Analytics, Consent- und Tag Management aus einer Hand
Das neue integrierte etracker Tag- und Consent Management macht Marketern das Leben deutlich einfacher!
Damit bietet etracker Analytics eine einfache wie praktische All-in-one-Lösung, um Einwilligungen zu managen und auch dritte Tags bequem und datenschutzkonform auszusteuern.
Das bietet gleich mehrere Vorteile:
Nur ein Code in der Website (der etracker Code).
Keine extra CMP-Lizenz oder Tag Manager notwendig.
Hinzugefügte dritte Tags (für Google, Meta, Linkedin & Co.) werden automatisch über das Consent Management gesteuert und müssen dort nicht mühsam nachgepflegt werden!
Ende August hat das Landgericht Berlin in seinem Urteil verfügt:
„Die Beklagte [LinkedIn] wird verurteilt, […] zu unterlassen, […] Verbrauchern mitzuteilen, dass ein im Browser des Verbrauchers voreingestelltes und ausgesendetes Signal […] („Do-Not-Track-Signal“), nicht als wirksamer Widerspruch gegen eine solche Datenverarbeitung angesehen wird […].“
Do Not Track (kurz: DNT; englisch für „nicht verfolgen“) muss somit gemäß DSGVO Art. 21 Abs. 5 als Widerspruch verstanden werden:
„Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.“
Das gilt, obwohl der DNT-Header es nie zum W3C-Standard (W3C steht für World Wide Web Consortium) gebracht hat und mittlerweile überhaupt nur noch in wenigen Browsern (wie Firefox) aktiviert werden kann.
Für die meisten Websites ist dies jedoch kein wirkliches Problem, denn
entweder nutzen sie einwilligungspflichtige Dienste wie Google Analytics und dürfen ohnehin nicht ohne explizite Zustimmung der Nutzer Daten verarbeiten
oder sie setzen datenschutzfreundliche und standardmäßig einwilligungsfreie Dienste wie etracker Analytics ein, die grundsätzlich DNT durch die datenschutzfreundliche Verarbeitung beachten.
Laut W3C, die ja hinter der Spezifikation des DNT-Headers stehen, dient das Signal dazu, Tracking abzulehnen im Sinne von:
„Tracking ist die Sammlung von Daten über die Aktivitäten eines bestimmten Nutzers in verschiedenen Kontexten und die Speicherung, Nutzung oder Weitergabe von Daten, die aus diesen Aktivitäten abgeleitet wurden, außerhalb des Kontexts, in dem sie stattfanden. Ein Kontext ist eine Reihe von Ressourcen, die von derselben Partei kontrolliert werden oder von mehreren Parteien gemeinsam kontrolliert werden.“
Bei Einsatz von etracker Analytics werden die Daten nur dem Website-Betreiber im Rahmen des eigenen Kontexts bereitgestellt und nicht zu anderen Zwecken oder mit anderen Daten Website-übergreifend zusammengeführt. Insofern muss die Datenverarbeitung mit etracker Analytics nicht speziell angepasst werden, wenn Nutzer DNT-Header über ihre Browser-Einstellung aktiviert haben, da die abgelehnte Art der Datenverarbeitung ohnehin grundsätzlich nicht stattfindet.
Nur bei Einsatz von Lösungen wie Google Analytics müsste bei DNT-Headern die Datenerfassung unterbunden oder angepasst werden, da eine Website-übergreifende Profilbildung, Zusammenführung außerhalb des Kontexts und Nutzung zu eigenen Zwecken von Google im Standard stattfindet.
