Cookieless-Tracking für Onlineshops: Was ist noch erlaubt – und funktioniert trotzdem?
Wir fassen die aktuelle Rechtslage zum Thema Tracking von Websites und Onlineshops zusammen und beantworten die wichtigsten Fragen dazu: Wie funktioniert rechtssicheres Tracking mit Cookies in der Praxis? Ist Google Analytics 4 die Lösung? Tracking ohne Cookies, ohne Banner: Geht das überhaupt – und wenn ja, wie und womit?
Dank Cookie-Bannern und immer komplexeren Cookie-Consent-Modals kann vom „Surfen“ im Internet schon lange keine Rede mehr sein. So richtig mag sich allerdings niemand an das ständige Stop-and-go gewöhnen. Das Datenschutzrecht schreibt diese Hürden zwingend vor, sobald nicht unbedingt notwendige Cookies eingesetzt werden – zum Beispiel für Web-Analytics. Die Rechtslage zu Cookies ist inzwischen ziemlich eindeutig und die meisten Tracking-Methoden sind damit schlichtweg nicht mehr vereinbar, sobald auf die ausdrückliche Einwilligung der Nutzer verzichtet wird. Gibt es überhaupt noch Mittel und Wege, um rechtssicher die Nutzung von Websites und Onlineshops auszuwerten? Ganz ohne Cookies, Opt-in-Pflicht – und damit potenziell auch ohne Cookie-Banner?
Inhaltsverzeichnis
Cookie-Consent-Pflicht führt zu Erosion der Datenbasis
Immer wieder wird darüber nachgedacht, wie sich die Vorgaben der DSGVO und des TTDSG „umgehen lassen“ (in dieser Formulierung erstaunlicher Weise auch in den FAQ zu Cookies und Tracking des Datenschutzbeauftragten für Baden-Württemberg). Dabei sollte die Frage doch viel eher so gestellt werden: Wie ist es möglich, im Einklang mit aktueller Gesetzgebung und Rechtsprechung aussagekräftige Nutzerdaten zu erheben und auszuwerten? Aus Sicht der Betreiber von Websites und Onlineshops ist das Wort „aussagekräftig“ hier entscheidend. Denn wer mit Cookies trackt und dabei sowohl technisch als auch rechtlich alles richtig macht, holt von allen Besuchern qualifizierte Consent-Entscheidungen ein – und wird am Ende nur einen Bruchteil des Traffics auswerten können. Immerhin stimmen die Wenigsten der Datenauswertung ausdrücklich zu.
Erfahrungsgemäß lassen ungefähr ein Drittel oder ein Viertel der Besucher das Tracking mit Cookies zu, während alle anderen es ablehnen. Auf dieser Grundlage lassen sich aber keine belastbaren Analyseergebnisse erzielen. Wie repräsentativ ist der Ausschnitt an auswertbaren Nutzerdaten im Verhältnis zur Gesamtheit der Nutzer? Diese simple Frage lässt sich unmöglich beantworten.
Aber welche rechtssicheren Alternativen gibt es noch zum Tracking mit Cookies? Um diese schon weniger simple Frage beantworten zu können, werfen wir zunächst einen kurzen Blick auf die komplexe Rechtslage.
Die Rechtslage zu Tracking und Cookies im Überblick
Wenn es um den Datenschutz in Bezug auf Websites und Onlineshops geht, sind vor allem drei wegweisende Marksteine in der jüngeren Geschichte des Datenschutzrechts zentral: Die Datenschutzgrundverordnung (DSGVO) der Europäischen Union von 2018, das Schrems-II-Urteil des Europäischen Gerichtshofs von 2020 und das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)“, mit dem in Deutschland 2021 die ePrivacy-Richtline der EU umgesetzt worden ist. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat in ihrer zuletzt Ende 2021 herausgegebenen Orientierungshilfe für Anbieter von „Telemedien“, wozu auch Online-Angebote zählen, auf 32 Seiten die Rechtslage zusammengefasst. Wer es wirklich genau wissen will, sollte mit dieser Lektüre in die Thematik einsteigen, um dann einzelne Aspekte durch das Studium der Gesetzestexte, Urteilssprüche und Kommentare zu vertiefen.
