In Marketing-Medien werden Begriffe wie ‚Cookiecalypse‘ oder ‚Cookiegeddon‘ verwendet, wenn es um Einschränkungen beim Einsatz von Cookies geht. Fest steht: Das Aus für bestimmte Cookies ist eingeläutet und deren Einsatz ist gesetzlich streng reguliert. Anspielungen auf einen damit einhergehenden Weltuntergang sind allerdings nicht nur stark übertrieben, sondern auch schlichtweg falsch. Denn längst existieren Lösungen für die Web-Analyse und das Conversion Tracking, die ohne Cookies auskommen und trotzdem eine fundierte Datenbasis liefern. In diesem Artikel erklären wir den technischen und rechtlichen Hintergrund, was mit Cookie-losem Tracking möglich ist und was es dabei zu beachten gilt.
Wie gut funktionieren Cookies überhaupt noch beim Tracking?
Cookies erfüllen nur dann ihren Zweck, wenn sie im Browser gespeichert, also nicht grundsätzlich blockiert werden. Das ist aber noch nicht alles, denn auf die Speicherdauer bzw. Laufzeit kommt es auch noch an. Letztere wird nicht mehr nur vom Cookie-Setzenden bestimmt, sondern immer stärker bereits durch die Standard-Einstellungen der Browser eingeschränkt. Die Speicher- und Laufzeit-Einschränkungen sind je Browser unterschiedlich und hängen stark von der Cookie-Art und Klassifikation des Tracking-Dienstes ab. Einen guten und aktuellen Überblick bietet die Website cookiestatus.com. Am restriktivsten agiert Apple mit Safari und der Intelligent Tracking Prevention (ITP), wonach der Ablauf von Cookies auf einen Tag verkürzt wird, wenn der Nutzer einem Link mit bekannten Tracking-Parametern gefolgt ist. Dadurch wird es von Browser-Seite immer schwieriger, Customer Journeys über ein sehr kurzes Zeitfenster hinaus zu analysieren.
Tracking Cookies nur nach gültiger Einwilligung
Die ePrivacy-Richtlinie auf EU-Ebene und das nationale am 01.12.2021 in Kraft tretende Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verlangen die explizite, informierte und zur Ablehnung gleichwertig gestaltete Zustimmung vor dem Setzen nicht unbedingt erforderlicher Cookies. Da diese Cookies dem Nutzer keinen unmittelbaren Vorteil verschaffen und einen eher schlechten Ruf genießen, lehnt ein Großteil der User den Einsatz ab, sofern die Möglichkeit zur Ablehnung datenschutzkonform, also nicht erschwert oder verborgen, besteht.
Aufsichtsbehörden haben sich bereits klar gegen sogenanntes Nudging und Dark Patterns bei der Consent-Gestaltung ausgesprochen und gehen verstärkt gegen Verstöße vor. Auch bei Verbraucherschutz-Organisationen wie der Verbraucherzentrale Bundesverband (vzbv) und noyb von Max Schrems steht dieses Thema im Fokus. Max Schrems geht sogar systematisch vor und nutzt automatisierte Verfahren zur Prüfung und Abmahnung von Cookie-Bannern. Das TTDSG sorgt zudem für zusätzliche Strafmöglichkeiten und eine zentrale Verfolgung von Verstößen.
Wie die etracker Consent Benchmark-Studie zeigt, sorgt der Consent nicht nur für eine Verringerung der Datenbasis, sondern auch für eine Verzerrung der erfassten Daten. Der Bias entsteht dadurch, dass die Einwilligungsraten je nach Herkunftsquelle und Kampagne erheblich variieren. Doch eine effiziente Kampagnensteuerung ist ohne ausreichende und verlässliche Daten nicht möglich.
Cookie-loses und Consent-freies Tracking
Unternehmen tun gut daran, sich möglichst zügig auf das Post-Cookie-Zeitalter ein- und auf Cookie-loses Tracking umzustellen. Dies alleine reicht jedoch nicht aus! Zwar ist das Thema Cookie Consent im Fokus der Berichterstattung, die Anforderungen, die nach der aktuellen Gesetzgebung erfüllt werden müssen, um ein Tracking ohne vorherige Zustimmung zu ermöglichen, verlangen jedoch weit mehr als nur den Verzicht auf Cookies. Dabei geht es um die Frage, was mit den Daten im Rahmen des Trackings passiert und welche Art von Daten wo verarbeitet werden. Mit der bloßen Umstellung auf Cookie-loses Tracking ist es also nicht getan.