Der Browser-Hersteller Mozilla formuliert es in seinen Informationen zur „Nicht-Verfolgen-Funktion“ ähnlich:
„Die meisten großen Websites verfolgen das Verhalten ihrer Besucher und verkaufen diese Daten dann oder geben sie an andere Unternehmen weiter. Die Daten können dazu verwendet werden, um Ihnen auf Sie zugeschnittene Werbung, Produkte oder Dienstleistungen anzuzeigen. Firefox hat eine Funktion namens Nicht-Verfolgen (Do Not Track), mit der Sie jeder Website, deren Werbetreibenden und anderen Inhalteanbietern mitteilen können, dass Ihr Surf-Verhalten nicht aufgezeichnet werden soll.“
Dies entspricht auch der Definition von Apple, die den Begriff „Tracking“ ebenfalls nicht als generischen Oberbegriff, sondern nur für eine spezielle Form der Datenverarbeitung, verwenden:
„‘Tracking‘ bezieht sich auf die Verknüpfung von Daten, die von Ihrer App über einen bestimmten Endnutzer oder ein bestimmtes Gerät gesammelt wurden, wie z. B. eine Nutzer-ID, eine Geräte-ID oder ein Profil, mit Daten Dritter für gezielte Werbung oder Werbemessung oder die gemeinsame Nutzung von Daten, die von Ihrer App über einen bestimmten Endnutzer oder ein bestimmtes Gerät gesammelt wurden, mit einem Datenbroker.“
Genauso richtet sich das neuere Browser-Signal von Global Privacy Control (GPC) auch nicht gegen datenschutzfreundliche Web-Analyse, sondern explizit gegen den Verkauf der Daten (siehe https://globalprivacycontrol.org/).
Insofern gilt auch nach dem jüngsten Urteil zu DNT:
Do-Not-Track-Einstellungen gilt es zu beachten, wenn Daten Website-übergreifend gesammelt oder Dritten zur Verfügung gestellt werden.
etracker Analytics verarbeitet die Daten ausschließlich im Auftrag des jeweiligen Website-Betreibers. Daher ist ein Unterbinden der Datenerfassung bei Übergabe des Do-Not-Track-Signals nicht erforderlich.
Der Artikel stellt keine Rechtsberatung dar und kann keine individuelle Rechtsberatung ersetzen. Wir arbeiten eng mit auf Datenschutz spezialisierten Fachanwälten zusammen und stellen gerne den direkten Kontakt für individuelle Beratungen her.
Klicks oder Einstiege? Das ist bei der Kampagnen-Messung die Frage
Man könnte im Zusammenhang mit der Messung von Klicks auch sagen, dass Klicks nicht immer gleich Klicks sind. Gemeint sind die mitunter abweichenden ausgewiesenen Kampagnen- bzw. Anzeigen-Klicks zwischen den Werbeplattformen wie Google Ads und der Web-Analyse-Lösung wie etracker Analytics.
Dies liegt zumeist nicht an Fehlern der Systeme oder des Setups, sondern schlicht und ergreifend an der unterschiedlichen Mess-Methode:
In der Werbeplattform wird der Klick auf ein Anzeigen-Element bspw. direkt auf der Suchergebnis-Seite gemessen (unabhängig davon, ob der Nutzer tatsächlich auf die Zielseite gelangt).
In der Web-Analyse-Lösung wird im Regelfall erst der Aufruf der Zielseite mit den dazugehörigen Kampagnen-Parametern erfasst (nachdem der Inhalt der Zielseite und damit auch der Tracking Code asynchron geladen wurde, der die eigentliche Zählung ermöglicht).
Meist liegen nur wenige Millisekunden zwischen dem Klick auf eine Anzeige und dem Ausführen des Tracking Codes. Aber bereits dies reicht aus, dass Nutzer, die möglicherweise nur versehentlich geklickt haben, bereits wieder die Seite verlassen haben. Gerade wenn Anzeigen verzögert eingeblendet werden und andere Inhalte verschieben, können ungewollte Klicks ausgelöst werden.
Daneben gibt es noch Effekte wie Tracking Blocking oder unterschiedliche Bot-Erkennungs-Mechanismen, die zu Abweichungen führen können. Ganz wesentlich ist die Frage, ob das einwilligungsfreie Session Tracking genutzt oder erst nach Einwilligung gemessen wird. Im letzteren Fall wären die Abweichungen sehr hoch.
Außerdem gibt es Effekte, die systembedingt dazu führen, dass in der Web-Analyse mehr Klicks ausgewiesen werden. So kann ein neues Laden der Seite mit den Kampagnen-Parametern einen Web-Analyse-Klick auslösen. Gleiches gilt für Bookmarks mit Kampagnen-Parametern oder dem Weiterleiten von Links inklusive der Parameter.
