Zum Inhalt springen Zur Navigation springen
Was ist Website-Tracking und wie funktioniert es?

Was ist Website-Tracking und wie funktioniert es?

Artikel von Christopher Schewior·12. September 2023

Jeder kennt es, jeder nutzt diesen Begriff: Website-Tracking. Doch was heißt das eigentlich genau? Grob heruntergebrochen ist damit eigentlich nur gemeint, dass jede Bewegung und jeder Seitenaufruf eines Nutzers im Internet mitverfolgt, beobachtet und ausgewertet – genau: getrackt – werden können. Die Methoden und Funktionsweisen hierzu sind sehr vielfältig. Das Website Tracking hat sich in den letzten Jahren immer weiter entwickelt. Schließlich können die Informationen, wer, wann, wie lange, welche Website besucht hat, für Unternehmen einen unschätzbaren Wert haben.

Was ist Website-Tracking?

Für den Begriff des Website-Trackings existiert keine allgemeine oder offizielle Definition. Dies mag daran liegen, dass das Website-Tracking insgesamt sehr komplex ist. So ist vor allem nicht nur eine Aktion des jeweiligen Nutzers entscheidend, sondern meistens eine ganze Reihe von Verhaltensweisen. Im Mittelpunkt des Website-Trackings steht also immer die sogenannte Customer Journey, also die gesamte „Reise“ der Nutzer vom ersten Kontaktpunkt (z.B. einem Link in einem Social-Media-Post) bis hin zum Absprung oder zur Kaufentscheidung. Es ist daher naheliegend, dass Unternehmen genau wissen wollen, welche Reichweite ihre Website hat oder wie zufrieden die Kunden mit dem Webauftritt sind. Schließlich möchte man seine Waren und Dienstleistungen ja optimal vermarkten.

Je mehr ein Unternehmen über das Verhalten und die Präferenzen der Nutzer und Website-Besucher weiß, desto einfacher ist es zum Beispiel, entsprechende Werbung zu platzieren. Die Customer Journeys können natürlich sehr unterschiedlich und individuell ausfallen. Um die potenziellen Kunden bestmöglich zu erreichen, werden diese auf einer Vielzahl von Kanälen, also z. B. über die klassische Website, über Social Media oder über Newsletter angesprochen. Beim Tracking kommt es also auf die individuelle Auswertung des Nutzerverhaltens an. Website-Tracking ist daher nicht unbedingt das gleiche wie der Einsatz von Analyse- oder Reichweitenanalyse-Tools, etwa wenn diese nur das Ziel haben, statistische Informationen über die Website-Besucher zu erhalten und auszuwerten. Die Abgrenzung zwischen Tracking und Analyse ist in der Praxis oft nicht ganz einfach.

Auf den Punkt gebracht soll das Website-Tracking in der Regel die folgenden Informationen bringen:

  • Von welcher Seite gelangen die Nutzer zu der gewünschten Website?
  • Welche Websites werden am häufigsten von welchem Nutzer aufgerufen?
  • Wie viel Zeit verbringt der einzelne Nutzer auf der Website?
  • An welchem Punkt steigen die Nutzer vielleicht wieder aus?

Wie funktioniert das Website-Tracking?

Aus technischer Sicht gibt es verschiedene Möglichkeiten des Website-Trackings. Die bekannteste Methode ist wohl die Nutzung von Cookies. Entgegen einer häufig weit verbreiteten Ansicht handelt es sich bei Cookies nicht um Textdateien, sondern um Datensätze, die Browser eines Endgerätes jeweils zu einer besuchten Website gespeichert werden. Dabei kann ein Nutzer mittels einer Nummer eindeutig identifiziert werden, was auch eine Wiedererkennung ermöglicht. Ein klassisches Beispiel ist das sogenannte Warenkorb-Cookie, was dazu führt, dass die vom Nutzer ausgewählten Produkte im virtuellen Warenkorb verbleiben, auch wenn man die Website verlässt oder gar den Browser schließt. Weitere Beispiele sind Cookies von Videoportalen oder von Social-Media-Plattformen. Durch die entsprechende Einbindung von Videos oder Verknüpfungen der Plattform auf der eigenen Website kann der jeweilige Nutzer über einen bereits vorhandenen Cookie wiedererkannt werden.