Vielmehr müssen Unternehmen darauf achten, Lösungen einzusetzen, die alle Anforderungen an das rechtskonforme Tracking ohne Opt-In erfüllen. Denn nur so können sie das Nutzungs-Verhalten und die Kampagnen-Leistung zuverlässig auswerten.
Das muss alles eingehalten werden, damit die Interessen des Endnutzers nicht überwiegen und die Einwilligungspflicht entfallen kann:
TTDSG:
- Kein Einsatz von Analyse-Cookies (funktionale Cookies bei einem Opt-Out oder Nutzung des Local Storage zum Puffern von Tracking-Übermittlungen sind hingegen in Ordnung)
- Kein Auslesen von Identifikatoren wie Geräte-IDs, IMEI-Nummern, Mac-Adressen oder Werbe-IDs
DSGVO:
- Kein Fingerprinting und ähnliche Technologien zur auf Dauer ausgelegten Wiedererkennung
- Kein Datentransfer in unsichere Drittländer wie die USA
- Keine Weitergabe oder Nutzung durch Verarbeiter selbst
- Keine Zusammenführung über Websites unterschiedlicher Anbieter und z.B. Anreicherung von soziodemografischen Daten aus anderen Quellen des Verarbeiters
- Re-Identifikation muss ausgeschlossen sein bspw. mittels Verknüpfung zu Nutzerkonten des Verarbeiters
- Kein Mouse- bzw. Session-Recording
Consent Mode schützt nicht vor Consent-Pflicht
Google bietet mit dem sogenannten Consent Mode die Möglichkeit, auf die Einwilligung bzw. Ablehnung im Consent zu reagieren und den Consent-Status an Google zu übermitteln. Bei Ablehnung von Marketing- und Analyse-Cookies stellt Google nach eigenen Angaben nur aggregierte und nicht identifizierende Messwerte zur Verfügung. Eine Datenübermittlung in die USA wird damit allerdings nicht unterbunden. Ob auch alle anderen Anforderungen an die Einwilligungsfreiheit erfüllt werden, insbesondere im Hinblick auf die Nutzung der Daten durch Google selbst bleibt unklar und wurde bislang nicht von den Aufsichtsbehörden bestätigt. Bis dahin gilt unabhängig vom eingesetzten Modus der Beschluss der Datenschutzkonferenz zu Google Analytics, der immer eine vorherige Einwilligung verlangt.
Somit erlaubt der Consent Mode bei Google Analytics zwar möglicherweise die Einhaltung der TTDSG-Richtlinien im Hinblick auf den Einsatz von Cookies, befreit jedoch nicht von der Einwilligungspflicht gemäß DSGVO.
Was leistet Cookie-loses Tracking?
Cookies werden eingesetzt, um einzelne gemessene Interaktionen wie Seitenaufrufe oder Klick-Events und Ziele wie Bestellungen, Anmeldungen oder Anfragen einem Besuch zuordnen sowie verschiedene Besuche wiederum einem Besucher. In der Regel wird ein Besuch als Reihe von Interaktionen eines Besuchers verstanden zwischen denen weniger als 30 Minuten Unterbrechung lag oder zwischen denen der Tab oder Browser nicht geschlossen wurde. Da sich bestimmte Informationen, die mittels Browser übertragen werden, innerhalb eines Besuchs konstant sind, aber zwischen verschiedenen Nutzern unterscheiden, können diese anstelle von Cookies genutzt werden, um Interaktionen einem Besuch zuzuordnen. Dabei werden die verschiedenen Informationen zu einer Kennung (mittels Hash-Verfahren) zusammengefügt. Sind die gemessenen Interaktionen mit derselben Kennung verbunden, werden diese einem Besucher bzw. einem Besuch zugeordnet.
Dieses Verfahren kommt also ganz ohne „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder de[m] Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind“, aus.1 Damit entfällt die Einwilligungspflicht nach dem Telekomunikation-Telemedien-Datenschutz-Gesetz (TTDSG) § 25.
Um jedoch auch den Anforderungen der Datenschutzgrundverordnung (DSGVO) zum berechtigten Interesse gerecht zu werden, darf für die Kennung u.a. nur die anonymisierte IP-Adresse des Besuchers einfließen und es muss verhindert werden, dass die Kennung eine längere Dauer der Wiedererkennung bewirkt. Um dies sicher zu stellen, kann bei der Verschlüsselung einfach ein täglich wechselnder Zufallswert hinzugefügt werden.