Daher nutzen viele Marketer lieber die Kennzahl Einstiege in der Web-Analyse als Vergleich zu den ausgewiesenen Klicks in den Marketing-Plattformen.
Insgesamt haben Marketer in etracker Analytics die Qual der Wahl zwischen vier Kennzahlen, die alle in leicht unterschiedlicher Form Aussagen über das Traffic-Volumen aus Marketing-Kampagnen liefern: Besuche, Besucher, Klicks und Einstiege.
Abbildung: Ausschnitt aus dem Kampagnen-Reporting in etracker Analytics
Besuche: Gibt die Anzahl der Sessions an, in denen die passenden Kampagnen-Parameter erfasst wurden. Reloads innerhalb der Session wirken sich nicht aus. Allerdings können Sessions über andere Kanäle eingeleitet worden sein, bevor auf eine spezielle Anzeige geklickt wurde. Denn erst nach 30-minütiger Pause beginnt ein neuer Besuch.
Besucher: Gibt die Anzahl der eindeutigen Nutzer auch über mehrere Besuche hinweg an. Die Möglichkeit, Besucher wiederzuerkennen, ist jedoch ohne Cookie-Aktivierung auf den jeweiligen Tag beschränkt. Daher gibt es die zusätzlichen Kennzahlen Anteil Besucher mit Cookies und Besuchshäufigkeit (basierend nur auf den Besuchern mit Cookies).
Klicks: Hierunter fallen alle Aufrufe der Seite mit den Kampagnen-Parametern, egal, ob als Startpunkt eines Besuchs, via Bookmark oder Reload.
Einstiege: Umfasst alle Besuche bzw. Sessions, in denen der allererste Seitenaufruf mit den jeweiligen Kampagnen-Parametern stattfand.
Alle diese vier Kennzahlen haben ihre Berechtigung und unterschiedliche Aussage. Am Ende des Tages kommt es allerdings primär darauf an, was an Conversions und gegebenenfalls Umsatz generiert wird.
Profitiere von den neuen Coupon-Reports
Mit etracker Analytics können Shops auch ihre Rabatt-Codes bzw. Gutscheine tracken. Um die Auswertung von Gutscheinen noch einfacher zu machen, gibt es zwei neue Reports im Bereich eCommerce Reports:
Gutscheine haben ihre eigenen Reports verdient, schließlich gehören sie zum Standard-Marketing-Repertoire des eCommerce. Besonders beliebt sind sie als Anreiz für die Newsletter-Anmeldung in Form von Bestell-Coupons, die für beliebige Warenkorb-Inhalte gelten. Im Gegensatz dazu sind Produkt-Coupons an bestimmte Artikel gebunden.
In der Auswertung sieht man natürlich, welche Codes den meisten Umsatz generieren. Sehr häufig wird zusätzlich nach Artikeln segmentiert:
Interessant ist auch die Analyse der Herkunftsquellen und Kampagnen:
Will man hingegen den durchschnittlichen Warenkorbwert bzw. Umsatz von Käufen mit und ohne Gutschein vergleichen, kann hierzu im Report Bestellungen die Dimension Bestell- bzw. Produkt-Coupon hinzugefügt werden. Die Käufe ohne Gutschein sind die mit dem „–“:
Damit stehen Shop-Betreibern alle wichtigen Erkenntnisse zur Verfügung, um die Coupon-Strategie zu monitoren und zu optimieren. Voraussetzung ist die Implementierung des passenden eCommerce Trackings bzw. der Shop-Plugins mit integriertem Coupon Trackingwie dem Shopware-Plugin in unserem Beispiel.
Web-Analyse mit KI und ChatGPT
ChatGPT unterstützt Marketer nicht nur bei Texten und Bildern, sondern auch bei der Daten-Analyse. Allerdings gilt es, die Datenbegrenzungen beim Upload und Fragen der Datenhoheit zu beachten. Diese Herausforderungen können umgangen werden, wenn die eigentliche Datenanalyse mithilfe von Skripts, die man unter Heranziehung von ChatGPT erstellen lässt, lokal vorgenommen wird.
Wie das konkret geht inklusive dem automatisierten Daten-Management, zeigt Frank, unser Head of IT, F in einem ausführlichen Video-Tutorial.
