Besucher-Tracking in Zeiten von DSGVO und E-Privacy: Der Weg nach vorne
Zuletzt aktualisiert am 06.12.2021 (Aktualisiert für das TTDSG)
Seit 2018 ist die DSGVO in Kraft und das Thema Datenschutz ist damit noch lange nicht abschließend geklärt. Am 01. Dezember 2021 ist zusätzlich das TTDSG in Kraft getreten. Damit wird die ePrivacy-Richtlinie der EU umgesetzt und verschärft die Vorgaben noch. Das TTDSG nehmen wir hier genauer unter die Lupe.
DSGVO und ePrivacy versuchen, im Konflikt zwischen den Interessen von Website-Betreibern und Besuchern Klarheit zu schaffen. Websiteinhaber möchten gerne möglichst genau wissen, wie viele Besucher wie viel Zeit auf welchen Seiten verbringen. Gleichzeitig müssen sie den gesetzlichen Vorgaben gerecht werden, um sich rechtlich abzusichern. Besucher möchten Ihre Privatsphäre gewahrt wissen. Und als Entwickler und Designer möchten wir die User nicht mit ellenlangen Einwilligungsbannern abschrecken. In diesem Blogpost haben wir einige Ansätze für datenschutzkonformes Tracking für Sie zusammengefasst.
Achtung: Wir sind keine Anwälte und hierbei handelt es sich nicht um eine Rechtsberatung. Die beschriebenen Ansätze basieren auf unserer eigenen Erfahrung mit und Auslegung der entsprechenden Vorgaben. Aber vor der Umsetzung sollten Sie als Websiteinhaber immer eine zweite Meinung einholen - nach Möglichkeit vom Datenschutzbeauftragten.
Ansatz 1: Kein Tracking
Instinktiv möchte man als Web-Worker bei den Stichworten DSGVO und ePrivacy nur aufstöhnen – schon wieder die nächste Anpassung am Cookie-Banner fällig. Aber man kann und sollte die geänderte Gesetzgebung auch als Chance betrachten, den eigenen Ansatz bezüglich Datenerfassung und Datenschutz zu überdenken. Fakt ist: Nicht alle Websites benötigen ausführliche Besucherstatistiken. Features wie Remarketing, Conversion Tracking und sonstige personenbezogene Analytics-Metriken mögen für ein E-Commerce Business unentbehrlich sein, aber eine Vereinswebsite kann häufig auch gut darauf verzichten. Viele Websiteinhaber möchten eigentlich nur einen groben Überblick darüber haben, wie viele Besucher sie täglich haben und welche Seiten am Beliebtesten sind. Dafür braucht es Google Analytics nicht. Hier reicht häufig schon die gewöhnliche Besucherstatistik, die viele Hoster automatisch erstellen (z.B. der Webalizer bei Hosteurope). Auch können diese Statistiken ohne personenbezogene Daten erfasst werden - siehe Ansatz 4.
Ansatz 2: Tracking wie gehabt mit Opt-In
Spätestens seit dem EuGH-Urteil im Oktober 2019 steht fest, dass die bisherigen Opt-Out1 Lösungen für Google Analytics nicht mehr ausreichen. Gefordert wird jetzt ein aktives Opt-In2. Das heißt in der Praxis: Anzeige eines Banners beim ersten Seitenaufruf, inklusive Auflistung aller Cookie-Kategorien und (nicht voreingestellten!) Checkboxen, mit denen der Besucher dem Tracking zustimmen kann. Technisch gesehen ist das kein Problem, aber unter dem Strich zeigt sich: Daraus ergeben sich keine brauchbaren Daten. Viele Nutzer ignorieren die Banner komplett, oder klicken automatisch auf Ablehnen - kein Wunder, werden wir doch in den Nachrichten regelmäßig mit Datenschutzskandalen bombardiert.
Trotzdem ist diese aktive Zustimmung (Opt-In) gesetzlich erforderlich, wenn personenbezogene Daten gesammelt werden, oder Benutzer für Conversion Tracking und Remarketing identifizierbar sein sollen. Häufig ist das aber nicht der Fall. Daraus ergibt sich eine weitere Chance.
