SOS
Web-Tracking

Herausforderungen, Veränderungen und Chancen durch DSGVO und Co.

Der zunehmende Datenschutz hat einen Einfluss auf die gesamte digitale Welt. Gerade Webseitenbetreiber und das Webtracking sind von Datenschutz betroffen und so kommt es zu Herausforderungen und Veränderungen im Online Marketing. Verschiedene Beschlüsse von europäischen Datenschutzbehörden schränken das Webtracking stark ein und bereiten Unternehmen und Webseitenbetreibern Sorgen. Doch welche Herausforderungen und Veränderungen kommen aktuell auf Sie zu? Und wie können Sie damit umgehen und weiterhin effektiv Ihre Online Aktivitäten auswerten? Wir haben die Antworten!

01 Webtracking und Datenschutz / DSGVO

Im Online Marketing versteht man unter dem Begriff „Webtracking“ das Aufzeichnen und Auswerten von Nutzerdaten und Nutzerverhalten im Internet. Dies geschieht mithilfe von speziellen Webtracking Tools, wie Google Analytics oder schubwerk Analytics, und so können Informationen über das Nutzerverhalten auf einer Website oder innerhalb einer App live nachverfolgt und aufgezeichnet werden. Daten, die gesammelt werden, sind beispielsweise der Standort des Nutzers, das verwendete Gerät, wie oft eine Webseite aufgesucht wurde, wie lange die Verweildauer ist, welche Webseite am häufigsten besucht wird und vieles mehr. Die gesammelten Daten geben Aufschluss über das Nutzerverhalten und können genutzt werden, um den Online Auftritt eines Unternehmens zu optimieren.

In diesem Jahr hat sich für das Webtracking etwas entscheidend geändert und in der Online Marketing Welt für Unruhe gesorgt. Die österreichische Datenschutzbehörde (DSB) hat im Januar dieses Jahres entschieden, dass die Verwendung des wohl bekanntesten Webtracking Tools Google Analytics nicht mit der EU-Datenschutzgrundverordnung (DSGVO) konform sei. Die Verwendung von Google Analytics verstoße zudem gegen die „Schrems II“-Entscheidung der EU. Dabei handelt es sich um ein Grundsatzurteil von Juli 2020, welches das Abkommen zwischen der EU und den USA über den Schutz der Privatsphäre für ungültig erklärt. Das Abkommen ist eines der wichtigsten Mechanismen für den sicheren und freien Datenfluss zwischen Organisation in der EU und den USA.

Zusätzlich gab die französische Datenbehörde (CNIL) bekannt, dass sie die Art und Weise, wie Daten von Google Analytics gesammelt und dann in die USA übertragen werden, im Hinblick auf die DSGVO, als unzureichend reguliert bewertet.

Hürden und Grenzen durch die DSGVO

Für einen unternehmerischen Erfolg und effektives und gezieltes Marketing ist die Erhebung und Weitergabe von Daten von entscheidender Bedeutung. Durch die Beschlüsse werden nun jedoch rechtliche sowie technische Grenzen gesetzt, welche bei vielen Unternehmen Bedenken auslösen. Das Anwenden neuer Vorschriften in den EU-Ländern hat gravierende Folgen. Unternehmen erhalten keine validen Daten mehr und der Datenverlust ist enorm.

Datenschutz wird in unserer zunehmend digitalen Welt immer wichtiger und so müssen die Arbeitsweisen der Unternehmen und Online Marketer angepasst werden. Im Falle des Webtrackings hat sich auch schon eine Alternative zum herkömmlichen clientseitigen Tracking ergeben: das serverseitige Tracking.

Möglichkeiten zum Umgang mit der DSGVO

Die meisten Unternehmen verwenden aktuell noch das clientseitige Tracking, welches eine direkte Verbindung zwischen dem Gerät des Nutzers und den Tracking Tools herstellt. Beim Öffnen einer Website wird ein Analyse-Tag in Form eines JavaScript-Snippets geladen und auf das Gerät des Nutzers übertragen. Das verringert die Geschwindigkeit der Webseite und dieser Code von Drittanbietern ist schwer zu kontrollieren. Zudem gibt es Funktionen von Browsern zur Prävention von Tracking, welche die Lebensdauer von den über JavaScript gesetzte Tracking-Cookies verringern und sogar den gesamten Datenfluss beeinträchtigen können. Serverseitiges Tracking bietet hierfür eine Lösung, denn es ermöglicht Unternehmen, die Analyse-Tags der Webseite in einen sicheren Server Container zu verschieben. Dadurch werden die zahlreichen Datenströme zwischen der aufgerufenen Webseite und dem Server auf einen einzigen Datenstrom reduziert und der Code vom Drittanbieter sowie die erforderlichen Analyse-Tags können reduziert werden.

Ruft jemand eine Webseite auf, werden die Nutzerdaten wie Seitenaufrufe oder Interaktionen an den Server-Tag-Manager gesendet. Dies geschieht im 1st-Party Kontext, wenn dieser auf einer Subdomain der Webseite gehostet wird. Im Server-Tag-Manager sind die Tags von Anbietern wie Facebook, Google Analytics oder Google Ads konfiguriert und können auf die Informationen zugreifen. Dabei kann nun zusätzlich konfiguriert werden, welche Daten tatsächlich an die Drittanbieter gesendet werden sollen. So können dabei beispielsweise die IP-Adressen der Nutzer überschrieben werden.

