Aus Sicht von Unternehmen kann es sinnvoll sein, Website-Besucher zu tracken: User lassen sich besser einsch\u00e4tzen, ihre Interessen werden deutlicher. All das hilft Unternehmen dabei, sich optimaler, dem Kundenbed\u00fcrfnis entsprechend aufzustellen. Vielen Kunden hingegen ist es ein Bed\u00fcrfnis, sich nicht tracken zu lassen. Und auch der Gesetzgeber hat Ansichten zum Website-Tracking. Wie Sie all diese Interessen unter einen Hut bekommen, erfahren Sie heute.<\/p>\n
Cookies und Evercookies \u2013 kleine Textdateien, die mit Informationen gespickt sind und im Browser gespeichert werden \u2013 sowie Canvas-Fingerprinting, bei dem Nutzer m\u00f6glichst eindeutig identifiziert und analysiert werden, sind g\u00e4ngige Methoden. Sehen wir sie uns etwas genauer an:<\/p>\n
Sogenannte Cookies werden bei nahezu jeder Website gesetzt. Sie besitzen interaktive Funktionen und sind in der Lage, zielgerichtet Werbung zu schalten. In kleinen Textdateien sind Informationen gespeichert, die es dem Webserver erm\u00f6glichen, Anwender nicht nur wiederzuerkennen, sondern auch ihre Einstellungen zu speichern. Von der individuellen Wunschliste im Online-Shop bis hin zur personalisierten Werbung kann der Einsatz von Cookies reichen.<\/p>\n
Normalerweise enthalten Cookies diverse Nutzerinformationen: Cookie-Name, Ablaufdatum, Internet-Domain, Pfad, auch Angaben \u00fcber die Verbindungsart, Beschr\u00e4nkungen auf bestimmte Ports oder Kommentare sind denkbar.<\/p>\n
Man unterscheidet verschiedene Arten von Cookies, die verschiedenen Zwecken dienen. Persistente, also dauerhaft beibehaltene Cookies eignen sich, um Website-Einstellungen f\u00fcr Nutzer dauerhaft zu speichern. Wurde der Cookie nicht gel\u00f6scht, so werden beim n\u00e4chsten \u00d6ffnen einer Site die gespeicherten Einstellungen angezeigt, indem der Webserver den korrekten Cookie anwendet.<\/p>\n
Weiter existieren sogenannte Session Cookies: Sie dienen gezielt dem kurzfristigen Speichern von Informationen. Der Klassiker ist beispielsweise der Login auf einer passwortgesch\u00fctzten Seite. Zum Identifizieren eines Nutzers wird eine Session-ID im entsprechenden Cookie auf dem Server gespeichert. Wird die Verbindung zum Webserver unterbrochen, wird die Session beendet und der Session-Cookie verliert seine G\u00fcltigkeit.<\/p>\n
Zu den wenig beliebten Cookies z\u00e4hlen die Tracking-Cookies. Ein Beispiel f\u00fcr personalisierte Werbung soll die Arbeitsweise eines Tracking-Cookies verdeutlichen: Der Nutzer besucht eine Website, auf der Werbung platziert ist. Von diesem Werbebanner wird nun ein solcher Tracking-Cookie auf dem Rechner des Nutzers platziert. Hei\u00dft: Der Cookie ist keineswegs von der besuchten Website, sondern von jenem Server, der die Werbung ausliefert („Adserver“). Dieser Adserver verwendet Cookies, um das Verhalten des Nutzers zu analysieren.<\/p>\n
Es gibt User, die es bequem finden, beim n\u00e4chsten Shop-Besuch direkt passende Werbung ausgeliefert zu bekommen, f\u00fcr das Gros der Nutzer jedoch f\u00fchlen sich Tracking-Cookies wie Spyware an. Und tats\u00e4chlich sehen das auch viele Anti-Spyware-Programme so, die Tracking-Cookies dementsprechend einstufen.<\/p>\n
