Liebe zum Design.

DSGVO- und E-Privacy-konformes Besucher-Tracking: Wie es funktionieren kann.

Dieser Artikel wurde am 21. Oktober 2019, 17.48 Uhr in der Kategorie » | « veröffentlicht.

Im Mai 2018 trat die DSGVO in Kraft. Das bereits lange schwelende Brandthema »Datenschutz im Web« ist damit jedoch keineswegs zu einem Abschluss gekommen. De facto erhielt es sogar noch weitere Glut. Ob sich das Szenario mit der weitestgehend noch ausstehenden E-Privacy-Verordnung zu einem wirtschaftlichen Flächenbrand unter den Websitebetreibern entwickelt, bleibt abzuwarten. Fest steht jedoch bereits jetzt, dass die durchaus berechtigten Interessen, die diesbezüglich im Widerspruch stehen, nur schwer angeglichen werden können.

So möchten Sie als Websitebetreiber vielleicht möglichst genau wissen, welche Anzahl an Besuchern sich auf welchen Ihrer Seiten aufhalten und wie viel Zeit jene dort verbringen. Zugleich verlangt der Gesetzgeber, den differenzierten rechtlichen Vorgaben gerecht zu werden. Nutzer wollen verständlicherweise ihre Privatsphäre gewahrt bzw. ihre Daten in Sicherheit wissen. Designer und Entwickler möchten wiederum ihre User nicht mit störenden Einwilligungs-Buttons und langen Gesetzestexten vergraulen. In diesem Beitrag haben wir für Sie verschiedene Optionen zusammengefasst, mit denen Sie diese Herausforderungen bewältigen können.

Bitte beachten: Wir besitzen keine spezifische juristische Ausbildung – diese Zusammenfassung ist keinesfalls als verbindliche Rechtsberatung zu sehen. Die hier beschriebenen Sachverhalte beruhen lediglich auf unseren Erfahrungen als Webagentur, die tagtäglich mit entsprechenden Zusammenhängen zu tun hat. Vor einer Umsetzung genannter Maßnahmen sollten Sie immer einen spezialisierten Rechtsbeistand zurate ziehen!

1. Option: Kein Tracking.

Webworker haben heute nicht selten das Bedürfnis laut aufzustöhnen, wenn die Stichworte »DSGVO« und »E-Privacy« fallen. Man sollte die geänderte Gesetzgebung jedoch nicht nur als Problem, sondern auch als Chance betrachten. So macht sie es erforderlich, den eigenen Ansatz in puncto Datenerfassung und Datenschutz gründlich zu überdenken, woraus sich durchaus Vorteile ergeben können. Faktisch sind ausführliche Besucherstatistiken nicht für alle Websites relevant. Selbstverständlich können viele E-Commerce-Lösungen nicht auf Remarketing, Conversion-Verfolgung und andere personenbezogene Analytics-Metriken verzichten - bei anderen Internetpräsenzen ist das jedoch durchaus der Fall.

Vielleicht möchten auch Sie nichts weiter, als einen groben Überblick erhalten, wie viele Besucher täglich auf Ihre Webinhalte zugreifen. Für solch simple Aufgaben gibt es tatsächlich sehr viel effizientere Optionen als Google Analytics. Die gewöhnliche Besucherstatistik, welche die meisten Hoster automatisch aufstellen (zum Beispiel der Webalizer bei ALL-INKL.COM) reicht hier in der Regel vollkommen aus. Dieses Tracking kann übrigens auch ganz ohne personenbezogene Daten erfolgen – vgl. Option 4.

2. Option: Tracking mit Opt-In.

Das EuGH-Urteil von Anfang Oktober hat gezeigt, dass die bisherigen Opt-Outs1 für Google Analytics fortan nicht mehr ausreichen. Vorausgesetzt ist nun ein sogenanntes aktives Opt-In2. Das bedeutet, dass die Anzeige eines entsprechenden Banners beim primären Seitenaufruf plus Auflistung sämtlicher Cookie-Kategorien mit Checkboxen, über die der Nutzer dem Tracking aktiv zustimmen kann, praktisch immer Pflicht ist.

