Websitenbesucher tracken
Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gratwanderung

Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gratwanderung

Aus Sicht von Unternehmen kann es sinnvoll sein, Website-Besucher zu tracken: User lassen sich besser einschätzen, ihre Interessen werden deutlicher. All das hilft Unternehmen dabei, sich optimaler, dem Kundenbedürfnis entsprechend aufzustellen. Vielen Kunden hingegen ist es ein Bedürfnis, sich nicht tracken zu lassen. Und auch der Gesetzgeber hat Ansichten zum Website-Tracking. Wie Sie all diese Interessen unter einen Hut bekommen, erfahren Sie heute.

Website-Tracking: Welche Arten gibt es?

Cookies und Evercookies – kleine Textdateien, die mit Informationen gespickt sind und im Browser gespeichert werden – sowie Canvas-Fingerprinting, bei dem Nutzer möglichst eindeutig identifiziert und analysiert werden, sind gängige Methoden. Sehen wir sie uns etwas genauer an:

Cookies gestalten Surfen komfortabler, sind jedoch unbeliebt

Sogenannte Cookies werden bei nahezu jeder Website gesetzt. Sie besitzen interaktive Funktionen und sind in der Lage, zielgerichtet Werbung zu schalten. In kleinen Textdateien sind Informationen gespeichert, die es dem Webserver ermöglichen, Anwender nicht nur wiederzuerkennen, sondern auch ihre Einstellungen zu speichern. Von der individuellen Wunschliste im Online-Shop bis hin zur personalisierten Werbung kann der Einsatz von Cookies reichen.

Normalerweise enthalten Cookies diverse Nutzerinformationen: Cookie-Name, Ablaufdatum, Internet-Domain, Pfad, auch Angaben über die Verbindungsart, Beschränkungen auf bestimmte Ports oder Kommentare sind denkbar.

Man unterscheidet verschiedene Arten von Cookies, die verschiedenen Zwecken dienen. Persistente, also dauerhaft beibehaltene Cookies eignen sich, um Website-Einstellungen für Nutzer dauerhaft zu speichern. Wurde der Cookie nicht gelöscht, so werden beim nächsten Öffnen einer Site die gespeicherten Einstellungen angezeigt, indem der Webserver den korrekten Cookie anwendet.

Weiter existieren sogenannte Session Cookies: Sie dienen gezielt dem kurzfristigen Speichern von Informationen. Der Klassiker ist beispielsweise der Login auf einer passwortgeschützten Seite. Zum Identifizieren eines Nutzers wird eine Session-ID im entsprechenden Cookie auf dem Server gespeichert. Wird die Verbindung zum Webserver unterbrochen, wird die Session beendet und der Session-Cookie verliert seine Gültigkeit.

Zu den wenig beliebten Cookies zählen die Tracking-Cookies. Ein Beispiel für personalisierte Werbung soll die Arbeitsweise eines Tracking-Cookies verdeutlichen: Der Nutzer besucht eine Website, auf der Werbung platziert ist. Von diesem Werbebanner wird nun ein solcher Tracking-Cookie auf dem Rechner des Nutzers platziert. Heißt: Der Cookie ist keineswegs von der besuchten Website, sondern von jenem Server, der die Werbung ausliefert („Adserver“). Dieser Adserver verwendet Cookies, um das Verhalten des Nutzers zu analysieren.

Es gibt User, die es bequem finden, beim nächsten Shop-Besuch direkt passende Werbung ausgeliefert zu bekommen, für das Gros der Nutzer jedoch fühlen sich Tracking-Cookies wie Spyware an. Und tatsächlich sehen das auch viele Anti-Spyware-Programme so, die Tracking-Cookies dementsprechend einstufen.

Grundsätzlich ist der Informationsgewinn über Cookies nicht schlimm: Analyse und Personalisierung erfolgen anonym und wie bereits erwähnt, schätzen einige User personalisierte Werbung durchaus. Die Problematik liegt an anderer Stelle: Nutzer sind meist ahnungslos, sie wissen nicht, dass sie der Werbewirtschaft wertvolle Gratis-Informationen liefern. Aufklärung ist hier also das Mittel der Wahl.

