Logo von PULS13

Tracking und Website-Cookies: Was ist laut DSGVO erlaubt und was nicht?

Nach einem Urteil des BGH vom Mai 2020 dürfen Cookies erst nach ausdrücklicher Einwilligung auf den Geräten von Nutzern verarbeitet werden (Opt-in). Aber stimmt das so pauschal überhaupt? Und welche Konsequenzen hat das für den Einsatz von Trackingtools auf Ihren Websites? Wir fassen den Stand der Diskussion sowie der Rechtsprechung zusammen und zeigen Ihnen gesetzeskonforme Alternativen zu Google Analytics auf.

Beim Aufruf von Webseiten versperren seit Mai dieses Jahres mehr oder weniger umfangreiche Kästchen den Blick auf die Inhalte. Der Grund dafür ist ein Urteil des Bundesgerichtshofes vom 28. Mai dieses Jahres, nach dem zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung eine Einwilligung des Nutzers erforderlich ist.

Reichte bis zu diesem Zeitpunkt ein unscheinbares Banner mit Klickoptionen aus, das Nutzern die Möglichkeit gab, der Aufzeichnung ihres Surfverhaltens zu widersprechen (Opt-out), wird das Prinzip nun umgekehrt: Der Nutzer muss der Nutzung seiner Daten aktiv zustimmen (Opt-in) – und ihm muss immer eine Alternative ohne Tracking angeboten werden.

Cookies sind Textdateien, die es einem Webserver erlauben, Nutzer wiederzuerkennen und seine Einstellungen zu speichern. Sie finden sich auf nahezu allen kommerziell genutzten Webseiten mit interaktiven Funktionen und / oder Werbung.

Aus Sicht des Nutzers verbessern Cookies den Komfort beim wiederholten Besuch von Websites. So kann zum Beispiel der Inhalt von Warenkörben über mehrere Website-Besuche gespeichert werden oder und man muss sich auf häufig genutzten Seiten nicht jedes Mal neu einloggen.

Diesen Komfort bezahlen Nutzer in vielen Fällen aber mit Informationen, die sie preisgeben und die von den Cookies gespeichert werden. Und genau deswegen stehen Cookies im Zentrum einer Reihe von komplexen Tracking-Fragen. Ist es rechtlich vertretbar, dass die Zustimmung zum Setzen von Cookies und zum Aufzeichnen des Surfverhaltens auch als Zustimmung zur Übermittlung an andere Unternehmen oder zum Auslesen der IDs von Social-Media-Accounts wie Facebook gewertet wird?

Der Gesetzgeber hat diese Frage ganz klar mit Nein beantwortet. Damit ist eine Differenzierung des Begriffs notwendig – denn Cookie ist nicht gleich Cookie. Vielmehr ist künftig mindestens zwischen notwendigen Cookies (z. B. Cookies für Warenkorb, Sprachauswahl, Load Balancing oder Login-Status) und optionalen Cookies zu unterscheiden, die nicht essenziell für das tadellose Funktionieren einer Seite sind (Komfortfunktionen, Marketing, Tracking, A/B-Testing, Webanalyse). Natürlich ist diese Trennung nicht unumstritten – es gibt gute Gründe, auch einige der optionalen Cookies als essenziell anzusehen, erst recht mit Blick auf die Wirtschaftlichkeit einer Seite. Doch wer sich nicht in rechtlichen Grauzonen bewegen will, sollte die Unterteilung respektieren und beherzigen.

Was bedeutet das Urteil für den DSGVO-konformen Einsatz von Google Analytics, Matomo und das Facebook-Pixel?

Für Sie als Betreiber erwächst aus dem Urteil des Bundes zunächst die Verpflichtung, sich mittels Opt-in-Verfahren die Zustimmung jedes Nutzers zum Einsatz von nicht notwendigen Cookies einzuholen. Genau deshalb wäre jetzt ein guter Zeitpunkt, generell über die eigene Strategie der Datenerhebung und -analyse sowie die entsprechenden Tools nachzudenken.

