Cookieless Tracking - Website Analytics ohne Einwilligung

null

Die Nutzung von Cookies zur Erfassung und Analyse des Nutzer:innenverhaltens auf Websites ist heutzutage weit verbreitet. Allerdings werden Cookies nicht mehr so akzeptiert wie früher, da viele Nutzer:innen Bedenken hinsichtlich des Datenschutzes haben. Die DSGVO hat die Regeln für den Einsatz von Cookies verschärft und verlangt nun die ausdrückliche Einwilligung der Nutzer:innen. In diesem Blogbeitrag möchten wir Ihnen eine alternative Methode vorstellen: das Cookieless Tracking. Erfahren Sie, wie Sie Website Analytics betreiben können, ohne die Zustimmung der User einholen zu müssen.

Was sind Cookies?

In der Regel werden Internetnutzer:innen verfolgt, indem ihnen virtuelle Etiketten angeheftet werden. Beim Besuch einer Website wird eine kleine Textdatei mit einer Kennung (auch als Cookie bezeichnet) auf ihrem Gerät gespeichert. Dadurch kann der User während des Besuchs, bei späterer Rückkehr zur Website oder sogar auf anderen Seiten identifiziert werden, solange der Cookie nicht gelöscht wird.

Cookies werden genutzt, um Aktivitäten der Nutzer:innen nachzuverfolgen und aufzuzeichnen. Mittlerweile sind Internetuser aufmerksamer im Hinblick auf Cookies und haben sich dafür entschieden, diese zu blockieren bzw. ihre Internetbrowser zu konfigurieren, um keine Cookies mehr zulassen. Die DSGVO hat dazu geführt, dass Nutzer:innen Ihre Einwilligung für das Cookie-basierte Tracking erteilen müssen. Dies erschwert Unternehmen die Aktivitäten ihrer Nutzer:innen zu verfolgen, sofern Cookies abgelehnt werden.

Zu welchen Analysezwecke findet das Tracking statt?

Es geht darum folgende Fragen zu beantworten:

  • Wie viele Besucher haben meine Seite besucht?
  • Woher stammen diese?
  • Wie sind sie auf meine Seite gelangt?
  • Wie bewegen sie sich auf meiner Seite?

Für Unternehmen, die viel Geld in Online-Werbekampagnen investieren, ist außerdem wichtig zu erfahren, ob ihre Google Ads-Kampagnen funktionieren. Durch Conversion-Tracking kann analysiert werden, welche Suchbegriffe und Werbeanzeigen dazu geführt haben, dass Nutzer:innen ein Kontaktformular ausfüllen oder einen Artikel im Online-Shop bestellen.

Was ist Cookieless Tracking?

Cookieless Tracking bezieht sich auf die Erfassung und Analyse von Daten über das Nutzer:innenverhalten auf Websites, ohne dabei auf Cookies zurückzugreifen. Im herkömmlichen Ansatz werden Cookies im Browser des/der Nutzers/Nutzerin gespeichert und dienen als Identifikationsmerkmal, um ihr/sein Verhalten auf verschiedenen Websites zu verfolgen. Beim Cookieless Tracking werden jedoch andere Techniken verwendet, um ähnliche Informationen zu sammeln, ohne dass ein Cookie im Browser gespeichert werden muss.

Seit dem "Planet 49"-Urteil des EuGH von 2019 und dürfen gängige Tracking-Methoden nur noch verwendet werden, nachdem die Besucher:innen zuvor ihre Zustimmung gegeben haben. Normalerweise werden solche Zustimmungen über den Cookie-Consent in einem Banner abgefragt.

Cookie-Consent-Banner sind nicht nur oft ziemlich nervig, sondern entsprechen häufig nicht den gesetzlichen Anforderungen an eine wirksame Zustimmung. Darüber hinaus gibt es noch eine weitere entscheidende Schwäche: Eine Website-Analyse, die auf Zustimmung basiert, darf nur Daten von Personen umfassen, die tatsächlich zugestimmt haben. Besucher*innen lehnen allerdings oft ihre Zustimmung ab, insbesondere bei rechtlich konformen Cookie-Consents, die das Ablehnen optionaler Cookies mit nur einem Klick ermöglichen. Dadurch gehen ihre Daten für die Analyse verloren.

Es gibt also genügend Gründe für eine Lösung zur Website-Analyse, die ohne Zustimmung eingesetzt werden darf.

Welche Methoden des Cookieless Tracking gibt es?