Aufklärung ist auch aus den Augen des Gesetzgebers sinnvoll, denn: Die Datenschutz-Grundverordnung (DSGVO) sorgt für strengere Regelungen innerhalb der EU. Noch bevor ein Cookie Daten übertragen hat, muss der Nutzer seine Einwilligung gegeben haben. Deshalb finden sich auf zahlreichen Websites nun die sogenannten Cookie-Banner, durch die der Einsatz von Cookies gänzlich abgelehnt, teilweise oder vollständig erlaubt werden kann.

Viele Browser unterstützen mittlerweile das Blockieren von Cookies. Um dieser für die Werbewirtschaft nicht optimalen Entwicklung entgegenzutreten, erfand man sogenannte EverCookies – eine erweiterte Markierung, die zusätzlich zum Tracking-Cookie im Browser gespeichert wird. Aufgrund dieser Markierung ist es möglich, ein gelöschtes Tracking-Cookie wiederherzustellen. Evercookies sind also im eigentlichen Sinne keine Cookies, sondern eine JavaScript-Bibliothek (API). Solche EverCookies können durch verschiedene Techniken erstellt werden und sind deshalb sehr schwer zu löschen:

  • EverCookies lassen sich in RGB-Werten von Bildern speichern, anschließend mit Canvas auslesen
  • window.name lässt sich auswerten
  • es können HSTS-Cookies gesetzt werden
  • Cookies werden in der History gespeichert

Das sind nur vier Beispiele von vielen – EverCookies lassen sich nahezu überall verstecken. Und das ist das Problem bei EverCookies: Ob Einwilligungen vorliegen oder nicht, wird vollkommen ignoriert. Das ist der Grund, warum diese Cookies auch als „Zombie-Cookie“ bezeichnet werden. Sie sehen schon jetzt: Wirklich DSGVO-konform können diese EverCookies nicht sein.

Canvas-Fingerprinting: Eindeutig identifiziert

Ziel dieser Tracking-Methode ist es, den Nutzer eindeutig zu identifizieren und analysieren zu können. Im Fokus des Trackings stehen die individuellen Merkmale des verwendeten Endgeräts: Die Art des Betriebssystems und seine Konfigurationen sowie genutzte Programme erlauben sehr genaue Zuordnungen der Kunden.

Gebildet wird ein Canvas-Bild, welches einen kurzen Text enthält. Wird Canvas, ein HTML-Element, mit JavaScript gekoppelt, kann damit gezeichnet werden. Wird nun eine Website durch einen Nutzer aufgerufen, wird ein solches Bild generiert – im Hintergrund und vom Anwender unbemerkt. Dabei wird auch auf die Systemkonfigurationen des Nutzers zurückgegriffen. Werden verschiedene Endgeräte verwendet, sind Variationen des individuellen Bilds vom ausgewerteten Client zu erwarten. Neben dem verwendeten Betriebssystem und dem Browser haben Parameter wie Grafikkarte und Treiber oder installierte Fonts Einfluss auf das entstehende Bild – sie dienen zum Rendern.

Nach und nach wird so eine Art Fingerabdruck eines Nutzers erzeugt. Im Anschluss bekommt der Nutzer vom Server eine ID zugewiesen. Nun lässt sich der Nutzer nahezu überall im Internet verfolgen – vorausgesetzt, er surft auf Websites, die diese Tracking-Methode einsetzen.

Was spricht für das Tracking?

Unternehmen ziehen zahlreiche wertvolle Informationen aus dem Website-Tracking. So wird erkennbar, über welche Quellen Besucher auf der Seite landen. Durch das Usertracking können Unternehmen das Verhalten von Käufern und Interessenten ablesen, weiter lassen sich Produkte mit dem höchsten oder eben niedrigsten Absatz herausfiltern. Weiter lässt sich nachvollziehen, welche Produkte von welchen Altersgruppen bevorzugt oder abgelehnt werden, oder welche Seiten geschlechterspezifisch wie besucht werden. Die folgenden Informationen lassen sich durchs Website-Tracking sammeln:

  • Von wo aus gelangt der Nutzer auf Ihre Site?
  • Welche Ihrer Seiten/ Blogbeiträge wird am häufigsten angeklickt?
  • Wie viel Zeit verbringen Nutzer auf welchen Seiten?
  • Melden sich Website-Besucher zum Newsletter an?
  • Von welcher Seite steigen Besucher am häufigsten wieder aus?
  • Welche Seite animiert Besucher am stärksten zu Interaktionen (Kauf, Newsletter-Bestellung, etc.)?

