Zum Hauptinhalt der Seite

Besucher-Tracking in Zeiten von DSGVO und E-Privacy: Der Weg nach vorne

Seit Mai 2018 ist die DSGVO in Kraft, und das Thema Datenschutz ist damit noch lange nicht abschließend geklärt. Voraussichtlich werden die gesetzlichen Vorgaben im nächsten Jahr durch die E-Privacy-Verordnung der EU noch verschärft. Hier stehen mehrere berechtigte Interessen im Widerspruch: Websiteinhaber möchten gerne möglichst genau wissen, wie viele Besucher wie viel Zeit auf welchen Seiten verbringen. Gleichzeitig müssen sie den gesetzlichen Vorgaben gerecht werden, um sich rechtlich abzusichern. Besucher möchten Ihre Privatsphäre gewahrt wissen. Und als Entwickler und Designer möchten wir die User nicht mit ellenlangen Einwilligungsbannern abschrecken. In diesem Blogpost haben wir einige Ansätze für datenschutzkonformes Tracking für Sie zusammengefasst.

Achtung: Wir sind keine Anwälte und hierbei handelt es sich nicht um eine Rechtsberatung. Die beschriebenen Ansätze basieren auf unserer eigenen Erfahrung mit und Auslegung der entsprechenden Vorgaben. Aber vor der Umsetzung sollten Sie als Websiteinhaber immer eine zweite Meinung einholen - nach Möglichkeit vom Datenschutzbeauftragten.

Eine Smartphone-Grafik mit Buttons zum Akzeptieren und Ablehnen

Ansatz 1: Kein Tracking

Instinktiv möchte man als Web-Worker bei den Stichworten DSGVO und E-Privacy nur aufstöhnen – schon wieder die nächste Anpassung am Cookie-Banner fällig. Aber man kann und sollte die geänderte Gesetzgebung auch als Chance betrachten, den eigenen Ansatz bezüglich Datenerfassung und Datenschutz zu überdenken. Fakt ist: Nicht alle Websites benötigen ausführliche Besucherstatistiken. Features wie Remarketing, Conversion Tracking und sonstige personenbezogene Analytics-Metriken mögen für ein E-Commerce Business unentbehrlich sein, aber eine Vereinswebsite kann häufig auch gut darauf verzichten. Viele Websiteinhaber möchten eigentlich nur einen groben Überblick darüber haben, wie viele Besucher sie täglich haben und welche Seiten am Beliebtesten sind. Dafür braucht es Google Analytics nicht. Hier reicht häufig schon die gewöhnliche Besucherstatistik, die viele Hoster automatisch erstellen (z.B. der Webalizer bei Hosteurope). Auch können diese Statistiken ohne personenbezogene Daten erfasst werden - siehe Ansatz 4.

Ansatz 2: Tracking wie gehabt mit Opt-In

Spätestens seit dem EuGH-Urteil Anfang Oktober steht fest, dass die bisherigen Opt-Out1 Lösungen für Google Analytics nicht mehr ausreichen. Gefordert wird jetzt ein aktives Opt-In2. Das heißt in der Praxis: Anzeige eines Banners beim ersten Seitenaufruf, inklusive Auflistung aller Cookie-Kategorien und (nicht voreingestellten!) Checkboxen, mit denen der Besucher dem Tracking zustimmen kann. Technisch gesehen ist das kein Problem, aber unter dem Strich zeigt sich: Daraus ergeben sich keine brauchbaren Daten. Viele Nutzer ignorieren die Banner komplett, oder klicken automatisch auf nein - kein Wunder, werden wir doch in den Nachrichten regelmäßig mit Datenschutzskandalen bombardiert.

Trotzdem ist diese aktive Zustimmung (Opt-In) gesetzlich erforderlich, wenn personenbezogene Daten gesammelt werden, oder Benutzer für Conversion Tracking und Remarketing identifizierbar sein sollen. Häufig ist das aber nicht der Fall. Daraus ergibt sich eine weitere Chance.

Ansatz 3: Tracking ohne Cookies und personenbezogene Daten

Die Diskussion um Datenschutz und Tracking hat sich zunehmend um das Schlagwort "Cookies" zusammengezogen - obwohl diese nur tangential mit Datenschutz zusammenhängen. Problematisch an den Cookies sind schließlich nicht, dass ein paar Byte an Text auf dem Computer des Besucher hinterlegt werden, sondern dass diese eine Identifizierung und Wiedererkennung des Nutzers über einzelne Seitenbesuche und Browser-Sessions hinaus ermöglichen. Doch dies ist keineswegs unumgänglich: Je nach eingesetztem Tool können Eckdaten des Seitenaufrufs (welche Seite wurde besucht, wie viele Seiten hat der Nutzer nacheinander aufgerufen) auch erfasst werden, ohne Cookies zu setzen. Leider gibt es diese Möglichkeit für Google Analytics beim Einsatz des Tag Managers nicht mehr. Eine gute Alternative bietet aber Matomo (ehem. Piwik). Die Matomo-Plattform kann selbst gehostet werden, wodurch kein externer Datenverarbeiter auf Besucherdaten zugreifen kann und somit der Datenverarbeitungsvertrag und eine Quelle von Unsicherheit wegfällt. Zusätzlich können die Matomo-Instanz und der JavaScript-Tracker so konfiguriert werden, dass er keine Cookies setzt, IP-Adressen anonymisiert und keine personenbezogenen Daten dauerhaft gespeichert werden.