Bei etracker Analytics wird die IP-Adresse automatisch im Arbeitsspeicher der Datenannahme-Server – also zum frühestmöglichen Zeitpunkt – anonymisiert. Zusätzlich gibt es jetzt einen Automatismus zur Anonymisierung von Identifikatoren in Seiten-URLs nach dem Privacy-by-Design-Prinzip.
Bitte beachte: Da derartige IDs sehr unterschiedliche Ausprägungen haben können, kann der Automatismus mit heuristischen Verfahren nicht die individuelle Überprüfung im Reporting ersetzen.
In URL-Parametern hingegen werden IDs nur erfasst, wenn die entsprechenden Parameter explizit in der Erfassung eingeschlossen werden. In diesem Fall gilt die automatische Anonymisierung analog.
Warum sind Identifier kritisch?
Werden Sitzungs- oder Nutzer-IDs erfasst, sind einerseits datenschutzrechtliche Aspekte zu beachten und andererseits sind die Auswertbarkeit der Daten und die Ladedauer der Reports aufgrund der unnötig erhöhten Kardinalität betroffen.
Neben den negativen Auswirkungen auf die Analysen können Identifier auch einen Personenbezug aufweisen. In diesem Fall kann ein Verstoß gegen Art. 5 DSGVO vorliegen, der die Datenminimierung als einen der Grundsätze der Verarbeitung personenbezogener Daten verlangt: Personenbezogene Daten müssen demnach „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.
Nach Urteil des Gerichts der Europäischen Union (EuG) vom 26.4.2023 (Az: T-557/20) müssen für einen möglichen Personenbezug bei IDs folgende Bedingungenvorliegen:
Im Gegensatz zu anonymen Daten lässt sich die Person hinter der ID durch Heranziehung zusätzlicher, separat aufbewahrter Informationen re-identifizieren.
Der oder die Datenempfänger verfügen über diese Informationen zur Re-Identifikation oder haben rechtliche Möglichkeiten, auf solche Informationen zuzugreifen.
Das heißt, dass sich Website-Betreiber bei Einsatz von Google Analytics u.a. auch darüber Gedanken machen müssen, welche Möglichkeiten der Re-Identifikation Google selbst hat, da Google nicht nur Auftragsverarbeiter, sondern auch Datenempfänger ist.
Was tun, wenn Identifier ausdrücklich gewünscht sind?
Hier sind zwei Fälle zu unterscheiden:
Die eigentliche ID ist in der Auswertung irrelevant. Es geht nur darum, ob eine ID vorhanden ist, um bspw. Besuche mit und ohne Login zu unterscheiden.
Da die Anonymisierung den Parameter-Wert, aber nicht den Parameter als solchen ersetzt, kann einfach bspw. nach dem entsprechenden Parameter gefiltert werden, z.B.:
oid=…
Die jeweilige ID ist relevant wie für Remarketing-Zwecke oder anderes Matching. In diesem Fall kann eine eigene Segment-Dimension entweder auf Besuchs- oder Nutzerebene genutzt werden. Gehe hierfür zu Einstellungen → Account → Datenanreicherung → Eigene Dimensionen.
Der neue Automatismus verstärkt somit die Datenschutzfreundlichkeit von etracker Analytics und macht gleichzeitig die Auswertbarkeit einfacher und schneller.
Diese vier datenschutzrechtlichen Begriffe sorgen immer wieder für Missverständnisse. . Die rechtliche Bedeutung zu verstehen, ist aber essentiell, um Datenschutzverletzungen im digitalen Marketing zu vermeiden:
Datenverarbeitung
Personenbezogene Daten
Erforderlichkeit
Überwiegendes berechtigtes Interesse
Die Begriffe werden in der DSGVO definiert. Allerdings klingen die Definitionen recht abstrakt. Daher wollen wir sie anhand eines Beispiels aus der Praxis einfach erklären.