Mit Antworten auf diese und weitere Fragen können Sie gezielt Maßnahmen zum Optimieren Ihrer Website, Ihres Produkt- oder Dienstleistungsangebot ableiten. Sie erreichen z. B. die folgenden Ziele:

  • Ihre Website wird kundenfreundlicher gestaltet.
  • Sie verringern gezielt Abbrüche von Besuchern.
  • Sie können einzelne Produktseiten oder allgemeine Leistungsbeschreibungen besser auf Ihre Zielgruppe abstimmen.
  • Sie sind in der Lage, Ihre Werbemaßnahmen an den Interessen Ihrer Nutzer auszurichten.

Rechtliche Bestimmungen zum Nutzer-Tracking

Sie sehen: Das Tracken von Nutzern hat durchaus Vorteile für Ihre Organisation. Man kommt leicht in Versuchung, ausgefeilte Nutzerprofile zu erstellen, die einem viele Details liefern – technisch ist das ein Leichtes. Der Gesetzgeber stoppt diesen Willen jedoch zugunsten des Datenschutzes der Nutzer – auch nach Auffassung der Aufsichtsbehörden überwiegen das Schutzbedürfnis sowie die Interessen des Nutzers. Art. 6 Abs. 1 lit. a) DSGVO zeigt, dass Tracking die Einwilligung des Nutzers voraussetzt.

Analysen zur statistischen Auswertung jedoch sind ohne Einwilligung gestattet. Dazu gehören beispielsweise Angaben zum verwendeten Endgerät, zur Verweildauer auf der Website, die Spracheinstellungen, aber auch Nutzeraktionen, Standort oder Region. Für solche Informationen werden sogenannte Performance Cookies gespeichert.

Der wesentliche Unterschied ist also dieser: Geht es darum, den Nutzer zu tracken, ist eine vorherige Einwilligung unerlässlich. Geht es jedoch darum, Ihre Website zu tracken, benötigen Sie keine Einwilligung von Besuchern.

Werden Daten zur statistischen Auswertung inklusive der eben erwähnten Nutzerdaten verarbeitet, so erkennen die Aufsichtsbehörden hierbei ein „berechtigtes Interesse“ beim Websitebetreiber. Dieser möchte seine Website bedarfsgerecht gestalten. Erwägungsgrund 47 DSGVO beschäftigt sich mit der Rechtmäßigkeit der Verarbeitung bei berechtigten Interessen. Zum Verarbeiten dieser Nutzungsdaten müssen Sie die im Gesetz verankerten Bestimmungen erfüllen:

  • Die erhobenen und verarbeiteten Nutzungsdaten dürfen nicht mit weiteren Daten über einzelne Nutzer zusammengeführt werden. Daraus würden sich Nutzerprofile ergeben, die laut DSGVO nicht zulässig sind.
  • Sie dürfen die erhobenen Daten ausschließlich zum Zweck einer statistischen Auswertung verwenden.
  • Nutzen Sie ein Analysetool von einem Drittanbieter, so dürfen die durch Sie erhobenen Nutzungsdaten nicht durch diesen Drittanbieter verwendet werden.
  • Sie ordnen einzelnen Nutzern zum Zwecke der Profilbildung keine Merkmale oder Interessen zu.
  • Sie geben Ihren Nutzern eine Widerspruchsmöglichkeit durch ein Opt-Out-Verfahren.

Erfüllen Sie auch nur eines dieser Kriterien nicht, so können Sie die Verarbeitung der Nutzungsdaten nicht mehr mit dem berechtigten Interesse verargumentieren. Holen Sie sich im Zweifel immer eine Einwilligung des Nutzers ein.