Wir fassen an dieser Stelle nur ganz grob zusammen, was wo steht. Beziehungsweise: Wir geben ein paar Hinweise darauf, wie sich auseinanderhalten lässt, worum es an welcher Stelle eigentlich geht und was das für die Praxis bedeutet. DSGVO, Schrems-II und TTDSG sind immer dann alle drei relevant, wenn jemand im Internet surft, wenn also ein Mensch an einem Endgerät per Browser eine Verbindung zu einem System, das Daten verarbeitet, herstellt. Dabei nehmen die unterschiedlichen Gesetze und das Urteil aber ganz unterschiedliche Aspekte dieses „Tatbestands“ in den Blick.
DSGVO: Personenbezug von Daten
In der Datenschutzgrundverordnung (DSGVO) der EU, die am 25. Mai 2018 rechtlich bindend in Kraft getreten ist, geht es um den Schutz personenbezogener Daten. Hier steht also gewissermaßen der Mensch, die Person im Mittelpunkt. Inhaltlich orientiert sich die DSGVO an fünf leitenden Grundprinzipien, die den einzelnen Regelungen zugrunde liegen: „Verbot mit Erlaubnisvorbehalt“, „Datensparsamkeit“, „Zweckbindung“, „Datensicherheit“ und „Transparenz“. Das heißt: Zunächst ist im Umgang mit personenbezogenen Daten alles verboten, was nicht ausdrücklich erlaubt worden ist, es dürfen nur die zu bestimmten Zwecken notwendigen Daten erhoben werden, die Daten müssen sicher aufbewahrt werden und Nutzer müssen transparent darüber informiert werden, welche Daten gespeichert und weiterverarbeitet werden. Da bereits IP-Adressen in Verbindung mit Zeitstempeln als personenbezogene Daten gewertet werden, ergeben sich daraus nicht zuletzt für das Tracking von Websites und Onlineshops weitreichende Konsequenzen.
Konsequenzen aus der DSGVO für das Tracking im Onlineshop
Vor dem Hintergrund der DSGVO sind die Hürden für das Tracking anhand von personenbezogenen Nutzerdaten enorm hoch. Gerade der Grundsatz des „Erlaubnisvorbehalts“ wirkt sich hier massiv aus: Wer beim Tracking auf ein gewisses Maß an personenbezogenen Daten nicht verzichten kann oder will, muss darüber nicht nur transparent informieren, sondern auch die ausdrückliche Einwilligung der Nutzer einholen.
Schrems-II: Weiterverarbeitung von Daten
Im sogenannten „Schrems-II-Urteil“ des EuGH geht es um den Speicherort der Daten, die bei der Interaktion von Nutzern mit Web-Angeboten wie Shops oder Websites erhoben werden. Am 16. Juli 2020 gab das oberste rechtsprechende Organ der EU dem Kläger Max Schrems Recht und erklärte den Privacy Shield zwischen EU und USA für unzulässig. Seither gilt: Die Speicherung personenbezogener Daten von EU-Bürgern auf Systemen in den USA verstößt potenziell gegen die DSGVO, da dort kein vergleichbares Datenschutzniveau gewährleistet werden kann.
Bis heute ist umstritten, ob und in welcher Weise damit überhaupt noch sensible Daten an US-Unternehmen übertragen werden dürfen und wo genau deren Server stehen müssen. Es kann aber auch gut sein, dass das nächste höchstinstanzliche Urteil den Interpretationsspielraum hier noch einmal schrumpfen lässt. Sicher ist derweil: Der Vertrag zur Auftragsverarbeitung mit Dienstleistern mit Sitz in den datenschutzrechtlich unsicheren USA muss juristisch wasserfest formuliert sein. Weder die Verwendung sogenannter Standardvertragsklauseln (Standard Contractual Clauses, SCC) noch der Rückgriff auf verbindliche interne Datenschutzvorschriften („binding corporate rules“, BCR) in einem AV-Vertrag reicht aus, um Rechtssicherheit herzustellen.
Konsequenzen aus dem Schrems-II-Urteil für das Tracking im Onlineshop
Nach Möglichkeit sollten im Zusammenhang mit der Web-Analyse eines Onlineshops keinerlei personenbezogene Daten in die USA oder auf Systeme von Unternehmen, die dort ihren Sitz haben, übertragen werden. Wer im Rahmen des Trackings weiterhin personenbezogene Daten erhebt, sollte das demnach ausschließlich mithilfe von Dienstleistern innerhalb der EU tun oder gleich auf eine selbst gehostete Lösung bauen. Das bedeutet nicht zuletzt: Die Standardlösung von Google Analytics, mit der Daten in den USA gespeichert werden, ist keine mit Schrems-II vereinbare Option.
