Tracking Garden Logo
Tracking Garden
Direkt zum Seiteninhalt

Tracking Opt-In statt Opt-Out - Probleme und Möglichkeiten

Tracking Garden GmbH
Veröffentlicht von in Datenschutz · 7 Oktober 2019
Hintergrund und Vorgeschichte
Wie Ihr vielleicht gelesen habt, gab es letzte Woche ein EuGH-Urteil zur Cookie-Einwilligung. Gegenstand der Klage waren die Cookie-Banner - für uns interessant daran, ob Cookies erst nach wissentlicher Zustimmung des Website-Besuchers im Browser gespeichert werden dürfen. Geklagt hatte der VZBV (Verbraucherzentrale Bundesverband) gegen die Planet49 GmbH. Der Fall ging zum BGH (Bundesgerichtshof), der hatte die Klage an den EuGH (Europäischen Gerichtshof) weitergereicht.

Jedenfalls hat der EuGH entschieden, dass Cookies erst nach der bewussten Zustimmung des Website-Besuchers im Browser gespeichert werden dürfen. Das hat dann für einen ziemlichen Aufschrei in der Branche gesorgt, obwohl das Urteil eigentlich schon so erwartet wurde. Interessant am Urteilsspruch war noch, dass es keine Rolle spielt, ob es sich bei den zu speichernden Daten um personenbezogene Daten handelt oder nicht.

Lustiger Fakt am Rande war auch, dass der EuGH damit sein eigenes Cookie-Banner als nicht datenschutz-konform verurteilte.

Jetzt liegt der Ball erstmal wieder beim BGH, der das Ganze nun irgendwie mit dem Deutschen Recht in Einklang bringen muss.

Wir wollen uns in diesem Artikel damit beschäftigen, welche Probleme ein Tracking nach User Opt-In mit sich bringt und welche Möglichkeiten es gibt.

Was genau bedeutet das EuGH Urteil?
Wenn es der BGH ins deutsche Recht so umsetzt wie von den Datenschützern empfohlen, dürfen keinerlei Cookies mehr gespeichert werden, bevor der Website-Besucher nicht (bewusst) seine Einwilligung dafür gegeben hat. Nun sind wir keine Juristen, interpretieren das Urteil aber so, dass es nicht nur Cookies, sondern auch alle anderen Arten von Datenspeicherung beim Nutzer betrifft (also auch Local Storage, IndexedDB, usw.). Wenn wir im folgenden Text über Cookies schreiben, meinen wir damit folglich auch andere Arten der Datenspeicherung (LocalStorage, ...).

Nach dem Urteil des EuGH spielt es dabei keine Rolle, ob es sich um personenbezogene Daten handelt oder nicht. Ob das tatsächlich so kommt, sehen wir etwas differenziert. Schließlich gibt es auch Cookies, die zum ordentlichen Betrieb einer Website erforderlich sind oder ohne die eine Website wesentlich schwieriger zu bedienen wäre. Solche Cookies sind nach der derzeitigen DSGVO-Regelung zulässig - dort sind im Prinzip alle Cookies ohne Nutzer-Einwilligung zulässig, die zum geschäftlichen Betrieb der Website unabdingbar sind. Wir denken, dass eine solche Ausnahme-Regelung auch zukünftig Bestand haben wird.

Gehen wir in den folgenden Abschnitten einmal davon aus, dass zumindest alle unsere Tracking-Cookies erst nach User-Zustimmung gespeichert werden dürfen und auch das Tracking selbst erst ab dann stattfinden darf. Wir sprechen dabei über Tracking - meinen damit aber auch die Cookie-Speicherung.
Möglichkeiten für Tracking nach Nutzer Einwilligung
Tracking nach Login
Websites, bei denen Besucher sich einloggen müssen, können die Zustimmung zum Tracking einfach nach dem Erstellen des Accounts (aber separat) beim Nutzer einholen.
Cookie Bar
Obwohl es bisher eigentlich noch gar keine Pflicht war - seit der DSGVO haben die meisten Websites eine sogenannten Cookie-Bar, die über die Verwendung von Cookies informiert. Getrackt und gespeichert wird bei fast allen aber auch schon, bevor der User den obligatorischen "Ok" Button geklickt hatte. Dies wird sich ja nun ändern.