Neue Cookie-Regelung wenig hilfreich

Der Europäische Gerichtshof (EuGH) urteilte jüngst zum Thema Cookies bzw. beantwortete Fragen, die der Bundesgerichtshof (BGH) an den EuGH stellte. Nach näherer Betrachtung ist das Urteil jedoch wenig hilfreich. Konkret ging es um ein Verfahren gegen „Planet49“ (Urteil vom 01.10.2019, Az.: C-673/17). Das Gericht entschied, dass Nutzer eine Einwilligung aktiv erteilen müssen, wenn eine solche in Cookies erforderlich ist. Seitenbetreiber sind verpflichtet, Auskunft über gesetzte Cookies zu erteilen (Lebensdauer der Cookies, Funktion und Zugriff Dritter).

Das Urteil löste Diskussionen aus: Manche leiteten daraus ab, dass jeder Websitebetreiber Einwilligungen sogar dann einholen muss, wenn es sich um rein technisch notwendige Cookies handelt. Andere sahen ein reines Verbot zum Setzen von Tracking-Cookies zu Werbezwecken. Tatsächlich bleiben nach dem EuGH-Urteil viele Fragen noch offen. In der Verhandlung ging es lediglich darum, wie eine Cookie-Einwilligung auszusehen habe, jedoch nicht darum, wann eine Einwilligung erforderlich ist.

Gehen wir ein paar Urteile des EuGH zurück, stoßen wir auf die Verhandlung zum Like-Button von Facebook. In dieser Verhandlung erwähnte der EuGH, das die E-Privacy-Richtlinie beim Setzen von Cookies eine Einwilligung erfordert – zumindest dann, wenn der Cookie nicht zwangsläufig erforderlich ist. Nun hat der deutsche Gesetzgeber diese E-Privacy-Richtlinie jedoch nie ins nationale Gesetz verankert – man behielt die alten Regelungen des Telemediengesetzes (TMG) bei. Hierin wird anstelle einer aktiven Einwilligung lediglich ein Opt-out gefordert – es würde also reichen, wenn Nutzer die Website durch vorausgefüllte Check-Boxen per Opt-out vom Speichern von Cookies abhalten, wie im vorliegenden Fall von „Planet49“.

Somit ist die nationale Cookie-Richtlinie aus dem TMG nicht mit dem Europarecht, also der DSGVO vereinbar. Ob Cookies zu Werbezwecken gemäß des „berechtigten Interesses“ gesetzt werden dürfen, war nicht Gegenstand der jüngsten Verhandlung des EuGH. Was all das nun für die Cookie-Regelungen in Deutschland bedeutet, bleibt abzuwarten – erst muss der BGH entscheiden. Offenbar arbeitet das Bundeswirtschaftsministerium aktuell an einem Gesetzesentwurf, durch den das TMG an die EU-Vorgaben angepasst werden soll.

Wenngleich konkrete Einzelheiten noch offen sind, dürfen Sie vermutlich davon ausgehen, dass für alle nicht unbedingt erforderlichen Cookies eine Opt-in-Einwilligung notwendig wird.

Abmahnungen als Folge des Tracking

Die Verbraucherzentrale Bundesverband (vzbv) sowie Datenschutzbehörden verstärken ihren Kampf gegen unerlaubtes Nutzer-Tracking. Durch Abmahnungen könnten erste Gerichtsverhandlungen über die Zulässigkeit von Tracking-Methoden entstehen. Die Deutsche Datenschutzkonferenz (DSK) forderte bereits im April 2018 in einer Erklärung (PDF), dass Nutzer dem Tracking ausdrücklich zustimmen müssen. Auch in der Orientierungshilfe (PDF) aus April 2019 rät die DSK zur Einwilligung und gibt Telemediendienstanbietern eine Möglichkeit zur Einschätzung. Die Aufsichtsbehörden stellen darin klar, dass die gängige Praxis, Cookies mit einem Okay-Button bestätigen zu lassen, unzureichend ist.

Die DSK empfindet Analyse-Tools zur Reichweitenmessung, etwa Google Analytics, als nicht rechtens; der Websitebetreiber kann nicht mit „berechtigtem Interesse“ argumentieren. Denn die Reichweitenmessung könne mit Tools erreicht werden, die personenbezogene Daten in geringerem Umfang erheben und diese auch nicht an Dritte übermitteln. Das Erstellen von Nutzerprofilen sei zudem für eine Reichweitenmessung nicht notwendig.