TTDSG: Zugriff auf Daten auf Endgeräten
Das zum 1. Dezember 2021 in Kraft getretene TTDSG legt den Schwerpunkt auf das Endgerät des Nutzers, also Rechner, Smartphone, Tablet, smarter Kühlschrank und dergleichen mehr. Entscheidend im Hinblick auf Tracking und Cookies ist dabei § 25, in dem es um den „Schutz der Privatsphäre bei Endeinrichtungen“ geht. Im Klartext: Immer dann, wenn ein Onlinedienst lesend oder schreibend auf das Gerät des Nutzers zugreift, muss dafür vorab dessen Erlaubnis eingeholt worden sein. Dabei muss es allerdings gar nicht um personenbezogene Daten gehen. Es reicht auch ein zufällig erzeugter Hash, der in Form eines Cookies auf dem Gerät abgelegt wird. Entscheidend ist der Zugriff auf das Endgerät – sogar wenn ausschließlich Informationen ausgelesen werden.
Wenn jedoch Cookies eingesetzt werden, bedarf es dafür einer echten und informierten Einwilligung des jeweiligen Nutzers. Von dieser allgemeinen Verpflichtung ausgenommen sind lediglich Cookies, die für das Bereitstellen eines von den Nutzern auch ausdrücklich gewünschten Dienstes technisch zwingend notwendig sind. Sprich: Wenn der Warenkorb in einem Onlineshop über einen Session-Cookie funktioniert, dann darf der auch stillschweigend gesetzt werden. (Immerhin ist davon auszugehen, dass Nutzer einen Shop besuchen, weil sie dort einkaufen möchten.) Wenn Cookies für die Auswertung des Nutzerverhaltens benötigt werden, sieht die Angelegenheit dagegen schon ganz anders aus.
Konsequenzen aus dem TTDSG für das Tracking im Onlineshop
Jede Form von Tracking mithilfe von Cookies – oder damit vergleichbaren Technologien zur Sammlung von Informationen – stellt einen Verstoß gegen das TTDSG dar, sofern die ausdrückliche Einwilligung der Nutzer dafür nicht eingeholt worden ist. Das gilt auch für Technologien, die auf das Schreiben von Daten auf dem Endgerät ganz verzichten und dort lediglich Informationen auslesen.
Zusammenfassung: Verbote für das Tracking im Licht von DSGVO, Schrems-II und TTDSG
Die aktuelle Rechtslage für das Tracking von Nutzern in Onlineshops mit Sitz in Deutschland ist demnach von drei Grundsätzen geprägt:
- Wer beim Tracking auf personenbezogene Daten zurückgreift, muss dafür vorab die ausdrückliche Einwilligung der Nutzer einholen.
- Wer im Rahmen des Trackings personenbezogene Daten erhebt, sollte möglichst auf Dienstleister innerhalb der EU oder gleich auf eine selbst gehostete Lösung setzen.
- Jede Form von Tracking, bei der Lese- oder Schreibzugriff auf die Endgeräte der Nutzer eine Rolle spielt, bedarf des Einholens der ausdrücklichen Einwilligung.
Und was folgt daraus? Cookie-Banner überall. Und wer jetzt noch Tracking-Cookies einsetzen möchte, steht vor einem großen Problem: Rechtssicheres Tracking mit einer breiten und belastbaren Datenbasis scheint kaum mehr möglich.
Tracking mit Cookies in der Praxis
Wenn das Consent-Management für das Tracking mit Cookies lückenlos und rechtskonform gewährleistet wird und wenn dabei das Ablehnen nicht umständlicher ist als das Annehmen der nicht notwendigen Cookies und wenn außerdem durch Anordnung, Größe und Gestaltung der Buttons nicht getrickst wird, wird am Ende nur eine kleine Minderheit dem Tracking zustimmen. Aber alles andere ist datenschutzrechtlich nicht zulässig, wie die jüngere Rechtsprechung und die Empfehlungen von Datenschutzbehörden deutlich machen.
