Web-Tracking
Rechtskonformes Tracking - das Ende der Tracking-Ära?
Die Einführung der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 revolutionierte das Webseiten-/ Onlineshop-Tracking. Und jetzt - seit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) im Dezember 2021 - rückt das Ende des Cookie-Trackings spürbar näher. Gleichzeitig steht eine neue spezielle ePrivacy-Verordnung zum Schutz der Nutzer*innen nach wie vor aus.
Apple wiederum reagierte bereits auf die neuen Datenschutzrichtlinien und verschärft das App-Tracking immer mehr - und auch Browser-Aktualisierungen sorgen für ein vermindertes Tracking. Jetzt gilt es auch für uns zu handeln: Für eine saubere Webanalyse sowie künftige Online Marketing Maßnahmen müssen datenschutzkonforme Trackingmöglichkeiten validiert, getestet und eingeführt werden.
Auch die Nutzung von Analyse- und Tracking-Tools von US-Konzernen, wie Google Analytics, Facebook, LinkedIn oder Pinterest, bei denen via Google Tag Manager oder Pixel-Einbindung Nutzerdaten an ein US-Unternehmen übermittelt werden, wird in Europa nur noch unter gewissen Risiken oder mit einigen Anpassungen möglich sein. Die Aufsichtsbehörden haben die Wirksamkeit der Standarddatenschutzklauseln (SCCs) in Frage gestellt und bereits in Einzelfallentscheidungen gegen Website-Betreiber*innen entschieden. Google und die anderen Plattformen wiederum verteidigen die Zulässigkeit der SCCs.
Doch worum genau handelt es sich bei den SCCs und was kann man als Webseitenbetreiber*in tun, um sich gegen Klagen abzusichern? Wir erklären es Ihnen.
Wie ist die derzeitige Problematik und was bieten sich für Lösungsansätze an?
Google Analytics (ebenso wie andere Analyse-, und Tracking-Tools) sammelt mit Hilfe von Cookies personenbezogene Daten von Webseiten-Besucher*innen und übermittelt diese an Google Server in andere Ländern - vorrangig in die USA, da sie die Daten unter anderem der US-Regierung offenlegen müssen. Dort werden die Daten außerdem analysiert und weiterverarbeitet. Die DSGVO wiederum möchte sicherstellen, dass die Daten auch außerhalb der EU einem angemessenen Schutzniveau unterliegen müssen.
Das größte Problem beim herkömmlichen Tracking ist der damit verbundene Automatismus und die Unabwendbarkeit der Datenübertragung. Sinnvoller als die Webseite mit einer Cookiewarnung zu versehen, ist bspw. eine Umstellung auf serverseitiges Tracking (Datenerhebung ohne Double-OptIn-Abfrage des Nutzers) , bei dem der/die Betreiber*in selbst zum First-Party-Data-Owner (der/die Betreiber*in ist alleinig Besitzer*in der erhobenen Daten ohne ein externes Anbietertool) und dadurch eine DSGVO-konforme Verarbeitung möglich wird.
Ist serverseitiges Tracking jedoch die Universallösung? Beim serverseitigem Tracking werden die Daten vom Unternehmen selbst auf dem eigenen Server erhoben und dann aber an Google Analytics geschickt. So wird das Problem zwar vordergründig behoben, aber eben doch nur verschleiert. Neben diesem reinen serverseitigen Tracking, bei dem ein sog. Mittelsmann zwischen Google Analytics und den Webseitenbesucher*innen gestellt wird, der mit beiden Parteien kommuniziert, gibt es auch eine Hybridlösung. Hierbei handelt es sich um eine Mischform aus Cookieless- und Cookie-Tracking.