Wie Heise.de berichtet, kündigte die Bayerische Datenschutzaufsicht bereits erste Bußgelder an. Anfang 2019 wurden zahlreiche Unternehmens-Websites überprüft. Datenschutzexperten erwarten in den kommenden Jahren endgültige gerichtliche Entscheidungen, jedoch nicht mehr, dass die E-Privacy-Verordnung, die das Tracking in der EU neu regeln sollte, noch verabschiedet wird. Wahrscheinlicher ist die oben erwähnte Änderung des TMG, sodass daraus klarer hervorgehen soll, welche Form des Trackings eine Nutzereinwilligung verlangt.

Rechtssicheres Nutzer-Tracking

Mit der oben verlinkten Orientierungshilfe der DSK sind Sie in der Lage, rechtssicher zu tracken. Auf Seite 6 f. wird zunächst der Begriff selbst definiert: „Bei Tracking handelt es sich um Datenverarbeitungen zur – in der Regel website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern.“

Damit fällt jeder Werbetracker unter diesen Begriff. Bei Analyse-Tools kommt es mal wieder drauf an: Werden für Nutzer eindeutige IDs vergeben, sodass sich Nutzerprofile erstellen lassen, lässt sich das Nutzerveralten über diese nachverfolgen. Per Definition der DSK zählt dies als Tracking, somit wird eine Einwilligung notwendig.

Anders ist es jedoch, wenn Sie mit Ihrem Analyse-Tool die Website, nicht den Nutzer analysieren. Beschäftigen Sie sich ausschließlich mit Fragen zur Besucherzahlmessung, zum Schutz vor Missbrauch oder liegen Zahlen zur Abbruchquote vor, liegt laut der Definition der DSK kein Tracking vor, sodass Sie auch keine Einwilligung benötigen. Unter diesen Umständen können Sie sich auch auf Ihr „berechtigtes Interesse“ aus der DSGVO stützen.

Müssen Sie eine Einwilligung einholen, so werden an diese auch gewisse Formvorgaben gestellt:

  • Erwähnen Sie in der Einwilligung nicht nur Tracking-Cookies, sondern zählen Sie sämtliche Tracking-Verfahren einschließlich etwaiger Zählpixel oder Browser-Fingerprinting auf.
  • Weder die Sicht auf Ihr Impressum noch die auf Ihre Datenschutzerklärung dürfen durch das Cookie-Banner verdeckt werden.
  • Besucht ein neuer User Ihre Website, besteht also noch keine Einwilligung, so sind Sie in der Pflicht, sämtliche Skripte, Tools und Cookies zu deaktivieren, die Daten des Nutzers erfassen.
    Erst wenn der Nutzer aktiv eingewilligt hat (z. B. durch Häkchen setzen), dürfen Sie Tracking betreiben.
  • Legen Sie in Ihrer Datenschutzerklärung stichhaltig dar, wie der von Ihnen verwendete Webtracker die Rechte von Betroffenen schützt. Setzen Sie mehrere Webtracker ein, so dürfte dies in echten Aufwand ausarten.

Die Ausführungen der DSK wurden vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg im Rahmen einer FAQ (PDF) konkretisiert. Daraus geht hervor, dass Analyse-Tools nur dann ohne Nutzereinwilligung genutzt werden können, wenn dafür nicht auf die Services von externen Dritten (wie Google bei Google Analytics) zurückgegriffen wird.

Deutlich wird daraus, dass eine Weiterleitung von Daten an Dritte immer kritisch anzusehen ist. Ob die Daten nun zu Facebook (Zähl-Pixel) oder zu Google (Analyse-Tools) wandern: Die Nutzung solcher Dienste braucht immer die eindeutige und aktive Einwilligung des Nutzers. Hinzu kommt, dass diverse Einstellungen unabdingbar sind, um solche Tracker rechtssicher zu betreiben. Sehen wir uns kurz Ihre To-Do’s im Beispiel Google Analytics an:

  • Sie benötigen einen Datenschutz-Vertrag mit Google.
  • Sie müssen die IP-Adressen Ihrer Besucher anonymisieren.
  • Sie müssen Universal Analytics mit der eindeutigen User-ID deaktivieren.
  • Sie müssen die Remarketing-Zielgruppen (Audiences) deaktivieren.
  • Sie sind verpflichtet, die Speicherdauer der Nutzerdaten zu verkürzen.
  • Sie müssen die Verwendung von Google Analytics inklusive einer Widerspruchsmöglichkeit in Ihrer Datenschutzerklärung ergänzen. Google selbst bietet zwar eine solche Opt-Out-Möglichkeit, jedoch funktioniert dieses Plugin nicht auf Mobilgeräten. Deshalb wäre es sinnvoll, ein eigens programmiertes Opt-out anzubieten.