Hinzu kommt, dass populäre Browser bereits out of the box zunehmend rigide mit Cookies umspringen Technologien wie ITP (Intelligent Tracking Prevention in Safari) und ETP (Enhanced Tracking Protection in Firefox) sind seit Jahren im Einsatz und erschweren das Tracking durch das Unterbinden von Third-Party-Cookies und seitenübergreifendem Tracking sowie durch das eigenständige Verringern der Gültigkeitsdauer von Cookies noch einmal zusätzlich. Der aktuelle Stand der Entwicklung lässt sich über die Info-Website cookiestatus.com verfolgen. Auf der DMEXCO in Köln hat Google Manager Matt Brittin im September 2022 noch einmal bekräftigt, dass Google am Ende für Third-Party-Cookies im marktführenden Browser Chrome in der zweiten Jahreshälfte 2024 festhält und die Deadline nicht mehr verschieben wird.
Ist Google Analytics 4 die Lösung?
Bereits im Oktober 2020 hat Google mit seinem Tool Google Analytics 4 eigenen Verlautbarungen zufolge eine umfassende Lösung für eine Tracking-Methode, die auch ohne Cookies valide Daten erheben kann, bereitgestellt. (Nach dem Ende von Universal Analytics im Sommer 2023 wird ausschließlich dieses neue Tool angeboten.) Google Analytics 4 ersetzt Daten, die durch das nutzerseitige Ablehnen von Cookies fehlen, im Rückgriff auf maschinelles Lernen. Eine Zuordnung von Daten zu konkreten Nutzern, also ein Personenbezug, soll dabei ausgeschlossen werden, indem Verlaufsdaten und andere, in Form anonymer Berichte aggregierte Informationen ausgewertet werden.
Was in der Theorie schwierig aber gut klingt, sieht in der Praxis allerdings sehr ernüchternd aus: Auch Google Analytics 4 kommt bislang nicht grundsätzlich ohne Cookies aus, so dass auch mit dieser Lösung das Consent-Management per Cookie-Banner zwingend notwendig ist, um nicht gegen das TTDSG zu verstoßen. Ähnlich verhält es sich mit dem Personenbezug der erhobenen Daten, der – zumindest in pseudonymisierter Form – weiterhin besteht und vor dem Hintergrund der DSGVO auch bei bestehendem „berechtigtem Interesse“ eine Opt-out-Möglichkeit erforderlich macht. Und auch der im Licht des Schrems-II-Urteils in den Mittelpunkt gerückte Datentransfer auf Server des US-Unternehmens Google in der EU und dann (pseudonymisiert und verschlüsselt) auf Systeme in den USA bleibt ein Aspekt des Ganzen, der aus juristischer Sicht zumindest potenziell problematisch ist.
Positiv ist aus Händlersicht unterm Strich lediglich, dass die Datenbasis durch die in Google Analytics 4 eingesetzte KI breiter und belastbarer ist als in anderen Tracking-Lösungen, in denen aufgrund überwiegend verweigerter Opt-ins nur ein Bruchteil der Daten zur Verfügung stehen. Um so genau wie möglich abschätzen zu können, wie das Nutzerverhalten derjenigen Besucher ist, die dem Setzen von Cookies nicht zugestimmt haben, werden bereits erhobene Daten und sich abzeichnende Trends mithilfe von maschinellem Lernen analysiert. Die sogenannte Conversion-Modellierung steht Nutzern von Google Analytics 4 zur Verfügung, wenn sie den Einwilligungsmodus (Consent Mode) aktiviert haben. Das Verhalten der Gruppe derjenigen, die nicht eingewilligt haben, wird dann von einem selbstlernenden System modelliert und geht in Form von Schätzwerten, die im Lauf der Zeit immer genauer ausfallen sollen, in die Datenbasis ein.
Tracking ohne Cookies, ohne Banner: Geht das überhaupt?
Alternativen zu den auf Cookies basierenden Tracking-Ansätzen werden seit geraumer Zeit diskutiert. Aber während auch „Server-Side-Tagging“ nicht ohne Cookies auskommt, sondern lediglich deren Ursprung verschiebt, brütet Google noch immer über „Topics“, dem Nachfolger des mittlerweile aufgegebenen Ansatzes „FLoC“. Wie bereits betont, sind auch andere Methoden, die Informationen von Endgeräten (etwa zum Setup des Browsers der Nutzer) auslesen, um daraus Fingerprint-IDs zu erstellen nur dann mit dem TTDSG vereinbar, wenn Besucher per Banner informiert worden sind und dem Verfahren ausdrücklich zugestimmt haben. In ihrer „Orientierungshilfe“ stellt die DSK dazu fest:
Werden ausschließlich Informationen, wie Browser- oder Header-Informationen, verarbeitet, die zwangsläufig oder aufgrund von (Browser-)Einstellungen des Endgerätes beim Aufruf eines Telemediendienstes übermittelt werden, ist dies nicht als „Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“, zu werten. Beispiele dafür sind:
- die öffentliche IP-Adresse der Endeinrichtung,
- die Adresse der aufgerufenen Website (URL),
- der User-Agent-String mit Browser- und Betriebssystem-Version und
- die eingestellte Sprache
Demgegenüber ist es bereits als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.