Auf einer Website haben wir in der Datenschutzerklärung diese Formulierung gefunden:
„Diese Webseite verwendet den […] Tag Manager. Der […] Tag Manager ist eine Lösung, mit der wir Website-Tags über eine Oberfläche verwalten können. Das Tool implementiert Tags, ist jedoch selbst eine cookiefreie Domain und erfasst keine personenbezogenen Daten. Es sorgt lediglich für die Auslösung anderer Tags, die ihrerseits unter Umständen Daten erfassen können – worauf der Tag Manager jedoch nicht zugreift. Durch dieses Tool werden keine personenbezogenen Daten erhoben oder gespeichert. Der Einsatz des […] Tag Managers erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 S.1 lit. f) DS-GVO).“
Schauen wir uns einmal vor diesem Hintergrund die vier Begriffe an:
1. Datenverarbeitung
Im obigen Beispiel wird behauptet, der eingesetzte Tag Manager erfasse keine Daten, greife auf keine Daten zu und speichere auch keine Daten. Andererseits erfolge die Datenverarbeitung aber auf der Grundlage des berechtigten Interesses. Werden also Daten verarbeitet, ja oder nein? Ganz wichtig: Die Speicherung ist nur eine mögliche Art der Verarbeitung. Laut Art. 4 Nr. 2 DSGVO fällt unter Verarbeitung auch das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Also einfach ausgedrückt: Jeglicher Umgang mit Daten ist eine Datenverarbeitung!
Da bekanntermaßen im Web nichts ohne Daten geht, kann man also einfach sagen, dass jedes aktive Tool auf einer Website immer auch Daten verarbeitet.
Im Zweifel die Dev Tools im Browser aufrufen mit F12 und die Netzwerkaktivität untersuchen.
2. Personenbezogene Daten
Genauso einfach, wie die Frage der Datenverarbeitung, lässt sich grundsätzlich auch die Frage beantworten, ob dabei personenbezogene Daten verarbeitet werden. Denn die Verbindung zum Server des Tools erfordert immer die Übermittlung der jeweiligen IP-Adresse. Die IP-Adresse ist höchstrichterlich entschieden ein personenbezogenes Datum. Und eine Verarbeitung bedarf keiner Speicherung!
Deshalbgilt immer bei Anwendungen im Web: Es werden personenbezogene Daten verarbeitet.
Dabei spielt es keine Rolle, ob die IP-Adresse vor einer weiteren Verarbeitung anonymisiert wird. Denn zunächst einmal kommt sie immer vollständig an. Und eine Anonymisierung ist auch eine Verarbeitung.
Im Rahmen von Tracking Tools können noch andere personenbezogene Daten neben der IP-Adresse bewusst oder „versehentlich“ verarbeitet werden. Was heißt „versehentlich“? Daten von der Website werden strukturiert übergeben mittels verschiedener Parameter, die man sich in den Dev Tools anschauen kann:
Personenbezogene Daten können in den speziell dafür vorgesehenen Parametern übergeben werden wie zum Beispiel eine Nutzer- oder Cookie-ID. Sie können jedoch auch Teil zum Beispiel der URL sein und auf diesem Wege sozusagen „unbeabsichtigt“ übertragen werden. Gerade auf Seiten nach einem Login ist dies häufig der Fall. Hier kann ein Verstoß gegen Art. 5 DSGVO vorliegen, der die Datenminimierung als einen der Grundsätze der Verarbeitung personenbezogener Daten verlangt: Personenbezogene Daten müssen demnach „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Gerade das unbeabsichtigte Erfassen verfolgt keinen „richtigen“ Zweck und ist damit besonders kritisch.
Nicht jede Nutzer-ID weist jedoch automatisch einen Personenbezug auf. Nach Urteil des Gerichts der Europäischen Union (EuG) vom 26.4.2023 (Az: T-557/20) müssen für einen Personenbezug bei IDs folgende Bedingungen gelten:
Im Gegensatz zu anonymen Daten lässt sich die Person hinter der ID durch Heranziehung zusätzlicher, separat aufbewahrter, Informationen re-identifizieren.
Der oder die Datenempfänger verfügen über diese Informationen zur Re-Identifikation oder haben rechtliche Möglichkeiten, auf solche Informationen zuzugreifen.
Bei Einsatz von Tools bzw. Tags von Google, Meta & Co. müssen sich Website-Betreiber auch um deren Möglichkeiten Gedanken machen, da sie nicht nur Auftragsverarbeiter, sondern auch Datenempfängersind.