Google Analytics ist der Platzhirsch unter den Anbietern von Trackingsoftware. Die am häufigsten genutzten Module Universal Analytics oder Analytics Audiences wie auch die Verknüpfung mit einem Werbe-Account bei Google fallen definitiv nicht in die Kategorie „notwendige Cookies“, die von der Pflicht zum Opt-in befreit. Es gibt allerdings auch bei Google Analytics eine Einstellungsoption, die dafür sorgt, dass die Daten nur für Ihre eigenen Zwecke genutzt werden – oder zumindest sicherstellen soll, dass auch bei einer Verarbeitung auf fremden Servern keine Daten übermittelt werden. Wenn Sie sich 100 % Rechtssicherheit wünschen, sollten Sie sich darauf allerdings nicht verlassen.

Dazu kommt, dass immer mehr Browser – zumindest im Privat-Modus – Seiten mit bestimmten Funktionen des Google-Analytics-Tracking-Tools blockieren. Das jüngste Beispiel ist der bei Mac-Nutzern beliebte Browser Safari, der kein Third Party Tracking und kein Cross-Site Scripting mehr erlaubt.


Erläuterungen:

  • Beim Third Party Tracking wird das Nutzerverhalten nicht nur von den Betreibern der Seite aufgezeichnet, auf der sich der Anwender gerade bewegt – sondern auch von den Betreibern anderer Seiten.
  • Cross-Site Scripting ist eine Form des Hackings, bei der durch das Einfügen von Code auf fremden Seiten und das Vortäuschen von Authentizität sensible Daten erbeutet werden.

Setzen Sie statt Google Analytics Matomo ein, ersparen Sie sich eine Menge Aufwand und auch rechtliche Unsicherheiten. Denn das Tool verarbeitet die Daten nur auf dem eigenen Server und funktioniert auch ohne Cookies. Wenn gewünscht, werden diese durch digitale Fingerprints mit einer „Lebensdauer“ von nur 24 h ersetzt. Zudem dienen die mit Matomo durchgeführten Webanalysen nicht der Marktforschung. Sie werden lediglich verwendet, um Prozesse und Nutzerführung zu optimieren.

Mit dem Verzicht auf das Opt-In durch die ausschließliche Verwendung von notwendigen Cookies oder die Beschränkung auf Tracking ohne Cookies und Cookie-ähnliche Elemente sparen Sie nicht nur den technischen Aufwand für die Umsetzung. Sie bieten Ihren Website-besuchern auch eine angenehmere User Experience: Der Blick auf die Inhalte wird nicht durch zentral platzierte Kästen verstellt, die fast schon dazu nötigen, einem Verfahren zuzustimmen, dessen Inhalt in seiner Komplexität kaum nachvollziehbar ist.

Bei Facebook-Pixel liegt der Fall wieder komplett anders. Da hier Nutzerprofile für Werbe- und Marketingzwecke erstellt werden, gilt diese spezielle Form von Cookies nicht als notwendig und erfordert definitiv ein Opt-In.

Fazit: Das Wichtigste im Überblick

  • Nach einem GBH Urteil vom Mai 2020 ist für die Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung eine aktive Einwilligung des Nutzers erforderlich.
  • Davon nicht betroffen sind notwendige Cookies, ohne die ein einwandfreies Funktionieren der Seite nicht mehr garantiert werden kann.
  • Wer als Website-Betreiber rechtssicher agieren will, hat drei Optionen
  • Alle Seiten mit entsprechenden Opt-in-Bannern ausstatten
  • Künftig auf nicht-notwendige Cookies verzichten
  • Alternative Tracking-Tools wie Matomo nutzen, die sich auf die Optimierung von Performance und Conversion der eigenen Seite beschränken und keine Daten an Dritte weitergeben.

Interessante Links zum Beitrag:

Dieser Beitrag ist in Kooperation mit Manuela Kind – SEO leicht gemacht entstanden. In enger Zusammenarbeit beraten wir Sie gern zu einer für Ihr Unternehmen geeigneten Lösung.

Zurück zur Hauptseite