Diese Checkboxen dürfen gemäß dem nun geltenden Privacy-by-Design-Ansatz, der (vereinfacht ausgedrückt) vorgibt, dass in jedem Bereich nur die wirklich notwendigsten Nutzerdaten abgefragt werden dürfen, nicht voreingestellt sein. Sie dürfen also nicht beispielsweise die Option zur Erhebung von Statistiken für Ihre Besucher vorauswählen und darauf hoffen, dass jene sie nicht abschalten, bevor Sie auf den Button zum Zustimmen klicken.

Auf technischer Ebene ist das kein Problem, unter dem Strich ergeben sich daraus allerdings keine brauchbaren Informationen. Viele User ignorieren die Banner einfach komplett oder sie klicken schnell auf nein - was bei den regelmäßigen Datenschutzskandalen kaum verwundert.

Faktisch kann sich jedoch leider kein Websitebetreiber dieses Opt-Ins entziehen, der rechtmäßig Conversion Tracking oder Remarketing betreiben möchte bzw. in anderem Kontext personenbezogene Daten für seine Geschäftstätigkeit benötigt. Wenn derartige datenbasierte Vorgänge für Ihre Internetpräsenz nicht relevant sind, haben Sie noch eine andere Möglichkeit.

3. Option: Tracking ohne personenbezogene Informationen und Cookies.

Das Schlagwort »Cookies« hat eine zunehmend zentrale Stellung innerhalb der Diskussion um Tracking und Datenschutz eingenommen. Das Problem mit den Cookies besteht in der Tatsache, dass sie die Identifizierung sowie nachträgliche Wiedererkennung eines Nutzers über den Besuch einzelner Seiten und Sessions hinweg ermöglichen. Cookies bieten dabei viele Vorteile für beide Seiten. Sie sind jedoch faktisch nicht unbedingt nötig.

Je nachdem, welches Tool zum Einsatz kommt, können Daten zur Identifizierung besuchter Seiten oder der Anzahl nacheinander aufgerufener Pages ebenfalls erfasst werden, ohne Cookies zu verwenden. Eine gute dementsprechende Anwendung ist Matomo. Das Tool können Sie selbst hosten. In diesem Fall benötigen Sie keinen externen Datenverarbeiter, der auf Nutzerinformationen zugreifen kann. Ein Unsicherheitsfaktor und nicht zuletzt ein zutreffender Datenverarbeitungsvertrag fallen damit weg. Tatsächlich sind die Matomo-Instanz und der damit verbundene JavaScript-Tracker so zu konfigurieren, dass keine Cookies gesetzt, IP-Adressen anonym übermittelt und keinerlei personenbezogene Daten dauerhaft abgespeichert werden.

Bei dieser Option müssen Sie jedoch unbedingt folgendes beachten: Wenn Sie Matomo ohne Cookies verwenden, nutzt der JavaScript-Tracker zur Zuordnung mehrerer Seitenaufrufe einer Session stattdessen Device Fingerprinting3. Das ist ebenfalls nicht ganz unproblematisch, dennoch bildet diese Verfahrensweise einen guten Kompromiss. Es ergeben sich folgende Vorteile für Sie:

Wir sind von dieser Option überzeugt – sogar so sehr, dass wir sie auch auf vivalajack.de anwenden! Hier erfassen wir keine persönlichen Daten und setzen keine Cookies, womit wir tatsächlich reinen Gewissens auf ein Opt-In Banner verzichten können. Damit tun wir vor allem unseren Besuchern einen großen Gefallen - nämlich in puncto Usability.

4. Option: Serverseitige Statistik-Tools.

Eine weitere Option, die beim Inkrafttreten der E-Privacy-Verordnung wahrscheinlich deutlich öfter genutzt werden wird, ist die Verwendung eines serverseitigen Statistik-Tools. Das browserbasierte Tracking via JavaScript entfällt dabei. Stattdessen werden anonymisierte Besucherstatistiken serverseitig erstellt – beispielsweise per Serverlogs oder PHP. Dadurch werden die auswertbaren Daten deutlich eingeschränkt. Es ist infolgedessen nicht möglich, eine Besucheridentifizierung über einzelne Besuche und Devices hinweg zu registrieren. Denn die Zuordnung erfolgt ausschließlich auf Grundlage der jeweiligen Session sowie der IP-Adresse.

