Welche Auswirkungen hat dies auf das klassische Tracking?
Tracking auf Webseiten erfolgt bisher meist in Form von Client-Side-Tracking, was auch als klassisches Tracking bezeichnet wird. Es ist eine Methode zur Datenerfassung, bei der Informationen direkt vom Endgerät bzw. Browser des Nutzers (dem „Client“) an einen externen Server wie beispielsweise Google Analytics übermittelt werden. Dies erfolgt mittels Third-Party-Cookies. Diese Methode wird häufig von Analyse-Diensten verwendet und ermöglicht es diesen, Informationen über das Nutzerverhalten und die Interaktionen auf einer Webseite zu sammeln.
Browser wie Safari blockieren Third-Party-Cookies bereits seit 2020. Mit der Entscheidung von Google, Third-Party-Cookies in ihrem Chrome-Browser zu blockieren, schließt sich ein weiterer Anbieter dem Trend der Third-Party-Cookies-Blockierung an. Damit wird das traditionelle Client-Side-Tracking, das auf diesen Cookies basiert, weitgehend unwirksam.
Was ist Server-Side-Tracking?
Eine Alternative zum Client-Side-Tracking ist das Server-Side-Tracking. Bei dieser Methode werden keine Third-Party-Cookies, sondern First-Party-Cookies gesetzt. Es handelt sich dabei um eine Methode der Datenerhebung, bei der die Nutzerdaten nicht direkt an einen externen Server von Analysediensten, sondern zunächst an einen selbst betriebenen Server übermittelt werden. Von dort aus können die Daten dann an die jeweiligen Drittanbieter übermittelt werden.
Was sind die Vor- und Nachteile des Client-Side-Tracking aus Marketingsicht?
Das Client-Side-Tracking bietet mehrere Vorteile, die es vor der Blockierungswelle von Third-Party-Cookies für das Online-Marketing attraktiv gemacht haben. Dazu gehören insbesondere:
- Die Möglichkeit sämtliche Verhaltensdaten zu erheben.
- Einfache Einrichtung ohne großen technischen Aufwand.
- Flexibilität in der Anwendung.
- Geringen oder gar nicht anfallenden Kosten.
Das Client-Side-Tracking weist jedoch auch einige Nachteile auf wie z. B.:
- Ad-Blocker und Tracking-Preventions können die Datenerfassung behindern, indem sie Tracking-Skripte blockieren, was zu einer unvollständigen Datenerfassung führen kann.
- Unternehmen sind oft nicht Eigentümer der Rohdaten, da diese bei Drittanbietern verbleiben, was die Analysemöglichkeiten einschränkt.
Welche Vor- und Nachteile hat Server-Side-Tracking aus Marketingsicht?
Das Server-Side-Tracking bietet aus Marketingsicht jedoch auch eine Reihe von Vorteilen.
- Da die Datenerhebung auf dem Server stattfindet, ist sie von Ad-Blockern und Tracking-Preventions unbeeinflusst und ermöglicht eine zuverlässigere Datenerfassung.
- Zukunftssichere Strategie ohne Third-Party-Cookies, die weniger anfällig für Änderungen der Browsereinstellungen oder Tracking-Richtlinien sind.
- Die Möglichkeit des Trackings auch ganz ohne Cookies.
- Unternehmen behalten die Kontrolle über die Daten, auch über die Rohdaten selbst.
- Erhöhte Integrität der Daten und Ermöglichung einer besseren Analyse und Interpretation.
Allerdings sind auch einige Nachteile zu berücksichtigen, beispielsweise:
- Server-Side-Tracking ist eine neue Technologie und daher mit Lernprozessen und notwendigen Anpassungen verbunden.
- Die Implementierung ist komplexer als beim Client-Side-Tracking.
- Die Funktionalität hängt maßgeblich vom Data Layer ab, also dem „Zwischenlager“ für Informationen auf einer Webseite. Im Data Layer werden alle Besucherdaten und deren Aktionen gespeichert, die auf dem Server verarbeitet werden.
- Der Einsatz weiterer Server ist mit zusätzlichen Kosten verbunden.
Client-Side-Tracking aus der Sicht des Datenschutzes
Der Einsatz von Client-Side-Tracking wirft einige datenschutzrechtliche Bedenken auf. So werden die Daten der Nutzer unmittelbar an Dritte weitergegeben, so dass die Betreiber der Webseiten nicht mehr im Besitz der Datenhoheit sind. Dies birgt die Gefahr des Datenverlustes.