Statt der bisherigen Opt-Out Cookies (die man ja nun ohne Einwilligung auch nicht mehr setzen darf), werden nun Opt-In Cookies gesetzt, nachdem der Nutzer eingewilligt hat. Alle Tracking Scripte benötigen also zukünftig eine Abfrage, ob dieses Opt-In Cookie existiert und dürfen erst dann starten.

Eine Umsetzungs-Möglichkeit mit dem Google Tag Manager haben wir im Beitrag "GA Pageview Tracking mit GTM erst nach Nutzer-Zustimmung" gezeigt.
Consent Management Provider
CMP's (Consent Management Platform) sind externe Dienstleister, welche eigene Lösungen für die Cookie-Bars anbieten. Dabei wird genau auf Einhaltung der Datenschutzrichtlinien geachtet. Deshalb setzen bereits einige Websites auf eines der CMP. Viele CMP's nutzen einheitliche Standards, geregelt durch das IAB Transparency & Consent Framework. Das ist sozusagen eine Einwilligungs-Stelle für Website-Besucher und -Betreiber (und auch Advertiser, ...). Dazu werden sogenannte einheitliche Consent Strings gebildet, aber das würde jetzt wohl den Rahmen sprengen...

Jedenfalls kümmert sich ein CMP um Opt-In und Opt-Out für Cookies, Tracking und Co. und natürlich auch um alles, was damit zusammenhängt (z.B. die Dokumentation, Verwaltung und Abfragemöglichgkeit bei Nutzerzustimmungen für Cookies). Und Websites mit Werbe-Einnahmen können durch die Standardisierung die externen Advertiser über das CMP regeln.
Probleme bei später Nutzereinwilligung für Tracking
Solang der Nutzer gleich auf der ersten besuchten Seite das Cookie-Banner positiv bestätigt, sollte es gar keine Probleme geben. Problematisch wird es nur dann, wenn der Website-Besucher bei einem späteren Pageview oder gar nicht zustimmt ...
Fehlende Daten
Stimmt ein Website-Besucher der Cookie-Speicherung und dem Tracking nicht zu, fehlt dieser User komplett in unseren Analyse Systemen. Somit werden unsere Nutzer- und Session-Zahlen verfälscht, bei den meisten Websites auch die Umsatz-Zahlen und Ziel-Erreichungen.
Stimmt ein Nutzer erst zu einem späteren Zeitpunkt der Cookie-Speicherung und dem Tracking zu, fehlen (bei normalen Implementationen) alle Daten bis zu diesem Zeitpunkt. Somit werden Kennzahlen wie Besuchszeit, Seitenaufrufe verfälscht und auch Informationen zur Besucherherkunft.
Fehlende Quellen
Das größte Problem für die Website-Betreiber dürften die fehlenden Informationen zur Besucher-Herkunft sein, wenn der User nicht gleich auf der ersten Seite dem Tracking zustimmt. Quelle und Medium gehen verloren, aber auch Kampagnen-Quellen für Affiliate-Systeme und bei CPC-Kampagnen (wie Google Ads) folglich auch die Kampagnen-Zuordnung.
Lösungsansätze
Das letztere Problem (Fehlende Quellen) lässt sich lösen, indem man die Quell-Informationen als URL-Parameter solang übergibt, bis der Nutzer das Tracking genehmigt. Umso aggresiver das Cookie-Banner eingeblendet wird, umso eher wird der Besucher dem Tracking zustimmen. Übertreiben darf man es aber auch nicht ;)

Ein anderer Ansatz ist die serverseitige Speicherung der Nutzerdaten (mittels Fingerprinting und Co.). Aber wenn es drauf ankommt, dürfte auch das nicht datenschutz-konform sein.

Die sicherste Lösung ist deshalb, den Nutzer gleich auf der ersten Seite dazu zu bewegen, den Einwilligungs-Button zu klicken. Hierbei sei Eurer Kreativität freien Lauf gelassen ...
ITP und ETP
Apples ITP (Intelligent Tracking Prevention) und der Firefox ETP (Enhanced Tracking Protection) sorgen dafür, dass bei Firefox, Safari und iOS Cookies gar nicht mehr oder noch noch für einen sehr kurzen Zeitraum gespeichert werden. Glücklicherweise beziehen sich die Cookie-Schutz-Lösungen bisher nur auf Cookies und nicht auf andere Speicherarten. Deshalb solltet Ihr darauf achten, dass Ihr alle clientseitig gespeicherten Informationen zusätzlich noch als Local Storage und eventuell weiteren Arten speichert (und abfragt).



Kein Kommentar

Zurück zum Seiteninhalt