Wie können Unternehmen ihr Tracking für Analyse-Zwecke noch datenschutzkonform gestalten? Google Analytics steht nicht erst seit der Entscheidung der österreichischen Datenschutzaufsicht in der Kritik. „Cookieless“ Tracking bietet datenschutz- und nutzerfreundliche Lösungen.
Der Inhalt im Überblick
- Webanalyse, Reichweitenmessung und Tracking
- Tracking für Analysezwecke
- Warum ist Tracking ohne Einwilligung interessant?
- Fingerprinting als Alternative?
- Cookieless-Tracking ohne Zugriff auf das Endgerät
- Tracking durch Login
- Tracking über URL-Erweiterungen
- Tracking über mitgelieferte Daten des Nutzers
- Ohne Einwilligung erlaubt, weil kein Personenbezug
- Ohne Einwilligung erlaubt, weil überwiegendes Interesse
- Was sagen die Datenschutzbehörden?
- Fazit
Webanalyse, Reichweitenmessung und Tracking
In einem kürzlich veröffentlichten Artikel zu Webanalyse und Datenschutz hatten wir uns bereits mit Analyse-Möglichkeiten beschäftigt, die ohne Cookies und Einwilligung auskommen. Nun wollen wir noch etwas konkreter auf die verschiedenen technischen Umsetzungsmöglichkeiten eingehen, die das Ziel haben, das Nutzerverhalten auf einer Website oder App zu erfassen und auszuwerten. Selbst wenn man hierbei von Anfang an nur anonyme/statistische Daten erfasst und keine Cookies setzt, soll dies in diesem Beitrag insgesamt als „Tracking für Analysezwecke“ bezeichnet werden (so auch die Terminologie der europäischen Aufsichtsbehörden, siehe OH Telemedien von 2021, Seite 27).
Tracking für Analysezwecke
Das Tracking für Analysezwecke soll u.a. folgende Fragen beantworten:
- Wie viele Besucher sind auf meiner Seite gelandet?
- Aus welcher Region stammen sie?
- Von welcher Seite haben sie zu mir gefunden?
- Und wie bewegen sie sich auf meiner Seite?
Für Unternehmen, die hohe Budgets in Online-Werbekampagnen investieren, ist darüber hinaus noch eine weitere Frage von großer Bedeutung: Wie funktionieren meine Google-Ads-Kampagnen? Durch Conversion-Tracking kann analysiert werden, welche Suchbegriffe und welche Werbeanzeige einen Nutzer dazu gebracht haben, ein bestimmtes Kontaktformular auszufüllen oder einen Artikel im Online-Shop zu bestellen.
Warum ist Tracking ohne Einwilligung interessant?
Spätestens seit dem „Planet 49“-Urteil des EuGH von 2019 und der Kodifizierung dieser Rechtsprechung im neuen TTDSG vom Dezember 2021 dürfen gängige Tracking-Methoden nur noch eingesetzt werden, nachdem der Besucher zuvor seine Zustimmung erteilt hat. In der Regel werden solche Zustimmungen über den „Cookie-Consent“ in einem vorgeschalteten Banner abgefragt.
Abgesehen davon, dass Cookie-Consent-Abfragen jedem auf die Nerven gehen und häufig nicht die gesetzlichen Anforderungen an eine wirksame Einwilligung erfüllen, hat dieser Prozess noch eine weitere entscheidende Schwäche: Eine Website-Analyse, deren Datenerfassung auf eine Einwilligung gestützt wird, darf nur Daten den Personen umfassen, die auch tatsächlich zugestimmt haben. Vor allem bei rechtskonform gestalteten Cookie-Consents, die unter anderem ein Ablehnen optionaler Cookies mit nur einem Klick vorsehen müssen, verweigern viele Besucher ihre Zustimmung, sodass deren Daten für die Analyse verloren gehen.