Webseitenbetreiber, die das Client-Side-Tracking nutzen, haben nur eine begrenzte Kontrolle über den Datenfluss, sobald dieser den Browser des Nutzers verlässt. Die fehlende Kontrolle über den Datenfluss birgt das Risiko eines unbefugten Zugriffs, wodurch vertrauliche Informationen möglicherweise externen Stellen zugänglich gemacht werden.
Server-Side-Tracking aus der datenschutzrechtlichen Sicht
Demgegenüber erweist sich das Server-Side-Tracking als eine robustere und datenschutzfreundlichere Lösung.
Ein wesentlicher Vorteil des Server-Side-Tracking liegt in der geringeren Gefährdung durch Dritte. Die Verarbeitung auf dem eigenen Server ermöglicht den Webseitenbetreibenden eine stärkere Kontrolle über die mit externen Analyseplattformen ausgetauschten Informationen. Dadurch kann das Risiko eines unberechtigten Datenzugriffs deutlich reduziert werden.
Außerdem kann so die Übermittlung personenbezogener Daten wie IP-Adressen in ein Drittland außerhalb der EU datenschutzkonformer gestaltet werden. Durch Server-Side-Tracking kann der Tracking-Server als europäischer Proxy fungieren und so die IP-Adressen anonymisieren. Auf diese Weise werden nur Daten übertragen, die nicht in den Anwendungsbereich der Datenschutz-Grundverordnung fallen.
Beim Server-Side-Tracking müssen zudem nicht zwingend Cookies gesetzt werden, um das Nutzungsverhalten nachzuverfolgen. Dabei können Informationen über die Interaktionen der Nutzenden mit der Webseite direkt auf dem Server gespeichert und verarbeitet werden. Anstatt ein Cookie auf dem Gerät der Nutzenden zu speichern, wird eine Nutzerkennung auf dem Server gespeichert.
Entfällt beim Cookieless-Tracking die Einwilligungspflicht?
Aus Sicht der DS-GVO
Für die Verarbeitung personenbezogener Daten wie das Nutzerverhalten gilt grundsätzlich das Verbot mit Erlaubnisvorbehalt der DS-GVO. Demnach ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn ein Erlaubnistatbestand nach Art. 6 DS-GVO vorliegt.
Zwei wichtige Erlaubnistatbestände sind dabei die Einwilligung und das berechtigte Interesse. Die Einwilligung bedeutet, dass die betroffene Person freiwillig und informiert in die Verarbeitung eigener Daten einwilligt und diese Einwilligung jederzeit widerrufen kann.
Das berechtigte Interesse erlaubt die Datenverarbeitung, wenn sie zur Wahrung der Interessen des Verantwortlichen notwendig ist und nicht die Rechte der betroffenen Personen überwiegen. Laut BayLDA (13. Tätigkeitsbericht 2023: https://www.lda.bayern.de/media/baylda_report_13.pdf - page=65) stützen sich in der Praxis Webseitenbetreiber häufig noch auf eine Interessenabwägung, wie sie für Art. 6 Abs. 1 lit. f DS-GVO erforderlich ist, oder argumentieren damit, dass keine personenbezogenen Daten verarbeitet werden. Seit dem BGH-Urteil vom 28.05.2020 - I ZR 7/16 (https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868) ist die aktive, explizite und informierte Einwilligung der Nutzenden Pflicht. Websitebetreiber dürfen nur mit der Einwilligung des Nutzers Trackingtechnologien einsetzen. Dies gilt sowohl für technisch nicht unbedingt notwendige Cookies als auch für den Einsatz von Cookieless Methoden. Es ist also nicht möglich, durch Cookieless Tracking die Einwilligungspflicht zu umgehen.
Aus Sicht des TDDDG
Die Datenverarbeitung beim Tracking ist nach § 25 TDDDG nur mit einer Einwilligung oder bei strenger Funktionsnotwendigkeit zulässig. Die Einwilligungspflicht gemäß § 25 Abs. 1 TDDDG findet ihre Anwendung nicht nur bei Cookies, sondern auch bei ähnlichen Technologien wie eben dem Cookieless Server-Side-Tracking. Dies wurde unter anderem im Tätigkeitsbericht des LDA Bayern nochmals betont.