Grunds\u00e4tzlich ist der Informationsgewinn \u00fcber Cookies nicht schlimm: Analyse und Personalisierung erfolgen anonym und wie bereits erw\u00e4hnt, sch\u00e4tzen einige User personalisierte Werbung durchaus. Die Problematik liegt an anderer Stelle: Nutzer sind meist ahnungslos, sie wissen nicht, dass sie der Werbewirtschaft wertvolle Gratis-Informationen liefern. Aufkl\u00e4rung ist hier also das Mittel der Wahl.<\/p>\n
Aufkl\u00e4rung ist auch aus den Augen des Gesetzgebers sinnvoll, denn: Die Datenschutz-Grundverordnung (DSGVO) sorgt f\u00fcr strengere Regelungen innerhalb der EU. Noch bevor ein Cookie Daten \u00fcbertragen hat, muss der Nutzer seine Einwilligung gegeben haben. Deshalb finden sich auf zahlreichen Websites nun die sogenannten Cookie-Banner, durch die der Einsatz von Cookies g\u00e4nzlich abgelehnt, teilweise oder vollst\u00e4ndig erlaubt werden kann.<\/p>\n
Viele Browser unterst\u00fctzen mittlerweile das Blockieren von Cookies. Um dieser f\u00fcr die Werbewirtschaft nicht optimalen Entwicklung entgegenzutreten, erfand man sogenannte EverCookies \u2013 eine erweiterte Markierung, die zus\u00e4tzlich zum Tracking-Cookie im Browser gespeichert wird. Aufgrund dieser Markierung ist es m\u00f6glich, ein gel\u00f6schtes Tracking-Cookie wiederherzustellen. Evercookies sind also im eigentlichen Sinne keine Cookies, sondern eine JavaScript-Bibliothek (API). Solche EverCookies k\u00f6nnen durch verschiedene Techniken erstellt werden und sind deshalb sehr schwer zu l\u00f6schen:<\/p>\n
Das sind nur vier Beispiele von vielen \u2013 EverCookies lassen sich nahezu \u00fcberall verstecken. Und das ist das Problem bei EverCookies: Ob Einwilligungen vorliegen oder nicht, wird vollkommen ignoriert. Das ist der Grund, warum diese Cookies auch als „Zombie-Cookie“ bezeichnet werden. Sie sehen schon jetzt: Wirklich DSGVO-konform k\u00f6nnen diese EverCookies nicht sein.<\/p>\n
Ziel dieser Tracking-Methode ist es, den Nutzer eindeutig zu identifizieren und analysieren zu k\u00f6nnen. Im Fokus des Trackings stehen die individuellen Merkmale des verwendeten Endger\u00e4ts: Die Art des Betriebssystems und seine Konfigurationen sowie genutzte Programme erlauben sehr genaue Zuordnungen der Kunden.<\/p>\n
Gebildet wird ein Canvas-Bild, welches einen kurzen Text enth\u00e4lt. Wird Canvas, ein HTML-Element, mit JavaScript gekoppelt, kann damit gezeichnet werden. Wird nun eine Website durch einen Nutzer aufgerufen, wird ein solches Bild generiert \u2013 im Hintergrund und vom Anwender unbemerkt. Dabei wird auch auf die Systemkonfigurationen des Nutzers zur\u00fcckgegriffen. Werden verschiedene Endger\u00e4te verwendet, sind Variationen des individuellen Bilds vom ausgewerteten Client zu erwarten. Neben dem verwendeten Betriebssystem und dem Browser haben Parameter wie Grafikkarte und Treiber oder installierte Fonts Einfluss auf das entstehende Bild \u2013 sie dienen zum Rendern.<\/p>\n