Beim sogenannten Fingerprinting hingegen wird eine Vielzahl von Informationen über einen einzelnen Nutzer gesammelt und ausgewertet. Dabei kommen oft auch technische Informationen und Daten zu den benutzten Endgeräten zum Tragen. So können beispielsweise das verwendete Betriebssystem, die Browserversion, die genutzte Software oder selbst die verwendeten Schriftarten wertvolle Informationen liefern. Auf diese Weise versuchen Unternehmen, durch das bloße Anhäufen von Daten einen einzigartigen digitalen Fingerabdruck einer Person zu bilden.

 Einsatz von Tracking Tools

Um das Website-Tracking zu optimieren, setzen Unternehmen meistens Tracking-Tools ein. Mit diesen ist es möglich, die gewonnenen Daten an einem zentralen Ort abzulegen. Auch können Unternehmen mit Hilfe dieser Tools die Ziele des Trackings definieren und die Angebot danach ausrichten. Im Rahmen des Conversion-Trackings möchten Unternehmen die Effektivität messen, mit der Nutzer dahingeleitet werden können, bestimmte Aktionen wie z. B. den Kauf selbst durchzuführen. Ziel kann aber auch das Anmelden zu einem Newsletter oder das Aufrufen des Webshops sein. Hier kommt es den Unternehmen meist auf die Gesamtheit der Nutzeraktionen an.

Das bekannteste Tracking-Tool ist wohl Google Analytics. Dieses Tool ermöglicht sowohl Analysen und Auswertungen als auch das Tracking, also das Sammeln von Daten, an sich. Der Name Google Analytics ist daher zumindest ein wenig irreführend. Weitere gängige Tracking-Tool, die im Wesentlichen ähnliche Funktionen aufweisen, sind beispielsweise

  • Hotjar
  • Adobe Analytics
  • SalesViewer oder
  • Tracify

Bei der Entscheidung für oder gegen ein Tool dürfte sicherlich auch der Kostenfaktor eine Rolle spielen. Oftmals gibt es eine kostenpflichtige und eine kostenlose Version, letztere dann meistens mit weniger Funktionen.

Welche Vorgaben gibt es beim Webtracking im Datenschutz zu beachten?

Da es beim Website-Tracking in aller Regel um individuelle Auswertungen geht, stehen natürlich personenbezogene Daten klar im Mittelpunkt. Also stellt sich auch hier -– wie immer im Datenschutzrecht – die Frage nach der richtigen Rechtsgrundlage.

Rechtsgrundlage für das individuelle Nutzertracking

Im Grunde kommen als Rechtsgrundlage nur die Einwilligung und das berechtigte Interesse in Betracht. Spätestens mit dem vielbeachteten Planet49-Urteil des EuGH vom 01.10.2019 war klar, dass das Setzen von Cookies, welche nicht unbedingt erforderlich sind, einer Einwilligung des Nutzers bedarf. In der Praxis scheiden sich hier oft die Geister, da Datenschützer und Webseitenbetreiber meist unterschiedliche Interessen vertreten. Hier kommt es aber im Wesentlichen auf eine technische Erforderlichkeit an.

Die Notwendigkeit ergibt sich aber nicht daraus, dass eine bestimmte Software mit Cookies implementiert wurde, sondern danach, ob die Nutzung von Cookies für den angestrebten Zweck unbedingt erforderlich ist, damit der Anbieter einen von den Nutzern ausdrücklich gewünschten Dienst zur Verfügung stellen kann. So ist es z. B. grundsätzlich nicht notwendig, bereits beim bloßen Aufrufen einer Webseite einen Cookie mit einer Session-ID zu setzen. Das Setzen eines Cookies dürfte also nur anlassbezogen erfolgen. Nur so können die Grundsätze der Zweckbindung und der Datenminimierung eingehalten werden. Diese Vorgaben gelten natürlich für alle Arten des Website-Trackings, nicht nur in Bezug auf das Setzen von Cookies.