Cookieless-Tracking:
- Sitzungsbasiertes Tracking (Einstiegsseiten, woher kamen die Nutzer*innen (z.B. Google Suche, Werbeanzeigen, Seitenaufrufe, Absprungraten)
- keine Nutzeridentifikation und -nachverfolgung möglich
Cookie-Tracking:
- Alle Daten des Cookieless-Trackings
- Nutzernachverfolgung
- Erfassung von personenbezogenen Daten
- Alle Daten, die bspw. aktuell in Google Analytics erfasst werden wie
- Neue und wiederkehrende Besucher
- Eindeutige Besucher
- Customer Journeys
- Tage seit dem letzten Besuch
- Besuche bis zur Conversion
- Tage bis zur Conversion
Diese Infos wiederum gehen dann beim Cookieless-Tracking verloren, da die einzelnen Nutzer*innen nicht mehr identifiziert werden können und Aufrufe gebündelt werden. Trotz dieser Datenverluste gibt es auch einige Vorteile, die ein Cookieless-Tracking mit sich bringt:
- Sie können mit Cookieless-Tracking besser mit berechtigtem Interesse der Nutzer*innen argumentieren
- Sie irritieren Webseiten-Besucher*innen nicht mit einem Opt-In oder Cookie-Banner
- Sie schrecken Webseiten-Besucher*innen nicht mit dem negativ behafteten Wort Tracking-Cookie ab
- Sie können User eventuell bereits ohne Opt-In tracken, selbst wenn Sie wegen anderer Systeme trotzdem die Zustimmung benötigen
- Sie können das Verhalten der User bei berechtigtem Interesse tracken
Wir empfehlen, jetzt direkt Weichen für diese Hybridlösung zu stellen - bspw. mit frühzeitigem Parallelbetrieb von Google Analytics 4 und Grundsetup serverseitiger Google Tag Manager, um rechtzeitig Daten zu erheben und dann im Laufe von 2022 komplett umsteigen zu können.
Laut einer aktuellen Pressekonferenz des amerikanischen Präsidenten Joe Biden sind die Vereinigten Staaten und Europa bereits dabei, ein neues Framework zur Regulierung des Datenverkehrs zwischen den beiden Regionen auf den Weg zu bringen. Abzuwarten bleibt, wie die Aufsichtsbehörden die Rechtslage beurteilen, wenn das neue Framework in Kraft tritt.
Lassen Sie uns gemeinsam Ihr Tracking und die Einbindung von Analyse-Tools prüfen und nach gültigem Datenschutz umsetzen!
Jetzt Tracking- und Datenschutz-Audit durchführen
Benötigen Sie Unterstützung für ein datenschutzkonformes Tracking Ihrer Webseite oder Ihres Online-Shops? In unserem Datenschutz-Audit für 990 EUR analysieren wir in Kooperation mit unserem Rechtsanwalt die aktuellen technischen und rechtlichen Schwachstellen Ihrer Web-Tracking- und Cookie-Consent-Einbindung. In einer virtuellen Präsentation erhalten Sie im Anschluss konkrete Handlungsempfehlungen.
Google Fonts - Online-Schriftarten können unzulässig sein
Google bietet unendlich viele Online-Schriftarten - sog. Web-Fonts - an, mit denen Website-Betreiber*innen ihre Seiten individueller und attraktiver für die Nutzer*innen gestalten können. Diese können auf zwei Arten eingebunden werden:
1. Die Schriftart wird auf dem Server des/der Website-Betreibers/in gespeichert. Hier wird sie vom User beim Besuch der Seite abgerufen (datenschutzrechtlich unbedenklich).
2. Bei jedem Seitenaufruf findet eine Kommunikation zwischen dem Browser der Nutzer*innen und dem Google-Server statt, wobei die IP-Adresse des Users an Google übermittelt wird.
Hierzu gab es bereits mehrere Urteile, in denen die Webseitenbetreiber*innen erfolgreich verklagt wurden, da es als Eingriff in das allg. Persönlichkeitsrecht gilt, die personenbezogenen Daten ohne gesonderte Einwilligung an Google zu übermitteln.
Wir empfehlen Ihnen deshalb, Ihre Schriftarten ab jetzt auf die Variante 1 umzustellen, wenn Sie dies noch nicht gemacht haben, da selbst eine Aufnahme in die Cookie-Intergration nicht ausreichend ist. Denn die Übermittlung einer IP-Adresse hat nichts mit den sog. Cookies zu tun. Zusätzlich müsste bei einer Ablehnung die Website mit einer Standardschrift übermittelt werden, was Ihr Design aushebelt.
Sie benötigen Hilfe in der Umstellung Ihrer Google Fonts Einbindung? Dann kontaktieren Sie uns gerne ganz unverbindlich!
Wer mit der Zeit gehen möchte, sollte sich kontinuierlich weiterentwickeln und immer auf dem neuesten Stand sein. Damit Sie das nicht während Ihres täglichen Geschäfts in allen Online-Bereichen tun müssen, sind wir für Sie da: mit Expertenwissen, großer Motivation und Wissbegierigkeit beschäftigen wir uns rund um alle wichtigen Online Marketing Themen. Wir halten Sie auf dem Laufenden und versorgen Sie mit den neuesten Branchentrends und Richtlinien. Bleiben Sie an unserer Seite und fühlen Sie sich jederzeit top informiert und abgesichert.