Nach und nach wird so eine Art Fingerabdruck eines Nutzers erzeugt. Im Anschluss bekommt der Nutzer vom Server eine ID zugewiesen. Nun l\u00e4sst sich der Nutzer nahezu \u00fcberall im Internet verfolgen \u2013 vorausgesetzt, er surft auf Websites, die diese Tracking-Methode einsetzen.<\/p>\n
Unternehmen ziehen zahlreiche wertvolle Informationen aus dem Website-Tracking. So wird erkennbar, \u00fcber welche Quellen Besucher auf der Seite landen. Durch das Usertracking k\u00f6nnen Unternehmen das Verhalten von K\u00e4ufern und Interessenten ablesen, weiter lassen sich Produkte mit dem h\u00f6chsten oder eben niedrigsten Absatz herausfiltern. Weiter l\u00e4sst sich nachvollziehen, welche Produkte von welchen Altersgruppen bevorzugt oder abgelehnt werden, oder welche Seiten geschlechterspezifisch wie besucht werden. Die folgenden Informationen lassen sich durchs Website-Tracking sammeln:<\/p>\n
Mit Antworten auf diese und weitere Fragen k\u00f6nnen Sie gezielt Ma\u00dfnahmen zum Optimieren Ihrer Website, Ihres Produkt- oder Dienstleistungsangebot ableiten. Sie erreichen z. B. die folgenden Ziele:<\/p>\n
Sie sehen: Das Tracken von Nutzern hat durchaus Vorteile f\u00fcr Ihre Organisation. Man kommt leicht in Versuchung, ausgefeilte Nutzerprofile zu erstellen, die einem viele Details liefern \u2013 technisch ist das ein Leichtes. Der Gesetzgeber stoppt diesen Willen jedoch zugunsten des Datenschutzes der Nutzer \u2013 auch nach Auffassung der Aufsichtsbeh\u00f6rden \u00fcberwiegen das Schutzbed\u00fcrfnis sowie die Interessen des Nutzers. Art. 6 Abs. 1 lit. a) DSGVO<\/a> zeigt, dass Tracking die Einwilligung des Nutzers voraussetzt.<\/p>\n Analysen zur statistischen Auswertung jedoch sind ohne Einwilligung gestattet. Dazu geh\u00f6ren beispielsweise Angaben zum verwendeten Endger\u00e4t, zur Verweildauer auf der Website, die Spracheinstellungen, aber auch Nutzeraktionen, Standort oder Region. F\u00fcr solche Informationen werden sogenannte Performance Cookies gespeichert.<\/p>\n Der wesentliche Unterschied ist also dieser: Geht es darum, den Nutzer zu tracken, ist eine vorherige Einwilligung unerl\u00e4sslich. Geht es jedoch darum, Ihre Website zu tracken, ben\u00f6tigen Sie keine Einwilligung von Besuchern.<\/p>\n Werden Daten zur statistischen Auswertung inklusive der eben erw\u00e4hnten Nutzerdaten verarbeitet, so erkennen die Aufsichtsbeh\u00f6rden hierbei ein „berechtigtes Interesse“ beim Websitebetreiber. Dieser m\u00f6chte seine Website bedarfsgerecht gestalten. Erw\u00e4gungsgrund 47 DSGVO<\/a> besch\u00e4ftigt sich mit der Rechtm\u00e4\u00dfigkeit der Verarbeitung bei berechtigten Interessen. Zum Verarbeiten dieser Nutzungsdaten m\u00fcssen Sie die im Gesetz verankerten Bestimmungen erf\u00fcllen:<\/p>\n Erf\u00fcllen Sie auch nur eines dieser Kriterien nicht, so k\u00f6nnen Sie die Verarbeitung der Nutzungsdaten nicht mehr mit dem berechtigten Interesse verargumentieren. Holen Sie sich im Zweifel immer eine Einwilligung des Nutzers ein.