Ansatz 3: Tracking ohne Cookies und personenbezogene Daten
Die Diskussion um Datenschutz und Tracking hat sich zunehmend um das Schlagwort "Cookies" zusammengezogen - obwohl diese nur tangential mit Datenschutz zusammenhängen. Problematisch sind schließlich nicht die Cookies selbst, sondern dass diese eine Identifizierung und Wiedererkennung des Nutzers über einzelne Seitenbesuche und Browser-Sessions hinaus ermöglichen. Doch dies ist keineswegs unumgänglich: Je nach eingesetztem Tool können Eckdaten des Seitenaufrufs (welche Seite wurde besucht, wie viele Seiten hat der Nutzer nacheinander aufgerufen) auch erfasst werden, ohne Cookies zu setzen. Leider gibt es diese Möglichkeit für Google Analytics nicht mehr. Eine gute Alternative bietet aber Matomo (ehem. Piwik). Die Matomo-Software kann selbst gehostet werden, wodurch kein externer Datenverarbeiter auf Besucherdaten zugreifen kann und somit der Datenverarbeitungsvertrag und eine Quelle von Unsicherheit wegfallen. Zusätzlich kann Matomo so konfiguriert werden, dass es keine Cookies setzt, IP-Adressen anonymisiert und keine personenbezogenen Daten dauerhaft gespeichert werden.
Einen Vorbehalt gibt es bei dieser Umsetzung: Wenn Cookies mit Matomo deaktiviert werden, erfasst der JavaScript-Tracker einige Eckdaten des Browser, um mehrere Seitenaufrufe einer einzelnen Session zuordnen zu können. Trotzdem bietet ein entsprechend konfiguriertes Matomo-Tracking mehr Datenschutz als mit Google Analytics möglich ist:
- Die Datenhoheit verbleibt auf dem eigenen Server - nicht bei Google.
- In der Datenbank werden keine persönlichen Daten dauerhaft gespeichert: IP-Adressen werden maskiert, statt Fingerprints werden nur anonyme IDs gespeichert, sodass aus diesen Daten niemals Rückschlüsse auf einzelne Besucher möglich sind.
- Wenn Besucherstatistiken erfasst werden, ohne personenbezogene Daten zu speichern oder Besucher identifizierbar zu machen, werden hiermit unserer Auffassung nach nur sogenannte berechtigte Interessen verfolgt, was in Einklang mit der DSGVO steht.
Wir glauben an diese Variante - so sehr, dass wir sie bereits auf schwarzdesign.de umgesetzt haben! Da wir keine persönlichen Daten erfassen und keine Cookies setzen, verzichten wir auch auf ein Cookie Banner mit Opt-In – womit wir sowohl uns als auch unseren Besuchern einen Gefallen tun.
Achtung: Das TTDSG erfordert für das Auslesen von Browser-Daten zu Zwecken der Indentifizierung von Besuchern ebenfalls aktive Zustimmung. Damit soll perfiden Fingerprinting-Tools3 Einhalt geboten werden. Allerdings nutzt Matomo nur eine stark eingeschränkte Variante dieser Technik und erfasst nur sehr allgemeine Informationen (wie die Bildschirmgröße). Ob das TTDSG schon darauf anwendbar ist, ist noch ungeklärt. Hier sind Präzedenzfälle abzuwarten. In diesem Fall wäre selbst für den Cookie-freien Einsatz von Matomo ein Opt-In erforderlich.
Ansatz 4: Serverseitige Statistik-Tools
Eine weitere Möglichkeit, die nach Inkrafttreten des TTDSG besonders interessant ist. Hierbei verzichtet man komplett auf Browser-basiertes Tracking per JavaScript und erstellt anonymisierte Besucherstatistiken stattdessen serverseitig (z.B. mit PHP oder Serverlogs). Dies schränkt die auswertbaren Daten insofern ein, dass keine Besucheridentifizierung über einzelne Besuche und Geräte hinaus möglich ist, da die Zuordnung allein auf Basis der Session und der IP-Adresse erfolgen kann. Server-Logs entstehen als Nebenprodukt des Seitenaufrufs und der Website-Inhaber hat daran ein berechtigtes Interesse. Damit fällt es unter Ausnahme-Regelungen sowohl der DSGVO als auch des TTDSG – somit ist dieser Ansatz rechtlich einwandfrei.