Sie sehen: Vorgefertigte Lösungen sind keineswegs rechtskonform – Sie müssen selbst aktiv werden. Jedoch müssen Sie ja nicht beim Marktführer bleiben: Mittlerweile gibt es datenschutzfreundlichere Tracking-Alternativen.

Rechtssicheres Tracking: Matomo

Matomo kennen einige unserer Leserinnen und Leser sicher noch unter dem Namen „Piwik“. Mit dieser Open Source-Webanalytic-Plattform können Websitebetreiber die Bewegungen ihrer Nutzer auf der Website verfolgen. In seiner Funktionalität kann das Tool locker mit Google Analytics mithalten. Jedoch beginnen die Unterschiede bereits beim Speicherort: Während Ihnen bei Verwendung von Google Analytics klar sein sollte, dass sämtliche Daten auf US-Servern landen, bietet Matomo das Self-Hosting. Sie können das Tool also auf dem eigenen Server hosten – dieser muss dann natürlich entsprechend gesichert werden. Doch auch dafür bietet Matomo Lösungen.

Durch das Hosten auf eigenen Servern ist die Installation tatsächlich aufwendiger. Sie behalten jedoch die Datenhoheit – und darum geht es. Matomo führte Anfang 2018 diverse DSGVO-Features ein. So können Sie das Tool so konfigurieren, dass sämtliche Daten automatisiert anonymisiert werden. Gehen Sie so vor, verarbeiten Sie keinerlei personenbezogene Daten. Die anonymizeIP-Funktion erlaubt es zwar auch, Google Analytics datenschutzkonform einzubinden, welcher Aufwand dafür jedoch notwendig ist, zeigen die Schritte im vorigen Absatz.

Weitere Vorteile von Matomo:

  • Schutz vor Adblockern: Durch Blocking-Programme kommt es bei Google Analytics durchaus zu verfälschten Ergebnissen. Matomo jedoch ist sowohl vor Adblockern als auch vor Spammern geschützt. Das Tool erfasst Nutzungsdaten auch dann von Anwendern, wenn diese einen Adblocker aktiviert haben. Über eine stetig aktualisierte Blacklist werden Spammer aus den Analysen verbannt. Das führt zu umfangreichen und aussagekräftigen Ergebnissen.
  • Keine Limits: Während Google monatlich die Datenauswertung aus maximal 10 Millionen Aktionen kostenfrei zulässt, existieren bei Matomo keine Begrenzungen. Zwar bietet Matomo mit der Nutzung der Matomo-Cloud auch drei kostenpflichtige Pakete, das Self-Hosting jedoch ist komplett kostenfrei und unbegrenzt.
  • Nutzerfreundlichkeit: Google Analytics mag anwenderfreundlicher erscheinen, jedoch sind immense Vorbereitungen und Konfigurationen zum DSGVO-konformem Betrieb notwendig. Leider bleibt Ihnen ein gewisser Aufwand auch bei Matomo nicht erspart. Benutzerhandbücher sollen jedoch dabei helfen, richtig zu installieren und zu konfigurieren. Hinzu kommt, dass Sie bei der Self-Hosting-Variante selbst für die Sicherheit von Nutzerdaten verantwortlich sind.

In der Self-Hosting-Variante haben Sie die Datenhoheit, da das Tool auf Ihren eigenen Servern gehostet wird. Beide Analysetools – Google Analytics und Matomo – erfordern einen gewissen Installations- und Konfigurationsaufwand. Durch die DSGVO-Features ist Matomo unterm Strich jedoch als anwender- und datenschutzfreundlicher einzustufen.

6 Replies to “Cookies & Co.: Tracking Ihrer Seitenbesucher – eine heikle Gratwanderung”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert