken selbst)

Hier ist der eigentliche Haken. Viele bekannte URL-Shortener sind Unternehmen von außerhalb Europas, meistens aus Amerika. Du klickst auf „shorten“, fügst den Link zum Newsletter ein, und die Daten darüber, wer, wann und von wo aus geklickt wurde, fliegen über den Ozean.

Zwei Probleme, eines nach dem anderen.

Erster: Der Datentransfer in Länder außerhalb der EU benötigt eine Rechtsgrundlage, und der Boden für diesen Transfer selbst kann sich bewegen. Die Vorschriften haben sich bereits mehrmals geändert, und es gibt nichts, was darauf hindeutet, dass dies das Ende ist.

Zweitens: Daten unterliegen einer anderen Rechtsordnung. Als europäischer Administrator haben Sie darauf schlichtweg keinen Einfluss. Wo der Server physisch steht, ist kein langweiliges Detail mehr aus der Dokumentation. Es wird zu einer Entscheidung darüber, ob Sie die DSGVO einhalten oder nicht.

Was das Risiko tatsächlich verringert

Drei Dinge. Ohne Magie.

Server in der EU. Klickdaten verlassen Europa nicht, daher entfällt das gesamte Thema des transatlantischen Transfers einfach. Weniger zu übersetzen, weniger zu überwachen.

Weniger gesammelte Daten. Je weniger das Tool speichert, desto weniger musst du dich darum kümmern. Es ist gut, wenn die IP gehasht wird, anstatt im Klartext vorzuliegen — dann siehst du Statistiken, aber du speicherst nicht die Rohadresse einer bestimmten Person. Genau das ist die Funktion, die wir in cutty.dev eingebaut haben, denn ohne sie ist der Rest nur halb so viel wert.

Kein Cross-Site-Tracking. Ein Adblocker, der das Profil eines Besuchers nicht verknüpft und Daten nicht weiterverkauft, ist ein Problem weniger auf der Liste.

In der Praxis, also was am Montagmorgen zu tun ist

Es geht nicht darum, auf das Kürzen von Links zu verzichten. Kürze sie. Es geht nur darum, das Werkzeug bewusst auszuwählen und nicht einfach das erste, das man in der Suchmaschine findet.

  1. Überprüfen Sie, wo der Server steht und wer ihn überhaupt betreibt.
  2. Überprüfen Sie, was gespeichert wird und wie lange.
  3. Wenn Sie Daten von Besuchern sammeln, fügen Sie einen Link-Shortener zu Ihrer Datenschutzerklärung hinzu. Nur ein Satz. Es tut wirklich nicht weh.

Das ist alles. Dies stellt keine Rechtsberatung dar (ich bin nicht Ihr Anwalt), aber es ist das Fundament, auf dem Compliance viel einfacher aufgebaut werden kann, als wenn die Daten bereits ab dem ersten Klick über den Ozean abwandern.

Und wenn Sie sich nur einen Satz davon merken könnten: Bevor Sie den Link zum Newsletter posten, prüfen Sie, wo die IP Ihrer Leser landen wird. Das ist eine Frage für in fünf Minuten, die jedoch viel späteren Nervenaufwand erspart.