Mit serverseitigen Statistik-Tools können einige Metriken wie z.B. die Zahl der Returning Visitors nicht erfasst werden. Gezieltes Event- und Conversion-Tracking und Remarketing sind nur eingeschränkt oder gar nicht möglich. Für gezieltes Web-Marketing dürfte diese Methode also nicht ausreichen, aber für simple Besucherstatistiken ist sie eine gute Alternative.
Leider gibt es hier nur wenige gute Tools, die die Daten anonymisiert sammeln und benutzerfreundlich aufbereiten. Zudem sind die existierenden Tools häufig Plattform-spezifisch (z.B. das Plugin WP Statistics für WordPress) und somit nicht einheitlich und CMS-unabhängig einsetzbar. Unserer Meinung nach gibt es hier eine Marktlücke - auf die sich mit Sicherheit das ein oder andere Startup kaprizieren könnte.
Begriffsklärung
(1) Opt-Out: Alle Besucher werden beim Besuch der Seite sofort getrackt. Über eine Option in der Datenschutzerklärung oder ein Browser-Plugin kann das Tracking deaktiviert werden. Google Analytics wurde traditionell so eingesetzt - vor Zeiten der DSGVO.
(2) Opt-In: Beim Besuch der Seite wird ein Banner angezeigt, mit dem um Zustimmung für das Tracking und das Setzen von Cookies gebeten wird. Dies ist für das Setzen von Statistik- und Marketing-Cookies gesetzlich erforderlich.
(3) Device Fingerprinting: Eine Methode, mit der Eckdaten wie der eingesetzte Browser, die Bildschirmauflösung, installierte Plugins et c. zu einem pseudonymen "Fingerabdruck" zusammengesetzt werden.
Fazit
Aus juristischer und technischer Sicht ist das alles wahnsinnig kompliziert und zum Teil auch sehr aufwändig. Eine Entscheidungsfindung muss aber nicht schwer sein. Denn als Websitebetreiber muss man sich im Prinzip nur zwei Fragen beantworten:
- Wie genau muss ich über die Nutzung meiner Website Bescheid wissen?
- Welche Rolle spielt modernes Online-Marketing für mein Geschäftsmodell?
Muss ich nur grob Bescheid wissen, wird das klassische Tracking einfach deaktiviert, der nervige Cookie-Hinweis weggelassen und man verläßt sich auf die Statistik der rudimentären Server-Tools (Ansatz 1). Ein - wie wir finden - charmanter und auch überaus kostengünstiger Ansatz. Je nach Plattform ist auch der Einsatz von in das CMS-integrierten Analyse-Tools denkbar, die diese Statistiken häufig besser aufbereiten und zugänglicher darstellen (Ansatz 4).
Bedarf das Geschäftsmodell aktiven Online-Marketings, kommt man dagegen ohne professionelle Webstatistik-Tools und ein entsprechend komplexes Consent-Tool nicht aus (Ansatz 2). Bitter ist hier, dass sich wohl nur noch ein Teil der Besucher entsprechend erfassen lassen werden.
Für viele Websitebetreiber dürften die Cookie-freie, anonymisierte Datenerfassung mit Matomo interessant sein (Ansatz 3). Hier erhält man durchaus belastbare allgemeine Nutzungsdaten ohne die Nutzer und potentiellen Kunden mit komplexen Bannern zu verschrecken. Allerdings ist die Rechtslage in diesem Fall nicht ganz eindeutig.
In jedem Fall sollte vor einer Entscheidung für die eine oder andere Tracking-Methode die Absprache mit dem Datenschutzbeauftragten stehen. Dies erübrigt sich nur, wenn von vornherein auf Tracking verzichtet wird.
Fragen? Sprechen Sie uns an!