§ 25 TDDDG findet Anwendung auf jede Speicherung von Informationen in den Endgeräten der Nutzenden sowie auf jeden Zugriff auf dort gespeicherte Informationen, unabhängig davon, ob personenbezogene Daten verarbeitet werden. In diesem Kontext besteht das Erfordernis einer Einwilligung auch gemäß § 25 Abs. 1 TDDDG.
Fazit
Die bevorstehende Abschaffung von Third-Party-Cookies durch Google zwingt Unternehmen, alternative Tracking-Methoden zu erkunden. Dabei erweist sich das Server-Side-Tracking als eine vielversprechende Option. Obgleich die Implementierung als komplexer zu bewerten ist und zusätzliche Kosten verursachen kann, lässt sich daraus ableiten, dass es sich um eine langfristige und nachhaltigere Lösung handelt, die den Bedenken hinsichtlich des Datenschutzes und Datenintegrität besser gerecht wird als herkömmliches Client-Side-Tracking.
Handlungsempfehlung
- Falls Client-Side-Tracking betrieben wird, kann über eine Umstellung nachgedacht werden.
- Evaluierung anderer Tracking-Möglichkeiten wie z. B. das Server-Side-Tracking.
- Überprüfung der Datenschutzkonformität von Tracking-Tools. Wenn Unternehmen Tracking-Tools einsetzen müssen sie darauf achten sich eine wirksame Einwilligung einzuholen. Zur Einwilligung finden Sie umfangreiche Informationen in unserer Einwilligungsserie: https://www.audatis.de/aktuelles/nudging-widerruf.
Nachtrag vom 14.08.2024
Von der seit mehreren Jahren verfolgten Entscheidung Googles, Third-Party-Cookies im Google Chrome Browser künftig standardmäßig zu blockieren hat Google Ende Juli 2024 Abstand genommen.
Gleichwohl in der Datenschutzwelt sehr begrüßt, war der ursprüngliche Plan von Anfang an umstritten. Die digitale Werbe-, Ad-Tech- und Verlagsbranche befürchtete, dass das Vorhaben der standardmäßigen Cookie-Blockierung ihre Geschäftsmodelle zerstören, Googles Vorteil bei der Sammlung von Verbraucherdaten gegenüber den Werbetreibenden weiter festigen und sie dadurch zwingen würde, mehr für Googles Ad-Targeting-Dienste zu zahlen. Zusätzlich zu der Kritik aus der Branche, untersuchen britische Aufsichtsbehörden seit 2021, ob das Vorhaben wettbewerbsrechtliche Verstöße auslöst, da Google weiterhin über den eigenen Browser Daten sammeln könnte, dies jedoch anderen Marktteilnehmern nicht mehr offen stünde. Dies könnte ein Ausnutzen der eigenen Marktstellung darstellen.
Google schlägt jetzt laut eigener Aussage einen neuen Weg ein. Zwar sollen Internetnutzer weiterhin die Möglichkeit erhalten, Third-Party-Cookies zu blockieren, eine standardmäßige Aktivierung der Blockierung soll es aber nicht geben. Heißt, für den datenschutzfreundlichen Einsatz des Chrome-Browsers, müssen die Nutzer selbst aktiv werden.
Aus Datenschutzsicht eine bedauernswerte Entscheidung. Doch hat diese Entscheidung auch auf die Prognose, der künftigen Abkehr vom klassischen Tracking, hin zum Server-Side-Tracking Auswirkungen? Eindeutig lässt sich dies nicht beantworten. Der Google Chrome Browser liegt mit 60 % Marktanteilen ganz deutlich vor allen anderen, sich am Markt befindenden Browsern. Demnach wiegt Googles Entscheidung sehr viel. Der Druck, jetzt schnell noch, vor Googles Umstellung zur Blockierung von Third-Party-Cookies, vom klassischen zum Server-Side-Tracking zu wechseln ist damit deutlich gesunken.
Gleichzeitig ist zu beachten, dass die Menschen immer sensibler für Datenschutzthemen und die eigene Privatsphäre werden. Die Tendenz zum Wechsel wird wohl bleiben. Die Geschwindigkeit, mit welcher der Wechsel stattfindet, wird sich aber aller Voraussicht nach deutlich mäßigen.