<\/p>\n Der Europ\u00e4ische Gerichtshof (EuGH) urteilte j\u00fcngst zum Thema Cookies bzw. beantwortete Fragen, die der Bundesgerichtshof (BGH) an den EuGH stellte. Nach n\u00e4herer Betrachtung ist das Urteil jedoch wenig hilfreich. Konkret ging es um ein Verfahren gegen „Planet49“ (Urteil vom 01.10.2019, Az.: C-673\/17<\/a>). Das Gericht entschied, dass Nutzer eine Einwilligung aktiv erteilen m\u00fcssen, wenn eine solche in Cookies erforderlich ist. Seitenbetreiber sind verpflichtet, Auskunft \u00fcber gesetzte Cookies zu erteilen (Lebensdauer der Cookies, Funktion und Zugriff Dritter).<\/p>\n Das Urteil l\u00f6ste Diskussionen aus: Manche leiteten daraus ab, dass jeder Websitebetreiber Einwilligungen sogar dann einholen muss, wenn es sich um rein technisch notwendige Cookies handelt. Andere sahen ein reines Verbot zum Setzen von Tracking-Cookies zu Werbezwecken. Tats\u00e4chlich bleiben nach dem EuGH-Urteil viele Fragen noch offen. In der Verhandlung ging es lediglich darum, wie eine Cookie-Einwilligung auszusehen habe, jedoch nicht darum, wann eine Einwilligung erforderlich ist.<\/p>\n Gehen wir ein paar Urteile des EuGH zur\u00fcck, sto\u00dfen wir auf die Verhandlung zum Like-Button von Facebook. In dieser Verhandlung erw\u00e4hnte der EuGH, das die E-Privacy-Richtlinie beim Setzen von Cookies eine Einwilligung erfordert \u2013 zumindest dann, wenn der Cookie nicht zwangsl\u00e4ufig erforderlich ist. Nun hat der deutsche Gesetzgeber diese E-Privacy-Richtlinie jedoch nie ins nationale Gesetz verankert \u2013 man behielt die alten Regelungen des Telemediengesetzes (TMG) bei. Hierin wird anstelle einer aktiven Einwilligung lediglich ein Opt-out gefordert \u2013 es w\u00fcrde also reichen, wenn Nutzer die Website durch vorausgef\u00fcllte Check-Boxen per Opt-out vom Speichern von Cookies abhalten, wie im vorliegenden Fall von „Planet49“.<\/p>\n Somit ist die nationale Cookie-Richtlinie aus dem TMG nicht mit dem Europarecht, also der DSGVO vereinbar. Ob Cookies zu Werbezwecken gem\u00e4\u00df des „berechtigten Interesses“ gesetzt werden d\u00fcrfen, war nicht Gegenstand der j\u00fcngsten Verhandlung des EuGH. Was all das nun f\u00fcr die Cookie-Regelungen in Deutschland bedeutet, bleibt abzuwarten \u2013 erst muss der BGH entscheiden. Offenbar arbeitet das Bundeswirtschaftsministerium aktuell an einem Gesetzesentwurf, durch den das TMG an die EU-Vorgaben angepasst werden soll.<\/p>\n Wenngleich konkrete Einzelheiten noch offen sind, d\u00fcrfen Sie vermutlich davon ausgehen, dass f\u00fcr alle nicht unbedingt erforderlichen Cookies eine Opt-in-Einwilligung notwendig wird.<\/p>\n Die Verbraucherzentrale Bundesverband (vzbv) sowie Datenschutzbeh\u00f6rden verst\u00e4rken ihren Kampf gegen unerlaubtes Nutzer-Tracking. Durch Abmahnungen k\u00f6nnten erste Gerichtsverhandlungen \u00fcber die Zul\u00e4ssigkeit von Tracking-Methoden entstehen. Die Deutsche Datenschutzkonferenz (DSK) forderte bereits im April 2018 in einer Erkl\u00e4rung<\/a> (PDF), dass Nutzer dem Tracking ausdr\u00fccklich zustimmen m\u00fcssen. Auch in der Orientierungshilfe<\/a> (PDF) aus April 2019 r\u00e4t die DSK zur Einwilligung und gibt Telemediendienstanbietern eine M\u00f6glichkeit zur Einsch\u00e4tzung. Die Aufsichtsbeh\u00f6rden stellen darin klar, dass die g\u00e4ngige Praxis, Cookies mit einem Okay-Button best\u00e4tigen zu lassen, unzureichend ist.