Traditionell werden Internetnutzer:innen verfolgt, indem ihnen ein virtuelles Etikett angehängt wird. Der/Die User:in gelangt auf eine Website, es wird eine winzige Textdatei mit einer ID auf seinem Gerät abgelegt (=Cookie) und er kann während seines Besuchs, bei einer Rückkehr zur Seite oder auf anderen Seiten stets wiedererkannt werden, solange der Cookie nicht gelöscht wird.

Ähnliches funktioniert auch ohne das Ablegen von Cookies, indem ein:e Website-Betreiber:in mithilfe von JavaScript verschiedene Informationen vom Gerät des Benutzers ausliest. Diese Informationen.

Fingerprinting

Es ist möglich, Tracking ohne Cookies durchzuführen. Dabei liest der:die Website-Betreiber:in mittels JavaScript verschiedene Informationen von dem Gerät des Users aus. Diese Informationen können so detailliert sein, dass sie einen eindeutigen "Fingerabdruck" erzeugen. Auf diese Weise kann ein:e Nutzer:in über verschiedene Websites hinweg verfolgt und sein Verhalten analysiert werden. Es spielt rechtlich allerdings keine Rolle, ob Nutzer:innen mit Hilfe von Cookies oder Fingerprints verfolgt werden. Für beide Varianten ist eine Einwilligung einzuholen.

Cookieless Tracking ohne Zugriff auf das Endgerät

Es ist auch möglich, Cookieless Tracking ohne Fingerprinting und ohne Zugriff auf Daten auf dem Endgerät des Users durchzuführen. Es muss jedoch die Datenschutzgrundverordnung (DSGVO) weiterhin beachtet werden.

Dabei gibt es einige technische Ansätze:

Tracking durch Login: Eine Möglichkeit besteht darin, die Nutzer:innenaktivitäten über einen Login zu verfolgen und auszuwerten. Die gesammelten Tracking-Daten könnten sogar mit den Daten in der CRM-Datenbank verknüpft werden, um Online- und Offline-Daten zu verbinden. Eine solch umfangreiche Datenerfassung auf individueller Ebene könnte jedoch nicht allein auf berechtigtem Interesse basieren, sondern wäre nur mit Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO zulässig. Eine transparente Offenlegung der Verknüpfung mit der CRM-Datenbank ist ebenfalls erforderlich.

Tracking über URL-Erweiterungen: Das Conversion-Tracking ist für Unternehmen von großer Bedeutung, um den Erfolg ihrer bezahlten Werbeanzeigen zu messen. Eine Möglichkeit, dies zu tun, besteht darin, eine ID in der URL mitzuführen, die den Klick auf die Anzeige kennzeichnet. Dadurch kann beispielsweise der Umsatz im Online-Shop ermittelt werden, der durch den Klick auf eine Google AdWords-Anzeige generiert wurde. Die Auswertung kann vollständig anonym erfolgen und wäre datenschutzrechtlich unbedenklich, solange keine Zuordnung zu dem/der Käufer:in stattfindet.

Tracking anhand von mitgelieferten Nutzer:innendaten: Es ist auch technisch möglich, das Tracking ohne Cookies durch Erfassung von Daten, die vom Gerät des Users beim Aufruf der Seite übermittelt werden, durchzuführen. Dazu gehören, IP-Adresse, Referrer, User-Agent.

Verschiedene Varianten dieses technischen Ansatzes werden beispielsweise von Matomo angeboten.

Je nachdem, ob personenbezogene Daten erfasst werden, fällt es in den Anwendungsbereich der DSGVO oder nicht:

Ohne Einwilligung erlaubt, da kein Personenbezug vorliegt: Wenn ein:e Nutzer:in lediglich über einfache Parameter wie Referrer und Informationen aus dem User-Agent "verfolgt" wird, ist keine Identifizierung der Person möglich und es besteht kein Personenbezug. Die Aktivitäten eines Users oder auf einer Website können zuverlässig und anonym ausgewertet werden, ohne dass eine Einwilligung erforderlich ist. Es wäre sogar möglich, wiederkehrende Nutzer:innen zu erkennen, wenn die Daten aus dem User-Agent für einen längeren Zeitraum gespeichert werden.

Erst wenn die IP-Adresse einbezogen wird, entsteht wieder ein Personenbezug. Zudem steigt die Wahrscheinlichkeit einer Identifizierung einer Person mit dem Detailgrad der erfassten Daten.