Nur eine Tracking-Lösung, die vollständig auf das Lesen von und das Schreiben auf Endgeräten von Nutzern verzichtet, lässt sich rechtskonform ohne Consent betreiben. Wer keine anderen oder ausschließlich für den Betrieb des Onlineshops zwingend notwendige Cookies einsetzen würde, könnte damit also auf das Einholen von Einwilligungen per Cookie-Banner verzichten. In der Folge gäbe es dann auch keinen Datenverlust und keine Verzerrungen in der Analyse der Daten aufgrund von ausgebliebenen Opt-ins. Und zusätzlich bliebe eine solche Tracking-Methode auch weiterhin ohne Schwierigkeiten nutzbar, wenn die Browser-Hersteller künftig noch schärfere Beschränkungen für den Umgang mit Cookies einbauen. – Aber gibt es überhaupt eine Tracking-Lösung, deren Einsatz nicht gegen das TTDSG und darüber hinaus auch nicht gegen die im Schrems-II-Urteil formulierten Grundsätze oder die DSGVO verstößt?
Rechtssichere Tools mit aussagekräftiger Datenbasis
Ja, wir kennen sogar gleich zwei solche Lösungen, die wir ausdrücklich empfehlen: Die Tracking-Tools etracker und econda halten den mittlerweile enorm hohen datenschutzrechtlichen Anforderungen stand. Wer eins dieser beiden Tools einsetzt, verstößt damit tatsächlich weder durch Erhebung, Speicherung und Weiterverarbeitung personenbezogener Daten (DSGVO) noch durch Datenübertragung in einen Nicht-EU-Staat (Schrems-II) noch durch das Schreiben oder Lesen auf oder von den Endgeräten der Nutzer (TTDSG) gegen geltendes Recht.
econda
Nach der Integration von econda können Händler auf zahlreiche praktische Funktionen zur Analyse und Optimierung ihres Onlineshops zurückgreifen – und zwar vollständig ohne Tracking-Cookies. Das speziell für Onlineshops konzipierte Webanalyse-Tool wird von der econda GmbH in Deutschland angeboten und stellt neben klassischen Tools zur Erhebung und Auswertung von Daten auch Instrumente für die Realisierung komplexer Maßnahmen im Online-Marketing bereit. Mit dem sogenannten „Custom Domain Tracking“ lassen sich die erfassten Daten über die Kundendomain an econda leiten, womit viele AdBlocker umgangen werden können, während es keinen direkten Datenfluss zu econda und damit auch keine Aufzeichnung der Endkunden-IP durch econda gibt.
etracker
Mit der Lösung der etracker GmbH mit Sitz in Deutschland lassen sich Websites und Onlineshops tracken – cookieless und im Einklang mit allen hierzulande geltenden rechtlichen Bestimmungen. Die in unterschiedlichen Versionen erhältliche Web-Controlling-Suite zur Analyse wichtiger KPIs wie Besucher, Verweildauer und Traffic-Quellen ermöglicht umfangreiche Auswertungen – beispielsweise in Form von Heatmaps. Für die gezielte Optimierung von User Experience und Konversionen lässt sich mit etracker das Nutzerverhalten im Onlineshop hervorragend überwachen und zu wertvollen Erkenntnissen und Ansatzpunkten für die Verbesserung der Einkaufserlebnisse auswerten. Bei Bedarf lässt sich etracker auch als Inhouse-Web-Controlling einrichten.
Können wir Sie auf dem Weg zum cookiefreien Tracking unterstützen?
Ja, das Thema Tracking ohne Cookies ist wirklich komplex. Und nein, wir können keine rechtsverbindliche Beratung zu dieser Materie bieten. Aber wir helfen Ihnen gern bei der Auswahl der für Ihren Bedarf und zu Ihrem Onlineshop passenden Tracking-Lösung.