Wir können also mitnehmen:
Bei Website-Tools und -Tags werden mindestens mit der IP-Adresse immer personenbezogene Daten verarbeitet.
Personenbezogene Daten dürfen nur in einer Form und so lange verarbeitet werden, wie für einen berechtigten Zweck erforderlich (Stichwort „Datenminimierung“) und müssen dabei bestmöglich geschützt werden. „Unbeabsichtigte“ Erfassung in URLs und Parametern gilt es unbedingt zu vermeiden. „Benötigte“ personenbezogene Daten sollten nach Möglichkeit anonymisiert werden.
Wichtig: Die Verarbeitung von personenbezogenen Daten führt nicht zwangsweise zur Pflicht, eine vorherige Einwilligung vom Nutzer einzuholen.
Eine Einwilligung ist nur dann verpflichtend, wenn die Verarbeitung weder erforderlich ist noch die eigenen Interessen dabei überwiegen.
3. Erforderlichkeit
Auf den Geräte-Speicher von Nutzern dürfen Tracking Tools nach dem TTDSG nur zugreifen, wenn dies unbedingt erforderlich ist oder der Nutzer zuvor eingewilligt hat. Dabei muss für das Kriterium der unbedingten Erforderlichkeit die Perspektive des Nutzers eingenommen werden, also ob die Funktion primär den Interessen der Nutzer der Website dient. In der Orientierungshilfe der deutschen Aufsichtsbehörden werden für die Beurteilung der Erforderlichkeit weitere Kriterien genannt wie die Art der Informationen und die Dauer der Speicherung.
Bei der Website moebel.de werden auch die Website-Personalisierung, die Web-Analyse und das Tag Management als technisch notwendig ausgewiesen:
Das ist datenschutzrechtlich gelinde ausgedrückt abenteuerlich. Denn der Tag Manager dient primär den Marketern und nicht den Nutzern. Die Website-Personalisierung dürfte wiederum kaum als Basisdienst gelten und eine umfassende Web-Analyse wird von den Aufsichtsbehörden ebenfalls von der Erforderlichkeit ausgeschlossen:
„Selbst die einfache Messung von Besucherzahlen ist daher nicht per se als Bestandteil des Basisdienstes einzustufen, sondern abhängig vom jeweils konkret verfolgten Zweck. Die fehlerfreie Auslieferung der Webseite kann beispielsweise vom Nutzerwunsch umfasst sein, während die Wirtschaftlichkeit von Werbeanzeigen im Regelfall nur den primären Interessen des Webseitenbetreibers dient.“
„Der Google reCaptcha-Mechanismus dient jedoch nicht allein der Absicherung des Authentifizierungsmechanismus zum Nutzen der Nutzer, sondern ermöglicht auch Analysevorgänge seitens Google.“
Als technisch erforderlich angesehen werden können beim Tracking hingegen folgende Endgeräte-Speichervorgänge:
Setzen und Auslesen von Cookies zur Umsetzung der Widerspruchsfunktion, also dem Opt-out von der Datenverarbeitung. Dies dient primär den Interessen des Nutzers (und in der Regel entgegen den Interessen des Website-Betreibers), die getroffene Entscheidung festzuhalten und nicht mit jedem Website-Besuch wiederholen zu müssen.
Zwischenspeichern von Analysevorgängen im lokalen oder Sitzungsspeicher, um die Nutzung der Website bzw. deren Performance für den Nutzer bestmöglich zu gewährleisten. Beispiel hierfür ist die Scrolltiefen-Messung, damit nicht jede Scroll-Bewegung zu einer Datenübermittlung führt, sondern die Scrolltiefe-Daten „gebündelt“ alle paar Sekunden gesendet werden. Voraussetzung ist auch, dass die damit einhergehende Datenverarbeitung im Sinne der DSGVO keiner Einwilligung bedarf.
Nicht als unbedingt erforderliche Endgeräte-Zugriffe und somit nicht ohne vorherige Einwilligung dürften somit gelten:
Cookies von Marketing-Plattformen wie Google, Meta, LinkedIn und Tiktok.