Seit dem 01.12.2021 hat sich die Situation noch einmal leicht verschärft. An diesem Tag ist nämlich das TTDSG in Kraft getreten. Zwar gilt das TTDSG auch für nicht-personenbezogene Informationen, aber immer dann, wenn es darum geht, auf personenbezogene Daten von Endgeräten zuzugreifen, entsteht eine Verbindung zur DSGVO. Auch nach § 25 Abs. 1 S. 1 TTDSG sind das Setzen von Cookies oder andere Tracking-Mechanismen grundsätzlich einwilligungsbedürftig. Ergänzend zu den Vorgaben der DSGVO ist hier zu beachten, was man als essenziell betrachten kann, um den vom Nutzer nachgefragten Dienst zu erbringen. In aller Regel steht dieses aber im Gleichklang mit den Vorgaben aus der DSGVO und dem oben erwähnten Urteil des EuGH.

Grundsätzlich gelten die gleichen Erwägungen auch beim Einbinden von externen Inhalten, also z. B. der Nutzung von Google Maps, Videoportalen oder Social-Media-Buttons. Auch hier ist auch datenschutzfreundliche und -konforme Einstellungen zu achten, z. B. die Einbindung durch lokale Datenverarbeitung oder durch die sogenannte Zwei-Klick-Lösung, also der Nutzung von Vorschaltdialogen, welche die Inhalte erst nach ausdrücklicher Zustimmung des Nutzers laden.

Cookie-Banner und Cookie-Consent-Tool

Wo Cookies gesetzt werden, sind die berüchtigten Cookie-Banner oft nicht weit. Ein Cookie-Banner ist ein grafisches Element mit Informationen und Schaltflächen, das beim Erstbesuch der Haupt-Webseite oder einer App auf der Oberfläche erscheint. Es dient der Darstellung von Hinweisen und der Abfrage der Einwilligung für das Setzen von Tracking Tools. Mit den Bannern wird meist die Einwilligung für den Einsatz von Cookies und anderen Tracking-Technologien gemäß § 25 Abs. 1 TTDSG sowie für nachfolgende Datenverarbeitungsprozesse gemäß Art. 6 Abs. 1 lit. a DSGVO eingeholt.

Der Banner ist dabei lediglich das „Frontend“ für den User. Dahinter steckt ein Consent-Tool, das den Banner generiert. Der Betreiber einer Webseite oder App ist als Verantwortlicher für die Datenverarbeitung auch dafür verantwortlich, das Tool datenschutzkonform zu konfigurieren. Das heißt, der Betreiber muss das Tool so einstellen, dass für alle zustimmungsbedürftigen Tracking-Methoden die Zustimmung eingeholt wird und Hinweise gut sichtbar und verständlich erscheinen. Bei der Konfiguration des Consent-Tools ist immer darauf zu achten, dass die notwendige Einwilligung eingeholt wird, bevor die entsprechende Datenverarbeitung tatsächlich erfolgt.

Bei der Suche nach dem passenden Consent-Tool stößt man auf kostenfreie und kostenpflichtige Tools. Wichtig bei der Wahl ist, dass das Tool Platz für Hinweise bietet und datenschutzkonforme Einstellungen vorgenommen werden können, wie z. B., dass die Einwilligung durch einen Button wie etwa „Alles annehmen“ eingeholt oder durch den Button „Alles ablehnen“ verweigert werden kann. Außerdem sollte auch die Möglichkeit bestehen, die Einwilligung im Nachgang verwalten zu können. Die Einwilligung dient auch als Nachweis dafür, dass getrackt werden durfte. Im Falle, dass der User seine Einwilligung widerrufen will, muss auch diese Funktion möglich sein. Das Consent-Tool muss so eingestellt sein, dass der User jederzeit ohne größere Hindernisse wieder auf das Banner zugreifen und seine Einstellungen ändern kann.

Braucht man eine Einwilligung, wenn man die IP-Adressen anonymisiert?