Einen Vorbehalt gibt es bei dieser Umsetzung: Wenn Cookies mit Matomo deaktiviert werden, verwendet der JavaScript-Tracker stattdessen Device Fingerprinting3, um mehrere Seitenaufrufe einer einzelnen Session zuordnen zu können. Trotzdem sehen wir in dieser Variante einen guten Kompromiss zwischen Datenschutz und Statistikerstellung:

  • Der Device Fingerprint wird nur innerhalb von 30 Minuten zugeordnet, sodass hiermit nur einzelne Sessions zugeordnet, nicht aber wiederkehrende Besucher erkannt werden.
  • In der Datenbank werden keine persönlichen Daten dauerhaft gespeichert: IP-Adressen werden maskiert, Fingerprints werden nur als Hash gespeichert, sodass aus diesen Daten niemals Rückschlüsse auf einzelne Besucher oder deren Geräte möglich sind.
  • Wenn Besucherstatistiken erfasst werden, ohne personenbezogene Daten zu speichern oder Besucher identifizierbar zu machen, werden hiermit nur sogenannte berechtigte Interessen verfolgt, was in Einklang mit der DSGVO steht.

Wir glauben an diese Variante - so sehr, dass wir sie bereits auf schwarzdesign.de umgesetzt haben! Da wir keine persönlichen Daten erfassen und keine Cookies setzen, können wir damit sogar auf ein Cookie Banner mit Opt-In verzichten - womit wir sowohl uns als auch unseren Besuchern einen Gefallen tun.

Ansatz 4: Serverseitige Statistik-Tools

Eine weitere Möglichkeit, die nach Inkrafttreten der E-Privacy-Verordnung vermutlich mehr ins Licht rücken wird. Hierbei verzichtet man komplett auf Browser-basiertes Tracking per JavaScript und erstellt anonymisierte Besucherstatistiken stattdessen serverseitig (z.B. mit PHP oder Serverlogs). Dies schränkt die auswertbaren Daten insofern ein, dass keine Besucheridentifizierung über einzelne Besuche und Geräte hinaus möglich ist, da die Zuordnung allein auf Basis der Session und der IP-Adresse erfolgen kann. Damit werden einige Metriken wie z.B. die Zahl der Returning Visitors hinfällig, und gezieltes Conversion Tracking und Remarketing ist nur eingeschränkt oder gar nicht möglich. Für gezieltes Web-Marketing dürfte diese Methode also nicht ausreichen, aber für simple Besucherstatistiken ist sie eine gute Alternative.

Leider gibt es hier nur wenige gute Tools, die die Daten anonymisiert sammeln und benutzerfreundlich aufbereiten. Zudem sind die existierenden Tools häufig Plattform-spezifisch (z.B. das Plugin WP Statistics für WordPress) und somit nicht einheitlich und CMS-unabhängig einsetzbar. Unserer Meinung nach gibt es hier eine Marktlücke - auf die sich mit Sicherheit das ein oder andere Startup kaprizieren könnte.


Begriffsklärung

(1) Opt-Out: Alle Besucher werden beim Besuch der Seite sofort getrackt. Über eine Option in der Datenschutzerklärung oder ein Browser-Plugin kann das Tracking deaktiviert werden. Google Analytics wurde traditionell so eingesetzt - vor Zeiten der DSGVO.
(2) Opt-In: Beim Besuch der Seite wird ein Banner angezeigt, mit dem um Zustimmung für das Tracking und das Setzen von Cookies gebeten wird. Dies ist für das Setzen von Statistik- und Marketing-Cookies gesetzlich erforderlich.
(3) Device Fingerprinting: Eine Methode, mit der Eckdaten wie der eingesetzte Browser, die Bildschirmauflösung, installierte Plugins et c. zu einem pseudonymen "Fingerabdruck" zusammengesetzt werden.

Fazit

Aus juristischer und technischer Sicht ist das alles wahnsinnig kompliziert und zum Teil auch sehr aufwändig. Eine Entscheidungsfindung muss aber nicht schwer sein. Denn als Websitebetreiber muss man sich im Prinzip nur zwei Fragen beantworten:

  1. Wie genau muss ich über die Nutzung meiner Website Bescheid wissen?
  2. Welche Rolle spielt modernes Online-Marketing für mein Geschäftsmodell?

Muss ich nur grob Bescheid wissen, wird das klassische Tracking einfach deaktiviert, der nervige Cookie-Hinweis weggelassen und man verläßt sich auf die Statistik der rudimentären Server-Tools (Ansatz 1). Ein - wie wir finden - charmanter und auch überaus kostengünstiger Ansatz.

Bedarf das Geschäftsmodell aktives Online-Marketing, kommt man dagegen ohne professionelle Webstatistik-Tools und ein entsprechend komplexes Cookie-Banner nicht aus (Ansatz 2). Bitter ist hier, dass sich wohl nur noch ein Teil der Besucher entsprechend erfassen lassen werden.

Für viele Websitebetreiber dürften die Ansätze 3 und 4 interessant sein. Hier erhält man durchaus belastbare allgemeine Nutzungsdaten ohne die Nutzer und potentiellen Kunden mit komplexen Bannern zu verschrecken.

Fragen? Sprechen Sie uns an!


Siehe auch