Ohne Einwilligung erlaubt, basierend auf überwiegendem Interesse: Wenn die erfassten Daten einen Personenbezug haben, ermöglicht die DSGVO die Verarbeitung aufgrund eines überwiegenden Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Solange der Detailgrad der erfassten Daten überschaubar bleibt und keine Zusammenführung von Daten durch Dritte erfolgt (wie bei Google Analytics), könnte hier ein gewisser Argumentationsspielraum bestehen. Andernfalls bleibt nur noch die Einwilligung als Rechtsgrundlage übrig.

Was sind die Vorteile des Cookieless Tracking?

Da einige Nutzer:innen Cookies ablehnen oder regelmäßig löschen, kann das Cookieless Tracking zu genaueren und umfassenderen Daten führen. Die Analyse von Geräteattributen und IP-Adressen kann zuverlässigere Informationen liefern, um das Nutzer:innenverhalten zu verstehen.

Cookieless Tracking speichert keine Cookies im Browser der User und umgeht dadurch die Anforderungen der Einwilligung gemäß der DSGVO. Das bedeutet, dass User keine explizite Zustimmung zur Verfolgung ihres Verhaltens auf der Website geben müssen.

Darüber hinaus steht die Verwendung von Cookies immer mehr in der Kritik, und es ist absehbar, dass zukünftige Datenschutzvorschriften den Einsatz von Cookies weiter einschränken könnten. Durch die Implementierung von Cookieless Tracking sind.

Welche Cookieless Tracking Tools gibt es?

Nach wie vor arbeiten viele Unternehmen mit Google Analytics. Dadurch erscheint der Eindruck, dass Google Analytics ein sicheres Tool sei. Im Januar 2022 hat die österreichische Datenschutzbehörde die Verwendung von Google Analytics als nicht DSGVO-konform definiert. Wenn Sie Wert auf eine datenschutzkonforme Lösung legen, sollten Sie eine Cookieless Tracking Alternative zu Google Analytics verwenden.

Es gibt bereits verschiedene alternative Lösungen zu Google Analytics, die ihre Serverstandorte in Europa haben und somit das Problem der Datenübertragung an die USA umgehen. Als eines der besten Cookieless Tracking Tools auf dem Markt erweist sich Matomo.

Bei Matomo handelt es sich um eine Open-Source-Plattform, was bedeutet, dass der Quellcode frei verfügbar ist und Unternehmen die volle Kontrolle über ihre Daten haben. Dies ist ein großer Vorteil, insbesondere in Zeiten, in denen Datenschutz und Datensicherheit immer wichtiger werden. Matomo ermöglicht es Unternehmen, ihre Daten auf eigenen Servern zu hosten, was die Abhängigkeit von Drittanbietern reduziert und das Risiko von Datenlecks minimiert.

Darüber hinaus bietet Matomo umfassende Funktionen für das Cookieless Tracking. Es ermöglicht das serverseitige Tracking von Nutzer:innenverhalten, sodass keine Cookies mehr benötigt werden. Durch die Analyse von serverseitigen Events und Daten kann Matomo präzise und aussagekräftige Informationen über das Verhalten der Nutzer:innen liefern. Dieser Ansatz gewährleistet nicht nur eine hohe Genauigkeit, sondern auch die Einhaltung der Datenschutzvorschriften.

Bei Matomo werden keine Cookies gesetzt, IP-Adressen werden anonymisiert und darüber hinaus wird auf Unique ID oder Customer IDs in URLs verzichtet. Außerdem ist ein Verzicht auf das Cross Domain Tracking notwendig. Jedoch sollte Matomo in der Privacy Policy erwähnt werden sowie die Option zum Opt-Out bei Matomo sollte gegeben werden, damit Nutzer:innen die Möglichkeit haben, dieser zu widersprechen.

Da bei Glasskube Datenschutzkonformität im Fokus steht, setzen auch wir auf Matomo. Aus diesem Grund haben wir einen Kubernetes Operator für Matomo entwickelt. Sie möchten mehr darüber erfahren? Nehmen Sie gleich Kontakt mit uns auf!

Support Glasskube
By leaving us a Star on GitHub
Star us
Glasskube Newsletter

Sign-Up to get the latest product updates and release notes!

Unsere Lösungen für zuverlässige und skalierbare Infrastruktur

Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.

Testen Sie Glasskube kostenlos

Ihre Cloud Native Experten für zuverlässige IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.