Genügend Gründe also für eine Lösung zur Website-Analyse, die ohne Einwilligung eingesetzt werden darf. Die Online-Marketing-Welt spricht schon länger vom „cookieless Tracking“ als Patentlösung für ein Tracking ohne lästige Cookie-Banner. Aber ist das auch seriös? Wie so oft, es kommt darauf an…
Fingerprinting als Alternative?
Traditionell werden Internet-Nutzer dadurch getrackt, indem man ihnen einen virtuellen Aufkleber anheftet. Der Besucher kommt auf eine Website, bekommt eine winzige Textdatei mit einer ID auf seinem Gerät abgelegt (=Cookie) und kann so während seines Besuchs, bei einer Rückkehr auf die Seite, aber auch auf anderen Seiten stets wiedererkannt werden, solange der Cookie nicht gelöscht wird.
Entsprechendes funktioniert auch ohne das Ablegen von Cookies, indem ein Website-Betreiber mittels JavaScript diverse Informationen vom Gerät des Benutzers ausliest, die so detailliert sein können, dass sie in Form einer daraus gebildeten Prüfsumme einen eindeutigen „Fingerabdruck“ ergeben (=“Device Fingerprinting“). Eine Verfeinerung dieser Technik ist das „Canvas Fingerprinting“, bei dem die auf jedem Gerät individuelle Darstellung von Grafiken ausgelesen wird. Auch so kann ein Nutzer dauerhaft über diverse Websites verfolgt und seine Aktionen analysiert werden.
Rechtlich macht es allerdings keinen Unterschied, ob Nutzer mit Hilfe von Cookies oder Fingerprints getrackt werden. § 25 Abs. 1 TTDSG ist technikneutral formuliert und erfasst sämtliche dieser Tracking-Formen, bei denen „auf Informationen, die bereits in der Endeinrichtung gespeichert sind“ zugegriffen wird. Rechtsfolge ist das strikte Einwilligungserfordernis, weil Tracking für Analyse-Zwecke nicht unter die Ausnahmen des § 25 Abs. 2 TTDSG fällt.
Cookieless-Tracking ohne Zugriff auf das Endgerät
Cookieless Tracking ist jedoch auch ohne Fingerprinting möglich und ohne Zugriff auf Daten, die auf dem Endgerät des Users gespeichert sind. An dieser Stelle verlassen wir den Anwendungsbereich des § 25 TTDSG, dürfen dabei aber nicht die Anforderungen der DSGVO vergessen. Diese hängen von der Art der technischen Umsetzung ab:
Tracking durch Login
Naheliegend wäre zunächst, die Nutzeraktivitäten über einen Login zu tracken und auszuwerten. Die gesammelten Tracking-Daten könnten dann sogar mit den Daten in der CRM-Datenbank verknüpft werden, was die Online- mit der Offline-Welt verbinden würde.
Nach der DSGVO könnte eine solch umfangreiche Datenerfassung auf Personenebene sicherlich nicht auf ein berechtigtes Interesse gestützt werden und wäre damit nur auf Basis einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO zulässig. Eine Verknüpfung der Daten mit der CRM-Datenbank müsste zudem besonders transparent gemacht werden – ein „Verstecken“ in einem klassischen Consent-Management-Tool wäre überraschend und damit unwirksam.
Tracking über URL-Erweiterungen
Das Conversion-Tracking ist für viele Unternehmen von großer Bedeutung, um den Ertrag von Investitionen in bezahlte Werbeanzeigen messen zu können. Man möchte zum Beispiel wissen, wie viel Umsatz im Online-Shop mit dem Klick auf eine Google-Adwords-Anzeige begann. Diese Spur lässt sich auch ohne den Einsatz von Cookies verfolgen, indem ab dem Klick auf die Anzeige eine ID in der URL „durchgeschleift“ wird. Je nach Art der Umsetzung kann dieses Tracking vollständig anonym erfolgen (Auswertung nach: Klick auf Anzeige A hat zu Umsatz X geführt) und wäre damit datenschutzrechtlich unkritisch. Bei einer Zuordnung zu dem bekannten Käufer wäre man allerdings wieder beim Personenbezug.