Andere Werbe- und Marketing-Cookies einschließlich Affiliate-Marketing.
Statistik-Cookies, die Identifier speichern, um Nutzer im Zeitverlauf wiederzuerkennen, insbesondere, wenn dies Geräte-, Website- oder Tages-übergreifend erfolgt.
Cookies zum Tag Management und zur Conversion-Optimierung im primären Marketer-Interesse
4. Überwiegendes berechtigtes Interesse
Der Europäische Gerichtshof (EuGH), also das höchste europäische Gericht, hat mit dem Urteil am 4. Juli 2023 im Verfahren von Meta gegen das Bundeskartellamt (Rechtssache C‑252/21) zum berechtigten Interesse gefordert, dass
die Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen (Datenminimierung) und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (Erforderlichkeit),
eine Abwägung der gegenüberstehenden Interessen die vernünftigen Erwartungen der betroffenen Personen sowie den Umfang der fraglichen Verarbeitung berücksichtigen muss und
der Verantwortliche (Website-Betreiber) die Einhaltung durch eigene Prüfung des Anbieters oder durch ein unabhängiges Testat belegen können muss (Rechenschaftspflicht).
Der EuGH legt den Grundsatz der Erforderlichkeit sehr eng aus und verlangt, dass es für die Zwecke keine zumutbaren ebenso wirksamen milderen Mittel geben darf. Ist die eingesetzte Lösung deutlich Datenschutz-unfreundlicher oder verfolgt der Anbieter auch eigene Zwecke, fällt die Lösung beim berechtigten Interesse durch.
Auch in Sachen vernünftige Erwartungen legt der EuGH einen harten Maßstab an und widerspricht der Ansicht, dass Nutzer unentgeltlicher Dienste mit der Weitergabe ihrer Daten oder personalisierter Werbung rechnen müssten:
„Insoweit ist darauf hinzuweisen, dass, auch wenn die Dienste eines sozialen Online-Netzwerks wie Facebook unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen kann, dass der Betreiber dieses sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet.“
Im Hinblick auf den Umfang der Datenverarbeitung der großen Marketing-Plattformen führt das EuGH aus:
„Im Übrigen ist die im Ausgangsverfahren in Rede stehende Verarbeitung besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Online-Aktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von Meta Platforms Ireland aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird.“
Tags oder Tools der großen Marketing-Plattformen dürfen somit nicht unter dem berechtigten Interesse eingesetzt werden.
Fazit zum Datenschutz-1×1 für Marketer
Egal, welche Analyse- und Marketing-Tools eingesetzt werden, es kommt eigentlich immer zu einer Verarbeitung personenbezogener Daten im Sinne der DSGVO. Doch das führt nicht zwangsweise zur Einwilligungspflicht. Cookies mit Sitzungs- oder Nutzer-IDs (egal, ob damit Nutzer identifiziert werden können), sind so gut wie immer einwilligungspflichtig. Nur maximal Datenschutz-freundliche Lösungen können unter dem berechtigten Interesse eingesetzt werden. Voraussetzungen sind im Wesentlichen:
Nur mit Abschluss eines AV-Vertrags nutzbar
Automatische Kürzung der IP-Adresse vor dem Persistieren
Anonymisierte Nutzer-Kennungen müssen auf 24h begrenzt sein
Reporting mit anonymisierten Daten ohne Re-Identifikationsmöglichkeit des Nutzers
Keine Nutzung zu eigenen Zwecken, Verknüpfung mit Daten anderer Kunden oder Weitergabe an Dritte
Kein Session Recording oder Mausbewegungs-Aufzeichnung
Direkte Widerspruchsfunktion in der Datenschutzerklärung
Anbindung an Marketing-Plattformen zum Hochladen von Conversion-Daten nur ohne Nutzer-Kennungen
Weiterverarbeitung nur von anonymisierten Daten in Reporting-Lösungen wie Google Looker Studio oder Microsoft Power BI
Erfüllung der geforderten Rechenschaftspflicht durch eine unabhängige Prüfung
Die Inhalte wurden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Die Informationen sind insbesondere auch allgemeiner Art und stellen keine Rechtsberatung im Einzelfall dar.