Wenn Tracking-Cookies vom Server mittels https gesetzt werden, können diese nur vom Server der Webseite gelesen werden und sind dadurch sicherer, als wenn sie über JavaScript gesetzt werden, und die Lebensdauer wird nicht von den Browserfunktionen zur Tracking-Prävention eingeschränkt. Somit verbessert sich die Datenqualität bei serverseitigem Tracking, es gibt keine direkte Verbindung zwischen den Geräten der Nutzer und Drittanbietern und Letztere erhalten nur die Daten, die auch vorab freigegeben worden sind.

Vorteile von serverseitigem Tracking

Serverseitiges Tracking hat entscheidende Vorteile gegenüber dem klassischen clientseitigen Tracking:

  • Nur der betreffende Server kann die Daten und Interaktionen der Nutzer auslesen
  • Es kann festgelegt werden, welche Daten an Drittanbieter weitergegeben werden
  • Die Ladegeschwindigkeit der Webseite erhöht sich, was zu einem verbesserten Nutzererlebnis führt
  • Tools von Drittanbietern erhalten keinerlei personenbezogener Informationen, da der Tag-Manager-Server dazwischengeschaltet ist
  • Eine verbesserte Qualität der gesammelten Daten
  • Es kann eine eigene Liste an zu blockierenden Bots und Crawlern definiert werden
  • Im Server-Tag-Manager können eigene Regeln zur Überprüfung und Korrektur der gesammelten Daten festgelegt werden
  • Die Kontrolle über den Datenversand liegt in den Händen der Webseitenbetreiber und die Sicherheit der Datensammlung kann gewährleistet werden
Cookieless Tracking

02 Die Umstellung von Universal Analytics auf Google Analytics 4

Die bisherige Version von Universal Analytics wird im Sommer 2023 eingestellt und eine Datenerhebung wird über das Tool dann nicht mehr möglich sein. Die Nutzer sind dann auf Google Analytics 4 angewiesen. GA4 verspricht benutzerfreundlicher zu sein und die Einhaltung der DSGVO. Für viele Nutzer ist die Umstellung von Universal Analytics auf Google Analytics 4 eine große Umstellung, da es sich bei GA4 um eine komplett neue Software handelt. GA4 soll sich auf Ereignisse, die von Nutzern auf der Webseite ausgelöst werden, konzentrieren und sich zudem von dem bisherigen Fokus auf Sitzungen und Seitenaufrufe entfernen. Das bewährte Dashboard aus Universal Analytics wird nicht mehr fortgeführt und viele bekannte Berichte abgeschafft.

Aus Datenschutzsicht ändert sich allerdings wenig. Die Löschungsfrist von Daten wurde von 26 Monaten in Universal Analytics auf 14 Monate in GA4 herabgesetzt. Ein Tracking ohne Cookies und andere Identifier, wie zuvor für GA4 angekündigt, ist noch nicht in Sicht. Auch bei GA4 werden mehrere Cookies gesetzt. So wird GA4 wie Universal Analytics nicht vollständig ohne datenschutzrechtliche Risiken eingesetzt werden können. Rechtsprobleme ergeben sich unter anderem aus der:

  • Erforderlichkeit der Einwilligung in das Setzen von Cookies nach 25 TTDSG,
  • Erforderlichkeit einer Einwilligung in die Auswertung der erhobenen personenbezogenen Daten nach 6 Abs. 1 S. 1 DSGVO und der
  • Frage des Drittstaatentransfers und 44 ff. DSGVO.

Einwilligung zum Setzen von Cookies

Nach § 25 Abs. 1 TTDSG bedarf es bei der Speicherung oder dem Zugriff auf Informationen, die im Endgerät des Nutzers gespeichert sind, stets einer Einwilligung des Nutzers. Die Erforderlichkeit dieser Einwilligung entfällt nur dann, wenn die Speicherung der Nutzerdaten bzw. der Zugriff darauf „unbedingt erforderlich“ ist, um dem Nutzer den gewünschten Dienst zur Verfügung zu stellen.

Bei GA4 kann das Setzen von Analyse-Cookies nur in bestimmten Ausnahmefällen als „unbedingt notwendig“ angesehen werden. Daher ist man als Webseitenbetreiber auch bei GA4 auf die Einholung einer Einwilligung vor dem Setzen und Auslesen des GA4-Cookies angewiesen. Hierzu eignet sich ein Cookie Banner über den die Art, Umfang und Zweck der Datenerhebung ersichtlich sein müssen.