Tracking über mitgelieferte Daten des Nutzers
Cookieless Tracking ist technisch auch möglich, indem Daten erfasst werden, die das Nutzergerät beim Seitenaufruf mitliefert. Hierzu gehören:
- IP-Adresse
- Referrer (Seite, von der der Nutzer gekommen ist)
- User Agent (Text-String aus Informationen über den Client, also z.B. Browserversion etc.)
Verschiedene Varianten dieses technischen Ansatzes findet man beispielsweise bei Matomo, eTracker und Mapp.
Mangels aktivem Zugriff auf das Endgerät befindet man sich hier nicht im Anwendungsbereich des § 25 TTDSG. Je nach dem, ob personenbezogene Daten erfasst werden, befindet man sich jedoch im Anwendungsbereich der DSGVO oder nicht:
Ohne Einwilligung erlaubt, weil kein Personenbezug
Soweit ein Nutzer – oder ein Nutzertyp – nur sessionbasiert über einfache Parameter wie Referrer und Informationen aus dem User-Agent „verfolgt“ werden, besteht keine Bestimmbarkeit der Person und damit kein Personenbezug. Der Weg eines Nutzers oder Nutzertyps auf einer Website ist damit relativ zuverlässig und vollständig anonym auswertbar und ohne Einwilligung zulässig. Sogar das Erkennen wiederkehrender Nutzer wäre denkbar, wenn man die Daten aus dem User-Agent etwas länger vorhält.
Erst das Einbeziehen der IP-Adresse würde wieder zu einem Personenbezug führen. Darüber hinaus nimmt die Wahrscheinlichkeit der Bestimmbarkeit einer Person mit dem Detailgrad der Daten zu.
Ohne Einwilligung erlaubt, weil überwiegendes Interesse
Im Falle eines Personenbezugs der Daten ließe die DSGVO noch die Möglichkeit offen, die Verarbeitung auf ein überwiegendes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO zu stützen. Sofern der Detailgrad der Daten überschaubar bleibt und Daten nicht von Drittanbietern zusammengeführt werden können (wie bei Google Analytics), dürfte es hier einen gewissen Argumentationsspielraum geben. Darüber hinaus bliebe auch hier nur noch die Einwilligung als Rechtsgrundlage.
Was sagen die Datenschutzbehörden?
Cookieless Tracking bietet auch aus Sicht der Datenschutzbehörden Möglichkeiten, das Nutzerverhalten ohne Einwilligung auszuwerten – auch wenn diese Aussagen natürlich bewusst vorsichtig formuliert werden. Die Ende 2021 aktualisierte Orientierungshilfe Tracking der Datenschutzkonferenz (DSK) stellt jedenfalls eindeutig klar, dass bei der bloßen Erfassung von Daten, die der Nutzer beim Seitenaufruf übermittelt, § 25 TTDSG keine Anwendung findet (Seite 8 oben). Hinsichtlich einer ggf. erforderlichen Interessenabwägung wird auf die Vorversion der Orientierungshilfe (OH Tracking) vom März 2019 verwiesen (Seite 11 ff.). Letztere wurde jedoch vor Inkrafttreten des TTDSG veröffentlicht und umfasste auch Fälle, die nun vorranging unter § 25 TTDSG fallen. Dennoch erfolgt im Beispiel „Reichweitenmessung“ die Aussage, dass die Interessenabwägung bei der Reichweitenmessung zugunsten des Verantwortlichen ausfällt, solange diese mit rein statistischen Daten auskommt und darauf verzichtet,
- den Nutzer „andauernd“ wiederzuerkennen,
- stetig umfangreiche Profile zu bilden und
- Daten an Dritte weiterzugeben (Seite 17).