<\/p>\n Die DSK empfindet Analyse-Tools zur Reichweitenmessung, etwa Google Analytics, als nicht rechtens; der Websitebetreiber kann nicht mit „berechtigtem Interesse“ argumentieren. Denn die Reichweitenmessung k\u00f6nne mit Tools erreicht werden, die personenbezogene Daten in geringerem Umfang erheben und diese auch nicht an Dritte \u00fcbermitteln. Das Erstellen von Nutzerprofilen sei zudem f\u00fcr eine Reichweitenmessung nicht notwendig.<\/p>\n Wie Heise.de berichtet<\/a>, k\u00fcndigte die Bayerische Datenschutzaufsicht bereits erste Bu\u00dfgelder an. Anfang 2019 wurden zahlreiche Unternehmens-Websites \u00fcberpr\u00fcft. Datenschutzexperten erwarten in den kommenden Jahren endg\u00fcltige gerichtliche Entscheidungen, jedoch nicht mehr, dass die E-Privacy-Verordnung, die das Tracking in der EU neu regeln sollte, noch verabschiedet wird. Wahrscheinlicher ist die oben erw\u00e4hnte \u00c4nderung des TMG, sodass daraus klarer hervorgehen soll, welche Form des Trackings eine Nutzereinwilligung verlangt.<\/p>\n Mit der oben verlinkten Orientierungshilfe der DSK sind Sie in der Lage, rechtssicher zu tracken. Auf Seite 6 f. wird zun\u00e4chst der Begriff selbst definiert: „Bei Tracking handelt es sich um Datenverarbeitungen zur \u2013 in der Regel website-\u00fcbergreifenden \u2013 Nachverfolgung des individuellen Verhaltens von Nutzern.“<\/p>\n Damit f\u00e4llt jeder Werbetracker unter diesen Begriff. Bei Analyse-Tools kommt es mal wieder drauf an: Werden f\u00fcr Nutzer eindeutige IDs vergeben, sodass sich Nutzerprofile erstellen lassen, l\u00e4sst sich das Nutzerveralten \u00fcber diese nachverfolgen. Per Definition der DSK z\u00e4hlt dies als Tracking, somit wird eine Einwilligung notwendig.<\/p>\n Anders ist es jedoch, wenn Sie mit Ihrem Analyse-Tool die Website, nicht den Nutzer analysieren. Besch\u00e4ftigen Sie sich ausschlie\u00dflich mit Fragen zur Besucherzahlmessung, zum Schutz vor Missbrauch oder liegen Zahlen zur Abbruchquote vor, liegt laut der Definition der DSK kein Tracking vor, sodass Sie auch keine Einwilligung ben\u00f6tigen. Unter diesen Umst\u00e4nden k\u00f6nnen Sie sich auch auf Ihr „berechtigtes Interesse“ aus der DSGVO st\u00fctzen.<\/p>\n M\u00fcssen Sie eine Einwilligung einholen, so werden an diese auch gewisse Formvorgaben gestellt:<\/p>\n Die Ausf\u00fchrungen der DSK wurden vom Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit Baden-W\u00fcrttemberg im Rahmen einer FAQ<\/a> (PDF) konkretisiert. Daraus geht hervor, dass Analyse-Tools nur dann ohne Nutzereinwilligung genutzt werden k\u00f6nnen, wenn daf\u00fcr nicht auf die Services von externen Dritten (wie Google bei Google Analytics) zur\u00fcckgegriffen wird.