Einwilligung zur Auswertung der erhobenen Daten

Gemäß Art. 6 Abs. 1 S. 1 DSGVO muss die Verarbeitung, der über die Informationen aus dem Cookie zugeordneten personenbezogenen Daten gerechtfertigt sein. Es ist denkbar, die Verwendung von GA4 auf das „überwiegende berechtigte Interesse“ des datenverarbeitenden Unternehmens zu stützen. Es wird also das erhebliche Interesse des Webseitenbetreibers am Einsatz des Trackingtools zu Webanalysezwecken, den Interessen der Nutzer gegenüber, die personenbezogenen Daten nicht für Zwecke der Datenanalyse zu verwenden. Da es sich bei den erhobenen Daten nicht um sensible Persönlichkeitsdaten, sondern um gerätebezogene Pseudonyme handelt, wird die Interessenabwägung in vielen Fällen zugunsten des Webseitenbetreibers ausfallen.

Sicherer ist wohl die Einholung einer Einwilligung zur Auswertung und Verarbeitung der erhobenen Daten. Hierbei gelten die gleichen Regeln wie bei der Cookie-Einwilligung. Zudem muss aus der Datenschutzerklärung hervorgehen, welche Daten zu welchem Zweck verarbeitet werden. Die Einwilligung zur Verarbeitung der erhobenen Daten kann auch gemeinsam mit der Cookie-Einwilligung eingeholt werden.

Die Einwilligung zur Auswertung der erhobenen Daten kann gemäß Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufen werden und den Nutzern steht eine Opt-Out Option zu. Der Widerruf muss so einfach wie die Einwilligung sein. Es ist ratsam den Cookie Banner so zu gestalten, dass Nutzer diesen leicht aufrufen und Einstellungen abändern können.

Drittdatentransfer und Art. 44 DSGVO

Der Datentransfer in die USA ist auch bei GA4 ein schwerwiegendes Problem. Google sichert zwar zu, dass Daten von Endgeräten mit IP-Adressen aus der EU über Domains und Server in der EU erhoben werden, allerdings erfolgt anscheinend auch immer ein Transfer der pseudonymisierten Daten an Google LLC, USA. Wenn man nun davon ausgeht, dass der Zugriff auf die personenbezogenen Daten aus den USA möglich ist, müssen die Voraussetzungen der Art. 44 DSGVO eingehalten werden.

Um ein angemessenes Schutzniveau zu gewährleisten, sind aus Sicht der Datenschutzkonferenz neben dem Abschluss von Standardvertragsklauseln und einer Prüfung der Rechtslage in Drittländern auch noch weitere Maßnahmen notwendig. Google verfolgt daher folgende Maßnahmen:

  • HSTS-verschlüsselter Datentransfers für die Kommunikation mit Google Analytics Servern
  • AES256-Verschlüsselung von Daten im Ruhezustand
  • interne Datenzugriffsprozesse und -richtlinien, so dass lediglich diejenigen Google-Beschäftigten Zugriff auf Daten bekommen, die diesen auch benötigen
  • ISO 27001 Zertifizierung für die Prozesse und Rechenzentren, die Google Analytics betreffen
  • Pseudonymisierung der Analytics Daten ggf. Anonymisierung von IP-Adressen, sofern dies von den Account-Inhabern entsprechend eingestellt wird

Ein Zugriff von US-Behörden auf diese Daten wird dadurch nicht ausgeschlossen.

Das sollten Google Analytics 4 Nutzer beachten

Datenschutzrechtlich gilt für GA4 schlussendlich dasselbe wie für Universal Analytics. Mit GA4 haben sich lediglich die Konfigurationsmöglichkeiten hinsichtlich der DSGVO verbessert. Für das Setzen von Cookies braucht es weiterhin eine Einwilligung der Nutzer. Unternehmen, die GA4 nutzen möchten, sollten die Einstellungen in den Properties möglichst datensparsam vornehmen.

Bis zum 1. Juli 2023 ist der Parallelbetrieb der Analytics-Versionen noch möglich, allerdings sollte die Umstellung zu GA4 möglichst früh passieren, um noch Daten aus dem Vorjahr sammeln zu können.

Fazit

Wie Sie sehen, steht das Webtracking vor einigen Herausforderungen. Der zunehmende Datenschutz und neue Beschlüsse der verschiedenen Datenschutzbehörden machen Webtracking nicht unbedingt einfacher. Und auch die Umstellung auf GA4 ist eine Herausforderung und ist nicht wirklich eine Lösung für DSGVO-konformes Tracking. Wichtig ist der richtige Umgang mit den Beschlüssen der Datenschutzbehörden und die bisherigen Arbeitsweisen anzupassen. Hier bietet sich serverseitiges Tracking als gute Alternative zum herkömmlichen clientseitigen Tracking an und macht weiterhin effektives Tracking und den Erhalt von validen Daten möglich. Wer dennoch bei clientseitigem Tracking bleiben möchte, sollte unbedingt auf die datenschutzrechtlichen Vorgaben und das Einbinden eines Cookie-Banners sowie einer Datenschutzerklärung achten.

Sie haben noch Fragen zum Thema Webtracking, DSGVO und GA4 oder haben Interesse an schubwerk Analytics?

Unsere Experten beantworten Ihre Fragen und beraten Sie gerne. Kontaktieren Sie uns doch einfach!

drbehler-2-new.png

Dr. Steffen Behler

Geschäftsführer