Das LfDI Baden-Württemberg beschäftigt sich in seinen jüngsten FAQ zu Cookies und Tracking mit „Server-Side-Tracking“ und erkennt jedenfalls bei vollständig anonymen Lösungen rechtskonforme Lösungen ohne Einwilligungen an (und zeigt deren Grenzen auf). Die französische Datenschutzaufsicht CNIL sieht den Schlüssel im „Kohortenbasierten Targeting“ und damit ebenfalls in der anonymen Sicht auf bestimmte Nutzergruppen mit gleichen Eigenschaften.
Fazit
Wem es als Website-Betreiber wirklich nur darum geht, Nutzerzahlen zu messen und das Nutzerverhalten zu verstehen, um „das Online-Angebot bedarfsgerecht zu verbessern“, wie es immer so schön heißt, der sollte – Hand aufs Herz – tatsächlich mit statistischen Auswertungen auskommen, die auch aus Sicht der Datenschutzbehörden ohne Einwilligung eingesetzt werden dürfen.
Damit kann man seinen Nutzern den lästigen Cookie-Consent-Banner ersparen. Zudem bekommt man Auswertungen über sämtliche Seitenbesucher und nicht nur über den Teil, der seine Einwilligung erteilt hat. Und vor allem: Man respektiert seine Nutzer, indem man nicht versucht, ihnen Einwilligungen unterzujubeln.
Interessante Überlegung. Danke!
Eine Frage dazu: Der im Text genannte Anbieter Mapp sitzt in USA. Ist man damit nach Schrems II nicht wieder einwilligungspflichtig und gewinnt gar nichts durch das cookielose Tracking?
Guter Punkt, danke für den Hinweis. Bei Mapp hätte man tatsächlich die bekannten zusätzlichen Risiken der Drittstaatentransfers, für die man jedoch auch SCCs + Zusatzmaßnahmen nach Vorgaben von Schrems II prüfen kann.
Zur Schrems II-Thematik: Mapp Intelligence wird aus Deutschland heraus betrieben, also von den 2 deutschen Gesellschaften der Mapp-Gruppe (Mapp Digital Germany und Webtrekk). Das designierte HQ von Mapp sitzt in den USA (Mapp Digital US). Mapp Digital US hat mit der Datenverarbeitung allerdings nichts zu tun (außer bei nichteuropäischen Kunden, Support etc). Auch ist Mapp Digital US nicht die Konzernmutter sondern eine gleichgestellte Gesellschaft. Deutsche Kunden bekommen einen Vertrag / AVV mit einer der deutschen Gesellschaften. Weitere Unternehmen der Gruppe dürfen nur mitspielen, wenn diese als Unterauftragsverarbeiter genehmigt, das sind in der Regel nur europäische. Die Rechenzentren sitzen in Deutschland (keine Cloud).
Ich hatte die deutschen Gerichte so verstanden, dass bereits ein US-Kontext (zB. HQ in USA) genügt, damit die US-Behörden (über FISA/CLOUD Act) auch auf Daten außerhalb den USA zugreifen können. Gerade bei dem o.g. genannten Konstrukt wäre ich daher sehr vorsichtig. Das steht ohne Einwilligung auf sehr tönernen Füßen.
Das ist mir ehrlich gesagt zu undifferenziert:
Greift FISA 702 denn nicht nur auf amerikanischem Boden (und da auch nur für Telco-Provider und die großen Cloud-Player)?
Ist der CLOUD Act überhaupt Teil der Schrems II-Problematik? Im EuGH-Urteil wurde nach meinem Verständnis nur FISA und EO.1233 als Beispiele für Rechtsmittel anlassloser und/oder massenhafter Datenzugriffe bemängelt, nicht aber Rechtmittel für anlassbezogene und selektive Behördenzugriffe, welche nicht im Widerspruch zum EU-Recht stehen, wo der CLOUD Act, zumindest in der Theorie, reinfallen sollte… Oder bin ich hier auf dem falschen Dampfer?