Wenn Sie zielgerichtetes Web-Marketing betreiben möchten/müssen, ist diese Methode keine Option. Diverse Metriken, wie beispielsweise die der Returning Visitors, sind hier nämlich hinfällig. Remarketing und Conversion Tracking sind nur eingeschränkt oder in manchen Fällen gar nicht möglich. Dennoch dürfte diese Tracking-Variante für einige Websitebetreiber höchst interessant sein.

Begriffserklärung.

(1) Opt-Out: Hier werden sämtliche Besucher beim Öffnen einer Website umgehend getrackt. Mit einer Schaltfläche innerhalb der Datenschutzerklärung oder über ein Browser-Plugin können jene die Verfolgung der eigenen Aktivitäten deaktivieren. Vor der DSGVO war das die Standardvorgehensweise.
(2) Opt-In: Jedem neuen Nutzer einer Website wird ein Banner angezeigt, welches um Zustimmung zum Tracking sowie die Erlaubnis zum Setzen von Cookies bittet. Dieses Prozedere ist heute für die Verwendung von statistik- sowie marketingspezifischen Cookies gesetzlich vorausgesetzt.
(3) Device Fingerprinting: Hierbei handelt es sich um eine Methode, die es ermöglicht, nicht cookiespezifische Informationen zur Bestimmung des eingesetzten Browsers, der jeweiligen Bildschirmauflösung, verwendeten Plugins usw. zu erfassen.

Fazit.

Zugegeben - die hier zusammengefassten Informationen dürften bei nicht wenigen Websiteinhabern für weiteres Stirnrunzeln sorgen. Die Entscheidungsfindung hinsichtlich der passenden Option muss allerdings nicht schwierig sein. An der Basis sollten Sie sich diesbezüglich folgende zwei Fragen stellen:

  1. In welchem Umfang ist Tracking für meine geschäftliche Online-Aktivität relevant?
  2. Wie wichtig sind moderne Online-Marketing-Maßnahmen für mein Geschäftsmodell?

Falls Sie nur oberflächliche Einblicke in puncto Verwendung Ihrer Website benötigen, können Sie das klassische Tracking komplett deaktivieren (lassen). Der für Ihre Nutzer oft nervige Cookie-Hinweis entfällt - und Sie haben immer noch die Chance, sich anhand der Server-Statistik zu informieren. Dieser Ansatz ist sowohl in der Umsetzung als auch auf lange Sicht besonders kostengünstig.

Setzt Ihr Geschäftsmodell aktive Online-Marketing-Maßnahmen voraus und kommen Sie ohne professionelles Webstatistik-Tool nicht aus, benötigen Sie ein entsprechendes Cookie-Banner. Leider wird sich das Tracking bei diesen Voraussetzungen für Sie wohl nicht mehr in dem Maße lohnen wie zuvor. Denn ein beträchtlicher Teil der Besucher dürfte sich weigern, erfasst zu werden.

Für das Gros der Websitebetreiber bilden die Optionen 3 und 4 die effizientesten Ansätze. Sie erhalten hier durchaus nützliche und effektiv weiterverwertbare allgemeine Daten zur Nutzung. Dabei werden Ihre Besucher nicht mit störenden Bannern belastet - und das vollkommen DSGVO-konform!

Fragen und Belange zum Tracking? – Sprechen Sie mich gerne an!

VivaLaJack.de | René Jackowski

Über diesen Blog

Das Blog informiert über Aktuelles und Neues von und rundum VivaLaJack.de.

Blog Startseite

Archiv

Zur Übersicht aller bisherigen Artikel »

Kontakt

VivaLaJack.de
graphic design | web development

Bernkasteler Straße 6
54497 Morbach

Telefon: 0 65 33 . 9 57 43 50
Telefax: 0 65 33 . 9 57 43 55

E-Mail schreiben!

Ihr Ansprechpartner ist René Jackowski.