Die Funktionsweise wird im folgenden Schaubild schematisch anhand eines Besuchers mit drei Besuchen über zwei Tage hinweg dargestellt:
Dadurch sind beim Cookie-losen und Consent-freien Tracking konkret folgende Analysen nicht über die Tagesgrenze hinweg möglich:
- Anzahl von (eindeutigen) Besuchern und Besuchshäufigkeit im Zeitraum
- Unterscheidung zwischen neuen und wiederkehrenden Besuchern
- Längere Customer Journeys und Marketing Attribution
Dies ist in der Praxis jedoch kein gravierender Nachteil, denn die Wiedererkennung eines Besuchers mittels Cookies über längere Zeiträume als 24 Stunden wird wie oben beschrieben von einzelnen Browsern unmöglich gemacht und erfordert immer die Einwilligung. Insofern sind längerfristige Analysen mittels Cookies in der Praxis generell nur sehr eingeschränkt möglich.
Sofern Unternehmen eine überdurchschnittlich hohe Einwilligungsrate für analytische Cookies erzielen und einen hohen Anteil längerer Customer Journeys verzeichnen, ist der Einsatz einer Tracking-Lösung vorteilhaft, die beide Modi unterstützt: das Cookie-lose und das Cookie-basierte Tracking. Dies ist insbesondere dann empfehlenswert, wenn Consent-pflichtiges Remarketing betrieben wird. In diesem Fall kommt man sowieso nicht um einen Consent-Dialog herum. Der Vorteil gegenüber rein Cookie-basiertem Tracking: Bei Ablehnung der statistischen Cookies greift der Cookie-lose Modus und sorgt für die Erfassung aller Interaktionen. Über den Consent wird somit nur der Modus gesteuert, nicht aber, ob überhaupt ein Tracking erfolgen kann.
Um Kampagnen bei Einsatz von rein Cookie-losem Tracking auch bei längeren Customer Journeys effizient zu betreiben und Gebotsstrategien nicht nur auf Klicks hin zu optimieren, gibt es eine weitere Lösung: Die Steuerung anhand von Prädiktoren innerhalb des jeweiligen Besuchs für spätere Conversions. Solche Prädiktoren können sein: die Verweildauer, die Anzahl an Seitenaufrufen, das Aufrufen von Produktseiten, die Interaktion mit Konfiguratoren etwa für PKWs oder Kalkulatoren z.B. für Kredite. Positiver Nebeneffekt ist, dass meist auch deutlich mehr dieser Daten zur Verfügung stehen als zu den finalen Conversion-Aktionen, wodurch Algorithmen schneller lernen und Optimierungen herbeiführen können.
Im Hinblick auf alle anderen Besuchs-bezogenen Analysen gibt es keine Einschränkungen. Dazu gehört unter anderem:
- Erfassung der Herkunft mit Referrer-URL und ggf. Kampagnen-Parametern
- Seitenaufrufe und Zuordnung zu Bereichen anhand der URL-Struktur
- Audio- und Video- sowie externe, mailto- und Telefon-Linkaufrufe, Downloads und individuelle Klick-Events
- Scroll-Events pro Seite: 0-9%, 10-24% usw.
- Formular-Interaktionen inklusive Fehler je Formularfeld
- Eingesetzte Geräte und verwendete Browser inklusive Spracheinstellungen
- Gesuchte, angesehene, gemerkte, in den Warenkorb gelegte und bestellte Artikel
Zusammenfassend kann man sagen:
Dem Cookie-losen Tracking gehört die Zukunft.
Denn es bringt viele Vorteile mit sich:
- Es ist eine der Bedingungen, um rechtskonformes Tracking ohne Consent zu ermöglichen.
- Es wirkt Consent-bedingten Datenverlusten und -verzerrungen entgegen.
- Es kann Website-Betreibern und -Besuchern nervige Cookie-Dialoge ersparen.
- Es macht unabhängig und resilient gegen Cookie-Einschränkungen der Browser-Anbieter und -Plugins.
1Telekomunikation-Telemedien-Datenschutz-Gesetz (TTDSG) § 25
Disclaimer
Diese Ausführungen stellen keine Rechtsberatung dar und können keine individuelle Rechtsberatung ersetzen. Sie sind eine fachliche Auseinandersetzung und Zusammenfassung des Themas. Im Bedarfsfall stellen wir gerne den Kontakt zu einem Fachanwalt her.