Der CLOUD Act hat in der Tat mit Schrems II nichts zu tun. Bei Schrems II ging es um die Wirksamkeit des Privacy Shields und die Sicherheit von personenbezogenen Daten, die in die USA übermittelt werden. Beim CLOUD Act geht es um einen Zugriff von US-Sicherheitsbehörden auf Daten außerhalb der USA, wenn diese Daten von US-amerikanischen Unternehmen außerhalb der USA verarbeitet werden. Beim CLOUD Act geht es auch nicht, anders als vielleicht bei FISA etc., um systematische, großflächige Überwachung, sondern um Zugriffe im Einzelfall. Das ist schon ein grundlegender Unterschied.
Auf Mapp Intelligence bezogen spielt der CLOUD Act aber schon gar keine Rolle. Der CLOUD Act erlaubt es US-Sicherheitsbehörden, ein US-Unternehmen anzuweisen, personenbezogene Daten herauszugeben, die von dem US-Unternehmen im Ausland, also außerhalb der USA, verarbeitet werden. Die Mapp Digital US, LLC ist eine Tochter der Mapp Digital UK Ltd. – genau wie die Mapp Digital Germany GmbH. Die Mapp Digital US kann aber nicht auf die Daten ihrer Schwestergesellschaft Mapp Digital Germany zugreifen – und da sie nicht die beherrschende Muttergesellschaft ist, kann sie auch die deutsche Gesellschaft nicht anweisen, die Daten herauszugeben. Insofern läuft der CLOUD Act hier ins Leere.
Abgesehen davon hat die „Schrems II“-Thematik auch nichts (oder eher weniger) mit dem Einwilligungserfordernis zu tun. Eine Einwilligung in US-Transfers dürfte nur sehr schwer wirksam zu gestalten sein (wohl h.M. zu Art. 49 DSGVO – Stichwort „Ausnahmeregelung“).
Danke Lucie D, dann bin ich ja anscheinend doch nicht auf dem falschen Dampfer! :) Endlich mal eine klare Ansage bei all dem Murks der zu dem Thema geschrieben wird und wurde. Die Mapp-Konzernstruktur ist tatsächlich ein bisschen anders (die operativen Gesellschaften hängen nicht an Mapp Digital UK sondern an einer Holding in UK), aber das Ergebnis bleibt ja dann das selbe:
keine Drittlandsproblematik bei Mapp…
Offenbar spricht hier jemand, der Mapp so gut kennt, als wenn er das Unternehmen in der Angelegenheit berät ;-)
Mir scheint dieses Konstrukt jedenfalls doch recht gewagt. Zum Glück gibt Alternativen zu US-beherrschten Unternehmen, die wir uns jetzt mal genauer ansehen.
Danke für den interessanten Beitrag und Denkanstoß.
Danke für die Erklärungen. So ganz verstanden habe ich nicht wie das jetzt ohne Einwilligungen geht. Ich habe einen kleinen Shop und Google Analytics. Seit ich ein Cookiebanner habe sind die Zahlen im Keller und eigentlich unbrauchbar. Kann ich das Banner nun doch weglassen? Was muss ich tun? Danke für Hilfe.
Mit Google Analytics gibt es keine Lösung, mit der man einen Cookie-Consent verzichten könnte und es blieben die von Ihnen geschilderten Probleme. Um bei Ihnen auf den Cookie-Consent zu verzichten, müsste Google Analytics durch eine cookieless Lösung ersetzt werden, z.B. von einem der oben genannten Anbieter (siehe Abschnitt „Tracking über mitgelieferte Daten des Nutzers“).
Dürfte man jetzt also matomo nutzen, ohne ein nerviges Cookie Banner anzeigen zu müssen, wenn man auf IP Adressen verzichtet oder diese bis auf den Ländercode maskiert?
Wie im Beitrag beschrieben, ist das möglich, wenn Sie das Cookieless Tracking von matomo verwenden. Weitere Infos, worauf dabei zu achten ist, finden Sie auf der Seite von matomo.