<\/p>\n Deutlich wird daraus, dass eine Weiterleitung von Daten an Dritte immer kritisch anzusehen ist. Ob die Daten nun zu Facebook (Z\u00e4hl-Pixel) oder zu Google (Analyse-Tools) wandern: Die Nutzung solcher Dienste braucht immer die eindeutige und aktive Einwilligung des Nutzers. Hinzu kommt, dass diverse Einstellungen unabdingbar sind, um solche Tracker rechtssicher zu betreiben. Sehen wir uns kurz Ihre To-Do’s im Beispiel Google Analytics an:<\/p>\n Sie sehen: Vorgefertigte L\u00f6sungen sind keineswegs rechtskonform \u2013 Sie m\u00fcssen selbst aktiv werden. Jedoch m\u00fcssen Sie ja nicht beim Marktf\u00fchrer bleiben: Mittlerweile gibt es datenschutzfreundlichere Tracking-Alternativen.<\/p>\n Matomo kennen einige unserer Leserinnen und Leser sicher noch unter dem Namen „Piwik“. Mit dieser Open Source-Webanalytic-Plattform k\u00f6nnen Websitebetreiber die Bewegungen ihrer Nutzer auf der Website verfolgen. In seiner Funktionalit\u00e4t kann das Tool locker mit Google Analytics mithalten. Jedoch beginnen die Unterschiede bereits beim Speicherort: W\u00e4hrend Ihnen bei Verwendung von Google Analytics klar sein sollte, dass s\u00e4mtliche Daten auf US-Servern landen, bietet Matomo das Self-Hosting. Sie k\u00f6nnen das Tool also auf dem eigenen Server hosten \u2013 dieser muss dann nat\u00fcrlich entsprechend gesichert werden. Doch auch daf\u00fcr bietet Matomo L\u00f6sungen.<\/p>\n Durch das Hosten auf eigenen Servern ist die Installation tats\u00e4chlich aufwendiger. Sie behalten jedoch die Datenhoheit \u2013 und darum geht es. Matomo f\u00fchrte Anfang 2018 diverse DSGVO-Features ein. So k\u00f6nnen Sie das Tool so konfigurieren, dass s\u00e4mtliche Daten automatisiert anonymisiert werden. Gehen Sie so vor, verarbeiten Sie keinerlei personenbezogene Daten. Die anonymizeIP-Funktion erlaubt es zwar auch, Google Analytics datenschutzkonform einzubinden, welcher Aufwand daf\u00fcr jedoch notwendig ist, zeigen die Schritte im vorigen Absatz.<\/p>\n Weitere Vorteile von Matomo:<\/p>\n In der Self-Hosting-Variante haben Sie die Datenhoheit, da das Tool auf Ihren eigenen Servern gehostet wird. Beide Analysetools \u2013 Google Analytics und Matomo \u2013 erfordern einen gewissen Installations- und Konfigurationsaufwand. Durch die DSGVO-Features ist Matomo unterm Strich jedoch als anwender- und datenschutzfreundlicher einzustufen.<\/p>\n","protected":false},"excerpt":{"rendered":" Aus Sicht von Unternehmen kann es sinnvoll sein, Website-Besucher zu tracken: User lassen sich besser einsch\u00e4tzen, ihre Interessen werden deutlicher. All das hilft Unternehmen dabei, sich optimaler, dem Kundenbed\u00fcrfnis entsprechend aufzustellen. Vielen Kunden hingegen ist es ein Bed\u00fcrfnis, sich nicht tracken zu lassen. Und auch der Gesetzgeber hat Ansichten zum Website-Tracking. Wie Sie all diese … <\/p>\n\n
Neue Cookie-Regelung wenig hilfreich<\/h3>\n
Abmahnungen als Folge des Tracking<\/h3>\n
Rechtssicheres Nutzer-Tracking<\/h2>\n
\n
\nErst wenn der Nutzer aktiv eingewilligt hat (z. B. durch H\u00e4kchen setzen), d\u00fcrfen Sie Tracking betreiben.<\/li>\n\n
Rechtssicheres Tracking: Matomo<\/h2>\n
\n