Auf Grund der oben genannten zwingenden Vorgaben und weil vermutlich immer mehr Menschen von lästigen Cookie-Bannern genervt sind, versuchen Unternehmen mittlerweile, Website-Tracking einzusetzen, das keiner Einwilligung bedarf. In diesem Zusammenhang stellt sich oft die Frage, ob die Kürzung oder Veränderung der IP-Adresse eine Anonymisierung darstellt. Dies hätte aus Sicht der Unternehmen den Vorteil, dass dann der Personenbezug wegfiele und dann auch keine Anwendbarkeit von Datenschutz-Vorschriften gegeben wäre. Bei der Anonymisierung muss der Personenbezug nach herrschender Auffassung zumindest soweit entfernt sein, dass eine Re-Identifizierung nur mit unverhältnismäßig großem Aufwand möglich ist. Aus ErwG 26 zur DSGVO ergibt sich, dass bei der Frage, ob eine natürliche Person identifizierbar ist,

„[…] alle Mittel berücksichtigt werden [müssen], die von dem Verantwortlichen oder einer

anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person

direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“

Die Verkürzung von IP-Adressen lässt sich mit der Vergabe von Kennnummern vergleichen, wie dies in einem Fall von der Österreichischen Datenschutzaufsicht entschieden worden ist. Hier wurde durch den Einsatz von Google Analytics eine neue Kennnummer geschaffen, die eine Unterscheidung von Website-Besuchern erst ermöglicht hat. Zwar sorgt die bloße Zahlenfolge an sich noch nicht für einen Personenbezug, allerdings war es technisch unproblematisch möglich, einen Personenbezug konkret herzustellen. Zu berücksichtigen ist natürlich auch, dass eine Kombination mit weiteren Informationen wie z. B. Browserdaten oder Geräteangaben die Wahrscheinlichkeit des Personenbezugs deutlich erhöht.

Eine Kürzung oder Veränderung der IP-Adresse reicht somit allein nicht aus, um dem Einwilligungserfordernis zu entkommen. Wer aber mit weniger Daten zu Recht kommt und nicht die komplette Customer Journey des Nutzers über alle seine Geräte nachverfolgen möchte, für den gibt es einwilligungsfreie Alternativen, die wir unter dem Schlagwort Cookieless Tracking vorgestellt hatten.

Lässt sich das Website-Tracking von Nutzern verhindern?

Die Antwort auf diese Frage lautet eindeutig: Ja! Dafür muss ich als Nutzer aber in der Regel selbst aktiv werden. Es gibt verschiedene Möglichkeiten, Tracking durch Websites oder durch Apps einzuschränken und zu verhindern. Die gängigsten Methoden sind u. a.:

  • Optionale Cookies ablehnen
  • Privaten Modus im Browser einstellen
  • Do-Not-Track-Funktion im Browser einstellen
  • Anti-Tracking-Browser verwenden
  • Ad-Blocker verwenden
  • Anti-Tracking-Tools nutzen
  • Regelmäßiges Leeren des Verlauf und Löschen von bereits gesetzten Cookies

Website-Tracking wird sich vermutlich nicht zu 100 % verhindern lassen, aber vor allem durch den Einsatz und ggf. Konfigurierung eines geeigneten Browsers lässt sich eine Vielzahl von Tracking-Versuchen schon im Vorfeld verhindern. Ad-Blocker und Anti-Tracking-Tools blockieren zwar eher wenige Tracking-Maßnahmen. Man erhält aber relativ zuverlässig Informationen darüber, welche Dienste auf die Website zugreifen. Dies hilft zumindest mittelbar, um weitere Maßnahmen zu ergreifen.

Website-Tracking im Wandel der Zeiten

Website-Tracking wird wohl auch in Zukunft ein heißes Datenschutz-Thema bleiben. Die technische Entwicklung und die Möglichkeiten hierzu sind vor allem in den letzten Jahren extrem dynamisch gewesen. Wenn man als Unternehmen auf der ganz sicheren Seite sein will, kommt man um das Einholen einer Einwilligung nicht herum. Die jüngsten Entwicklungen geben jedoch auch Anlass zur Hoffnung. Cookieless Tracking bietet aus Sicht der Aufsichtsbehörden zumindest die Möglichkeit, das Nutzerverhalten ohne Einwilligung auszuwerten. Die DSK hat in ihrer Orientierungshilfe Tracking von Dezember 2021 klargestellt, dass § 25 TTDSG bei der bloßen Erfassung von Daten, die der Nutzer beim Seitenaufruf übermittelt, keine Anwendung findet. Die weitere Entwicklung bleibt abzuwarten. Vielleicht gehören Cookie-Banner ja irgendwann der Vergangenheit an.

Mehr zum Thema Marketing
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.